Share
Questo è il prossimo tutorial di una serie che si concentra sulla crittografia della tua email. Nel primo tutorial, abbiamo introdotto i concetti generali di crittografia e come possono essere utilizzati per proteggere e autenticare le nostre e-mail. Nel secondo tutorial, ti ho guidato attraverso l'installazione del software di crittografia sul tuo computer e ho iniziato a inviare i tuoi primi messaggi; abbiamo usato GPGTools per Mac OS X, un'integrazione di GnuPG open-source.
In questo tutorial, ti guiderò attraverso l'utilizzo di un nuovo servizio che rafforza il Web of Trust, creando una sofisticata traccia di controllo dell'autenticazione per la validità delle chiavi pubbliche.
Oltre a leggere gli episodi precedenti, ti consigliamo di consultare la Guida alla difesa dell'auto-difesa di Electronic Frontier Foundation e il loro spiegatore sulla verifica della chiave.
Nei prossimi episodi esploreremo la crittografia delle email basate su browser, quindi cambieremo argomento per crittografare le tue attività su Internet con l'uso di una VPN. Infine, come parte della serie sulla gestione delle risorse digitali dopo la tua morte, useremo ciò che abbiamo imparato per creare una cache sicura di informazioni importanti per i tuoi discendenti in caso di emergenza.
Solo un promemoria, parteciperò regolarmente alle discussioni di seguito. Se hai una domanda o un suggerimento sull'argomento, per favore pubblica un commento qui sotto. Puoi anche seguirmi su Twitter @reifman o scrivermi direttamente via email.
Fin dall'inizio, l'efficacia di PGP è limitata dal Web of Trust. Sei sicuro che la persona che ti ha inviato un messaggio abbia effettivamente la chiave privata che l'ha firmata? O quanto sei sicuro che il messaggio che hai crittografato con la chiave pubblica di qualcuno non sia in realtà un impostore? A seconda di quanto siano importanti la riservatezza e la validità dei tuoi messaggi, queste domande possono letteralmente significare vita o morte.
Keybase è un tentativo di costruire una rete di fiducia sui nostri account social e sui siti web che ospitiamo. È un servizio gratuito creato da due dei co-fondatori di OKCupid, Chris Coyne e Max Krohn.
L'idea di base di Keybase è che se ti fidi di me, Jeff Reifman, controlla il mio account Twitter, l'account GitHub e i miei siti personali e di consulenza, allora puoi fidarti della chiave pubblica che è stata autenticata dai messaggi su quegli account e siti web. Infatti, se fai clic sui link precedenti, sono postati in tutti quei luoghi (o voci DNS) che aiutano ad autenticare la mia chiave pubblica ospitata con Keybase.
Keybase in realtà spiega la sua implementazione del Web of Trust per ciascuno. Ecco un esempio del perché dovresti fidarti della mia chiave pubblica Keybase dato un record TXT DNS per il mio sito web, JeffReifman.com.
Essenzialmente, ho usato la mia chiave privata per firmare l'impronta digitale della mia chiave pubblica.
Quindi, Keybase ha creato un hash di questa firma e mi ha chiesto di pubblicare un record TXT DNS per JeffReifman.com.
Puoi verificare il record DNS con lo strumento di ricerca di tua scelta.
Keybase mi ha anche chiesto di twittare un hash simile al mio account Twitter @reifman.
Se i miei siti Web o account Twitter sono stati compromessi o compromessi, posso revocare tali verifiche tramite il sito Keybase. Allo stesso modo, altri utenti di Keybase lo scopriranno quando tenteranno di crittografare i messaggi per me e notificare Keybase.
Se sei un informatore che desidera inviarmi documenti confidenziali - magari lavori al Dipartimento delle Entrate dello Stato di Washington e si senta in dovere di mandarmi via email i pagamenti reali delle royalties statali di Microsoft per il periodo dal 1991 al 2012 - potresti usare Tor per creare un indirizzo email anonimo e crittografare un messaggio per me utilizzando la chiave pubblica convalidata sul profilo della Keybase per Jeff Reifman:
Certo, non lo faresti mai perché potrebbe essere considerato illegale e imbarazzante per Microsoft, a meno che tu non fossi un informatore.
