8 min readface Aronne Briviofolder Sicurezza 20 Mar 2017

Keybase, la crittografia si fa social



In un mondo sempre più incentrato su internet la sicurezza online e la protezione dei dati personali sono argomenti all'ordine del giorno. 

Ed è proprio la crittografia che permette, attraverso particolari funzioni matematiche, di "offuscare" i nostri dati rendendoli illeggibili da chiunque altro fuorchè noi e il server che ci eroga il servizio desiderato, che sia Google, Facebook o chiunque altro.

Questo processo avviene in modo automatico e senza un nostro intervento nel momento in cui viene stabilita la connessione, ma è importante ricordare che in rete non tutti i dati vengono cifrati. Il caso più comune è quello delle email in cui, nella maggior parte dei casi, il contenuto viene inviato in chiaro.

E se volessimo cifrare dei messaggi, in modo da essere sicuri che solo il destinatario possa leggerli?

Uno dei metodi tutt'ora più utilizzati passa attraverso PGP, un sistema di crittografia basato su una coppia di chiavi per ogni utente, che permette ad entrambe le parti in comunicazione di essere sicuri che il messaggio arrivi dalla persona giusta senza essere stato nè manomesso nè letto dal cosiddetto man-in-the-middle [1].

Ogni coppia di chiavi è quindi associata ad un indirizzo email e sul web si trovano moltissimi database e siti con l'obiettivo di raccogliere le chiavi pubbliche degli utenti rendendo più comoda la ricerca di quella necessaria per comunicare in modo sicuro con una persona.

Fin qui tutto bene, sembrerebbe la rivoluzione, ma la verità è che nessuno lo usa, se non per divertimeno e/o test. Questo perchè l'utilizzo di PGP risulta essere prolisso e scomodo (ricerco la chiave, cifro il messaggio con quella chiave e invio il messaggio cifrato; ricevo il messaggio cifrato, lo "apro" con la mia chiave, lo leggo e rispondo) e, a meno di non avere a che fare con un segreto di stato, siamo tutti disposti a permettere a chiunque di leggere le nostre email a fronte di una comodità e immediatezza senza eguali.

Esistono però diverse applicazioni che implementano questo tipo di sicurezza in modo totalmente automatico e da qualche tempo a questa parte molti dei servizi più noti, quali Telegram e Whatsapp ad esempio, stanno adottando questo tipo di crittografia, ma la maggior parte di quelle in circolazione adotta soltanto il metodo "standard", non cifrato.


Ed è qui che entra in gioco Keybase, un servizio che potrebbe ricordare uno dei tanti database di chiavi pubbliche, ma che in realtà offre molto di più.

Più che un sito di raccolta chiavi, si potrebbe definire come un social network, il cui scopo è quello di creare una rete di identità verificate. Il proprio profilo è infatti collegabile a quello dei più comuni social network, tra cui Facebook, Twitter e Reddit, in aggiunta ai propri dispositivi [2] e siti internet.

Il profilo principale dispone infatti solamente di un indirizzo email, quello a cui è associata la coppia di chiavi necessaria per la cifratura dei messaggi, a cui sarà poi possibile collegare tutti gli altri servizi, attraverso ad esempio la pubblicazione di un post sul social network che si vuole verificare.

In questo modo dal proprio profilo su Keybase sarà possibile raggiungere i profili esterni verificati e allo stesso tempo avere la certezza che "quel profilo Facebook e quell'account Github appartengono stessa persona".

La componente "social" di keybase è inoltre la possibilità di verificare le identità di altri utenti, firmando il loro profilo. Un po' come dire "Conosco questa persona nella realtà e vi assicuro che questi profili sul web siano veramente i suoi".

Ovviamente queste funzionalità sono disponibili sia dal sito web che da command line (disponibile sia per Windows, che Linux e OSX) e da qualche mese a questa parte è stata introdotta un'applicazione per pc, sempre multipiattaforma, in modo da effettuare tutte le operazioni elencate sopra con comodità.

Dal lancio dell'applicazione sono seguite numerose novità, tra cui l'introduzione di una chat real time completamente cifrata e KBFS.

Acronimo di "Keybase File System" è di fatto un servizio di hosting gratuito che implementa e permette di utilizzare comodamente i meccanismi di cifratura di PGP.

Presentandosi come una cartella keybase nella root del proprio pc, è suddivisa in due parti da due sottocartelle, una pubblica - cartella public - e una privata - private -.

Per farla breve è una sorta di Dropbox, uno spazio online su cui caricare i nostri documenti, ma suddiviso in due aree. Tutto quello che carichiamo nella zona privata viene cifrato con la nostra chiave e di conseguenza risulta leggibile solo da noi stessi, mentre i file nella cartella pubblica vengono firmati con la nostra chiave e messi a disposizione di tutti gli utenti Keybase.

Le potenzialità di KBFS non finiscono qui, ma essendo un argomento particolarmente denso e davvero innovativo è bene spenderci qualche parola in più nel prossimo articolo.

In conclusione, perchè utilizzare Keybase?

Innanzitutto perchè  tutti dovremmo tenere un po' di più alla sicurezza dei nostri dati in rete e questo servizio permette di farlo in modo divertente e social, e poi per KBFS, che da solo - a mio parere - vale il tempo "perso" per iscriversi al sito.


[1] Tipicamente in un attacco viene nominato man-in-the-middle il malintenzionato che si posiziona nel mezzo di una conversazione intercettando tutti i messaggi.

[2] Keybase permette di verificare i propri PC in modo tale che le operazioni legate al proprio profilo (attraverso l'applicazione o la command line) possano essere effettuate solo sui dispositivi registrati. Tra questi ci sono inoltre i cosiddetti paper key, delle chiavi sotto forma di stringa di testo da trascrivere su un foglio di carta utilizzate per il recupero dell'account o l'accesso nel caso non si possa verificare il dispositivo in altro modo.


keybase crittografia sicurezza social network crypto cloud pgp chat kbfs
  • Telegram
  • Whatsapp
chat

Commenti