Peu connu, Keybase.io est déjà un service intéressant pour qui veut certifier ses identités en ligne. Mais l'équipe cherche surtout à simplifier son système et surtout à en faire une solution complète, notamment pour l'échange de données.
Keybase.io est un service qui se présente comme un annuaire, même s'il est bien plus que ça. Il vous permet certes de disposer d'un profil centralisant vos identités sur plusieurs services, mais à la différence de nombre d'entre eux, il se base sur PGP pour signer avec votre clef publique les informations que vous publiez afin de vérifier la véracité d'un compte.
Keybase : un annuaire pour les amateurs de ligne de commandes
Cet ajout d'une couche de cryptographie complexifie un peu la prise en main de l'outil, qui a encore du travail à faire au niveau de son accessibilité (notamment avec la notion de tracking de compte, dont le nom n'aide pas vraiment à la comprendre), en permettant dans le même temps de disposer d'un service fiable aux possibilités multiples.
Il est ainsi possible d'envoyer simplement des messages chiffrés à d'autres membres, que ce soit avec l'interface en ligne ou en ligne de commande sur votre machine (Linux, OS X ou Windows). Vous pouvez également les signer ou vérifier l'identité de l'expéditeur d'un message.
Nouvelle gestion des clefs, versions mobiles, interface graphique
Après une levée de fond de 10,8 millions de dollars l'été dernier, il continue son évolution. Fin septembre, on apprenait que l'équipe travaillait sur l'intégration d'un autre système de clefs, exploitant NaCl et permettant de disposer de clefs spécifiques à chaque machine plutôt que d'avoir à utiliser sa clef privée partout avec soi.
Une manière aussi de préparer le terrain pour des applications Android et iOS(open source), au même titre que le renforcement de celles pour ordinateur classique avec la mise en place d'interfaces graphiques.
Cela devrait aussi permettre de faciliter la gestion de l'ensemble, tout en évitant de devoir révoquer votre clef privée si vous vous faites voler votre smartphone par exemple. Et ce, sans avoir à connaître sur le bout des doigts les arcanes de PGP et des sous-clefs.
Depuis, ce système a commencé à être mis en place de manière progressive, notamment avec la mise en ligne de nouveaux clients (nous y reviendrons). Les versions mobiles étant encore en développement. PGP reste utilisé, et l'équipe évoque la possibilité de disposer de plusieurs clefs privées PGP sur un même compte.
Une gestion des appareils transparente, arrivée du système de fichiers
Comme toujours, les différentes actions effectuées se font de manière transparente afin de permettre une vérification par des tiers. Cela se présente sur votre compte par la liste des appareils rattachés, un graphique permettant de savoir quel appareil a signé quel élément, et une chaîne permettant de retracer les étapes de manière chronologique.
En septembre, elle indiquait aussi quelques-uns de ses buts à venir, et la vision de ce que devait devenir Keybase.io quelques mois plus tard : une solution multi-plateformes permettant de publier du contenu signé, de discuter de manière chiffrée/sécurisée, proposer une solution de gestion de la sécurité et de l'identité à des applications tierces ou encore le chiffrement de bout en bout (E2E) et le partage de données.
Pour certains de ces points, c'est fait, le système de fichier de Keybase.io ayant été mis en place. Son utilisation passera par une nouvelle version des applications permettant de « monter » un espace de stockage sur votre machine. Là, deux possibilités s'offrent à vous : disposer d'un espace public ou privé.
Un annuaire public, des fichiers accessibles à tous et signés
Le premier vous permet de mettre à disposition des données qui seront systématiquement signées avec la clef de votre appareil. N'importe qui pourra y accéder mais aussi en vérifier la provenance. Si vous distribuez des documents, du code source, des fichiers, etc. Cela peut donc s'avérer assez utile, notamment pour diffuser différentes clefs publiques par exemple.
Surtout qu'un site dédié a été mis en place : keybase.pub. Vous pourrez ainsi y chercher un utilisateur et voir les données qu'il partage publiquement. Pour rappel, Keybase.io fournit déjà un moteur de recherche assez complet. Les données pourront être visualisées de manière directe dans certains cas, comme les images, les fichiers texte, les pages HTML, etc.
10 Go pour tous, un modèle économique basé sur les grosses entreprises
Si les données ne pourront pas être synchronisées d'un appareil à un autre à la manière d'un Dropbox, elles seront accessibles à la demande depuis les serveurs de Keybase. 10 Go sont accessibles gratuitement, et les règles suivantes sont appliquées pour le partage avec des tiers :
- Seul le quota de la personne qui place des données est affecté, pas celui des tiers qui y accèdent
- L'historique d'accès aux données peut impacter le quota, mais il sera possible de choisir la période de conservation
Il est précisé que le business model ne sera pas basé ni sur la publicité, ni sur la revente des données, et qu'un accès gratuit sera préservé pour tous, notamment pour la gestion des profils et des clefs. Le but est ainsi de faire surtout payer les sociétés qui auront des besoins spécifiques.
