クライアントを使用すると、Webインターフェースも使用している場合でも、Keybaseサーバーは正直になりますか?
Keybaseのドキュメント によると:
実際のKeybaseクライアントは、Keybaseサーバーを正直に保つ上で重要な役割を果たします。ユーザーの署名チェーンの整合性をチェックし、悪意のあるロールバックの証拠を見つけることができます。ボブまたはサーバーのいずれかが侵害された場合、ボブの追跡が壊れるとアリスに警告します。彼らは、既知の署名チェーンとの整合性について、サイトの公開されたマークルツリールートをチェックします。そして、これらすべてのチェックが完了すると、証明に署名し、サーバーに将来の責任を負わせるための既知の安全なチェックポイントを設定します。
そして少し後で:
Keybase Webクライアントのユーザーはこれらの保証を受けられないことを十分に理解しています。しかし、私たちの希望は、妥協した場合にサーバーの誤動作を検出することにより、十分なユーザーがKeybaseコマンドラインクライアントを使用してWebユーザーを安全に保つことです。
Webサイトを使用してメッセージの署名、検証、復号化、または暗号化を行う場合は、秘密鍵を放棄し、毎回パスフレーズを使用する必要があります。明らかに それはリスクです 。しかし、時々Webサイトを使用する場合、コマンドラインクライアントを使用してサーバーの整合性を検証しますか?または、秘密鍵を持たせてもハッキングされないように、keybase.ioを信頼する必要がありますか?
キーベースクライアントDOES NOTキーベースサーバーの整合性を確認します。クライアントは、サーバーの動作をある程度確認して、クライアントに誤った情報を提供していないことを確認できます。これにはデータの差し控えのみが含まれます。たとえば、アリスがキーを取り消したとは言えないため、侵害されたキーの悪用を許可します。サーバーによるキーの盗用、メタデータ、またはその他のセキュリティ侵害には役立ちません。
また、サーバーがアリスに取り消しを提出することを防ぐことができないことをサーバーがまだアリスに見せかけることができることに注意することが重要です。アリスはこれを検出しましたが、誰も検出しませんでした。アリスは皆に知らせて、どういうわけかこれを証明しなければならないでしょう、それは難しいかもしれません。