Keybase.ioはどのように機能しますか？

Keybase.ioは、それ自体がPGPをサポートしておらず、アカウントタイプがPGPのUIDとして認識されていない他のサービスのアカウントの公開鍵を検索できるディレクトリサービスを提供します。

たとえば、特定のTwitterアカウントのPGPキーを知りたい場合は、keybaseディレクトリに問い合わせます。これは、次のように、これがキーバインド、Twitterハンドル、およびキーIDであることを示すフレーズを含むテキストレコードで応答します。このデータへの署名を含むツイートへのリンクも同様です。

これは、UIDがPGP鍵に添付される方法に似ています。マスター鍵は、鍵にバインドされるUIDを含む特別にフォーマットされたメッセージに署名します。主な違いは、バインディングがキーの外部に保存されること（TwitterハンドルUIDの標準がないため）と、署名がTwitter内に保存され、Twitterアカウントの所有者が実際にキーホルダーであることを確認できることです（ここで、通常のUIDは他のユーザーによって署名されています）。

このようにして、Twitterサービス自体への統合はありませんが、暗号化されたチャネルを介してTwitterユーザーにメッセージを送信できます。

最大10.000文字のダイレクトメッセージが許可されるため、Twitterを介してPGP暗号化メッセージを送信することは確かに可能です。

ただし、これ以上の検証は行われないため、「アカウントの所有者」にメッセージを送信する場合にのみ適しています。ツイートに含まれる署名は公開されているため、Twitter自体がツイートを変更して攻撃者のキーと一致するため、Twitterを介して攻撃される可能性があり、第三者によってアーカイブされ、操作が検出される可能性があります。

GithubおよびKeybaseが処理するその他のサービスについても同様です。