Keybase mesaj ve dosya şifreleme imkânı tanıyan bir servis olarak ilk 2015 de karşımıza çıktı beta olarak kullanılıyordu. Tasarımı ve özellikleri günümüze gelinceye kadar değişti ve güzelleşti varlığından haberdar olduğum bu güzel servisi kullanmaya bende geçtiğimiz günlerde başladım key yönetimi bana zor geliyordu bunu kolaylaştırmak için bir yol ararken aklıma geldi ve kullanmaya başladım
Öncelikli olarak sisteme direk üye oldum tabi üye olmak için davetiye gerekiyor. Bunu sitenin kurucusundan temin edebilirsiniz ya da bana iletişim kısmından mail atmanız ve davetiye göndermek için bir mail adresi belirtmeniz yeterli merak etmeyin bir çıkarım yok site bunun için bir ayrıcalık sunmuyor 🙂
Davetiye’yi bir şekilde tamamladığınızda siteye ilk üyeliğinizi yaparsınız, bunun hemen ardından sisteminiz için keybase sitesinin resmi uygulamasını kurmanız gerekir.
Debian, Ubuntu
curl -O https://prerelease.keybase.io/keybase_amd64.deb sudo dpkg -i keybase_amd64.deb sudo apt-get install -f run_keybase
Centos, RHEL
sudo yum install https://prerelease.keybase.io/keybase_amd64.rpm run_keybase
Bu uygulama ile;
- GPG key oluşturabilir
- GPG key Paylaşabilir
- Gizli yazışma yapabilir
- Dosya şifreleyebilir
- Gizli mail atabilirsiniz
Ayrıca uygulamada key yönetimi ve oluşturulması oldukça kolay, birden fazla anahtar üretirseniz yönetmede zorluk çekmeyeceksiniz. Ancak uygulamayı hemen kurar kurmaz direk kullanma imkânınız olsa da bunu önermiyoruz. İlk olarak hesabınızı birkaç yer aracılığı ile onaylamalısınız.
Bunun için;
- Github
- hackerne.ws
- coinbase
Gibi yerler gerekiyor ayrıca varsa web sitenizi de site üzerinden onaylatmayı unutmayın. Böylelikle diğer insanlar ile takipleşebileceksiniz. Şimdi bir adet gpg key oluşturmamız gerekiyor bunun için
keybase pgp gen --multi
Sizden birtakım bilgiler isteyecek bunları dolduruyorsunuz.
# Enter your real name, which will be publicly visible in your new key: Mertcan GÖKGÖZ # Enter a public email address for your key: # Enter another email address (or <enter> when done): # Push an encrypted copy of your new secret key to the Keybase.io server? [Y/n] Y
Keyimizi oluşturduk oluşturduğumuz key için bir sorgulama yapıyoruz.
gpg --list-secret-keys
Daha önceki makalelerimdede görmüşsünüzdür. Zaten aynı keyi kullandığım için şu şekilde gözüküyor.
/home/mertcan/.gnupg/secring.gpg -------------------------------- sec 4096R/EF64ED4FF0199111 2016-08-25 uid Mertcan Gökgöz (Github GPG) <> ssb 4096R/A1BDA15B77CF194F 2016-08-25
İlk aşamamız tamamlandı keyimiz oluştu ve keybase sistesine gönderildi. Şimdi bu keyiniz ile istediğinizi yapabilirsiniz. İster Maillerinizi Enigmail ile şifreleyin isterseniz keybase takipçisi olduğunuz arkadaşınız ile gizli bir şekilde mesajlaşın yada github adresinize keyi bağlayıp commitlerinizi onaylayın
Githubda onaylamak için şu şekilde bir yol izleyebilirsiniz.
git config --global user.signingkey EF64ED4FF0199111 git config --global commit.gpgsign true
Şimdi GPG keyimiz ile mesajımızı şifreleyelim
keybase pgp encrypt furkankalkan -s -m "mesajınız" keybase pgp encrypt furkankalkan -i mesaj.txt keybase pgp encrypt furkankalkan -i mesaj.txt -o sifreli.asc echo 'mesajınız' | keybase pgp encrypt furkankalkan
Size bir mesaj geldi diyelim bunu şu şekilde açacaksınız
keybase pgp decrypt -i mesaj.txt.asc keybase pgp decrypt -i mesaj.txt.asc -o mesaj.txt cat mesaj.txt.asc | keybase pgp decrypt
Oluşturduğunuz bu key ile dosya şifrelemek için
gpg --output test.gpg --encrypt --recipient mertcan.gokgoz@gmail.com test.zip
Bunun dışında başka işlemlerde yapabilirsiniz elinizin altında gpg ve keybase uygulamaları mevcut artık biraz manpage okuyarak geri kalanını kendiniz de yapabilirsiniz.
