Share
Dies ist das nächste Tutorial einer Serie, in dem Sie Ihre E-Mails verschlüsseln. Im ersten Tutorial haben wir die allgemeinen Konzepte der Verschlüsselung vorgestellt und wie sie verwendet werden können, um unsere E-Mails zu schützen und zu authentifizieren. Im zweiten Tutorial habe ich Sie durch die Installation der Verschlüsselungssoftware auf Ihrem Computer geführt und begann mit dem Senden Ihrer ersten Nachrichten. Wir haben GPGTools für Mac OS X verwendet, eine Integration von Open Source GnuPG.
In diesem Lernprogramm führe ich Sie durch die Verwendung eines neuen Dienstes, der das Web of Trust stärkt, und erstellt einen komplexen Prüfpfad für die Authentifizierung für die Gültigkeit öffentlicher Schlüssel.
Neben dem Lesen der früheren Episoden möchten Sie vielleicht auch den Leitfaden zur Selbstverteidigung der Electronic Frontier Foundation und deren Erklärungen zur Schlüsselüberprüfung lesen.
In den nächsten Episoden werden wir die Browser-basierte E-Mail-Verschlüsselung erkunden und dann ein wenig die Themen ändern, um Ihre Internetaktivitäten mithilfe eines VPN zu verschlüsseln. Schließlich verwenden wir im Rahmen der Serie zur Verwaltung Ihrer digitalen Assets nach Ihrem Tod das Gelernte, um im Notfall einen sicheren Cache mit wichtigen Informationen für Ihre Nachkommen zu erstellen.
Nur zur Erinnerung, ich nehme regelmäßig an den folgenden Diskussionen teil. Wenn Sie eine Frage oder ein Thema haben, schreiben Sie bitte einen Kommentar. Sie können mir auch auf Twitter @reifman folgen oder mich direkt per E-Mail kontaktieren.
Von Anfang an ist die Wirksamkeit von PGP durch das Web of Trust begrenzt. Wie sicher sind Sie, dass die Person, die Ihnen eine Nachricht gesendet hat, tatsächlich den privaten Schlüssel besitzt, der sie signiert hat? Oder wie sicher sind Sie, dass die mit dem öffentlichen Schlüssel eines Benutzers verschlüsselte Nachricht tatsächlich kein Betrüger ist? Je nachdem, wie wichtig die Vertraulichkeit und Gültigkeit Ihrer Nachrichten sind, können diese Fragen buchstäblich Leben oder Tod bedeuten.
Keybase ist ein Versuch, ein Netz des Vertrauens in unsere sozialen Konten und die von uns gehosteten Websites aufzubauen. Es ist ein kostenloser Service, der von zwei Mitbegründern von OKCupid, Chris Coyne und Max Krohn, aufgebaut wurde.
Die Grundidee von Keybase ist, dass Sie, wenn Sie sich darauf verlassen, dass ich, Jeff Reifman, meinen Twitter-Account, meinen GitHub-Account und meine persönlichen Websites und Websites mit Beratung besitze, dem öffentlichen Schlüssel vertrauen können, der durch die Veröffentlichung dieser Konten und Websites authentifiziert wurde. Wenn Sie auf die vorhergehenden Links klicken, handelt es sich tatsächlich um Buchungen an all jene Orte (oder DNS-Einträge), die zur Authentifizierung meines mit Keybase gehosteten öffentlichen Schlüssels beitragen.
Keybase beschreibt tatsächlich die Implementierung des Web of Trust für jeden. Hier ein Beispiel, warum Sie meinem öffentlichen Keybase-Schlüssel angesichts eines DNS-TXT-Eintrags für meine Website JeffReifman.com vertrauen sollten.
Im Wesentlichen verwendete ich meinen privaten Schlüssel, um meinen Fingerabdruck für öffentliche Schlüssel zu signieren.
Dann erstellte Keybase einen Hash dieser Signatur und bat mich, einen DNS-TXT-Eintrag für JeffReifman.com zu veröffentlichen.
Sie können den DNS-Eintrag mit dem Suchwerkzeug Ihrer Wahl überprüfen.
Keybase bat mich auch, einen ähnlichen Hash zu meinem @reifman-Twitter-Account zu twittern.
Wenn meine Websites oder mein Twitter-Account gehackt oder gefährdet sind, kann ich diese Überprüfungen über die Keybase-Site widerrufen. Ähnlich erfahren andere Keybase-Benutzer dies, wenn sie versuchen, Nachrichten für mich zu verschlüsseln und Keybase zu benachrichtigen.
Wenn Sie ein Whistleblower sind, der mir vertrauliche Dokumente senden möchte - vielleicht arbeiten Sie im US-Finanzministerium von Washington und fühlen sich gezwungen, mir eine E-Mail von Microsofts tatsächlichen staatlichen Steuerabgabenzahlungen für die Jahre 1991 bis 2012 zu schicken -, könnten Sie Tor verwenden, um eine anonyme E-Mail-Adresse zu erstellen und verschlüsseln Sie eine Nachricht an mich mit dem öffentlichen Schlüssel, der im Keybase-Profil für Jeff Reifman validiert wurde:
Natürlich würden Sie das niemals tun, weil dies für Microsoft als illegal und peinlich gelten könnte, es sei denn, Sie waren ein Whistleblower.
