Share
Dit is de volgende zelfstudie in een serie die zich richt op het coderen van uw e-mail. In de eerste zelfstudie hebben we de algemene concepten van codering geïntroduceerd en hoe deze kunnen worden gebruikt om onze e-mails te beveiligen en te verifiëren. In de tweede zelfstudie heb ik je begeleid bij het installeren van coderingssoftware op je computer en ben ik begonnen met het verzenden van je eerste berichten; we gebruikten GPGTools voor Mac OS X, een integratie van open-source GnuPG.
In deze zelfstudie zal ik u helpen bij het gebruik van een nieuwe service die het Web of Trust versterkt en een verfijnd audit-trail van authenticatie creëert voor de geldigheid van openbare sleutels.
Naast het lezen van de eerdere afleveringen, kun je de The Surveillance Self-Defense Guide van de Electronic Frontier Foundation en hun uitleg over Key Verification bekijken..
In komende afleveringen zullen we de codering van browsergebaseerde e-mail verkennen en dan zullen we een beetje van onderwerp veranderen om uw internetactiviteiten met behulp van een VPN te coderen. Eindelijk, als onderdeel van de serie over het beheren van uw digitale assets na uw overlijden, zullen we gebruik maken van wat we hebben geleerd om een veilige cache met belangrijke informatie voor uw nakomelingen te maken in geval van nood.
Gewoon een herinnering, ik neem regelmatig deel aan de onderstaande discussies. Als je een vraag of een suggestie voor een onderwerp hebt, plaats dan een commentaar hieronder. Je kunt me ook volgen op Twitter @reifman of mij rechtstreeks een e-mail sturen.
Vanaf het begin wordt de effectiviteit van PGP beperkt door het Web of Trust. Hoe zeker ben je dat de persoon die je een bericht heeft gestuurd, de privésleutel heeft die het heeft ondertekend? Of hoe zeker ben jij dat het bericht dat je versleutelde met iemands publieke sleutel eigenlijk geen bedrieger is? Afhankelijk van hoe belangrijk de vertrouwelijkheid en de geldigheid van uw berichten zijn, kunnen deze vragen letterlijk leven of dood betekenen.
Keybase is een poging om een web van vertrouwen op te bouwen op onze sociale accounts en de websites die we hosten. Het is een gratis service die is gebouwd door twee van de medeoprichters van OKCupid, Chris Coyne en Max Krohn.
Het basisidee van Keybase is dat als je vertrouwt dat ik, Jeff Reifman, mijn Twitter-account, GitHub-account en mijn persoonlijke en consultingwebsites onder controle heb, dan kun je de publieke sleutel vertrouwen die is geverifieerd door berichten naar die accounts en websites. Als u op de voorgaande koppelingen klikt, zijn dit feitelijk berichten naar al deze plaatsen (of DNS-vermeldingen) die helpen bij het verifiëren van mijn openbare sleutel die wordt gehost met Keybase.
Keybase beschrijft voor elk de implementatie van het Web of Trust. Hier is een voorbeeld van waarom je moet vertrouwen op mijn openbare Keybase-sleutel gegeven een DNS TXT-record voor mijn website, JeffReifman.com.
In wezen heb ik mijn privésleutel gebruikt om mijn vingerafdruk met openbare sleutel te ondertekenen.
Vervolgens maakte Keybase een hash van deze handtekening en vroeg mij om een DNS TXT-record te plaatsen voor JeffReifman.com.
U kunt de DNS-record verifiëren met de opzoektool van uw keuze.
Keybase vroeg me ook om een soortgelijke hash te twitteren naar mijn @reifman Twitter-account.
Als mijn websites of Twitter-account gehackt of gecompromitteerd zijn, kan ik deze verificaties intrekken via de Keybase-site. Evenzo zullen andere Keybase-gebruikers dit ontdekken wanneer ze proberen berichten voor mij te versleutelen en Keybase op de hoogte brengen.
Als je een klokkenluider bent die me vertrouwelijke documenten wil sturen - misschien werk je in het Washington State Department of Revenue en voel je je gedwongen om Microsoft de feitelijke royaltybelastingbetalingen voor 1991 - 2012 te sturen - kun je Tor gebruiken om een anoniem e-mailadres te maken en een bericht versleutelen met behulp van de openbare sleutel gevalideerd op het Keybase-profiel voor Jeff Reifman:
Natuurlijk zou je dat nooit doen omdat het als illegaal en beschamend voor Microsoft zou kunnen worden beschouwd, tenzij je een klokkenluider was.