Per ora, Keybase è principalmente solo su invito, ma nel momento in cui questo episodio viene pubblicato, è probabile che sia stato reso disponibile al pubblico. Attualmente, c'è una coda di registrazione per la versione beta:
Una volta effettuato l'accesso, è necessario importare o generare una coppia di chiavi pubblica / privata e verificare i propri account social e siti Web.
Per prima cosa, aggiungiamo una chiave pubblica, quindi ho scelto Ho bisogno di una chiave pubblica:
Quindi, Keybase utilizza matematica, matematica complicata, per generare una coppia di chiavi pubblica / privata:
Vedi, un sacco di matematica:
Al termine, offre anche l'hosting della chiave privata. A seconda del livello di minaccia con cui vivi, potresti sentirti a tuo agio, oppure potresti voler esportare la tua chiave privata in un'unità USB.
Ecco il mio profilo della base di chiavi ora con la mia impronta digitale di chiave pubblica. Chiunque desideri inviarmi un messaggio crittografato può ottenere la mia chiave pubblica su https://keybase.io/jeffreifman:
Ma certo, avrebbero avuto pochi motivi per credere che sono io. Dobbiamo lavorare attraverso Keybase per verificare la nostra chiave pubblica con i miei account e siti web social.
Iniziamo con il mio account Twitter.
Keybase chiederà il mio nome account Twitter. Sono @reifman.
Quindi, Keybase utilizzerà il tuo frase d'accesso per firmare la tua identità per Twitter:
Quando è pronto, ti chiederà di twittare questo hash firmato:
Ecco come appare il tweet nel tuo account:
Rendo facile per le persone trovare la mia chiave pubblica collegandomi al profilo del mio profilo di tasti sul mio profilo Twitter.
Una volta che Keybase verifica che ho twittato, mostra questa verifica sul mio profilo:
Ora, verifica il mio account GitHub. Keybase ti chiederà di pubblicare un file come GitHub Gist:
Ecco la prova che ti chiedono di pubblicare (il tuo sarebbe diverso):
### Prova della base di chiavi Con la presente dichiaro: * Sono un newscloud su github. * I am jeffreifman (https://keybase.io/jeffreifman) sulla base dei tasti. * Ho una chiave pubblica la cui impronta digitale è 4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D Per richiedere questo, firmo questo oggetto: "json " body ": " chiave ": " fingerprint ":" 4d3e6456a60e3c14d9603fe26011e858fc97f62d ", "host": "keybase.io", "key_id": "6011e858fc97f62d", "kid": "0101c331795c39328790d7bf00d8fbb08bb575da025831c6d02d57d7f0d2c68b67a00a", "uid": "1aac78a885b0e7a1b38253c5a1a3d919", "nomeutente": "jeffreifman", "servizio": "nome ":" github "," nomeutente ":" newscloud "," tipo ":" web_service_binding "," versione ": 1," ctime ": 1427496926," expire_in ": 157680000," prev ":" 95bbd6feb2e1ef514b412de5c24d11ce13134399a66344d5a39def3e69ef7341 ", "seqno": 3, "tag": "firma" "con la chiave [4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D] (https://keybase.io/jeffreifman), fornendo la firma:" --- --BEGIN PGP MESSAGE ----- Versione: Keybase OpenPGP v2.0.8 Commento: https://keybase.io/crypto yMIZAnicbZJdSBVBGIaPptaxrCDLlCzZLJUOMbOzvwe6qBC6UJLQFDRsZmdWV3PP cc85HsWs6AeTfrzwQrsoqCwSyhQiJLJM7SI iFJSEKEXNyIs0KjE0qV2xi6C5Geb9 nvdl5puvP26VKzai / mPa0RtrcFnE6xf7Qq68zWOjtRzx0RrOW8uVs + VNN8wSZvkt wwxyXk6giEmCKGEJMKRBgaoSQDrjJQAhU0RF11RZl3jKebhSX8Bx2DEEB9hew2dr 9qHYoLb6H758uQAggBpCUFZFDamIV2QVUJnoAFBFJwQohIiySDHgRQVBTaKAp6JM ZR1QXpMUIskYAGzHhZbjIMaarGBFEQlgMoYEKbyINBFDjKgKVQcMMMvEFcymy5iu W8zQK7DJ1Xk4u1BlaMzpwgpQYgRLQ + Rfk8nCAe2EL0QdS7DG72hhRopX3MXEMKnd Q9tUxayA4TM5L7RJLWg4dijwsqBKKi95OFbtNyxWbDiEKEsKsJeH81usyo5URUKo