IT系アカウントまとめ作っていて思ったけど、Fediverseでなりすましかどうかのチェックがめちゃくちゃめんどいのでなんかいい感じの方法が欲しい
中央集権的ではない方法で

@sublimer Keyoxide ならドメインのない人やMastodonではない人でも使えそうです

---
ActivityPub — Keyoxide Docs

https://docs.keyoxide.org/service-providers/activitypub/

@Coro keyoxideは仕組みを詳しく知らないのですが、keyoxideのアカウントを作って、それとFediverseのアカウントを連携させるような感じでしょうか…?
その場合、keyoxideのアカウントが信頼できるものであることはどのように保障されるのかが重要そうに思います。

@sublimer @Coro keyoxideは keys.openpgp.org にPGP鍵をアップロードすることで結びつける事ができるので信用できるとは思います

@kPherox @Coro ありがとうございます。
この場合、PGP鍵をアップロードした人物と各アカウントの所有者が同一人物であることが前提になっているかと思いますが、その人物がなりすましでないことは保障されるわけではないと理解したのですが合っていますでしょうか?

@sublimer @Coro そうですね。PGP鍵を対面で交換してたりGitHub等でコミットの署名に使ってたりで既に所有者がわかっていたり他のアカウントの ariadne identity が追加されてるときに効果のある方法になります

@sublimer @Coro keybaseのアカウント登録不要版という認識で良いと思う

@kPherox @Coro なるほど
例えば、GitHubのコミットに署名をつけておけばその振る舞いからGitHubアカウントの信頼性を高めることができ、PGP鍵を元にして他のアカウントの信頼性も芋蔓式に同じくらい信頼できるようになるということですね。

@sublimer @kPherox 例えばXで活動しているボブがMastodonで活動を始める場合XのアカウントURLを自分の秘密鍵で署名して公開鍵に追記しキーストアにアップロードします。そしてXで鍵指紋ポストします。こうすることでXユーザのボブは鍵対とXアカウントの所有者として第三者から検証可能な状態になります。keyoxide にアクセスしたときアカウント一覧の右側がくるくる円を描いてそのうち緑のチェックマークに変わりますが、これは公開鍵に追記されたアカウントURLにアクセスして鍵指紋を確認しています。これをすべての連携したいアカウント(Mastodonなど)に繰り返せば同じように鍵対とアカウントを紐付けることができ、芋蔓式にアカウント同士もひも付きます。(正直、理解して使ってもらうハードルがかなり高いので相手がIT関係だとしても、ご所望の解決策ではなかったかもしれません...)

@Coro @sublimer @kPherox 割り込み失礼
認証自体はそのアカウントに認証用の文字列を投稿したり、プロフィールに書いたりするだけだからそんなに難しくないかも
notationの編集も、pgpの代わりにaspeならWebUI ベースでもできるのでそんなに難しくないかも

@dampuzakura たしかに、GNU PGP の変わりに彼らのツールを信頼する必要があるものの、Nostr がある程度使われている以上、手軽なツールのおかげで keyoxide もある程度普及する可能性もありますね。(暗号の未来は明るい！)

@Coro Keyoxideを信頼するというか、秘密鍵自体はこちらで保管し、公開鍵を向こうで保管する形になるはずなので、信頼が必要ないのでは？

今までも別に何も信頼せずとも鍵が信頼性を保証してくれるわけですし