Voorlopig is Keybase meestal alleen een uitnodiging, maar tegen de tijd dat deze aflevering wordt gepubliceerd, is deze waarschijnlijk beschikbaar voor het publiek. Momenteel is er een aanmeldingswachtrij voor de bètaversie:
Nadat u zich hebt aangemeld, moet u een openbaar / persoonlijk sleutelpaar importeren of genereren en uw sociale accounts en websites verifiëren.
Eerst voegen we een openbare sleutel toe, dus ik heb gekozen Ik heb een publieke sleutel nodig:
Vervolgens gebruikt Keybase wiskunde, ingewikkelde wiskunde, om me een publiek / privaat sleutelpaar te genereren:
Zie, veel wiskunde:
Als het klaar is, biedt het ook de mogelijkheid om je privésleutel te hosten. Afhankelijk van het dreigingsniveau waarmee je leeft, ben je hier misschien comfortabel mee, of wil je je privésleutel exporteren naar een USB-stick.
Hier is mijn Keybase-profiel nu met mijn vingerafdruk met openbare sleutel. Iedereen die me een gecodeerd bericht wil sturen, kan mijn openbare sleutel ophalen op https://keybase.io/jeffreifman:
Maar ze zouden natuurlijk weinig reden hebben om te vertrouwen dat ik het ben. We moeten Keybase gebruiken om onze publieke sleutel te verifiëren met mijn sociale accounts en websites.
Laten we beginnen met mijn Twitter-account.
Keybase vraagt naar mijn Twitter-accountnaam. Ik ben @ Reifman.
Vervolgens gebruikt Keybase uw passphrase om je identiteit te ondertekenen voor Twitter:
Wanneer u klaar bent, wordt u gevraagd om deze ondertekende hash te tweeten:
Dit is hoe de tweet eruit ziet in uw account:
Ik maak het gemakkelijk voor mensen om mijn openbare sleutel te vinden door te linken naar mijn keybase-profiel op mijn Twitter-profiel.
Nadat Keybase heeft geverifieerd dat ik heb getweet, wordt deze verificatie in mijn profiel weergegeven:
Laten we nu mijn GitHub-account verifiëren. Keybase zal je vragen om een bestand te plaatsen als GitHub Gist:
Dit is het bewijs dat ze je vragen te plaatsen (de jouwe zou anders zijn):
### Keybase-bewijs Ik verklaar hierbij: * Ik ben newscloud op github. * Ik ben jeffreifman (https://keybase.io/jeffreifman) op keybase. * Ik heb een openbare sleutel waarvan de vingerafdruk 4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D is Om dit te claimen, onderteken ik dit object: "json " body ": " key ": " fingerprint ":" 4d3e6456a60e3c14d9603fe26011e858fc97f62d ", "host": "keybase.io", "key_id": "6011e858fc97f62d", "kid": "0101c331795c39328790d7bf00d8fbb08bb575da025831c6d02d57d7f0d2c68b67a00a", "uid": "1aac78a885b0e7a1b38253c5a1a3d919", "gebruikersnaam": "jeffreifman", "service": "naam ":" github "," gebruikersnaam ":" newscloud "," type ":" web_service_binding "," version ": 1," ctime ": 1427496926," expire_in ": 157680000," vorig ":" 95bbd6feb2e1ef514b412de5c24d11ce13134399a66344d5a39def3e69ef7341 ", "seqno": 3, "tag": "handtekening" "met de sleutel [4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D] (https://keybase.io/jeffreifman), wat de handtekening oplevert:" --- --BEGIN PGP MESSAGE ----- Versie: Keybase OpenPGP v2.0.8 Reactie: https://keybase.io/crypto yMIZAnicbZJdSBVBGIaPptaxrCDLlCzZLJUOMbOzvwe6qBC6UJLQFDRsZmdWV3PP cc85HsWs6AeTfrzwQrsoqCwSyhQiJLJM7SI iFJSEKEXNyIs0KjE0qV2xi6C5Geb9 nvdl5puvP26VKzai / mPa0RtrcFnE6xf7Qq68zWOjtRzx0RrOW8uVs + VNN8wSZvkt wwxyXk6giEmCKGEJMKRBgaoSQDrjJQAhU0RF11RZl3jKebhSX8Bx2DEEB9hew2dr 9qHYoLb6H758uQAggBpCUFZFDamIV2QVUJnoAFBFJwQohIiySDHgRQVBTaKAp6JM ZR1QXpMUIskYAGzHhZbjIMaarGBFEQlgMoYEKbyINBFDjKgKVQcMMMvEFcymy5iu W8zQK7DJ1Xk4u1BlaMzpwgpQYgRLQ + Rfk8nCAe2EL0QdS7DG72hhRopX3MXEMKnd