Skip to content

Keybase: mehr als ein Identitätsnachweis

Mitte 2016 bin ich wohl über eigenartige Tweets auf Keybase aufmerksam geworden und habe einen Dienst kennengelernt, der es ermöglicht, auf kryptographisch sichere Weise Webseiten und Accounts bei sozialen Netzwerken mit einer Person (richtigerweise: mit einem GPG-Schlüssel) zu verknüpfen und überprüfbar zu bestätigen: ja, dieser Twitter-Account gehört zu derselben Person wie dieser Github-Account und dieses Blog, und diese Person benützt diese(n) GPG-Schlüssel.

Mit einem GPG-Schlüssel fängt das ganze auch an: mit diesem signiert man nämlich einen “Beweis”, den man später auf Twitter, Github, Reddit oder anderswo - oder auf einer Webseite oder im DNS - veröffentlichen kann. Keybase prüft, ob dieser Beweis - der u.a. den Accountname enthält - dort tatsächlich veröffentlicht wurde; und wenn das der Fall ist, dann hat man ja nun bewiesen, dass man auf den entsprechenden Account Zugriff hat.

Auf die gleiche Weise können - mit dem Keybase-Client bzw. der App - auch Rechner (Smartphones, Tablets) einer Person zugeordnet werden, und dann können diese Geräte auch wiederum dazu verwendet werden, andere Geräte, Schlüssel, aber auch Webseiten und Accounts zu bestätigen. Dabei muss man nicht mit komplizierten Schlüsseln und Signaturen kämpfen; die Kryptographie bleibt im Hintergrund. Es genügt, Texte oder Zeichenketten per copy&paste auf seinem Account zu veröffentlichen oder auf Webseiten oder im DNS zu hinterlegen, oder eine Folge von englischen Wörtern, die auf Gerät A angezeigt werden, auf Gerät B einzutippen. Die dahinterstehende Komplexität ist wegabstrahiert. Solange man noch über ein verifiziertes Gerät (oder notfalls einen ausgedruckten “Papierschlüssel”) verfügt, kann man auch jederzeit wieder weitere Geräte und Accounts verifizieren und auf alle mit dem Keybase-Account verknüpften Daten zugreifen; es macht also nichts, wenn ein Smartphone verlorengeht oder eine Festplatte defekt ist (und die Keybase-Daten nicht im Backup liegen).

Alle diese Bestätigungen, diese signierten Beweise bilden eine aufeinander aufbauende Kette, und zudem lassen sich die Verbindungen (also über welchen Weg was bestätigt wurde) auch graphisch darstellen. Zudem kann man anderen Keybase-Nutzern folgen - und signiert so deren “Kette” zum derzeitigen Zeitpunkt und verstärkt so das gegenseitige Vertrauensnetz. Dieser Vorteil der Publizität und Nachvollziehbarkeit ist natürlich umgekehrt mit einem Nachteil verbunden: aus dieser Kette lässt sich kein Glied mehr entfernen. Man kann zwar Rechner (Accounts, Webseiten, …) löschen, aber der Eintrag bleibt dann mit dem Vermerk “revoked” trotzdem sichtbar. Wer also möglicherweise später nicht mehr zu seinem Reddit-Account stehen möchte, muss dann auch schon seinen kompletten Keybasae-Account löschen. Ein Reset alleine genügt nicht.

Eine graphische Darstellung der mit meiner Identität verknüpften Geräte, Websites und Accounts.

Die Keybase-Website bietet im Übrigen nur einen kleinen Einblick in die bestehenden Möglichkeiten; die Nutzung der vollen Funktionalität ist nur mit der App bzw. dem Kommandozeilen-Client möglich. Und diese Clients können - mittlerweile - sehr viel mehr als nur die eigenen Identität bzw. die Verfügungsgewalt über bestimmte Accounts bestätigen. Keybase bietet auch noch

  • Ende-zu-Ende-verschlüsselte Chats,

  • die Einrichtung von Teams - mit Subteams - und Channeln, in denen (Ende-zu-Ende-vrschlüsselt) gechattet werden kann,

  • verschlüsselten Dateiaustausch über das KBFS, das Keybase filesystem, mit 250 GB Platz pro Nutzer,

  • verschlüsselte Git-Repositories, die man auch mit Teams teilen kann, und

  • Wallets für die Kryptowährung Stellar Lumens.

