¿Cómo funciona Keybase.io?

Keybase.io proporciona un servicio de directorio que permite buscar claves públicas para cuentas en otros servicios que no admiten PGP, y cuyos tipos de cuenta no se reconocen como UID en PGP.

Por ejemplo, si quiero saber la clave PGP para una determinada cuenta de Twitter, puedo preguntar al directorio de base de claves, que responderá con un registro de texto que contiene una frase que indica que es un vínculo clave, un identificador de Twitter y una clave. ID, así como un enlace a un tweet que contiene una firma sobre estos datos.

Esto es similar a la forma en que se conectan los UID a las claves PGP: la clave maestra firma un mensaje con un formato especial que contiene el UID que se debe vincular a la clave. Las principales diferencias son que el enlace se almacena externamente a la clave (porque no hay un estándar para los identificadores UID de Twitter), y que la firma se almacena dentro de Twitter para proporcionar una verificación de que el propietario de la cuenta de Twitter es realmente el titular de la clave (donde los UID normales están firmados por otros).

De esta manera, puedo enviar un mensaje a un usuario de Twitter a través de un canal cifrado, aunque no hay integración en el servicio de Twitter en sí.

Debido a que permiten mensajes directos de hasta 10.000 caracteres, es ciertamente posible enviar un mensaje cifrado PGP a través de Twitter.

Sin embargo, esto solo es bueno para enviar mensajes al "propietario de una cuenta", ya que no se realiza ninguna verificación adicional. En teoría, podría ser atacado a través del propio Twitter modificando el tweet para que coincida con la clave de un atacante, aunque la firma contenida en el tweet es pública, por lo que podría ser archivada por terceros y la manipulación detectada de este modo.

Lo mismo ocurre con Github y los otros servicios administrados por Keybase.