Proton Pass CLI

🔐 端到端加密密码与 SSH 密钥管理

Proton Pass 官方 CLI 工具,支持端到端加密密码库管理、SSH 密钥托管与 Agent 集成、TOTP 生成及密钥注入。源自 Proton AG 瑞士隐私安全基础设施,适合开发运维人员与隐私敏感用户。

收藏
8.9k
安装
2.9k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Proton Pass CLI 是 Proton AG 官方推出的命令行密码管理工具,基于与 Proton Mail 相同的端到端加密架构,支持 vault/项⽬ CRUD、成员共享、SSH Agent 集成及动态密钥注入。核心工作流程涵盖:

1. 认证登录:支持 Web 登录(兼容 SSO/U2F)与交互式终端登录,提供环境变量自动化注入能力
2. 库与项目管理:创建/更新/删除加密 vault,通过 share-id 或名称引用资源,支持 viewer/editor/manager 三级权限

3. 多类型项⽬:登录凭证、SSH 密钥(Ed25519/RSA2048/4096)、邮箱别名、加密笔记,支持 --generate-password 与密码强度评分

4. SSH 集成ssh-agent load 将密钥注入现有 agent;ssh-agent start 启动 Proton 托管的独立 agent,支持自动密钥创建

5. 密钥注入:Pass URI 语法 pass://vault/item/field 支持脚本化密钥提取,JSON/human 双格式输出便于 CI/CD 集成

显著优点

  • 零知识架构:服务端无法解密用户数据,密钥仅本地派生
  • SSH 工作流原生支持:无需将私钥暴露于磁盘即可进行 Git/SSH 操作,Agent 自动刷新机制(默认 1 小时)降低密钥泄露窗口
  • 隐私优先设计:源自瑞士、受 GDPR 与瑞士联邦数据保护法约束,无广告追踪
  • 企业级共享:细粒度权限控制、所有权转移、邀请管理,支持团队vault 与单项目共享混合模式
  • 自动化友好:JSON 输出、模板化创建、环境变量/文件双模式凭证注入,便于 DevOps 脚本集成

潜在缺点与局限性

  • Beta 状态:CLI 仍处于公开测试阶段,API 稳定性与功能完整性可能变动
  • 功能阉割:项目更新不支持 TOTP/时间字段,需回退 GUI 客户端;包管理器安装不支持 update 命令与 track 切换
  • 生态锁定:Pass URI 与 Proton 生态深度绑定,迁移至其他密码管理器需手动导出
  • 交互式依赖:部分高安全操作(如 U2F/SSO)强制要求浏览器介入,纯 CI 环境配置复杂
  • 网络依赖:所有操作需实时连接 Proton API,离线场景功能受限

适合人群

  • 开发运维人员:需要安全的 SSH 密钥托管与 CI/CD 密钥注入
  • 隐私敏感用户:寻求替代 LastPass/1Password 的零知识架构方案
  • 小型技术团队:需共享 vault 与细粒度权限,但暂不需要 Enterprise SSO 的深度集成
  • Proton 生态用户:已使用 Proton Mail/Drive,希望统一密码管理入口

常规风险

  • 会话管理PROTON_PASS_PASSWORD 等环境变量若以明文导出,存在 shell history 与进程泄露风险,建议优先使用 _FILE 变体
  • SSH Agent 安全--create-new-identities 自动导入功能可能意外将非预期密钥纳入管理范围
  • Vault 删除不可逆vault delete 永久清除,无回收站机制,误操作风险高
  • Beta 软件风险:未来版本可能引入破坏性变更,生产环境建议锁定版本并监控更新日志
  • 供应链安全:curl/powershell 一键安装脚本需验证 TLS 证书与 checksum,防范中间人攻击

Proton Pass CLI 内容

手动下载zip · 6.3 kB
SKILL.mdtext/markdown
请选择文件