我之前写过一篇介绍 Keybase 加密网络服务体验 的文章，里面提到 Keybase 对于用户的公共目录提供了 Keybase.pub 这个静态文件托管网站，方便其它用户访问 Keybase KBFS 里保存的公共文件。

所以之前我都会把我的 MDwiki 知识库 也同步更新到我的 Keybase 下的 wiki 公共目录，这样就可以把我的 nocwat.keybase.pub 作为一个备用的 Wiki 网站，如果我的 VPS 服务器无法访问，也可以通过 Keybase.pub 访问 Wiki 知识库。

然而最近我才后知后觉地发现原来 Keybase 从今年 3 月份开始就已经关闭了 Keybase.pub 静态文件托管服务，理由则是使用这项服务的用户数量太少，因此也就需要考虑新的 Keybase 静态文件托管方案了。

kbpbot

我稍微看了一下 Keybase Book 中关于 Kebyase Sites 的介绍文章，里面关于 Keybase.pub 的介绍还没有更新，不过还好目前 Keybase 提供的 kbpbot 机器人还是可以正常使用的。

kbpbot 机器人原本是为了支持用户使用自定义域名发布网站而开发的，为自定义域名配置正确的 CNAME 和 TXT 记录之后，访问域名时 kbpbot 就可以读取指定的 Keybase 目录中的文件，然后将静态文件内容返回给访问者。

由此也可以看出，kbpbot 也必须有访问对应的 Keybase 目录的权限，自定义域名静态文件托管才能正常工作。得益于 Keybase KBFS 文件系统的设计，公共目录、私有目录、团队目录都可以给 kbpbot 赋予访问权限：

提示

KBFS 文件系统中的所有文件都会自动签名加密，如果需要了解更多关于 KBFS 的使用方式，可以参考 Keybase 官方的 Introducing the Keybase Filesystem 这篇文章。

• 公共目录：

  kbpbot 默认就可以访问用户的所有公共目录，不需要专门配置，例如我的 Wiki 知识库的 KBFS 路径就是：/keybase/public/nocwat/wiki；

• 私有目录：

  用户只需要在私有目录下建立一个自己和 kbpbot 能访问的子目录，这里多个 Keybase 用户名使用逗号隔开即可，例如：/keybase/private/yourname,kbpbot/XXX；

• 团队目录：

  团队目录则更加简单，将 kbpbot 作为读者加入你的团队，然后使用团队目录路径，例如：/keybase/team/yourteam/XXX。

然后是最重要的自定义域名配置，按照 Keybase Sites 文章里介绍的方式添加对应的 DNS 记录即可。例如我的 MDwiki 知识库使用的是 wiki.vp8.win 自定义域名，为 kbpbot 添加如下 DNS 记录：

• CNAME 记录：

  名称为 wiki，记录值为：kbp.keybaseapi.com；

• TXT 记录：

  名称为 _keybase_pages.wiki，记录值为：kbp=/keybase/public/nocwat/wiki。

其中比较关键的就是 TXT 记录了，kbp=XXX 记录值就是用来告诉 kbpbot 机器人，用户访问此域名时需要访问什么 KBFS 目录。如果你用的是私有目录，把 TXT 记录值换成类似于 kbp=/keybase/private/yourname,kbpbot/XXX 就可以了。

域名配置完成生效之后，就可以通过自定义域名访问你的静态站点了。由于 kbpbot 还支持自动申请和更新 Let’s Encrypt HTTPS 证书，用户访问站点时将会自动使用 HTTPS 访问，完全不需要维护 HTTPS 证书之类的，这一点还是非常方便的。

另外 kbpbot 甚至还支持使用 Keybase Git 代码仓库来访问静态文件，只是不支持私有代码仓库（只有自己才能访问私有 Git 仓库），需要使用团队仓库，同样也要将 kbpbot 作为读者加入你的团队。

例如团队名称还是上面的 yourteam，如果建立一个 teamwiki 仓库，就可以使用 keybase://team/yourteam/teamwiki.git 这种地址来 clone 仓库了，然后存放一些静态文件内容并提交。

最后我们把 Git 仓库对应的域名 TXT 记录值修改为：kbp=git@keybase:team/yourteam/teamwiki，用户就可以通过域名 HTTPS 访问静态站点了。

