IT系アカウントまとめ作っていて思ったけど、Fediverseでなりすましかどうかのチェックがめちゃくちゃめんどいのでなんかいい感じの方法が欲しい
中央集権的ではない方法で
@sublimer Keyoxide ならドメインのない人やMastodonではない人でも使えそうです
---
ActivityPub — Keyoxide Docs
@Coro keyoxideは仕組みを詳しく知らないのですが、keyoxideのアカウントを作って、それとFediverseのアカウントを連携させるような感じでしょうか…?
その場合、keyoxideのアカウントが信頼できるものであることはどのように保障されるのかが重要そうに思います。
@sublimer @kPherox 例えばXで活動しているボブがMastodonで活動を始める場合XのアカウントURLを自分の秘密鍵で署名して公開鍵に追記しキーストアにアップロードします。そしてXで鍵指紋ポストします。こうすることでXユーザのボブは鍵対とXアカウントの所有者として第三者から検証可能な状態になります。keyoxide にアクセスしたときアカウント一覧の右側がくるくる円を描いてそのうち緑のチェックマークに変わりますが、これは公開鍵に追記されたアカウントURLにアクセスして鍵指紋を確認しています。これをすべての連携したいアカウント(Mastodonなど)に繰り返せば同じように鍵対とアカウントを紐付けることができ、芋蔓式にアカウント同士もひも付きます。(正直、理解して使ってもらうハードルがかなり高いので相手がIT関係だとしても、ご所望の解決策ではなかったかもしれません...)
@Coro Keyoxideを信頼するというか、秘密鍵自体はこちらで保管し、公開鍵を向こうで保管する形になるはずなので、信頼が必要ないのでは?
今までも別に何も信頼せずとも鍵が信頼性を保証してくれるわけですし
@dampuzakura asp tool 使ったこと無いんですが、鍵対の作成や署名をGPGの代わりにやってくれるのではないのですか?
@Coro そうだけど、それを言ったら全てのものに信頼が必要だからきりがないわけで気にしても仕方がないのでは?
オープンソースだから読むこともセルフホストもできるし...
@dampuzakura まぁそれはそうですね。(オタクは疑心暗鬼)
@dampuzakura @Coro @kPherox Twitterの公式アカウントマークなどと比較すると設定には一定のスキルが求められそうではありますが、公式アカウントとしての証明が必要なのは企業のアカウントや何らかの企業に所属している著名人であるケースが多くを占めそうなので、必ずしも万人に分かりやすいものである必要は無いかもしれませんね。
@dampuzakura たしかに、GNU PGP の変わりに彼らのツールを信頼する必要があるものの、Nostr がある程度使われている以上、手軽なツールのおかげで keyoxide もある程度普及する可能性もありますね。(暗号の未来は明るい!)