UStackUStack
AxKeyStore icon

AxKeyStore

AxKeyStore ist ein sicherer Open-Source-CLI zum Verwalten von Secrets und Passwörtern: clientseitig verschlüsseln, nur Chiffren im privaten GitHub-Repo speichern.

KI Wissensmanagement
Monitoring & Logging
KI DevOps Assistent
Website Besuchen
AxKeyStore

Was ist AxKeyStore?

AxKeyStore ist ein sicheres, open-source Command-Line-Interface (CLI)-Tool zur Verwaltung von Secrets, Schlüsseln und Passwörtern. Sein Kernzweck ist es, Ihnen Ihr eigenes privates GitHub-Repository als verschlüsselte Speicherung zu ermöglichen, während GitHub als untrusted Storage behandelt wird.

Mit AxKeyStore erfolgt die Verschlüsselung clientseitig. Verschlüsselte Daten werden im remote GitHub-Repository gespeichert, und Secrets werden nicht in Plain Text im Repository abgelegt. Das Tool vermeidet zudem die Speicherung von Secrets, Master-Keys oder Passwörtern in unverschlüsselter Form auf dem lokalen Dateisystem.

Wichtige Funktionen

  • Privates GitHub-Repository als verschlüsselter Backend: Speichert Secrets in einem von Ihnen kontrollierten privaten Repository mit verschlüsselten Binary Blobs.
  • Clientseitige Verschlüsselung für alle Secret-Operationen: Secrets werden auf Ihrem Rechner vor dem Upload verschlüsselt; keine Plain-Text-Secrets werden übertragen.
  • Zero-Trust-/Mehrschicht-Verschlüsselungsmodell: Verwendet einen Local Master Key (LMK) zur Verschlüsselung der lokalen Konfiguration (inklusive GitHub Access Token und Repository-Name) sowie einen Remote Master Key (RMK) zur Verschlüsselung der tatsächlich gespeicherten Secrets.
  • Moderne authentifizierte Verschlüsselung und Key-Derivation: LMK-Verschlüsselung mit Argon2id und XChaCha20-Poly1305; das Drei-Schichten-Schema sorgt dafür, dass nur verschlüsselte Artefakte GitHub erreichen.
  • Einheitliche Authentifizierung via GitHub Apps und Device Flow: Sichere Authentifizierung mit GitHub Apps in Kombination mit dem Device Flow.
  • CLI-Workflow für Initialisierung und Operationen: Befehle zum Einloggen, Initialisieren eines Repositories für die Speicherung und Verwalten von Secrets über einen einfachen Befehlssatz.
  • Hierarchische Kategorien-Organisation: Organisieren von Secrets in Kategorien wie api/production/internal.
  • Multi-Profile-Unterstützung: Verwalten mehrerer Vaults mit unterschiedlichen Logins, Master-Passwörtern und GitHub-Repositories.

So verwenden Sie AxKeyStore

  1. CLI installieren: Unter macOS/Linux das bereitgestellte Shell-Installationsskript ausführen. Unter Windows das PowerShell-Installationsskript ausführen. Die Skripte laden das Binary herunter, legen es unter $HOME/.axkeystore/bin ab und konfigurieren Ihren PATH.
  2. Mit GitHub-Account einloggen: axkeystore login ausführen. Beim ersten Login ein Master-Passwort festlegen; dieses Passwort verschlüsselt den sensiblen lokalen GitHub Access Token.
  3. Erforderliche GitHub-App installieren: Während des Logins stellt die CLI einen Link zur Installation der GitHub-App für Ihren User oder Ihre Organisation bereit. Die App muss installiert werden, um Repository-Zugriff zu gewähren.
  4. Storage-Repository initialisieren: axkeystore init --repo <repo-name> ausführen (oder mit Organisation/Owner wie my-org/my-secret-store). Wenn das Repo zuvor auf einem anderen Rechner initialisiert wurde, fragt AxKeyStore während der Initialisierung nach.

Nach der Initialisierung können Sie die CLI nutzen, um Credentials als verschlüsselte Blobs in Ihrem privaten GitHub-Repository zu speichern und abzurufen.