La possibilité de proposer un accès de plus de 10 Go pour des comptes payants est évalué, mais pas décidé, le service étant de toutes façons encore dans sa période de test. Il sera intéressant de voir si une intégration simplifiée dans des NAS sera par exemple proposée à terme. Une mise en place au sein d'un serveur sous Linux ne semble cependant pas très complexe.
Permettre un échange de données simple, privé et chiffré de bout en bout
Si vous désirez proposer un partage de fichiers de manière chiffrée (de bout en bout) et privée, ce sera donc bien entendu possible. Cela passera par un répertoire private en opposition avec le précédent public.
Vous pourrez y stocker des données pour vous en les plaçant dans un répertoire avec votre pseudo Keybase. Vous pourrez aussi ajouter d'autres utilisateurs en rajoutant certains pseudos séparés par une virgule :
Cela devrait rapidement être une limite si vous voulez partager des informations avec une équipe de 20 personnes par exemple, il faudra sans doute que ce point soit renforcé par la suite.
Par la suite, vous aurez la possibilité de préparer un dossier pour vous et un utilisateur présent sur Twitter, mais pas encore sur Keybase par exemple. Une fois qu'il disposera d'un compte, les données seront préparées pour qu'il puisse y accéder. L'équipe donne ainsi un exemple de ce qu'elle a cherché à éviter à l'avenir :
Du côté de la sécurité de l'ensemble, Keybase reste un service open source (sous licence BSD modifiée) dont les détails du chiffrement sont diffusés par ici. Pour son service d'échange de données, l'équipe précise également que « les serveurs de Keybase n'ont pas connaissance des clefs privées permettant de lire les données. Elles ne peuvent pas non plus injecter des clefs privées dans le processus afin de chiffrer vos données pour les rendre accessibles à des tiers. Nous signons l'ajout ou la suppression de clefs dans un arbre de Merkle public, transformé en hash et diffusé au sein de la blockchain Bitcoin pour prévenir une forking attack ».
Ceux qui veulent commencer à accéder à cette fonctionnalité et qui sont sous Debian/Ubuntu ou OS X peuvent demander un accès à [email protected]. Les utilisateurs sous Windows pourront à leur tour tenter leur chance d'ici quelques semaines. Tous les détails sont disponibles par ici.
Pour rappel, Keybase est accessible uniquement sur invitation, vous pouvez demander la vôtre au sein du sujet dédié de notre forum :
Commentaires (8)
C’est un peu usine à gaz encore…
" />
" />
je vais essayer quand même
Disons que le nouveau système de gestion des clefs et des appareils simplifie bien l’ensemble je pense. Mais il faudra surement attendre l’interface graphique et que ça évolue encore un peu pour que ça perce hors du cercle des amateurs de ligne de commandes. Et pendant ce temps, tout le monde s’amuse avec Onename
" />
Je ne connaissais pas Onename tiens, je découvre. Etant déjà sur Keybase, quels seraient les +/- de part et d’autre de ces deux solutions ? (sachant que là les nouveautés Keybase me semblent plutôt pas mal venues :))
Hormis le fait que Onename ne sert à rien à part dire “j’ai une page sur Onename et ça utilise la blockchain” tu veux dire ?
" /> (ou alors faut m’expliquer le concept 
" />)
C’est surtout un outil qui est encore dans sa phase de d’évolution. La levée de fonds de l’année dernière avait pour but de leur permettre de passer la seconde, là on voit les effets.
" />) et ça répond à un vrai besoin. Y’a plus qu’à.
J’attend de voir l’interface graphique, mais les évolutions fonctionnelles et la structure de l’ensemble est plutôt bonne, sans bullshit (rare dans le secteur
Des entreprises seraient intéressés par ce type de solution ? Ça me surprends étant donné la faible utilisation de GPG.
Bonjour à tous,
“il se base sur PGP pour signer avec votre clef publique les informations
que vous publiez afin de vérifier la véracité d’un compte”
C’est pas plutôt avec la clef privée que c’est signé ? Et puis on parle bien des informations envoyées ou d’une sorte de carte de visite ?
J’ai du louper quelque chose car :
Par contre, si on signe un petit fichier (genre carte de visite mais je ne sais pas comment ça fonctionne en réalité) avec sa clef privée, tout le monde pourra déchiffrer ce fichier avec la clef publique et vérifier l’authenticité de la source.
OUI ou NON ?