Skip to content

Keybase: mehr als ein Identitätsnachweis

Mitte 2016 bin ich wohl über eigenartige Tweets auf Keybase aufmerksam geworden und habe einen Dienst kennengelernt, der es ermöglicht, auf kryptographisch sichere Weise Webseiten und Accounts bei sozialen Netzwerken mit einer Person (richtigerweise: mit einem GPG-Schlüssel) zu verknüpfen und überprüfbar zu bestätigen: ja, dieser Twitter-Account gehört zu derselben Person wie dieser Github-Account und dieses Blog, und diese Person benützt diese(n) GPG-Schlüssel.

Mit einem GPG-Schlüssel fängt das ganze auch an: mit diesem signiert man nämlich einen “Beweis”, den man später auf Twitter, Github, Reddit oder anderswo - oder auf einer Webseite oder im DNS - veröffentlichen kann. Keybase prüft, ob dieser Beweis - der u.a. den Accountname enthält - dort tatsächlich veröffentlicht wurde; und wenn das der Fall ist, dann hat man ja nun bewiesen, dass man auf den entsprechenden Account Zugriff hat.

Auf die gleiche Weise können - mit dem Keybase-Client bzw. der App - auch Rechner (Smartphones, Tablets) einer Person zugeordnet werden, und dann können diese Geräte auch wiederum dazu verwendet werden, andere Geräte, Schlüssel, aber auch Webseiten und Accounts zu bestätigen. Dabei muss man nicht mit komplizierten Schlüsseln und Signaturen kämpfen; die Kryptographie bleibt im Hintergrund. Es genügt, Texte oder Zeichenketten per copy&paste auf seinem Account zu veröffentlichen oder auf Webseiten oder im DNS zu hinterlegen, oder eine Folge von englischen Wörtern, die auf Gerät A angezeigt werden, auf Gerät B einzutippen. Die dahinterstehende Komplexität ist wegabstrahiert. Solange man noch über ein verifiziertes Gerät (oder notfalls einen ausgedruckten “Papierschlüssel”) verfügt, kann man auch jederzeit wieder weitere Geräte und Accounts verifizieren und auf alle mit dem Keybase-Account verknüpften Daten zugreifen; es macht also nichts, wenn ein Smartphone verlorengeht oder eine Festplatte defekt ist (und die Keybase-Daten nicht im Backup liegen).

Alle diese Bestätigungen, diese signierten Beweise bilden eine aufeinander aufbauende Kette, und zudem lassen sich die Verbindungen (also über welchen Weg was bestätigt wurde) auch graphisch darstellen. Zudem kann man anderen Keybase-Nutzern folgen - und signiert so deren “Kette” zum derzeitigen Zeitpunkt und verstärkt so das gegenseitige Vertrauensnetz. Dieser Vorteil der Publizität und Nachvollziehbarkeit ist natürlich umgekehrt mit einem Nachteil verbunden: aus dieser Kette lässt sich kein Glied mehr entfernen. Man kann zwar Rechner (Accounts, Webseiten, …) löschen, aber der Eintrag bleibt dann mit dem Vermerk “revoked” trotzdem sichtbar. Wer also möglicherweise später nicht mehr zu seinem Reddit-Account stehen möchte, muss dann auch schon seinen kompletten Keybasae-Account löschen. Ein Reset alleine genügt nicht.

Eine graphische Darstellung der mit meiner Identität verknüpften Geräte, Websites und Accounts.

Die Keybase-Website bietet im Übrigen nur einen kleinen Einblick in die bestehenden Möglichkeiten; die Nutzung der vollen Funktionalität ist nur mit der App bzw. dem Kommandozeilen-Client möglich. Und diese Clients können - mittlerweile - sehr viel mehr als nur die eigenen Identität bzw. die Verfügungsgewalt über bestimmte Accounts bestätigen. Keybase bietet auch noch

  • Ende-zu-Ende-verschlüsselte Chats,

  • die Einrichtung von Teams - mit Subteams - und Channeln, in denen (Ende-zu-Ende-vrschlüsselt) gechattet werden kann,

  • verschlüsselten Dateiaustausch über das KBFS, das Keybase filesystem, mit 250 GB Platz pro Nutzer,

  • verschlüsselte Git-Repositories, die man auch mit Teams teilen kann, und

  • Wallets für die Kryptowährung Stellar Lumens.

Der Dienst kann also - neben dem Identitätsnachweis -

  • Chat-Apps wie WhatsApp, Signal oder Threema ersetzen, ohne an eine Rufnummer gekoppelt oder auf ein Endgerät beschränkt zu sein, wobei statt des Keybase-Namens auch ein bestehender Twitter-Account o.ä. als Adresse verwendet werden kann

  • Kommunikationsdienste wie Slack ersetzen, ohne dass die Inhalte unverschlüsselt auf fremden Servern liegen,

  • und bietet zugleich eine Alternative zu Dropbox und

  • private oder Team-öffentliche Git-Repositories,

wobei alle diese Angebote jeweils nur den eingeladenen Teilnehmern zugänglich sind, nicht aber Dritten oder auch nur den Betreibern von Keybase.

Das sind sehr interessante Möglichkeiten - umso mehr wundert es mich, wie wenig der Dienst bisher öffentliche Beachtung gefunden hat.

Hat jemand aus der werten Leserschaft bereits nähere Erfahrungen damit gesammelt?

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Dirk Deimeke am :

Dirk Deimeke

Ich benutze Keybase mit einem Bekannten als Chattool und ansonsten als "Community"-Tool zum Vernetzen von Gleichgesinnten.

Was ich immer bedenklich finde - so auch hier - ist, dass ich das Business-Modell noch nicht verstanden habe.

Thomas Hochstein am :

Thomas Hochstein

Dazu findet sich wohl hier etwas. Ob das so tragfähig ist … wer weiß.

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen
tweetbackcheck