同步 KBFS

我的 Wiki 主站是放在目前博客的 VPS 服务器上运行的，整个 Wiki 知识库目录通过 Resilio Sync 与本地的 Windows / Linux 电脑进行同步，本地使用 Markdown 编辑器修改 Wiki 内容后就可以自动更新到 VPS 服务器上。

Keybase KBFS 对应的 Wiki 目录，我则是直接在 Linux 上使用 rsync 命令将同步过的本地 Wiki 目录更新到 Keybase，好处就是可以基于 rsync 的同步机制自动只更新差异的文件，这里需要先启动 Keybase 应用程序哦：

~# rsync -ruv --exclude=notes.sqlite --exclude=.sync ~/Documents/wiki/ /run/user/$(id -u)/keybase/kbfs/public/nocwat/wiki/

rsync 的 --exclude 参数可以忽略不需要同步的文件，这里我指定 notes.sqlite 忽略 Markdown 编辑器使用的数据库文件，并指定 .sync 忽略 Resilio Sync 使用的内部同步目录。

Linux 系统上 rsync 的目标目录是：/run/user/$(id -u)/keybase/kbfs，与当前本地用户的用户 ID 有关；Windows 系统如果 Keybase 客户端启用了在资源管理器中显示 KBFS 盘符，rsync 的目标目录可能就是这样：K:\（实际的 KBFS 盘符可能并不是 K 盘）。

总结

我的 MDwiki 知识库在 Keybase 上的备用网站 wiki.vp8.win 目前已经正常运行一段时间了，而且 Keybase 的静态文件托管服务在国内访问也很正常，并没有出现被墙之类的问题。

由于 kbpbot 除了 Keybase 公共、私有和团队 KBFS 目录，还支持使用 Git 仓库，我们也可以将类似 Hexo 这种静态博客通过 Keybase Git 来管理，本地修改构建之后提交到仓库更新，这样小伙伴们通过 Keybase 来托管静态博客也还是比较省事的。

虽然 Keybase 被 Zoom 收购之后发展势头不太好，更新节奏也变慢了，但还是希望 kbpbot 的静态文件托管服务能继续维持下去，毕竟 Keybase 提供的各项加密网络服务还是非常出色的，祝大家玩的开心哦。

体验之前需要先了解 Keybase 到底是啥，维基百科上对 Keybase 的定义是基于 PGP 技术的社交网络平台，可以将用户的身份映射到公钥，反之亦然。最常见的用法就是 Keybase 做为公共的 PGP key server。Keybase 可以对用户的 Twitter、GitHub、Reddit 等社交网络账户提供身份验证功能。

做为开源项目，Keybase 提供的服务已经远不止这些了，除了在社交网络身份验证之外增加了域名、网站管理员以及比特币和 Zcash 加密货币地址的验证功能，目前还提供了不少扩展功能：

• 端对端加密聊天通讯；
• 类似 Slack 的加密团队聊天和协作；
• KBFS 加密文件存储服务，支持公共文件和私有文件，公共文件支持静态文件托管服务；
• 集成 Stellar（XLM）钱包（恒星币）功能，支持创建和导入 Stellar 账户，可以通过 Keybase 发送 XLM 给其它用户；
• 加密 Git 代码仓库托管服务，用户可以创建自己的私有仓库。

PGP 加密

还是从最基本的 PGP 加密说起，在 Keybase 官网注册账户并安装客户端之后，用户可以把自己的 PGP 公钥上传到 Keybase。Linux 下我一般使用系统自带的 gpg（GnuPG）来管理密钥，gpg 的知识网上有很多这里就不做详细介绍了，Keybase 做为公共 PGP key server 还是比较好用的。

例如，我的 Keybase 用户名是 nocwat，欢迎大家添加好友，我已经把自己的 PGP 公钥上传到 Keybase 了，如果你需要在 Linux 系统里导入我的公钥就很简单：

~$ curl https://keybase.io/nocwat/pgp_keys.asc | gpg --import

如果你已经安装了 Keybase 客户端，也可以这样导入：

~$ keybase pgp pull nocwat

导入公钥之后，就可以用 gpg 再做加密、解密、签名、验证之类的操作了。

当然 Keybase 客户端也是直接支持 PGP 的这些操作了，例如：

~$ keybase encrypt -i input -o output user

注意

Keybase 可能觉得用户直接使用 PGP 的门槛太高太复杂，又自己搞了一套新的认证机制，可以参考这里：

Keybase’s New Key Model

新的认证机制使用 Keybase 设备密钥（device key）和 paper key（非常重要，可以更方便地认证 Keybase 设备），至于新的密钥系统则是基于 NaCl 新开发出来的 SaltPack，具体可以看看 Keybase Crypto Documents。

