Keybase.io évolue et passe à l'échange de données signées ou chiffrées

Keybase.io évolue et passe à l’échange de données signées ou chiffrées

Et bientôt une interface graphique !

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

08/02/2016 7 minutes
8

Keybase.io évolue et passe à l'échange de données signées ou chiffrées

Peu connu, Keybase.io est déjà un service intéressant pour qui veut certifier ses identités en ligne. Mais l'équipe cherche surtout à simplifier son système et surtout à en faire une solution complète, notamment pour l'échange de données.

Keybase.io est un service qui se présente comme un annuaire, même s'il est bien plus que ça. Il vous permet certes de disposer d'un profil centralisant vos identités sur plusieurs services, mais à la différence de nombre d'entre eux, il se base sur PGP pour signer avec votre clef publique les informations que vous publiez afin de vérifier la véracité d'un compte.

Keybase : un annuaire pour les amateurs de ligne de commandes

Cet ajout d'une couche de cryptographie complexifie un peu la prise en main de l'outil, qui a encore du travail à faire au niveau de son accessibilité (notamment avec la notion de tracking de compte, dont le nom n'aide pas vraiment à la comprendre), en permettant dans le même temps de disposer d'un service fiable aux possibilités multiples.

Il est ainsi possible d'envoyer simplement des messages chiffrés à d'autres membres, que ce soit avec l'interface en ligne ou en ligne de commande sur votre machine (Linux, OS X ou Windows). Vous pouvez également les signer ou vérifier l'identité de l'expéditeur d'un message.

Nouvelle gestion des clefs, versions mobiles, interface graphique

Après une levée de fond de 10,8 millions de dollars l'été dernier, il continue son évolution. Fin septembre, on apprenait que l'équipe travaillait sur l'intégration d'un autre système de clefs, exploitant NaCl et permettant de disposer de clefs spécifiques à chaque machine plutôt que d'avoir à utiliser sa clef privée partout avec soi.

Une manière aussi de préparer le terrain pour des applications Android et iOS(open source), au même titre que le renforcement de celles pour ordinateur classique avec la mise en place d'interfaces graphiques.

Keybase NouveautésKeybase Nouveautés

 

Cela devrait aussi permettre de faciliter la gestion de l'ensemble, tout en évitant de devoir révoquer votre clef privée si vous vous faites voler votre smartphone par exemple. Et ce, sans avoir à connaître sur le bout des doigts les arcanes de PGP et des sous-clefs.

Depuis, ce système a commencé à être mis en place de manière progressive, notamment avec la mise en ligne de nouveaux clients (nous y reviendrons). Les versions mobiles étant encore en développement. PGP reste utilisé, et l'équipe évoque la possibilité de disposer de plusieurs clefs privées PGP sur un même compte.

Une gestion des appareils transparente, arrivée du système de fichiers

Comme toujours, les différentes actions effectuées se font de manière transparente afin de permettre une vérification par des tiers. Cela se présente sur votre compte par la liste des appareils rattachés, un graphique permettant de savoir quel appareil a signé quel élément, et une chaîne permettant de retracer les étapes de manière chronologique.

En septembre, elle indiquait aussi quelques-uns de ses buts à venir, et la vision de ce que devait devenir Keybase.io quelques mois plus tard : une solution multi-plateformes permettant de publier du contenu signé, de discuter de manière chiffrée/sécurisée, proposer une solution de gestion de la sécurité et de l'identité à des applications tierces ou encore le chiffrement de bout en bout (E2E) et le partage de données.

Pour certains de ces points, c'est fait, le système de fichier de Keybase.io ayant été mis en place. Son utilisation passera par une nouvelle version des applications permettant de « monter » un espace de stockage sur votre machine. Là, deux possibilités s'offrent à vous : disposer d'un espace public ou privé.

Un annuaire public, des fichiers accessibles à tous et signés

Le premier vous permet de mettre à disposition des données qui seront systématiquement signées avec la clef de votre appareil. N'importe qui pourra y accéder mais aussi en vérifier la provenance. Si vous distribuez des documents, du code source, des fichiers, etc. Cela peut donc s'avérer assez utile, notamment pour diffuser différentes clefs publiques par exemple.

Keybase Système de fichiers

Surtout qu'un site dédié a été mis en place : keybase.pub. Vous pourrez ainsi y chercher un utilisateur et voir les données qu'il partage publiquement. Pour rappel, Keybase.io fournit déjà un moteur de recherche assez complet. Les données pourront être visualisées de manière directe dans certains cas, comme les images, les fichiers texte, les pages HTML, etc. 

10 Go pour tous, un modèle économique basé sur les grosses entreprises

Si les données ne pourront pas être synchronisées d'un appareil à un autre à la manière d'un Dropbox, elles seront accessibles à la demande depuis les serveurs de Keybase. 10 Go sont accessibles gratuitement, et les règles suivantes sont appliquées pour le partage avec des tiers :

  • Seul le quota de la personne qui place des données est affecté, pas celui des tiers qui y accèdent
  • L'historique d'accès aux données peut impacter le quota, mais il sera possible de choisir la période de conservation

Il est précisé que le business model ne sera pas basé ni sur la publicité, ni sur la revente des données, et qu'un accès gratuit sera préservé pour tous, notamment pour la gestion des profils et des clefs. Le but est ainsi de faire surtout payer les sociétés qui auront des besoins spécifiques.

