Die Verschlüsselung von Daten mit PGP ist ziemlich einfach. Bis auf ein passendes Programm und einen eigenen PGP-Schlüssel ist nicht viel notwendig. Für eine Kommunikation mit anderen fehlen dann aber noch die öffentlichen PGP-Schlüssel ebendieser Kommunikationspartner. Natürlich nur, wenn nicht ausschließlich Daten für den eigenen Gebrauch verschlüsselt werden sollen. In der Regel geht es aber auch um die verschlüsselte Kommunikation mit anderen.

Sobald also öffentliche PGP-Schlüssel von Dritten notwendig sind, stellt sich eine Frage: woher bekommen? Auch andersherum ist das ein Problem. Woher bekommen andere meinen öffentlichen PGP-Schlüssel, um an mich adressierte Nachrichten verschlüsseln zu können? In einem vorherigen Blogpost, zum Thema Verschlüsselung, habe ich schon auf das PGP Global Directory hingewiesen. Eigene Webseiten beziehungsweise Domains eignen sich selbstverständlich auch. Diese hat aber nicht jeder und ein Problem bleibt dabei bestehen: diese Dateien werden schlecht von anderen gefunden.

In diesem Beitrag möchte ich gerne auf einen weiteren Dienst aufmerksam machen, der mir, bisher zumindest, sehr gut gefällt.

Keybase

Die Rede ist vom noch sehr jungen Dienst Keybase. Dahinter verbirgt sich ebenfalls ein öffentliches Verzeichnis für PGP-Schlüssel. Zumindest auf den ersten Blick. Auf den zweiten wird deutlich, dass Keybase einen anderen Weg gehen möchte.

Denn das Problem von öffentlichen Verzeichnissen ist, dass jeder einen Schlüssel hochladen kann. Es hindert mich niemand, für eine andere Person einen Schlüssel zu erzeugen. Samt Name, E-Mail Adresse und auch Bild. Es fehlt die Kontrolle, ob ich auch berechtigt bin, einen Schlüssel zu erzeugen. Und es fehlt eine weitere Kontrolle, ob dieser Schlüssel in ein öffentliches Verzeichnis hochgeladen werden darf beziehungsweise ob ich Besitzer ebendieses Schlüssels bin. Eine Lösung ist, seinen Schlüssel verifizieren zu lassen. Beispielsweise beim Heise-Stand auf der Cebit. Dort muss der Personalausweis vorgelegt werden, um seine Identität zu bestätigen.

Keybase nutzt dagegen andere Möglichkeiten. Es macht von dem Umstand Gebrauch, dass viele Nutzer diverse Profile im Internet haben. Beispielsweise Twitter, GitHub und eventuell auch eine eigene Domain. Damit wird im Moment schon deutlich, an welche Nutzergruppe sich das Angebot richtet. Die genannten Dienste nutzen, so vermute ich einfach mal, insbesondere Entwickler. Gerade bei GitHub. Allerdings ist das nur eine Vermutung und es werden in Zukunft sicher weitere Profile folgen, um seinen Schlüssel validieren zu können.

Validierungen

Der Kern des Dienstes sind also die Validierungen. Damit kann ein Nutzer bestätigen, dass er auch tatsächlich der Besitzer des PGP-Schlüssels ist. Ich habe meinen Account über alle möglichen Dienste validiert.

Bei Twitter ist das sehr einfach. Dazu ist lediglich ein öffentlicher Tweet notwendig, der so von Keybase eingelesen und validiert werden kann. Bei der Validierung muss der eigene Twitter-Account und das Passwort für den Schlüssel angegeben werden. Ist der Tweet vorhanden und stimmen die Informationen, ist der Account damit validiert und wird mit dem Keybase-Account verknüpft. So sieht der Tweet aus:

Verifying myself: I am fdeitelhoff on Keybase.io. CqgyFtPEfU1R3i8KZsrXZ7P1kiRVax9Wg5AH / https://t.co/l9XvFnyyze

— Fabian Deitelhoff (@FDeitelhoff) April 13, 2014

Für die GitHub-Validierung muss ein öffentliches Gist mit speziellem Inhalt erstellt werden. Mein Gist ist hier zu finden. Direkt möchte ich es hier nicht einbinden, da der Inhalt schon deutlich umfangreicher ist. Das liegt nicht unbedingt an vielen, wichtigen Informationen, sondern vielmehr daran, dass die Macher von Keybase zusätzliche Informationen in die Markdown-Datei einbinden. Beispielsweise zum Profil des Erstellers oder weitere Informationen über Keybase an sich.

