Accounts verknüpfen mit Keyoxide
Die noch junge Software Keyoxide bietet die Möglichkeit, Accounts miteinander zu verknüpfen und so einen Überblick über die Online-Identität einer Person zu geben. Damit steht sie in Konkurrenz zu anderen Diensten wie keybase.io, dennoch finden sich ein paar wesentliche Unterschiede.
Keyoxide wird zur Zeit von einer einzelnen Person aus den Niederlanden entwickelt. Positiv fällt auf, dass der Quellcode auf Codeberg.org beheimatet ist, das von einem deutschen Verein mit Servern in Deutschland betrieben wird und das selbst quelloffen ist. Dass Keyoxide freie Software ist, bedeutet natürlich auch, dass man eine Instanz von Keyoxide auf einem eigenen Server betreiben kann. Zudem kann jeder dazu beitragen, die Liste an unterstützten Plattformen zu erweitern.
Als zentrales und daher auch obligatorisches Element für die Online-Identität wird ein OpenPGP-Schlüssel verwendet. Diesem können sogenannte »notations« hinzugefügt werden – das sind Paare bestehend aus Name=Wert. Damit wird auf den Account auf einer anderen Plattform verwiesen. Entsprechend muss dann auch im Profil auf der Plattform solch ein Paar hinterlegt werden, das wiederum den Fingerabdruck des PGP-Schlüssels enthält. Sind beide Einträge korrekt, erscheint der Account im Keyoxide-Profil.
Im Ergebnis erhält man eine Übersicht über alle mit der E-Mail-Adresse verknüpften Accounts – als Beispiel kann man sich das Entwickler-Profil anschauen. Das könnte durchaus praktisch sein, wenn man Anderen mehrere Kontaktmöglichkeiten anbieten will. Dafür bedarf es lediglich eines Links zur Profilseite – der Browser prüft dann beim Besuch der Seite die Korrektheit der Verknüpfungen. Dazu muss er allerdings auch zu allen Diensten eine Verbindung aufbauen, um die benötigten Daten abzufragen. Ein weiterer Anwendungsfall könnte sein, dass man bereits einem Account einer Person voll vertraut, weil man die Fingerabdrücke während eines Treffens verifiziert hat. Will man nun dieselbe Person auf anderem Wege wie bspw. XMPP kontaktieren, könnte man mit Keyoxide feststellen, dass diese Identität ebenso vertrauenswürdig ist, wie der bereits bekannte Account.
Über die Profil-Webseite auf Keyoxide lassen sich außerdem Nachrichten an diese Person PGP-verschlüsseln oder überprüfen, ob eine PGP-Signatur zu der Identität gehört. Beides wird lokal durch den eigenen Browser mittels JavaScript bzw. OpenPGP.js durchgeführt. Weitere Operationen wie z. B. das Entschlüsseln von Nachrichten sind deshalb nicht möglich, weil ausschließlich mit öffentlichen Schlüsseln gearbeitet wird. Der Entwickler begründet dies damit, dass private Schlüssel stets privat bleiben sollen und dementsprechend nur auf die eigenen Geräte gehören. Dieser Auffasung kann ich mich uneingeschränkt anschließen. Funktionen wie das Erstellen eines Accounts oder eine App wird es ebenfalls nicht geben, da das der Grundidee zuwiderlaufen würde. Wer dafür jedoch Verwendung findet und gern darlegen und beweisen möchte, welche Accounts zu einem gehören, der kann sich Keyoxide definitiv mal anschauen.
GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2
Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
GnuPG: Das Dilemma mit den Schlüsselservern
GnuPG: Web Key Directory (WKD) einrichten