La possibilité de proposer un accès de plus de 10 Go pour des comptes payants est évalué, mais pas décidé, le service étant de toutes façons encore dans sa période de test. Il sera intéressant de voir si une intégration simplifiée dans des NAS sera par exemple proposée à terme. Une mise en place au sein d'un serveur sous Linux ne semble cependant pas très complexe.

Permettre un échange de données simple, privé et chiffré de bout en bout

Si vous désirez proposer un partage de fichiers de manière chiffrée (de bout en bout) et privée, ce sera donc bien entendu possible. Cela passera par un répertoire private en opposition avec le précédent public.

Vous pourrez y stocker des données pour vous en les plaçant dans un répertoire avec votre pseudo Keybase. Vous pourrez aussi ajouter d'autres utilisateurs en rajoutant certains pseudos séparés par une virgule :

Keybase Partage

Cela devrait rapidement être une limite si vous voulez partager des informations avec une équipe de 20 personnes par exemple, il faudra sans doute que ce point soit renforcé par la suite.

Par la suite, vous aurez la possibilité de préparer un dossier pour vous et un utilisateur présent sur Twitter, mais pas encore sur Keybase par exemple. Une fois qu'il disposera d'un compte, les données seront préparées pour qu'il puisse y accéder. L'équipe donne ainsi un exemple de ce qu'elle a cherché à éviter à l'avenir :

Keybase Twitter

Du côté de la sécurité de l'ensemble, Keybase reste un service open source (sous licence BSD modifiée) dont les détails du chiffrement sont diffusés par ici. Pour son service d'échange de données, l'équipe précise également que « les serveurs de Keybase n'ont pas connaissance des clefs privées permettant de lire les données. Elles ne peuvent pas non plus injecter des clefs privées dans le processus afin de chiffrer vos données pour les rendre accessibles à des tiers. Nous signons l'ajout ou la suppression de clefs dans un arbre de Merkle public, transformé en hash et diffusé au sein de la blockchain Bitcoin pour prévenir une forking attack ».

Ceux qui veulent commencer à accéder à cette fonctionnalité et qui sont sous Debian/Ubuntu ou OS X peuvent demander un accès à [email protected]. Les utilisateurs sous Windows pourront à leur tour tenter leur chance d'ici quelques semaines. Tous les détails sont disponibles par ici.

Pour rappel, Keybase est accessible uniquement sur invitation, vous pouvez demander la vôtre au sein du sujet dédié de notre forum :

8

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Keybase : un annuaire pour les amateurs de ligne de commandes

Nouvelle gestion des clefs, versions mobiles, interface graphique

Une gestion des appareils transparente, arrivée du système de fichiers

Un annuaire public, des fichiers accessibles à tous et signés

10 Go pour tous, un modèle économique basé sur les grosses entreprises

Permettre un échange de données simple, privé et chiffré de bout en bout

Commentaires (8)


C’est un peu usine à gaz encore… <img data-src=" />





&nbsp;je vais essayer quand même&nbsp;<img data-src=" />


Disons que le nouveau système de gestion des clefs et des appareils simplifie bien l’ensemble je pense. Mais il faudra surement attendre l’interface graphique et que ça évolue encore un peu pour que ça perce hors du cercle des amateurs de ligne de commandes. Et pendant ce temps, tout le monde s’amuse avec Onename <img data-src=" />


Je ne connaissais pas Onename tiens, je découvre. Etant déjà sur Keybase, quels seraient les +/- de part et d’autre de ces deux solutions ? (sachant que là les nouveautés Keybase me semblent plutôt pas mal venues :))


Hormis le fait que Onename ne sert à rien à part dire “j’ai une page sur Onename et ça utilise la blockchain” tu veux dire ? <img data-src=" /> (ou alors faut m’expliquer le concept <img data-src=" />)








David_L a écrit :



Disons que le nouveau système de gestion des clefs et des appareils simplifie bien l’ensemble je pense. Mais il faudra surement attendre l’interface graphique et que ça évolue encore un peu pour que ça perce hors du cercle des amateurs de ligne de commandes. Et pendant ce temps, tout le monde s’amuse avec Onename <img data-src=" />





Ouais pas c’est pas simple leur truc. Faut y aller au mastic pour l’utiliser leur truc, punaise&nbsp;<img data-src=" />



C’est surtout un outil qui est encore dans sa phase de d’évolution. La levée de fonds de l’année dernière avait pour but de leur permettre de passer la seconde, là on voit les effets.



J’attend de voir l’interface graphique, mais les évolutions fonctionnelles et la structure de l’ensemble est plutôt bonne, sans bullshit (rare dans le secteur <img data-src=" />) et ça répond à un vrai besoin. Y’a plus qu’à.


Des entreprises seraient intéressés par ce type de solution ? Ça me surprends étant donné la faible utilisation de GPG.


Bonjour à tous,

&nbsp;

&nbsp;“il se base sur PGP pour signer avec votre clef publique les informations

que vous publiez afin de vérifier la véracité d’un compte”



C’est pas plutôt avec la clef privée que c’est signé ? Et puis on parle bien des informations envoyées ou d’une sorte de carte de visite ?

J’ai du louper quelque chose car :




  • Tout le monde peut signer avec la clef publique…. car elle est publique

  • Dans ce cas personne ne peut déchiffrer (même pas avec la clef publique si je ne dis pas de bêtises)



    Par contre, si on signe un petit fichier (genre carte de visite mais je ne sais pas comment ça fonctionne en réalité) avec sa clef privée, tout le monde pourra déchiffrer ce fichier avec la clef publique et vérifier l’authenticité de la source.



    OUI ou NON ?