Momentan ist Keybase meistens nur eine Einladung, aber zum Zeitpunkt der Veröffentlichung dieser Episode wird sie wahrscheinlich der Öffentlichkeit zugänglich gemacht. Derzeit gibt es eine Anmeldungswarteschlange für die Betaversion:
Nachdem Sie sich angemeldet haben, müssen Sie ein öffentliches / privates Schlüsselpaar importieren oder generieren und Ihre sozialen Konten und Websites überprüfen.
Zuerst fügen wir einen öffentlichen Schlüssel hinzu, also habe ich gewählt Ich brauche einen öffentlichen Schlüssel:
Dann verwendet Keybase Mathematik, komplizierte Mathematik, um ein öffentliches / privates Schlüsselpaar zu generieren:
Siehe viel Mathematik:
Anschließend können Sie auch Ihren privaten Schlüssel hosten. Abhängig von der Bedrohungsstufe, mit der Sie leben, fühlen Sie sich damit wohl oder möchten Ihren privaten Schlüssel auf ein USB-Laufwerk exportieren.
Hier ist mein Keybase-Profil mit meinem Fingerabdruck für öffentliche Schlüssel. Jeder, der mir eine verschlüsselte Nachricht senden möchte, kann meinen öffentlichen Schlüssel unter https://keybase.io/jeffreifman abrufen:
Aber natürlich hatten sie wenig Grund zu glauben, dass ich es bin. Wir müssen Keybase durcharbeiten, um unseren öffentlichen Schlüssel mit meinen sozialen Konten und Websites zu überprüfen.
Beginnen wir mit meinem Twitter-Account.
Keybase fragt nach meinem Twitter-Kontonamen. Ich bin @reifman.
Dann wird Keybase Ihre verwenden Passphrase um Ihre Identität für Twitter zu unterschreiben:
Wenn Sie fertig sind, werden Sie aufgefordert, diesen signierten Hash zu twittern:
So sieht der Tweet in Ihrem Konto aus:
Ich mache es Leuten leicht, meinen öffentlichen Schlüssel zu finden, indem ich in meinem Twitter-Profil auf mein Keybase-Profil verlinke.
Sobald Keybase überprüft hat, dass ich getwittert habe, wird in meinem Profil diese Bestätigung angezeigt:
Lassen Sie uns nun meinen GitHub-Account überprüfen. Keybase fordert Sie auf, eine Datei als GitHub Gist zu veröffentlichen:
Hier ist der Beweis, um den Sie gebeten werden, zu posten (Ihr wäre anders):
### Keybase-Beweis Ich behaupte hiermit: * Ich bin Newscloud zu Github. * Ich bin jeffreifman (https://keybase.io/jeffreifman) auf keybase. * Ich habe einen öffentlichen Schlüssel mit dem Fingerabdruck 4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D Um dies zu behaupten, unterschreibe ich dieses Objekt: "json " body ": " key ": "nach" "zurück" "zurück" "," "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" - Karte - - - - - - - - - - - - ------------kenlcern "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "Hotel-Hotel" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" ":" github "," username ":" newscloud "," type ":" web_service_binding "," version ": 1," ctime ": 1427496926," expire_in ": 157680000," prev ":" "seqno": 3, "tag": "signature" "mit dem Schlüssel [4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D] (https://keybase.io/jeffreifman), wodurch die Signatur entsteht:" --- --begin PGP MESSAGE ----- Version: Keybase OpenPGP v2.0.8 Kommentar: https://keybase.io/crypto yMIZAnicbZJdSBVBGIaPptaxrCDLlCzZLJUOMbOzvwe6qBC6UJLQFDRsZmdWV3PP cc85HsWs6AeTfrzwQrsoqCwSyhQiJLJM7SI iFJSEKEXNyIs0KjE0qV2xi6C5Geb9 nvdl5puvP26VKzai / mPa0RtrcFnE6xf7Qq68zWOjtRzx0RrOW8uVs + VNN8wSZvkt wwxyXk6giEmCKGEJMKRBgaoSQDrjJQAhU0RF11RZl3jKebhSX8Bx2DEEB9hew2dr 9qHYoLb6H758uQAggBpCUFZFDamIV2QVUJnoAFBFJwQohIiySDHgRQVBTaKAp6JM ZR1QXpMUIskYAGzHhZbjIMaarGBFEQlgMoYEKbyINBFDjKgKVQcMMMvEFcymy5iu W8zQK7DJ1Xk4u1BlaMzpwgpQYgRLQ + Rfk8nCAe2EL0QdS7DG72hhRopX3MXEMKnd Q9tUxayA4TM5L7RJLWg4dijwsqBKKi95OFbtNyxWbDiEKEsKsJeH81usyo5URUKo pDPCM8h0EQpEgDxlosYLFEKNQQSRgFQVSxISBCpipFKm27 + lMl1GAuSc91SaPs6L 7GviEjsyYJSYOBiyGFfX21MU5YqIdcVERzpT4Ip1b / w7G89vrl6MOeduzA4fe5e8 ZfvjqdSF / M7c1kPhxYXOGffO + rF5OHFSCGjDvt0 / 5idmUlon + xrWD6RUj7S1xJ0q evSgPckTn1GU3DuWsC1afzWbFTUUuWsqdhw2ZSZW9lxWdPP3y7OscPJ4493pXq27 c3zTVOjgwJKb + 5p5dfRLR87F4e93mgb9iR0DCW2z1 / I + q2nuS58qsn7lDN7y9syZ ewKg680HGiwIV3f3Pml82J9Nmp + F09 + 3ub4VVDRkpktDBSMZOUeWrvws5M + 33D4Q PZG7bu2G01lto / MX0tLqts4RvH / 6bdKZHU / v5Tdn9UUtVd0viPdfL5s5 / MZI7Wod cHVGtltLfwDbHyoj = 4Oej ----- END PGP MESSAGE ----- "" Und schließlich beweise ich, dass ich das Github-Konto als Mitglied behalte ein Kern ### Meine öffentlich überprüfbare Identität: https://keybase.io/jeffreifman ### Von der Befehlszeile aus: Betrachten Sie das [keybase-Befehlszeilenprogramm] (https://keybase.io/docs/command_line). "Bash # Look me up keybase id jeffreifman # verschlüsselt eine Nachricht an mich keybase jeffreifman -m 'eine geheime Nachricht ...' #… und mehr… "
Nach der Überprüfung wird mein GitHub-Berechtigungsnachweis in meinem Keybase-Profil veröffentlicht:
Jetzt überprüfen wir meine Jeff Reifman-Website:
Sie können entweder eine Textdatei posten oder eine festlegen DNS-TXT-Eintrag. Ich habe mich für Letzteres entschieden. Keybase fragt nach Ihrem Domainnamen:
Dann werden Sie aufgefordert, diesen DNS-TXT-Eintrag zu posten:
Es kann einige Stunden dauern, um sich zu verbreiten und von Keybase überprüft zu werden:
Mit diesen Authentifizierungspfaden können Benutzer, die meinen öffentlichen Schlüssel auf Keybase finden, relativ sicher sein, dass sie Nachrichten für den richtigen Jeff Reifman verschlüsseln - oder alle seine Konten wurden gehackt, und weder er noch andere Personen haben dies bemerkt (unwahrscheinlich)..
So sieht mein vollständig verifiziertes Keybase-Profil aus:
Keybase erleichtert auch das Senden verschlüsselter Nachrichten an andere Keybase-Benutzer. Ich habe Chris Coyne eine Nachricht geschickt, um ihn wissen zu lassen, dass ich dieses Tutorial schrieb.
Ich gebe meine ein Passphrase und klicken Sie auf Unterschreiben und verschlüsseln. Es ist einfach.
Keybase ist auch eine hoch entwickelte Befehlszeilenanwendung. Sie können es auch verwenden, um Nachrichten zu ver- und entschlüsseln. In der Tat hat dies Vorteile. Ihr Kunde kann Überprüfungsprüfungen durchführen, die nicht so zuverlässig sind wie die Verwendung der Website (die auf verschiedene Weise beeinträchtigt werden kann, ohne dass Sie es merken)..
Nach der Verschlüsselung wird Keybase mir Klartext zur Verfügung stellen, den ich in eine E-Mail an Chris einfügen kann:
Wenn jemand anderes als Chris es empfängt, wird sie nur Kauderwelsch sehen:
Um eine Nachricht zu entschlüsseln, kann ich eine PGP-Nachricht von einer beliebigen Stelle in Keybase einfügen. Geben Sie meine ein Passphrase und klicken Sie auf Entschlüsseln:
Keybase wird umso nützlicher, je mehr Kontakte verwendet werden. Zum Glück ist es ganz einfach, Freunde und Kollegen zu Keybase einzuladen:
Sie können Einladungen sogar zurückfordern, wenn sie nicht verwendet werden.
Keybase macht einen großen Schritt vorwärts, um das Senden und Empfangen verschlüsselter Nachrichten für die Menschen zu erleichtern. Ich bin gespannt, wie sich der Service weiterentwickelt.
Worauf wartest du? Laden Sie ein paar Freunde zu Keybase ein und senden Sie Ihre E-Mails sicherer mit Verschlüsselung. Es ist Zeit, Ihre E-Mail zu verschlüsseln.
Bitte zögern Sie nicht, unten Ihre Fragen und Kommentare zu posten. Sie können mich auch auf Twitter @reifman erreichen oder mich direkt per E-Mail kontaktieren. Meine anderen Tutorials finden Sie auf meiner Tuts + Instructor-Seite.
Accentsconagua