Acabo de leer algunos artículos sobre keybase.io:
Y estoy confundido acerca de esta declaración:
¡Realmente espero que no hayas cargado tu clave privada, "criptografía del lado del cliente" o no!
Suponiendo que su clave privada esté realmente encriptada en el lado del cliente, ¿cuál es el problema con su carga?
Por supuesto, siendo paranoico, creé una clave específicamente para usar con keybase.io ...
Suponiendo que su clave privada esté realmente encriptada en el lado del cliente, ¿cuál es el problema con su carga?
La clave privada está generalmente cifrada (pero no necesariamente). De todos modos, una clave privada es mucho más fuerte que una frase de contraseña "normal" y permite ataques de fuerza bruta contra la clave privada. Compartir la clave privada encriptada dañaría activamente su seguridad.
El cifrado de claves privadas con una frase de contraseña se considera más bien como una protección adicional contra fugas accidentales y no pretende ser una forma segura de compartirla con el público (o cualquier otra entidad no confiable como keybase.io).
Pero hay más: no hay un uso real para compartir tu clave privada . Todas las operaciones criptográficas que involucran a otros se basan en el hecho de que solo necesita compartir (y debe compartir) la clave pública. El cifrado de los mensajes se realiza utilizando su clave pública (y la clave privada solo se utiliza para el descifrado), las firmas emitidas por su clave privada se verifican utilizando su clave pública. Si todo lo que quiere lograr es compartir su clave privada entre sus propias máquinas, mejor elija una manera que no involucre canales no privados como los servicios "en la nube". Recuerde que la clave privada cambia muy raramente, y poner un poco de esfuerzo en la transmisión fuera de línea por lo general no debería ser una molestia demasiado grande. Considere usar subclaves para facilitar la administración de claves .