2022-11-27
#keyoxide #gpg #openpgp #seguridad
Esta es una guía fácil para configurar la verificación de cuentas a través de tu clave OpenPGP y el servicio keyoxide.org, con casi todos los pasos ejecutados desde el entorno gráfico, minimizando el uso del terminal. Puede que contenga alguna incorrección pero es que los tutoriales que hay sobre el tema no me parecen sencillos.
En estos momentos en los que parece acercarse el fin de Twitter y se está produciendo una migración masiva de esa plataforma centralizada hacia el Fediverso debemos reflexionar acerca de la importancia de la verificación de cuentas.
Una red social no puede pretender ser usada por personas famosas, influencers, políticos o empresas si no existe un método claro de verificación de cuentas. Incluso los usuarios que, permaneciendo anónimos, tienen varias cuentas en diferentes instancias del fediverso deberían usar algún método de verificación. En el fediverso tenemos el enorme problema de que cualquier usuario malintencionado puede crear perfiles suplantando la identidad de otro usuario, tantos perfiles como instancias hay, miles.
Mastodon ya permite la verificación de identidad si dispones de una web, tal y como se explica muy bien en estos tutoriales:
=>
=>
Pero hay muchos otros servicios, Telegram, Twitter, Github, Gitea, y no todos los usuarios disponen de una web. Lo interesante sería que hubiera un sistema único para verificar sin la necesidad de disponer de una web o dominio, con Keyoxide es posible solucionarlo.
Cuando creo una clave OpenPGP tengo la posibilidad de anotar como una "notation" en la clave pública los servicios en los que estoy registrado, puedo poner las diversas cuentas que tengo en el Fediverso, mi usuario de Telegram, Github o lo que quiera y publicar después esa clave en un servidor público de claves. Si en mi clave pública OpenPGP está incluída esa información y puedo incorporar un link a esa clave en los diversos servicios en los que estoy registrado estaré certificando que todas esas cuentas son de mi propiedad. Por lo tanto, si seguimos a alguien que dispone de una clave OpenPGP con "notations" y ha publicado los links correspondientes en cada servicio, tendremos la certeza de que seguimos a la misma persona. Keyoxide comprueba por ti que para cada "notation" de la clave pública alojada en el servidor público de claves hay un link a esa clave en el correspondiente perfil de usuario de cada servicio.
Se podría verificar tus cuentas manualmente poniendo en todos los servicios en los que tienes cuenta un listado del resto de servicios en los que estás, pero sería un lío, sobretodo para la persona que quiere verificar tus cuentas puesto que debería acceder a todas las webs de esos servicios para verificarlas.
=>
=>
Accede a GPA y crea un nuevo par de claves OpenPGP siguiendo estos menús:
Windows
Keyring Manager
Keys
New Key
Rellena los datos, después te pedirá que crees una contraseña para la clave, y ya tendrás tu nueva clave, verás que aparece en la ventana del Keyring Manager.
Partimos de la clave recién creada, para un único usuario, sin tocar nada.
Accedemos al terminal de Linux (Ctrl+Alt+t) o a la línea de comandos de Windows (teclea cmd en el inicio de Windows)
Ahora tecleamos:
gpg --edit-keygpg>
Añadimos una "notation" en la que declaras tu usuario de un servicio, por ejemplo mi usuario de nixnet.services. Deberás comprobar el link para asegurarte si efectivamente dirige a tu usuario, puede variar ligeramente, en mi caso es una instancia de Pleroma.
Mira el apartado de "Service providers" en la web keyoxide.org, elige el servicio y ve concretamente al final, donde indica "…to an OpenPGP profile:", ahí tienes la sintaxis de la "notation" que debes poner.
=> https://docs.keyoxide.org/service-providers/
gpg> notation gpg> proof@ariadne.id=https://nixnet.social/users/sl1200 gpg> save
Puedes comprobar que tu notation está registrada en tu clave pública así:
gpg --edit-keygpg> showpref
Para borrar una notayion errónea, por ejemplo la que acabo de ingresar:
gpg --edit-keygpg> notation -proof@ariadne.id=https://nixnet.social/users/sl1200
Ve añadiendo el resto de notations de los servicios en los que tengas cuenta, con la sintaxis que te indican en keyoxide.org según hemos visto antes.
Añade un link en cada uno de los servicios que quieres verificar siguiendo las intrucciones del apartado "Create the proof" que encontrarás en https://docs.keyoxide.org/service-providers para cada servicio. Por ejemplo, en mastodon debes ponerlo en un campo de tu perfil de usuario, en tu dominio deberás incorporarlo en la configuración de las DNS como un registro TXT, en gitea deberás crear un repositorio y ponerlo en la descripción del mismo...
Abre GPA, accede al listado de claves y pulsa con el botón derecho sobre tu clave recién creada, dale a la opción "export keys" y guarda el archivo.
Accede ahora con el navegador a keys.openpgp.org, selecciona la opción "upload", selecciona el archivo que acabas de crear y súbelo.
Desde el servidor de claves te mandarán un email de confirmación, accede al email y confírmalo. Como ves todo el proceso depende de la confirmación de un email, si es un email personal y no quieres publicarlo, crea uno que sólo uses para este propósito.
Ahora tu clave pública, no la privada, ya está publicada y al alcance de cualquiera, también de keyoxide para confirmar tus cuentas.
Y ya está, a partir de ahora cuando alguien quiera verificarte, pulsará sobre el link keyoxide que has puesto en cada servicio y le saldrá algo así:
=> https://keyoxide.org/hkp/7DC7ACE0B585D4337F753B8D134ED74582FCD9DE
Si quieres añadir un avatar a tu perfil, sigue estas instruciones, en mi caso me registré en libravatar.org:
=> https://docs.keyoxide.org/openpgp-profiles/avatar/
=> This work by SL1200 is licensed under CC BY 4.0
=> ◄ BACK | 🏠 Home This content has been proxied by September (ba2dc).Proxy Information
text/gemini;lang=es-ES