Come funziona Keybase.io?

Keybase.io fornisce un servizio di directory che consente di cercare le chiavi pubbliche per gli account su altri servizi che non supportano direttamente PGP e i cui tipi di account non sono riconosciuti come UID su PGP.

Ad esempio, se voglio conoscere la chiave PGP per un determinato account Twitter, posso chiedere la directory del database dei tasti, che risponderà con un record di testo che contiene una frase che indica che questa è una chiave, un handle di Twitter e una chiave ID, così come un link a un tweet che contiene una firma su questi dati.

Questo è simile al modo in cui gli UID sono collegati alle chiavi PGP - la chiave principale firma un messaggio appositamente formattato che contiene l'UID da associare alla chiave. Le principali differenze sono che il binding è memorizzato esternamente alla chiave (perché non esiste uno standard per gestire gli UID di Twitter) e che la firma è memorizzata all'interno di Twitter per fornire la conferma che il proprietario dell'account Twitter è davvero il detentore chiave (dove gli UID normali sono firmati da altri).

In questo modo, posso inviare un messaggio a un utente di Twitter tramite un canale crittografato, sebbene non vi sia alcuna integrazione nel servizio Twitter stesso.

Poiché consentono messaggi diretti fino a 10.000 caratteri, l'invio di un messaggio crittografato tramite PGP tramite Twitter è certamente possibile.

Questo è utile solo per inviare messaggi a "il proprietario di un account", poiché non viene eseguita alcuna ulteriore verifica. Potrebbe teoricamente essere attaccato tramite Twitter stesso alterando il tweet in modo che corrisponda alla chiave di un utente malintenzionato, sebbene la firma contenuta nel tweet sia pubblica, quindi potrebbe essere archiviata da terze parti e manipolata in tal modo rilevata.

Lo stesso vale per Github e gli altri servizi gestiti da Keybase.