Por que o Keybase não inclui minha impressão digital de chave PGP pública em minha prova do GitHub?

Question 1

Estritamente falando, as provas do Keybase não servem mais para vincular sua conta GitHub à sua chave PGP – elas servem para vincular sua conta GitHub ao seuConta base-chave. A diferença é que este último agora pode ser representado usando "chaves de dispositivo" e "chaves de papel" específicas do Keybase, além da chave PGP.

Cada vez que você executa keybase loginou faz login no aplicativo, uma nova chave de dispositivo é gerada e usada para todas as operações, em vez da chave PGP.

(Se você clicar em "2 dispositivos" no seu perfil do Keybase, poderá ver o gráfico de confiança completo da sua conta – tudopodeestar vinculado à sua chave PGP, mas às vezes são necessários dois ou três links.)

Não conheço as vantagens deste esquema, foi assim que o implementaram.

Ainda é possível fazer assinaturas baseadas em PGP; por exemplo, ao realizar operações diretamente no site, você será solicitado a executar um comando gpg|curl para gerar a prova.

Answer

Estritamente falando, as provas do Keybase não servem mais para vincular sua conta GitHub à sua chave PGP – elas servem para vincular sua conta GitHub ao seuConta base-chave. A diferença é que este último agora pode ser representado usando "chaves de dispositivo" e "chaves de papel" específicas do Keybase, além da chave PGP.

Cada vez que você executa keybase loginou faz login no aplicativo, uma nova chave de dispositivo é gerada e usada para todas as operações, em vez da chave PGP.

(Se você clicar em "2 dispositivos" no seu perfil do Keybase, poderá ver o gráfico de confiança completo da sua conta – tudopodeestar vinculado à sua chave PGP, mas às vezes são necessários dois ou três links.)

Não conheço as vantagens deste esquema, foi assim que o implementaram.

Ainda é possível fazer assinaturas baseadas em PGP; por exemplo, ao realizar operações diretamente no site, você será solicitado a executar um comando gpg|curl para gerar a prova.

Question 2

Graças aoresposta de @grawityAprendi que o Keybase usa a chave do dispositivo Keybase para o dispositivo que foi usado para gerar a prova.

Você pode gerar a prova com sua chave PGP usando um navegador para criar a prova, escolhendo o método Bash + GPG + cURL quando solicitado. Isso fornecerá um comando para assinar uma mensagem e enviá-la ao keybase com o comando curl fornecido. Você pode ver minha prova atualizadaaqui.

Observe que parece que você precisa usar o bash para isso, o uso do curl no PowerShell estava me causando problemas.

Answer

Graças aoresposta de @grawityAprendi que o Keybase usa a chave do dispositivo Keybase para o dispositivo que foi usado para gerar a prova.

Você pode gerar a prova com sua chave PGP usando um navegador para criar a prova, escolhendo o método Bash + GPG + cURL quando solicitado. Isso fornecerá um comando para assinar uma mensagem e enviá-la ao keybase com o comando curl fornecido. Você pode ver minha prova atualizadaaqui.

Observe que parece que você precisa usar o bash para isso, o uso do curl no PowerShell estava me causando problemas.

Por que o Keybase não inclui minha impressão digital de chave PGP pública em minha prova do GitHub?

Responder1

Responder2

informação relacionada