pDPCM8h0EQpEgDxlosYLFEKNQQSRgFQVSxISBCpipFKm27 + lMl1GAuSc91SaPs6L 7GviEjsyYJSYOBiyGFfX21MU5YqIdcVERzpT4Ip1b / w7G89vrl6MOeduzA4fe5e8 ZfvjqdSF / M7c1kPhxYXOGffO + rF5OHFSCGjDvt0 / 5idmUlon + xrWD6RUj7S1xJ0q evSgPckTn1GU3DuWsC1afzWbFTUUuWsqdhw2ZSZW9lxWdPP3y7OscPJ4493pXq27 c3zTVOjgwJKb + 5p5dfRLR87F4e93mgb9iR0DCW2z1 / I + q2nuS58qsn7lDN7y9syZ ewKg680HGiwIV3f3Pml82J9Nmp + F09 + 3ub4VVDRkpktDBSMZOUeWrvws5M + 33D4Q PZG7bu2G01lto / MX0tLqts4RvH / 6bdKZHU / v5Tdn9UUtVd0viPdfL5s5 / MZI7Wod cHVGtltLfwDbHyoj = 4Oej ----- END PGP MESSAGE ----- "E infine, sto dimostrando la proprietà dell'account github pubblicandolo come un succo ### La mia identità verificabile pubblicamente: https://keybase.io/jeffreifman ### Dalla riga di comando: Considerare il [programma della riga di comando della base di tasti] (https://keybase.io/docs/command_line). "Bash # guardami su id della base dei tasti jeffreifman # cripta un messaggio a me keybase encrypt jeffreifman -m 'un messaggio segreto ...' # ... e altro ... "
Una volta verificato, le mie credenziali GitHub verranno pubblicate sul mio profilo del campo base:
Ora, verifica il mio sito Web di Jeff Reifman:
Puoi postare un file di testo o impostare a Record TXT DNS. Ho scelto quest'ultimo. La base ti chiederà il tuo nome di dominio:
Quindi ti chiederà di pubblicare questo record TXT DNS:
Potrebbero essere necessarie alcune ore per propagarsi e essere verificati da Keybase:
Usando questi percorsi di autenticazione, le persone che trovano la mia chiave pubblica su Keybase possono essere relativamente sicuri di crittografare i messaggi per il corretto Jeff Reifman - o tutti i suoi account sono stati violati e né lui né altri hanno notato (improbabile).
Ecco come appare il mio profilo della base di chiavi completamente verificato:
Keybase semplifica inoltre l'invio di messaggi crittografati ad altri utenti di Keybase. Ho inviato una nota a Chris Coyne per fargli sapere che stavo scrivendo questo tutorial.
Inserisco il mio frase d'accesso e fare clic Iscriviti e cripta. È facile.
Keybase è anche una sofisticata applicazione a riga di comando. Puoi anche usarlo per crittografare e decrittografare i messaggi. In effetti, ci sono dei vantaggi nel fare ciò. Il cliente può eseguire verifiche di verifica non affidabili quanto l'utilizzo del sito Web (che potrebbe essere compromesso in vari modi senza che tu te ne accorga).
Una volta crittografato, Keybase mi fornirà un testo semplice che posso incollare in un'email a Chris:
Se qualcuno oltre a Chris lo riceve, tutto quello che vedranno è senza senso:
Allo stesso modo, per decifrare un messaggio, posso incollare un messaggio PGP da qualsiasi posizione in Keybase, inserire il mio frase d'accesso e fare clic decrypt:
La base dei tasti diventa più utile man mano che vengono utilizzati dai tuoi contatti. Fortunatamente, invitare amici e colleghi a Keybase è facile:
Puoi persino reclamare gli inviti se le persone non li usano.
Keybase fa un grande passo avanti nel rendere più facile per le persone l'invio e la ricezione di messaggi crittografati. Sono entusiasta di vedere come il servizio continua ad evolversi.
Che cosa state aspettando? Vai a invitare alcuni amici a unirti a te in Keybase e iniziare a inviare email in modo più sicuro con la crittografia. È ora di crittografare la tua email.
Non esitate a postare le vostre domande e commenti qui sotto. Puoi anche raggiungermi su Twitter @reifman o mandarmi un'email direttamente. Puoi trovare i miei altri tutorial sfogliando la mia pagina di istruttori + istruttori.
Accentsconagua