Q9tUxayA4TM5L7RJLWg4dijwsqBKKi95OFbtNyxWbDiEKEsKsJeH81usyo5URUKo pDPCM8h0EQpEgDxlosYLFEKNQQSRgFQVSxISBCpipFKm27 + lMl1GAuSc91SaPs6L 7GviEjsyYJSYOBiyGFfX21MU5YqIdcVERzpT4Ip1b / w7G89vrl6MOeduzA4fe5e8 ZfvjqdSF / M7c1kPhxYXOGffO + rF5OHFSCGjDvt0 / 5idmUlon + xrWD6RUj7S1xJ0q evSgPckTn1GU3DuWsC1afzWbFTUUuWsqdhw2ZSZW9lxWdPP3y7OscPJ4493pXq27 c3zTVOjgwJKb + 5p5dfRLR87F4e93mgb9iR0DCW2z1 / I + q2nuS58qsn7lDN7y9syZ ewKg680HGiwIV3f3Pml82J9Nmp + F09 + 3ub4VVDRkpktDBSMZOUeWrvws5M + 33D4Q PZG7bu2G01lto / MX0tLqts4RvH / 6bdKZHU / v5Tdn9UUtVd0viPdfL5s5 / MZI7Wod cHVGtltLfwDbHyoj = 4Oej ----- END PGP MESSAGE ----- "En ten slotte bewijs ik dat ik eigenaar van de github-account ben door dit als een kernpunt. ### Mijn openbaar-controleerbare identiteit: https://keybase.io/jeffreifman ### Vanaf de opdrachtregel: Overweeg het [keybase-opdrachtregelprogramma] (https://keybase.io/docs/command_line). "Bash # zoek me op keybase id jeffreifman # codeer een bericht voor mij keybase codeer jeffreifman -m 'een geheim bericht ...' # ... en meer ... "
Wanneer dit is geverifieerd, zal mijn GitHub-referentie worden gepost op mijn Keybase-profiel:
Laten we nu mijn Jeff Reifman-website controleren:
U kunt een tekstbestand plaatsen of een instellen DNS TXT-record. Ik koos voor het laatste. Keybase vraagt om uw domeinnaam:
Vervolgens wordt u gevraagd dit DNS TXT-record te plaatsen:
Het kan enkele uren duren om door te geven en te worden geverifieerd door Keybase:
Met behulp van deze authenticaties kunnen mensen die mijn openbare sleutel op Keybase vinden, er relatief zeker van zijn dat ze berichten coderen voor de juiste Jeff Reifman - of al zijn accounts zijn gehackt en noch hij noch iemand anders heeft gemerkt (onwaarschijnlijk).
Dit is wat mijn volledig geverifieerde Keybase-profiel er als volgt uitziet:
Keybase maakt het ook gemakkelijk om versleutelde berichten naar andere Keybase-gebruikers te verzenden. Ik stuurde een briefje naar Chris Coyne om hem te laten weten dat ik deze tutorial aan het schrijven was.
Ik ga mijn in passphrase en klik Aanmelden & coderen. Het is makkelijk.
Keybase is ook een geavanceerde opdrachtregelapplicatie. U kunt het ook gebruiken om berichten te coderen en te decoderen. In feite zijn er voordelen om dit te doen. Uw klant kan verificatiecontroles uitvoeren die niet zo betrouwbaar zijn als het gebruik van de website (wat op verschillende manieren kan gebeuren zonder dat u het merkt).
Eenmaal versleuteld, geeft Keybase me een onbewerkte tekst die ik in een e-mail kan plakken aan Chris:
Als iemand anders dan Chris het ontvangt, is alles wat ze zien wartaal:
Evenzo, om een bericht te decoderen, kan ik een PGP-bericht van overal in Keybase plakken, voer mijn in passphrase en klik decoderen:
Keybase wordt nuttiger naarmate meer van uw contacten het gebruiken. Gelukkig is het eenvoudig om vrienden en collega's uit te nodigen voor Keybase:
Je kunt zelfs uitnodigingen claimen als mensen ze niet gebruiken.
Keybase zet een grote stap voorwaarts in het vereenvoudigen van het verzenden en ontvangen van gecodeerde berichten voor mensen. Ik ben enthousiast om te zien hoe de service blijft evolueren.
Waar wacht je op? Ga een aantal vrienden uitnodigen om met u mee te doen op Keybase en veiliger te e-mailen met codering. Het is tijd om uw e-mail te versleutelen.
Aarzel niet om uw vragen en opmerkingen hieronder te plaatsen. Je kunt me ook bereiken via Twitter @reifman of mij rechtstreeks een e-mail sturen. Je kunt mijn andere tutorials vinden door te bladeren op mijn Tuts + instructeur-pagina.
Accentsconagua