Ein Problem beim Austausch von öffentlichen PGP-Schlüsseln über das Internet ist, dass man nicht weiß, ob der Gegenüber auch der ist, für den man ihn hält. Und nicht etwa ein Angreifer, der nur vorgibt die Person zu sein, mit der man eigentlich kommunizieren möchte. Eine Lösung für dieses Problem versucht Keybase.IO bereitzustellen. Man erstellt sich dort einen Account, lädt seinen öffentlichen PGP-Schlüssel hoch und bestätigt dann seine Identität z.B durch das Absetzen eines Tweets bei Twitter, einem Public Gist bei GitHub oder einem TXT-Eintrag im DNS der eigenen Domain.
Wenn also jemand mit mir verschlüsselt kommunizieren möchte und sichergehen will, dass er den richtigen öffentlichen Schlüssel benutzt, dann kann er anhand dieser Verifizierungen feststellen, ob das wirklich mein öffentlicher Schlüssel ist und nicht der von einem Angreifer, der nur vorgibt ich zu sein.
Auf meinem Keybase-Account habe ich meine Domains mit einem TXT-Eintrag im DNS und einer Datei auf dem Webserver verifiziert. Außerdem habe ich noch einen Public Gist bei GitHub erstellt. Da es sehr unwahrscheinlich ist, dass die Zugangsdaten zu den DNS-Einstellungen meiner Domain, zum Webserver und zum GitHub-Account kompromittiert wurden, kann man sich sehr sicher sein, dass das wirklich mein öffentlicher Schlüssel ist.
Leider kann man sich bei Keybase derzeit nur mit einer Einladung registrieren. Ich habe aber noch ein paar davon auf Lager. Falls jemand Interesse an einer Einladung hat: schreibt mir einfach eine Mail.
