<div dir="ltr">Keybase attempts to bind user identities on social media to their PGP keys by having users publish an RSA signature under an unknown key, which Keybase refers to as a "proof". The (allegedly) signed message contains a link to their Keybase identity, but contains no information about their public key fingerprint.<div><br></div><div>After clicking on the link in the message we're taken to the Keybase web site where their alleged public key is listed. We are then asked to verify this key is authentic by checking if the digital signature in the original message verifies.</div><div><br></div><div>However, is this actually secure? Or more specifically:</div><div><div><br></div><div>Can we produce an RSA keypair such that an existing digital signature will verify under it if we control both the private and public key?</div><div><br></div><div>For the purposes of this problem, let's say it doesn't even need to be a good / secure RSA key, just one that the "proof" signature verifies under.</div><div><br></div><div>I'd also note that, if someone does have a solution to this problem, it would probably be good to responsibly disclose to Keybase ;)</div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>