Keybase

Keybase ist ein neues Projekt von Max Krohn und Chris Coyne (die vorher u.a. OKcupid gegründet haben). Es will ein besseres Verzeichnis öffentlicher Schlüssel sein.

Eines der Probleme an sicherer Verschlüsselung im Moment ist, dass die meisten Verfahren asymmetrisch sind. Jeder Nutzer hat also einen geheimen und einen öffentlichen Schlüssel, und um eine Nachricht zu verschlüsseln, brauche ich meinen geheimen Schlüssel sowie den öffentlichen Schlüssel der Empfänger. Damit entsteht aber auch die Problematik, dass ich irgendwie an den richtigen Schlüssel kommen muss, bevor ich einen sicheren Kommunikationskanal mit dem Empfänger aufgebaut habe, denn sonst könnte mir jemand einen falschen Schlüssel unterjubeln und meine Kommunikation abfangen.

Bei OpenPGP/GPG versucht man, das Problem durch das sogenannte „Web of Trust“ zu lösen: Man kann anderer Leute Schlüssel mit einem Vertrauensmarker signieren und so angeben, wie sicher man ist, dass der Schlüssel zur Identität passt. Das reicht von „keine Ahnung, nicht geprüft“ zu „ich habe den Schlüssel von der Person direkt bekommen und seine Identität geprüft“. So baut sich ein Vertrauensnetzwerk auf, wenn ich A vertraue, der wiederum B geprüft hat, und die wiederum C kennt. Nichts hindert jemanden daran, massenhaft Schlüssel unter falschen Identitäten zu erzeugen und zu verteilen, es ist aber unwahrscheinlich, dass diese vertrauenswürdige Signaturen bekommen. (Interessant wäre allerdings mal, ein komplett eigenes Web of Trust mit tausenden falscher Identitäten anzulegen, die sich gegenseitig plausibel vertrauen.)

Keybase will dieses Problem nun lösen, indem sie Identitäten bei Dritten wie z.B. Twitter oder Github kryptografisch bestätigen lassen: Ich als Besitzer meines geheimen Schlüssels signiere ein kurzes Codewort, dessen Integrität Keybase mit meinem öffentlichen Schlüssel prüfen kann. Damit kann ich mathematisch sicher beweisen, dass ich z.B. den Twitter-Account @moeffju kontrolliere und dieser Account zu dem angegebenen öffentlichen Schlüssel gehört. Twitter wird somit quasi als Web of Trust verwendet.

Bei Keybase, das noch in der Alpha ist, will man noch weiter gehen: Nicht nur der öffentliche Schlüssel wird zugeordnet und Identitäten bestätigt, man kann auch den geheimen Schlüssel verschlüsselt zu Keybase hochladen und dann im Browser Nachrichten signieren und verschlüsseln. Ich rate davon ab, das mit dem eigenen Hauptschlüssel zu machen – Verschlüsselung im Browser kann zwar sicher sein, aber nicht vertrauenswürdig. Keybase muss nur anderes JavaScript ausliefern und schon kann es potenziell auf den geheimen Schlüssel zugreifen. Mit einem Unterschlüssel kann man es eventuell machen, sollte sich aber der Risiken bewusst sein. Sicherer ist es, den Kommandozeilenclient auf dem lokalen Computer zu verwenden und seinen geheimen Schlüssel gut geschützt aufzubewahren.

Wer Keybase ausprobieren möchte: Ich habe drei Invites, die ich an kryptografisch versierte Benutzerinnen verteilen möchte. Schreibt mir kurz, welche Erfahrungen ihr mit Verschlüsselung bisher gemacht habt und wieso euch Keybase interessiert. Bonuspunkte, wenn ihr eure Nachrichten mit eurem PGP-Key signiert (und eure Key-ID angebt).

5 Replies to “Keybase”

  1. —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA1

    Hi,
    ich finde Keybase hat Potenzial, da es Kryptografie den Nichtnerds näher bringen kann.
    In meinem Umfeld hat bis jetzt so gut wie niemand etwas mit PGP zu tun gehabt.
    Key-ID: 6584CF6C
    —–BEGIN PGP SIGNATURE—–
    Version: GnuPG v2.0.22 (GNU/Linux)

    iQGbBAEBAgAGBQJTV/gWAAoJENRSQWtlhM9s1qcL+IFA7oqkSQWn9VMS+2tVBntK
    SGJTmQ+6C7gQck3dvYQoAXzV3V7eTGpu5y44iCbLQr61ZaKV9IUpQX7E+I6TrzG9
    hwQL1bgCTslMEYELN/e6ri4HAMPvSEqex/nQTmodxk5y194EknalQpdpJ2rNXq9r
    3lFOGhZqjcpmTba7f01Rqw4nrOV4uVafYsbIVel1OU4glbytgyoGBkQmnXsRyNJD
    BfY0pkneTuq3+8l4xmQh9fg+MhYKFvH1HovqiZwUccM8PyYUfzlOssIl8oL9lNgD
    EJtHhswMbTiPxjA/AIfIOccnM2Pm39wc57xlV0pf2pPDxmI5w37cCt74bl1xRC1Z
    wykIsBv5oavIspMKXHVJUGawIrD10/R2oaTxKjHj5MDsc8N02FuXhpR1DKMAIYrY
    M6P93a9dglc3lr138vcgKtmSfvTqeYrVDlBaFQAp3hSzACsVu3+V5DyxbEms9Kcx
    RLimjLM7nH0T/NfeZMWl7pA0NEQ6vfc3JrDoDMR+
    =kpWJ
    —–END PGP SIGNATURE—–

  2. Die Signatur von dem Text zu prüfen klappt übrigens nicht da WordPress ein paar Zeichen, z.B in Gedankenstriche, umgewandelt hat.

Comments are closed.