对于 Keybase 这套新的认证机制，我不太好评价其优劣点。Keybase 用户的设备列表是所有用户都可见的，例如我的 Keybase devices，这里包含了所有已认证的设备和 paper key。

在 Keybase graph 里甚至还能看到 PGP key、device key、paper key 及其它已认证项目的对应关系图。从 graph 图里就能看到目前我还是最信赖自己的 PGP 密钥的。

提示

Keybase 也提供 PGP 私钥托管保存功能，Keybase 声称 PGP 私钥必须通过用户的 passphrase 才能解密，解密是通过浏览器客户端本地完成，服务器并不会保存 passphrase。这个托管功能并不是强制的，上传与否要看你是否足够信任 Keybase 了。

另外 Keybase 网页版也有一个 PGP Encrypt 页面提供 PGP 加解密等功能：

PGP 私钥托管之后确实会方便不少，如果你的 PGP 私钥跟我一样没有上传到 Keybase 上托管，那这个页面只能使用 Encrypt 加密发送消息和 Verify 功能，Decrypt 和 Sign 功能必须通过 PGP 或 Keybase 客户端来完成。

加密聊天通讯

Keybase 端对端的加密聊天功能需要安装客户端才能使用，与其它聊天软件不同，即使其他人只有 Twitter、GitHub 等社交网络账户还没有注册 Keybase，你也可以通过 Keybase 发送消息给他们（直接指定社交网络账户名，而不需要知道 Keybase 账户名），待他们通过 Keybase 认证这些账户之后就能收到之前的消息。

你甚至可以直接通过 Keybase 发送消息给 PGP 公钥所有者，如果对方的 Keybase 账户添加验证了此 PGP 公钥就能收到消息。

Keybase 聊天的消息目前是基于 device key 和 paper key 进行加密的，而不是 PGP 密钥，Keybase 给出的解释是无需单独管理 PGP 密钥更有利于非技术人员使用。

Keybase 命令行 keybase chat 也可以进行简单的聊天，而且聊天功能还支持 JSON API 接口，可以很方便地实现聊天机器人之类的功能。

另外 Keybase 团队聊天同样也是端对端加密的，具体可以看看 Teams Crypto 的介绍。由于 Keybase 代码是开源的，因此总体看起来 Keybase 似乎是一个比 Telegram 安全性更高的即时通讯软件。

KBFS 文件存储

KBFS（Keybase 文件系统）的介绍可以参考 Introducing the Keybase filesystem，用户存入的所有文件都会自动签名加密。与聊天功能类似，所有 KBFS 数据都是基于 device key 和 paper key 进行加密的，而不是 PGP 密钥，因此 paper key 特别需要注意备份不能丢失。

KBFS 需要安装 Keybase 客户端才可以使用，Linux 下是基于 FUSE 实现的，Windows 则是基于常见的 Dokan 用户态文件系统了：

Keybase 客户端的 Files 里可以直接看到 private、public 和 team 三个顶层目录，分别对应用户私有、用户公共和团队文件：

我的私有文件在 Linux 上的访问路径是类似这样：/keybase/private/nocwat，Windows 上则是：k:\private\nocwat，公共目录则是：/keybase/public/nocwat。

你也可以创建一个只有几个特定用户能访问的私有目录，类似这样：

/keybase/private/nocwat,xxx,yyy

对于公共目录，Keybase 还提供了 Keybase.pub 网站方便其它用户访问使用，例如我的公共目录地址就是：https://keybase.pub/nocwat/。

Keybase.pub 还提供了静态文件托管网站功能，例如你可以直接访问下面的地址查看我放到公共目录的 Wiki 知识库：https://nocwat.keybase.pub/wiki/。其实这个地址就相当于访问我的 /keybase/public/nocwat/wiki 公共目录。