Unutmadan bahsedeyim keybase uygulamasından kurtulmak istiyorsanız. Ne yapacağım diye düşünmenize gerek yok direk olarak aşağıdaki işlemi yaparak gizli anahtarınızı elde edebilirsiniz. Siteye giriş yapıyorsunuz ve keyin ID bölümünün yanında yer alan edit tıklıyorsunuz.
Yukarıdaki resimde de gördüğünüz Export my private key from Keybase tıklıyorsunuz. Şifrenizi girdikten sonra artık gizli anahtarınız elinizde sisteminize istediğiniz bir isim ile kayıt edebilirsiniz. Ve daha sonra başka bir sisteme aktaracaksanız da aşağıdaki komutları çalıştırmanız yeterli
gpg --allow-secret-key-import --import keybase-private.key gpg --import keybase-public.key
hocam selam aleyküm. öncelikle sizi twitter dan takip ediyorum. önemli bilgiler için teşekkür ederim. Hocam ben bug bounty programlarına katılıyorum. şuan bir siteden davet aldım web sitelerinde güvenlik açığı arıyorum. hocam hedef siteye dizin taraması yaparken keybase.txt adında bir dosya buldum. dosya içerisin de keybase’e ait bazı bilgiler var. şimdi bu txt dosyası içerisinde yazılanların nekadar önemli olup olmadığını bilmediğim için bunu daveti gönderen siteye rapor edemiyorum. daha önce hiç keybase kullanmadığım için sizden yardım istiyorum. şimdi size dosya içerisinde bulunan bazı şeyleri paylaşmak istiyorum.
{
“body”: {
“key”: {
“eldest_kid”: “0120b18096c363506988c7436dfec8aba49dc910cd6b42f9f6041c421810227de73b0a”,
“host”: “keybase.io“,
“kid”: “0220c18196c463506088c7435dfec7abc49cc711cd6b42f9e6031c429870227bb73b0e”,
“uid”: “e11156951001c35e6f3141d44c5bcd12”,
“username”: “hedef-site-kullanıcı-adı-burada-yazıyor”
},
“merkle_root”: {
“ctime”: 1533366973,
“hash”: “521b61459328f0574522acb577965a8faf05addd857df4cddc805d3c9b8276c31ed93f8dacddd08fd2ad989dbfd97abff2ce2624be4aa74d802a936e15e1ad07”,
“hash_meta”: “d9a8f8eb219554b153f79541e6797393de8605e895bd5bfde7daccd7ab6ba874”,
“seqno”: 4522154
},
“service”: {
“entropy”: “LA78F8/sXPiG6E9p1Pt7gtd7”,
“hostname”: “hedef-sitenin-adresi-yazıyor”,
“protocol”: “https:”
},
“type”: “web_service_binding”,
“version”: 2
},
“client”: {
“name”: “keybase.io go client”,
“version”: “2.9.0”
},
“ctime”: 1748322154,
“expire_in”: 306536820,
“prev”: “1de389aa278240acd4d9a52923c84c48e1021fcaa020054811142227e718444504”,
“seqno”: 11,
“tag”: “signature”
},
yields signature
2R5hqhkZXRhY2hF90eXBlCqNrZXnEIwEgsjHQ23+yKukneWxvYWTESpcCC8Qgm5pYklyExY4EUYn53hoNQUPuhMHz4b9dpNncJzaW9uAQ==
hocam yukarıdaki dosya içeriğindeki sayılarda değişiklik yaptım. fakat genel görünümü böyle. şimd bunu hedef siteye rapor olarak sunabileceğim bir seneryo var mı ? burada hedef siiteyi tekliye atacak bir bilgi varmı ? hocam lütfen bana yardımcı olun. ister mail ile isterseniz bana twitter dan cevap yazarsanız sevinirim. twitter adresim.. @cyberthereaper5
Merhaba
önemli bir bilgi bu attıklarınız içinde gözükmüyor, konu ile ilgili ek bir bilgim yok maalesef.