Keybase

Keybase ist ein neues Projekt von Max Krohn und Chris Coyne (die vorher u.a. OKcupid gegründet haben). Es will ein besseres Verzeichnis öffentlicher Schlüssel sein.

Eines der Probleme an sicherer Verschlüsselung im Moment ist, dass die meisten Verfahren asymmetrisch sind. Jeder Nutzer hat also einen geheimen und einen öffentlichen Schlüssel, und um eine Nachricht zu verschlüsseln, brauche ich meinen geheimen Schlüssel sowie den öffentlichen Schlüssel der Empfänger. Damit entsteht aber auch die Problematik, dass ich irgendwie an den richtigen Schlüssel kommen muss, bevor ich einen sicheren Kommunikationskanal mit dem Empfänger aufgebaut habe, denn sonst könnte mir jemand einen falschen Schlüssel unterjubeln und meine Kommunikation abfangen.

Bei OpenPGP/GPG versucht man, das Problem durch das sogenannte „Web of Trust“ zu lösen: Man kann anderer Leute Schlüssel mit einem Vertrauensmarker signieren und so angeben, wie sicher man ist, dass der Schlüssel zur Identität passt. Das reicht von „keine Ahnung, nicht geprüft“ zu „ich habe den Schlüssel von der Person direkt bekommen und seine Identität geprüft“. So baut sich ein Vertrauensnetzwerk auf, wenn ich A vertraue, der wiederum B geprüft hat, und die wiederum C kennt. Nichts hindert jemanden daran, massenhaft Schlüssel unter falschen Identitäten zu erzeugen und zu verteilen, es ist aber unwahrscheinlich, dass diese vertrauenswürdige Signaturen bekommen. (Interessant wäre allerdings mal, ein komplett eigenes Web of Trust mit tausenden falscher Identitäten anzulegen, die sich gegenseitig plausibel vertrauen.)

Keybase will dieses Problem nun lösen, indem sie Identitäten bei Dritten wie z.B. Twitter oder Github kryptografisch bestätigen lassen: Ich als Besitzer meines geheimen Schlüssels signiere ein kurzes Codewort, dessen Integrität Keybase mit meinem öffentlichen Schlüssel prüfen kann. Damit kann ich mathematisch sicher beweisen, dass ich z.B. den Twitter-Account @moeffju kontrolliere und dieser Account zu dem angegebenen öffentlichen Schlüssel gehört. Twitter wird somit quasi als Web of Trust verwendet.

Bei Keybase, das noch in der Alpha ist, will man noch weiter gehen: Nicht nur der öffentliche Schlüssel wird zugeordnet und Identitäten bestätigt, man kann auch den geheimen Schlüssel verschlüsselt zu Keybase hochladen und dann im Browser Nachrichten signieren und verschlüsseln. Ich rate davon ab, das mit dem eigenen Hauptschlüssel zu machen – Verschlüsselung im Browser kann zwar sicher sein, aber nicht vertrauenswürdig. Keybase muss nur anderes JavaScript ausliefern und schon kann es potenziell auf den geheimen Schlüssel zugreifen. Mit einem Unterschlüssel kann man es eventuell machen, sollte sich aber der Risiken bewusst sein. Sicherer ist es, den Kommandozeilenclient auf dem lokalen Computer zu verwenden und seinen geheimen Schlüssel gut geschützt aufzubewahren.

Wer Keybase ausprobieren möchte: Ich habe drei Invites, die ich an kryptografisch versierte Benutzerinnen verteilen möchte. Schreibt mir kurz, welche Erfahrungen ihr mit Verschlüsselung bisher gemacht habt und wieso euch Keybase interessiert. Bonuspunkte, wenn ihr eure Nachrichten mit eurem PGP-Key signiert (und eure Key-ID angebt).