即使您还使用 Web 界面,使用客户端是否会保持 Keybase 服务器的诚实?

信息安全 pgp 密钥库
2021-08-12 01:42:43

根据Keybase 的文档

[The] keybase 客户端在保持 Keybase 服务器诚实方面发挥着至关重要的作用。他们检查用户签名链的完整性,并可以找到恶意回滚的证据。如果 Bob 或服务器遭到破坏,它们会在 Alice 对 Bob 的跟踪中断时提醒 Alice。他们检查站点发布的 Merkle 树根与已知签名链的一致性。当所有这些检查完成时,他们会签署证明,设置已知的安全检查点,以便将来对服务器负责。

稍后:

我们完全理解 Keybase Web 客户端的用户无法获得这些保证。但我们希望有足够多的用户使用 Keybase 命令行客户端来保护 Web 用户的安全,方法是在受到攻击的情况下捕获服务器的不当行为。

如果您使用该网站对消息进行签名、验证、解密或加密,则每次都必须放弃您的私钥并使用您的密码。显然,这是有风险的但是如果你有时使用网站,会使用命令行客户端验证服务器的完整性吗?或者如果我让它拥有我的私钥,我是否需要相信 keybase.io 不会被黑客入侵?

1个回答

密钥库客户端验证密钥库服务器的完整性。客户端可以在一定程度上验证服务器的行为,以确保它没有向客户端提供错误的信息。这仅包括扣留数据,例如不说爱丽丝撤销了她的密钥,因此允许泄露的密钥被利用。它无助于防止服务器窃取密钥、元数据或任何其他妥协。

此外,重要的是要注意,服务器仍然可以向 Alice 假装它不可用以阻止她提交她的撤销。虽然爱丽丝会检测到这一点,但其他人不会。Alice 必须通知所有人并以某种方式证明这一点,这可能很困难。

其它你可能感兴趣的问题
上一篇保护 API 免受 DDoS 攻击 下一篇IPSec 主机到主机 VPN (RedHat) 需要 IP 转发?