Ähnlich verhält es sich mit der Validierung einer eigenen Webseite. Dazu ist eine spezielle Datei hochzuladen. Der Inhalt ähnelt dem Gist sehr stark. Bis auf die speziellen Markdown-Formatierungen, die in der Textdatei zur Domain-Validierung keinen Sinn ergeben würden. Abbildung 1 zeigt mein Profil mit den erfolgreichen Validierungen.

Abb. 1: Keybase-Profil mit erfolgreichen Validierungen.

Vorteile

Dadurch hat Keybase viele Vorteile gegenüber eher klassischen, öffentlichen Verzeichnissen für PGP-Schlüssel. Zum einen ist es möglich, ein eigenes Profil anzulegen. Über dieses Profil ist es deutlich einfacher, eine Person zu finden und zu identifizieren. Das liegt nicht zuletzt an einem Profilbild und einer kleinen Beschreibung.

Die Hauptvorteile kommen allerdings durch die Validierung und Verknüpfung diverses, anderer Dienste. Durch die öffentlichen Informationen, wie Tweets und Dateien, die ebenfalls öffentlich einsehbar sind, ist ein Profil leicht zu verifizieren. Und damit eben auch der PGP-Schlüssel und der Besitzer. Wichtig ist, dass die Dateien und Tweets, die zur Validierung genutzt werden, immer online bleiben müssen. Keybase überprüft in gewissen Abständen, ob die Informationen noch abrufbar sind und natürlich auch, ob die Daten noch stimmen. Ein Gist zur Validierung kann demnach nicht nach erfolgreicher Validierung gelöscht werden. Kann Keybase die Daten nicht lesen oder stimmt etwas mit der Validierung nicht, wird der Besitzer per E-Mail benachrichtigt.

Weitere Einsatzszenarien

Keybase ermöglicht zudem eine Nutzung über die Kommandozeile. Beispielsweise ist es möglich, Nachrichten und Dateien zu verschlüsseln. Das Kommando

keybase encrypt fdeitelhoff foo.txt

sorgt dafür, dass die Datei foo.txt mit meinem öffentlichen Schlüssel verschlüsselt wird, so dass ich den Inhalt wieder entschlüssel kann. Hier wird der Vorteil von Keybase ausgenutzt, dass alle Nutzer über einen Benutzernamen verfügen und dieser auch eindeutig sein muss. Das ist deutlich einfacher, als irgendwelche IDs anzugeben.

Grundsätzlich ist es also gar nicht mehr notwendig, öffentliche Schlüssel in lokale Anwendungen zu importieren, um sie für die Verschlüsselung nutzen zu können. Es funktioniert zwar weiterhin, ist aber nicht mehr zwingend erforderlich.

Ich habe die Kommandozeile bisher noch nicht genutzt, werde das aber sicherlich in der nächsten Zeit nachholen. Laut Webseite befinden sich die Funktionen momentan noch im Alpha-Status, so dass nicht zwingend alles auf Anhieb funktionieren muss.

Fazit

Bisher macht Keybase einen sehr guten Eindruck. Die Webseite ist aufräumt, stabil und lässt sich einfach nutzen. Die Idee mit der Validierung scheint gut zu funktionieren, so dass immer mehr angemeldete Benutzer eindeutig identifizierbar sind. Ob sich der Dienst durchsetzt, wird sich aber zeigen müssen.

Mein öffentlicher Schlüssel kann ab sofort auch von Keybase heruntergeladen werden. Die Datei und das Profil werde ich auch in meinem Impressum verlinken.