keybase-pgp-fail

Hipsterverschlüsselung für 500: Keybase möchte ein Verzeichnis für PGP -Schlüssel werden. Klar, Keyserver gibt es schon – aber denen fehlt halt eine Integration mit Twitter und GitHub !

Dazu kommt: Traditionelle Keyserver halten nur öffentliche Schlüssel vorrätig – Keybase hingegen auch private. Keybase fordert Nutzer auf, ihre privaten Schlüssel hochzuladen. Warum sollte man seine privaten Schlüssel der NSA einem amerikanischen Startup überlassen? Weil die Entwickler zu dumm für USB -Sticks sind . Kann man sich gar nicht ausdenken, sowas:

There are a few reasons one might wish to do this. All of them center around easy transportability of their secret key. For example, I'd like my secret key on multiple machines, and I don't know how to move it around easily.

Aber macht euch keine Sorgen, die privaten Schlüssel werden natürlich verschlüsselt – mit selbstgebastelter JavaScript -Verschlüsselung . Und zwar gleich dreifach, also dreimal so sicher wie anderswo! Zumindest glauben die das selber: We don't have any exact proof of security for a cascade of block ciphers in CTR mode. But we're pretty sure

Weiterer Beweis für die überragende Kompetenz der Entwickler: Die bei Keybase eingesetzte Schriftart ermöglichte es, Nutzerprofile zu imitieren .

Due to the font they chose, I could impersonate any user with a zero, capital "o", lowercase "L", or capital "i" in their name.

Bei Debian reagiert man angemessen :

To be clear, if I spot any key that's both in any of the Debian keyrings and in keybase.io, I will proceed as if the key had been lost or compromised and immediately remove it from our keyring.