Stavo leggendo alcuni articoli su keybase.io:
E sono confuso su questa affermazione:
I really hope you didn't upload your private key, "client-side crypto" or not!
Supponendo che la tua chiave privata sia effettivamente crittografata sul lato client, qual è il problema con il caricamento?
Naturalmente, essendo paranoico ho creato una chiave specifica per l'uso con keybase.io ...
Assuming that your private key is actually encrypted on the client side, what is the problem with uploading it?
La chiave privata è solitamente crittografata (ma non necessariamente). Ad ogni modo, una chiave privata è molto più strong di una passphrase "normale" e abilita gli attacchi di forza bruta contro la chiave privata. La condivisione della chiave privata crittografata danneggerebbe attivamente la tua sicurezza.
La crittografia delle chiavi private con una passphrase è più da considerare una ulteriore protezione contro perdite accidentali e non vuole essere un modo sicuro di condividerla con il pubblico (o qualsiasi altra entità non fidata come keybase.io).
Ma c'è dell'altro: non c'è un uso reale nella condivisione della tua chiave privata . Tutte le operazioni crittografiche che coinvolgono altri sono basate sul fatto che è necessario condividere (e condividere) la chiave pubblica. La crittografia dei messaggi viene eseguita utilizzando la tua chiave pubblica (e la chiave privata viene utilizzata solo per la decrittografia), le firme emesse dalla tua chiave privata vengono verificate utilizzando la tua chiave pubblica. Se tutto ciò che vuoi ottenere è condividere la tua chiave privata tra le tue macchine, meglio scegliere un modo che non coinvolga canali non privati come i servizi "cloud". Ricorda che la chiave privata cambia molto raramente e, di solito, un po 'di sforzo nella trasmissione offline non dovrebbe essere una seccatura eccessiva. Considera utilizzando le sottochiavi per semplificare la gestione delle chiavi .