最近、通信に関する暗号化とセキュリティへの関心が高まりました。
調査中、ウェブサイト https://keybase.io/ を見つけました。それは公開鍵のストレージのように見えますが、明らかにそれ以上です。
それでは、Keybase.ioとは正確には何であり、どのように機能しますか?
Keybase.ioは、それ自体がPGPをサポートしておらず、アカウントタイプがPGPのUIDとして認識されていない他のサービスのアカウントの公開鍵を検索できるディレクトリサービスを提供します。
たとえば、特定のTwitterアカウントのPGPキーを知りたい場合は、keybaseディレクトリに問い合わせます。これは、次のように、これがキーバインド、Twitterハンドル、およびキーIDであることを示すフレーズを含むテキストレコードで応答します。このデータへの署名を含むツイートへのリンクも同様です。
これは、UIDがPGP鍵に添付される方法に似ています。マスター鍵は、鍵にバインドされるUIDを含む特別にフォーマットされたメッセージに署名します。主な違いは、バインディングがキーの外部に保存されること(TwitterハンドルUIDの標準がないため)と、署名がTwitter内に保存され、Twitterアカウントの所有者が実際にキーホルダーであることを確認できることです(ここで、通常のUIDは他のユーザーによって署名されています)。
このようにして、Twitterサービス自体への統合はありませんが、暗号化されたチャネルを介してTwitterユーザーにメッセージを送信できます。
最大10.000文字のダイレクトメッセージが許可されるため、Twitterを介してPGP暗号化メッセージを送信することは確かに可能です。
ただし、これ以上の検証は行われないため、「アカウントの所有者」にメッセージを送信する場合にのみ適しています。ツイートに含まれる署名は公開されているため、Twitter自体がツイートを変更して攻撃者のキーと一致するため、Twitterを介して攻撃される可能性があり、第三者によってアーカイブされ、操作が検出される可能性があります。
GithubおよびKeybaseが処理するその他のサービスについても同様です。