目前 Keybase 给每个用户提供了 250 GB 的 KBFS 存储空间，目前 KBFS 用户量还不是很多可能存在不稳定的问题，最好注意备份数据。

KBFS 文件系统可以直接看到空间使用情况：

Stellar 钱包

Stellar 是基于 Ripple 修改而来的支付网络系统，用户使用 Lumen（XLM）作为基础货币，可以通过 XLM 转账任意一种货币（可以是各国法定货币或者其它加密货币），其交易确认速度也非常快，有关恒星币的详细内容还请自行了解哦。

Stellar Lumens 加密货币（恒星币）的钱包功能同样必须安装客户端才能使用，目前所有 Keybase 用户都可以使用：

Keybase 将聊天功能和钱包功能进行整合，你可以直接通过 Keybase 用户名而不是很长的 Stellar 钱包地址进行转账操作，当然也可以通过 Keybase 客户端转账给其它未使用 Keybase 的 Stellar 钱包地址。

目前 Keybase 正在搞 Stellar 空投活动，一共会发送 20 亿个 Lumens，只要 Keybase 账户的条件合格就可以每个月领到 Lumens，详情请参考 The Big Stellar Space Drop 页面的介绍。

Git 代码仓库

不得不说 Keybase 新推出的 Git 私有仓库托管服务才是我使用的原因，你可以通过 Keybase 客户端建立自己的私有仓库，也可以为团队建立代码仓库。Keybase 为每个用户和团队提供了 100 GB 的仓库存储空间，实际已经足够用了。Git 代码仓库同样是端对端加密的，只有自己或团队的密钥才能解密。

Keybase 的仓库托管服务是基于 Git 的 remote helpers 功能来实现的，因此仓库地址和常见的 GitHub 不太一样。例如下面是我建立的一个名为 ssicd 的私有代码仓库：

使用 Keybase Git 仓库的机器上必须安装 Keybase 客户端（通过 git-remote-keybase 程序来实现），我就可以通过命令行来 clone 仓库：

~$ git clone keybase://private/nocwat/ssicd.git

接下来的使用方法就和其它 Git 仓库没什么区别了，只是 push 等操作时需要使 Keybase 客户端保持运行状态。

另外还有一个小窍门就是 Keybase Git 代码仓库中的文件是可以直接通过 KBFS 进行访问的，这样无需 clone 整个仓库就能下载其中的某个文件，例如上面我的私有仓库目录路径就是：

/keybase/private/nocwat/.kbfs_autogit/ssicd

路径中的 .kbfs_autogit 是表示 Git 仓库的特殊目录名，不过需要注意直接列举 /keybase/private/{user} 并不能看到这个目录，需要在目录路径中特别指定。

你甚至可以通过 KBFS 直接访问仓库的某个分支，路径形式如下：

/keybase/private/nocwat/.kbfs_autogit/ssicd/.kbfs_autogit_branch_develop

路径中的 .kbfs_autogit_branch_ 后面跟 Git 分支名称即可。

你如果想直接访问具体某个 commit 的数据，也可以指定 KBFS 路径：

/keybase/private/nocwat/.kbfs_autogit/ssicd/.kbfs_autogit_commit_XXXXXX

路径中的 .kbfs_autogit_commit_ 后面跟 commit 的完整 hash 值。

总结

Keybase 做为一个开源项目，基于 PGP 技术做了很多身份验证之外的扩展和改进，增加了很多加密相关的服务，例如端对端加密的聊天、协作、存储、钱包、Git 仓库等功能确实降低了用户使用门槛。我这段时间用下来还是比较方便的，不过国内某些网络下 Keybase 可能访问速度很慢或者干脆被墙了。

不过 Keybase 设计了新的认证机制而不是直接使用成熟的 PGP 可能会引起一些争议，另外可能由于集成了太多功能导致 Keybase 客户端稍显臃肿，现在 Windows 客户端安装包体积就已经有 180 多 MB 了。其实我倒希望 Keybase 能发布一个体积更小的纯命令行版本，或者能可选安装图形程序（我可能也只需要图形界面的聊天功能）。

目前 Keybase 我使用最多的场景就是 PGP key server、KBFS 文件存储和私有 Git 代码仓库功能了，由于基本没有添加好友，端对端加密聊天功能基本没有用到。

最后我写这篇文章时 Stellar（XLM）价格为 $0.06（0.000006 BTC）还非常低廉，哈哈，欢迎大家通过 Keybase 用户名 nocwat 或者 Stellar 钱包地址 给我打币。