KeysArk
ark CLI

ark CLI ドキュメント

ターミナルからエンドツーエンド暗号化された保管庫を読み書きします。平文とフレーズはローカルにとどまり、デバイスから出るのは暗号文だけです。

これは何か

ark は KeysArk 公式のコマンドラインクライアントです。ウェブ保管庫をターミナルに持ち込みます: 項目の一覧表示、パス指定での読み取り、ローカルファイルの保存、エントリの作成・更新ができます。暗号化と復号はすべてリカバリーフレーズでローカルに行われ、サーバーとクラウドバックエンドが扱うのは不透明な暗号文だけです。

インストール

@keysark/cli@1.0.7
npm install -g @keysark/cli

Node.js 18+ が必要です。ark コマンド(エイリアス keysark)をインストールします。

初回セットアップ

2 ステップ: このデバイスを認可し、次にフレーズをインポートします。

ark login

ark login はデバイスコード認可を使います: ターミナルにリンクとコードが表示されるので、ブラウザで開き、コードの一致を確認して承認します。この付与はブラウザセッションと同等で、暗号文を動かせるだけです。フレーズや平文は決して扱いません。

ark import

ark import はリカバリーフレーズの入力を求め、ローカルの解除パスワードを設定します。フレーズは Argon2id で派生した鍵で暗号化されローカル(~/.keysark)に保存され、アップロードされることはありません。解除は 5 分間操作がないまでキャッシュされるので、パスワードを再入力する必要はありません。

コマンドリファレンス

  • ark loginデバイスコードでこのデバイスを認可します(確認のためブラウザを開きます)。
  • ark importリカバリーフレーズをインポートし、ローカルの解除パスワードを設定します。
  • ark statusログインとフレーズの状態を表示します。
  • ark infoバージョン、サーバーの取得元、設定ディレクトリを表示します。
  • ark vaultsアカウント上のすべての保管庫を一覧表示し、フレーズと一致するものを示します。
  • ark ls現在の保管庫内のすべての項目を一覧表示します。
  • ark get <path|id> [file]パスまたは ID で項目を復号します。標準出力に出力し、ファイル名を指定するとファイルに書き込みます。
  • ark save <file> [target]ローカルファイル(テキストまたはバイナリ。バイナリは暗号化されたファイル項目として保存)を保管庫に保存します。リポジトリ内では git origin から保存先パスを推測します。
  • ark sync [folder]vault フォルダとローカルディレクトリを mtime で双方向に同期します(新しい側が勝ちます)。git リポジトリ内ではフォルダは省略可能(origin から照合)。事前にプランを表示して確認し、相対パスを保ちます。
  • ark reset-anchor [vault]保管庫のロールバック保護を解除します。意図的に保管庫をリセット / 復元し、"index rollback detected" の警告(読み取り)やブロック(書き込み)が出る場合にのみ使ってください。次回の読み込みで現在のリモートバージョンに再アンカーします。
  • ark logoutローカルのログインを消去します(フレーズの資格情報は保持)。
  • ark forgetローカルに保存されたフレーズの資格情報と解除キャッシュを削除します。

グローバルオプション

  • --server <url>サーバー URL を上書きします(デフォルト https://keysark.com)。
  • --vault <id|label>ID またはラベルで保管庫を選択します(デフォルトはフレーズに一致する最初のもの)。
  • --no-browserログイン時にブラウザを自動で開きません。

よくある例

項目を復号してローカルファイルに書き出す:

ark get github.com/me/app/.env .env

プロジェクトディレクトリから .env を保管庫に保存(パスは git origin から推測):

cd ~/my-project
ark save .env

CI / スクリプトでの非対話的な利用(フレーズは環境変数で指定):

export KEYSARK_MNEMONIC="word1 word2 … word12"
ark get secure/api-key > key.txt

環境変数

  • KEYSARK_SERVERサーバー URL(--server と同じ)。
  • KEYSARK_MNEMONICリカバリーフレーズを直接指定し、ローカルの資格情報をバイパスします — CI / スクリプト向け。
  • KEYSARK_HOME設定ディレクトリ。デフォルトは ~/.keysark。
  • KEYSARK_NO_BROWSER設定すると、ログイン時にブラウザを自動で開きません。

セキュリティ

フレーズ、派生したマスターキー、平文はデバイスから決して出ません: ark はローカルで暗号化・復号し、サーバーとクラウドには暗号文だけを送ります。デバイスの付与は暗号文を動かせるだけで、漏洩しても保管庫の中身は何も読み取れません。