Anwendungsfälle

  • GitHub-gehostete Credentials ohne Plain Text speichern: API-Keys, Passwörter und andere Secrets in einem privaten Repository halten, wo nur verschlüsselte Daten gespeichert werden.
  • Secrets nach Umgebung oder Domain mit Kategorien trennen: Secrets unter hierarchischen Kategorien wie api/production/internal organisieren, um Umgebungen leicht navigierbar zu halten.
  • Mehrere Vaults über verschiedene GitHub-Repos verwalten: Separate Profile für unterschiedliche Repositories und Master-Passwörter pflegen – nützlich bei Arbeit über mehrere Projekte oder Organisationen.
  • Lokale Credential-Speicherung absichern: GitHub Access Token und Repository-Name (lokale Credentials) mit dem Local Master Key verschlüsseln und durch das Master-Passwort des Users schützen.
  • Cross-Machine-Nutzung mit untrusted remote Storage: Dasselbe verschlüsselte Repository auf einem anderen Rechner initialisieren (während Init abgefragt), sodass remote nur verschlüsselte Blobs gehalten werden und jeder Client die Verschlüsselung handhabt.

FAQ

  • Speichert AxKeyStore Secrets unverschlüsselt in GitHub? Nein. Secrets werden clientseitig verschlüsselt, und nur verschlüsselte Binary Blobs werden im privaten GitHub-Repository gespeichert.

  • Werden Verschlüsselungsschlüssel oder Master-Passwörter über das Netzwerk gesendet? Das Projekt beschreibt, dass keine Plain-Text-Secrets, Master-Keys oder Passwörter das Netzwerk berühren. Die Verschlüsselung erfolgt rein auf Ihrem Rechner.

  • Welche Authentifizierung verwendet AxKeyStore? Es verwendet GitHub Apps und den Device Flow zur Authentifizierung.

  • Wie schützt AxKeyStore Daten lokal? Es verwendet einen Local Master Key (LMK), der mit Ihrem Master-Passwort mittels Argon2id und XChaCha20-Poly1305 verschlüsselt wird; der LMK verschlüsselt lokale Konfigurationen wie GitHub Access Token und Repository-Name.

  • Welche Betriebssysteme werden für die Installation unterstützt? Das Repository bietet Installationsskripte für macOS/Linux (via install.sh) und Windows (via install.ps1).

Alternativen

  • Andere CLI-basierte Secret-Manager mit Clientseitiger Verschlüsselung: Tools suchen, die Secrets lokal verschlüsseln und nur Chiffren in einem Remote-Backend speichern (ähnliches untrusted-storage-Modell), typischerweise mit S3, Git oder anderem Storage.
  • Dedizierte Password-Manager (Vault-basierte Apps): Lokale App oder Desktop/Mobile-Vault nutzen, die Verschlüsselung und Sync verwaltet; Workflow unterscheidet sich, da das Backend vom Password-Manager verwaltet wird statt von deinem privaten GitHub-Repository.
  • Git-basiertes Secret-Storage mit Verschlüsselungs-Tools: Einige Ansätze speichern verschlüsselte Dateien in Git und verlassen sich auf deine Verschlüsselungs-Tools; im Vergleich zu AxKeyStore managst du den Verschlüsselungs-Workflow selbst statt der dedizierten CLI und ihres Key-Modells zu nutzen.
  • Cloud-Secret-Manager mit verwalteter Verschlüsselung: Services, die Secrets in einem verwalteten System speichern; anders als AxKeyStore’s beschriebenes Modell ist der clientseitige untrusted-storage-Ansatz möglicherweise nicht das primäre Designmuster.

Alternativen

ClawTick icon

ClawTick

ClawTick ist eine CLI-first KI-Agenten-Automationsplattform für cronbasierte Webhook-Tasks mit Monitoring, Alerts, Retries und Ausführungslogs.

Falconer icon

Falconer

Falconer ist eine selbstaktualisierende Wissensplattform für schnelle Teams: interne Doku und Code-Context schreiben, teilen und gezielt finden – an einem Ort.

OpenFlags icon

OpenFlags

OpenFlags ist ein Open-Source, self-hosted Feature-Flag-System für progressive Delivery: lokale Evaluation in App-SDKs und ein simples Control-Plane für gezielte Rollouts.

skills-janitor icon

skills-janitor

skills-janitor prüft, verfolgt die Nutzung und vergleicht deine Claude Code Skills mit neun Slash-Command-Aktionen – ohne Abhängigkeiten.

Rectify icon

Rectify

Rectify ist eine All-in-One-Operations-Plattform für SaaS: Monitoring, Analytics, Support, Roadmaps, Changelogs und Agent-Management in einer visuellen Workspace – steuerbar per Konversation.

Studio CLI icon

Studio CLI

Mit dem Studio CLI steuern Sie WordPress Studio-Funktionen per Terminal: lokale Studio-Sites verwalten, Vorschau-Preview-Sites erstellen/ändern/löschen.

AxKeyStore | UStack