安全/隐私工具 × 6 款:密码管理、文件加密、GPG 可视化,全部官方仓库直装
pass、gopass、pass-otp、age、rbw、gpg-tui——6 款安全/隐私工具,覆盖 GPG 密码管理、TOTP 两步验证、现代文件加密(含后量子支持)、Bitwarden 无状态 CLI 及 GPG 密钥 TUI 管理,全部来自官方 Extra 仓库,pacman 直装。
从
pass 到 age,从 rbw 到 gpg-tui——本期收录的 6 款工具覆盖密码管理的完整链路,组成一套可在 Arch 上开箱即用的隐私工具箱。全部来自官方 Extra 仓库,pacman -S 直装。工具总览
| 工具 | 版本 | 仓库 | 定位 |
|---|---|---|---|
pass | 1.7.4-7 | Extra | GPG + git 密码管理器,UNIX 哲学范本 |
gopass | 1.16.1-2 | Extra | pass 团队增强版,多后端支持 |
pass-otp | 1.2.0-3 | Extra | pass 的 TOTP/HOTP 扩展插件 |
age | 1.3.1-1 | Extra | 现代文件加密,v1.3.1 起支持后量子加密 |
rbw | 1.15.0-2 | Extra | Bitwarden 非官方 CLI,类 agent 模式 |
gpg-tui | 0.11.2-1 | Extra | GnuPG 密钥管理的 TUI 界面 |
pass:GPG + git 密码管理器的 UNIX 范本
# 安装
pacman -S pass
# 初始化(用你自己的 GPG Key ID 或邮箱)
pass init "[email protected]"
# 存入密码
pass insert email/github.com
# 读取并复制到剪贴板(45 秒后自动清除)
pass -c email/github.com
# 生成 20 位随机密码并存入
pass generate email/new-site 20Wayland 用户装上
wl-clipboard 后,-c 选项直接走 wl-copy,不需要额外配置。pass git 子命令可以直接对密码仓库执行 git 操作,配合远程 repo 实现多机同步。Loading content card…
gopass:为团队重新设计的 pass
gopass 是 pass 的直接替代(gopass show -c foo 这类命令完全兼容),它在密码仓库模型之上叠加了团队协作所需的功能:多个密码存储(mount)可以分开管理,加密后端支持从默认的 GPG 切换到 age,存储后端也可以换成非 git 的选项。2pacman -S gopass
# 初始化(交互式向导)
gopass setup
# 列出密码仓库
gopass ls
# 搜索关键词
gopass find github
# 复制到剪贴板
gopass show -c work/deploy-keyv1.16.1 是 2025 年 12 月发布的最新版,GitHub 上保持活跃维护。3 如果你现在用
pass 且没有团队协作需求,不必迁移;如果需要共享密码仓库或多后端切换,gopass 值得一试。pass-otp:给 pass 添加二次验证
pass-otp 是 pass 的扩展插件,让密码仓库同时管理 TOTP(类似 Google Authenticator)代码。OTP 密钥以标准 otpauth:// URI 格式存储,加密保存在密码仓库里。4pacman -S pass-otp
# 添加一个 TOTP 条目(扫码后粘贴 otpauth:// URI)
pass otp insert email/github.com
# 获取当前 6 位验证码
pass otp email/github.com
# 复制到剪贴板
pass otp -c email/github.com这样就不必在手机和电脑之间来回切换——密码和 OTP 在同一个 GPG 加密仓库里,通过 git 同步到多台机器。
age:重新设计文件加密
v1.3.1 新增了后量子加密支持:用
-pq 生成密钥对,就能抵御未来量子计算机的暴力破解。6pacman -S age
# 生成密钥对
age-keygen -o key.txt
# 输出类似:Public key: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
# 加密文件
age -r age1ql3z7... secrets.txt > secrets.txt.age
# 用密码加密(不需要密钥文件)
age -p secrets.txt > secrets.txt.age
# 解密
age -d -i key.txt secrets.txt.age > secrets.txt
# 加密压缩包(UNIX 管道组合)
tar cvz ~/data | age -r age1ql3z7... > backup.tar.gz.ageage 还支持用 SSH 公钥加密(ssh-ed25519、ssh-rsa),也就是说你可以直接把文件加密给 GitHub 上某人的公钥,不需要交换专用密钥:curl https://github.com/username.keys | age -R - sensitive.txt > sensitive.txt.ageLoading content card…
rbw:解决 Bitwarden CLI 的无状态痛点
官方 Bitwarden CLI 每次运行都要手动解锁,不解锁就无法读取密码。
rbw 的思路来自 ssh-agent:后台跑一个守护进程,把解密后的密钥暂存在内存里,类似 gpg-agent 的模式。锁超时时间默认 1 小时,后台服务也可随时手动锁定。7pacman -S rbw
# 配置账号(创建 ~/.config/rbw/config.json)
rbw config set email [email protected]
# 首次注册设备(官方服务器需要)
rbw register
# 登录并同步
rbw sync
# 获取密码
rbw get github.com
rbw get github.com --full # 同时输出用户名和备注
rbw get github.com --field custom_field
# 列出所有条目
rbw ls
# 手动锁定
rbw lockrbw 也支持自建 Vaultwarden 服务器——rbw config set base_url https://your-server 即可切换。8 内置 SSH 代理功能可以让 Bitwarden 里存储的 SSH 私钥直接参与认证,不需要先导出。gpg-tui:给 GPG 密钥管理加一个可视化界面
GnuPG 的命令行输出对于管理多个密钥、追踪签名关系来说太原始了。
gpg-tui 是 Rust 编写的 TUI,用表格直观展示密钥环里的所有密钥和子密钥,同时支持跳回 gpg 命令行处理那些 GPGME 库暂不覆盖的操作(签名、刷新、编辑等)。9pacman -S gpg-tui
# 启动(查看默认密钥环)
gpg-tui
# 启用彩色主题
gpg-tui --style colored
# 管理 pacman 的密钥环(Arch 特有用法)
gpg-tui --homedir /etc/pacman.d/gnupg --style colored --splash常用键绑定(vi 风格):
hjkl/ 方向键:导航Tab:切换当前条目的详情级别(最小 / 标准 / 完整含子密钥签名)x:导出选中密钥g:生成新密钥(调用gpg --full-generate-key)i:导入密钥文件d/Backspace:删除密钥c+f:复制密钥指纹到剪贴板/:在密钥环里搜索
v0.11.2 是 2026 年 4 月发布的最新版,进入官方 Extra 仓库已超过两年。10
Loading content card…
搭配使用建议
这 6 款工具的定位并不重叠,可以按需组合:
- 日常密码管理:
pass或gopass(团队/多后端需求时选后者),加上pass-otp处理两步验证 - Bitwarden 用户:用
rbw替代官方 CLI,同一账号数据,使用体验大幅提升 - 文件/备份加密:
age比 GPG 简单,适合脚本自动化场景;pass/gopass切换 age 后端后两者也可打通 - GPG 密钥维护:偶尔需要检查签名关系、导出密钥给他人时,
gpg-tui比翻gpg --list-sigs输出直观得多
Add more perspectives or context around this Drop.