Keybase: mehr als ein Identitätsnachweis
Mitte 2016 bin ich wohl über eigenartige Tweets auf Keybase aufmerksam geworden und habe einen Dienst kennengelernt, der es ermöglicht, auf kryptographisch sichere Weise Webseiten und Accounts bei sozialen Netzwerken mit einer Person (richtigerweise: mit einem GPG-Schlüssel) zu verknüpfen und überprüfbar zu bestätigen: ja, dieser Twitter-Account gehört zu derselben Person wie dieser Github-Account und dieses Blog, und diese Person benützt diese(n) GPG-Schlüssel.
Mit einem GPG-Schlüssel fängt das ganze auch an: mit diesem signiert man nämlich einen “Beweis”, den man später auf Twitter, Github, Reddit oder anderswo - oder auf einer Webseite oder im DNS - veröffentlichen kann. Keybase prüft, ob dieser Beweis - der u.a. den Accountname enthält - dort tatsächlich veröffentlicht wurde; und wenn das der Fall ist, dann hat man ja nun bewiesen, dass man auf den entsprechenden Account Zugriff hat.
Auf die gleiche Weise können - mit dem Keybase-Client bzw. der App - auch Rechner (Smartphones, Tablets) einer Person zugeordnet werden, und dann können diese Geräte auch wiederum dazu verwendet werden, andere Geräte, Schlüssel, aber auch Webseiten und Accounts zu bestätigen. Dabei muss man nicht mit komplizierten Schlüsseln und Signaturen kämpfen; die Kryptographie bleibt im Hintergrund. Es genügt, Texte oder Zeichenketten per copy&paste auf seinem Account zu veröffentlichen oder auf Webseiten oder im DNS zu hinterlegen, oder eine Folge von englischen Wörtern, die auf Gerät A angezeigt werden, auf Gerät B einzutippen. Die dahinterstehende Komplexität ist wegabstrahiert. Solange man noch über ein verifiziertes Gerät (oder notfalls einen ausgedruckten “Papierschlüssel”) verfügt, kann man auch jederzeit wieder weitere Geräte und Accounts verifizieren und auf alle mit dem Keybase-Account verknüpften Daten zugreifen; es macht also nichts, wenn ein Smartphone verlorengeht oder eine Festplatte defekt ist (und die Keybase-Daten nicht im Backup liegen).
Alle diese Bestätigungen, diese signierten Beweise bilden eine aufeinander aufbauende Kette, und zudem lassen sich die Verbindungen (also über welchen Weg was bestätigt wurde) auch graphisch darstellen. Zudem kann man anderen Keybase-Nutzern folgen - und signiert so deren “Kette” zum derzeitigen Zeitpunkt und verstärkt so das gegenseitige Vertrauensnetz. Dieser Vorteil der Publizität und Nachvollziehbarkeit ist natürlich umgekehrt mit einem Nachteil verbunden: aus dieser Kette lässt sich kein Glied mehr entfernen. Man kann zwar Rechner (Accounts, Webseiten, …) löschen, aber der Eintrag bleibt dann mit dem Vermerk “revoked” trotzdem sichtbar. Wer also möglicherweise später nicht mehr zu seinem Reddit-Account stehen möchte, muss dann auch schon seinen kompletten Keybasae-Account löschen. Ein Reset alleine genügt nicht.
Die Keybase-Website bietet im Übrigen nur einen kleinen Einblick in die bestehenden Möglichkeiten; die Nutzung der vollen Funktionalität ist nur mit der App bzw. dem Kommandozeilen-Client möglich. Und diese Clients können - mittlerweile - sehr viel mehr als nur die eigenen Identität bzw. die Verfügungsgewalt über bestimmte Accounts bestätigen. Keybase bietet auch noch
Ende-zu-Ende-verschlüsselte Chats,
die Einrichtung von Teams - mit Subteams - und Channeln, in denen (Ende-zu-Ende-vrschlüsselt) gechattet werden kann,
verschlüsselten Dateiaustausch über das KBFS, das Keybase filesystem, mit 250 GB Platz pro Nutzer,
verschlüsselte Git-Repositories, die man auch mit Teams teilen kann, und
Wallets für die Kryptowährung Stellar Lumens.
Der Dienst kann also - neben dem Identitätsnachweis -
Chat-Apps wie WhatsApp, Signal oder Threema ersetzen, ohne an eine Rufnummer gekoppelt oder auf ein Endgerät beschränkt zu sein, wobei statt des Keybase-Namens auch ein bestehender Twitter-Account o.ä. als Adresse verwendet werden kann
Kommunikationsdienste wie Slack ersetzen, ohne dass die Inhalte unverschlüsselt auf fremden Servern liegen,
und bietet zugleich eine Alternative zu Dropbox und
private oder Team-öffentliche Git-Repositories,
wobei alle diese Angebote jeweils nur den eingeladenen Teilnehmern zugänglich sind, nicht aber Dritten oder auch nur den Betreibern von Keybase.
Das sind sehr interessante Möglichkeiten - umso mehr wundert es mich, wie wenig der Dienst bisher öffentliche Beachtung gefunden hat.
Hat jemand aus der werten Leserschaft bereits nähere Erfahrungen damit gesammelt?
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Dirk Deimeke am :
Ich benutze Keybase mit einem Bekannten als Chattool und ansonsten als "Community"-Tool zum Vernetzen von Gleichgesinnten.
Was ich immer bedenklich finde - so auch hier - ist, dass ich das Business-Modell noch nicht verstanden habe.
Thomas Hochstein am :
Dazu findet sich wohl hier etwas. Ob das so tragfähig ist … wer weiß.
Thomas Hühn am :
Keybase hatte sich leider neu ausgerichtet (der berühmte Pivot) und setzte dann hauptsächlich auf so Cryptocurrency-Kram.
Das paßte natürlich super zu Venture Capital, und zeigte m.E. auch deutlich, wohin die Reise gehen würde.
Keybase war damit faktisch tot.
Das Angebot im Bereich digitale Identität ins Zentrum zu stellen und auszubauen, wäre sicherlich ein erfolgversprechenderer Schachzug gewesen, führt aber halt nur zu einem "normal wachsenden", profitablen Unternehmen.
Und dann hat Zoom sie eben gekauft, als während der ersten Pandemiewelle (als Zoom gerade abgegangen ist wie Facebook oder Google) die ganzen Datenschutzprobleme aufkamen. Jetzt sollen die Keybase-Entwickler halt ein bißchen Krypto in Zoom einbauen.
Damit ist Keybase nun nicht mehr nur faktisch tot. Wer traut schon einem Krypto- und Identitätsunternehmen, das (a) keine Zeit mehr fürs eigene Produkt hat, und (b) Chinesen gehört?