Der Dienst kann also - neben dem Identitätsnachweis -

  • Chat-Apps wie WhatsApp, Signal oder Threema ersetzen, ohne an eine Rufnummer gekoppelt oder auf ein Endgerät beschränkt zu sein, wobei statt des Keybase-Namens auch ein bestehender Twitter-Account o.ä. als Adresse verwendet werden kann

  • Kommunikationsdienste wie Slack ersetzen, ohne dass die Inhalte unverschlüsselt auf fremden Servern liegen,

  • und bietet zugleich eine Alternative zu Dropbox und

  • private oder Team-öffentliche Git-Repositories,

wobei alle diese Angebote jeweils nur den eingeladenen Teilnehmern zugänglich sind, nicht aber Dritten oder auch nur den Betreibern von Keybase.

Das sind sehr interessante Möglichkeiten - umso mehr wundert es mich, wie wenig der Dienst bisher öffentliche Beachtung gefunden hat.

Hat jemand aus der werten Leserschaft bereits nähere Erfahrungen damit gesammelt?

Trackbacks

Dirks Logbuch am : Linkdump 49/2019 ...

Vorschau anzeigen
Viel Spass mit dem Nikolaus-Linkdump. Mir gefällt es gut, dass die Entwickler des Fairphones kritisch sind und den Finger in offene Wunden legen: Sind "noch weit" von 100 Prozent fairem Handy entfernt. Keybase: mehr als ein Identitätsnachweis - das

Netz - Rettung - Recht am : Wie ich arbeite - 2020

Vorschau anzeigen
Vor einem guten Jahr habe ich erstmals davon berichtet, wie ich arbeite: welche Rechner und welche sonstige Hardware ich verwende, welche Software ich nutze und so weiter und so fort. Nach einem Jahr lohnt vielleicht einmal ein Update; und in einem Aufwa

@sebahabu am : @sebahabu via Twitter

Vorschau anzeigen
Keybase: mehr als ein Identitätsnachweis | Netz - Rettung - Recht https://t.co/sWHP1wOYg3 via @Szlauszaf

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Dirk Deimeke am :

Dirk Deimeke

Ich benutze Keybase mit einem Bekannten als Chattool und ansonsten als "Community"-Tool zum Vernetzen von Gleichgesinnten.

Was ich immer bedenklich finde - so auch hier - ist, dass ich das Business-Modell noch nicht verstanden habe.

Thomas Hochstein am :

Thomas Hochstein

Dazu findet sich wohl hier etwas. Ob das so tragfähig ist … wer weiß.

Thomas Hühn am :

Thomas Hühn

Keybase hatte sich leider neu ausgerichtet (der berühmte Pivot) und setzte dann hauptsächlich auf so Cryptocurrency-Kram.

Das paßte natürlich super zu Venture Capital, und zeigte m.E. auch deutlich, wohin die Reise gehen würde.

Keybase war damit faktisch tot.

Das Angebot im Bereich digitale Identität ins Zentrum zu stellen und auszubauen, wäre sicherlich ein erfolgversprechenderer Schachzug gewesen, führt aber halt nur zu einem "normal wachsenden", profitablen Unternehmen.

Und dann hat Zoom sie eben gekauft, als während der ersten Pandemiewelle (als Zoom gerade abgegangen ist wie Facebook oder Google) die ganzen Datenschutzprobleme aufkamen. Jetzt sollen die Keybase-Entwickler halt ein bißchen Krypto in Zoom einbauen.

Damit ist Keybase nun nicht mehr nur faktisch tot. Wer traut schon einem Krypto- und Identitätsunternehmen, das (a) keine Zeit mehr fürs eigene Produkt hat, und (b) Chinesen gehört?

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen
tweetbackcheck