💾 Archived View for sl1200.dystopic.world › art › keyoxide.gmi captured on 2023-09-08 at 16:13:55. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2023-01-29)

-=-=-=-=-=-=-

Verificando cuentas con tu clave OpenPGP y Keyoxide

2022-11-27

#keyoxide #gpg #openpgp #seguridad

Esta es una guía fácil para configurar la verificación de cuentas a través de tu clave OpenPGP y el servicio keyoxide.org, con casi todos los pasos ejecutados desde el entorno gráfico, minimizando el uso del terminal. Puede que contenga alguna incorrección pero es que los tutoriales que hay sobre el tema no me parecen sencillos.

La importancia de la verificación de cuentas

En estos momentos en los que parece acercarse el fin de Twitter y se está produciendo una migración masiva de esa plataforma centralizada hacia el Fediverso debemos reflexionar acerca de la importancia de la verificación de cuentas.

Una red social no puede pretender ser usada por personas famosas, influencers, políticos o empresas si no existe un método claro de verificación de cuentas. Incluso los usuarios que, permaneciendo anónimos, tienen varias cuentas en diferentes instancias del fediverso deberían usar algún método de verificación. En el fediverso tenemos el enorme problema de que cualquier usuario malintencionado puede crear perfiles suplantando la identidad de otro usuario, tantos perfiles como instancias hay, miles.

Mastodon ya permite la verificación de identidad si dispones de una web, tal y como se explica muy bien en estos tutoriales:

- Verificándose en Mastodon con Wordpress. Moribundo

- Verificarse en Mastodon. Notxor

Pero hay muchos otros servicios, Telegram, Twitter, Github, Gitea, y no todos los usuarios disponen de una web. Lo interesante sería que hubiera un sistema único para verificar sin la necesidad de disponer de una web o dominio, con Keyoxide es posible solucionarlo.

¿Cómo funciona Keyoxide?

Cuando creo una clave OpenPGP tengo la posibilidad de anotar como una "notation" en la clave pública los servicios en los que estoy registrado, puedo poner las diversas cuentas que tengo en el Fediverso, mi usuario de Telegram, Github o lo que quiera y publicar después esa clave en un servidor público de claves. Si en mi clave pública OpenPGP está incluída esa información y puedo incorporar un link a esa clave en los diversos servicios en los que estoy registrado estaré certificando que todas esas cuentas son de mi propiedad. Por lo tanto, si seguimos a alguien que dispone de una clave OpenPGP con "notations" y ha publicado los links correspondientes en cada servicio, tendremos la certeza de que seguimos a la misma persona. Keyoxide comprueba por ti que para cada "notation" de la clave pública alojada en el servidor público de claves hay un link a esa clave en el correspondiente perfil de usuario de cada servicio.

Se podría verificar tus cuentas manualmente poniendo en todos los servicios en los que tienes cuenta un listado del resto de servicios en los que estás, pero sería un lío, sobretodo para la persona que quiere verificar tus cuentas puesto que debería acceder a todas las webs de esos servicios para verificarlas.

Software necesario que debes instalar:

- En Linux, GPA

- En Windows, Gpg4win

Creación de tu clave OpenPGP con GPA

Accede a GPA y crea un nuevo par de claves OpenPGP siguiendo estos menús:

Windows
>Keyring Manager
>>Keys
>>>New Key

Rellena los datos, después te pedirá que crees una contraseña para la clave, y ya tendrás tu nueva clave, verás que aparece en la ventana del Keyring Manager.

Añadimos a tu clave las cuentas que quieres tener verificadas

Partimos de la clave recién creada, para un único usuario, sin tocar nada.

Accedemos al terminal de Linux (Ctrl+Alt+t) o a la línea de comandos de Windows (teclea cmd en el inicio de Windows)

Ahora tecleamos:

gpg --edit-key <dirección de email usada para crear la clave>
gpg>

Añadimos una "notation" en la que declaras tu usuario de un servicio, por ejemplo mi usuario de nixnet.services. Deberás comprobar el link para asegurarte si efectivamente dirige a tu usuario, puede variar ligeramente, en mi caso es una instancia de Pleroma.

Mira el apartado de "Service providers" en la web keyoxide.org, elige el servicio y ve concretamente al final, donde indica "…to an OpenPGP profile:", ahí tienes la sintaxis de la "notation" que debes poner.

https://docs.keyoxide.org/service-providers/

gpg> notation 
gpg> proof@ariadne.id=https://nixnet.social/users/sl1200
gpg> save

Puedes comprobar que tu notation está registrada en tu clave pública así:

gpg --edit-key <dirección de email usada para crear la clave>
gpg> showpref

Para borrar una notayion errónea, por ejemplo la que acabo de ingresar:

gpg --edit-key <dirección de email usada para crear la clave>
gpg> notation -proof@ariadne.id=https://nixnet.social/users/sl1200

Ve añadiendo el resto de notations de los servicios en los que tengas cuenta, con la sintaxis que te indican en keyoxide.org según hemos visto antes.

Añade un link en cada uno de los servicios que quieres verificar siguiendo las intrucciones del apartado "Create the proof" que encontrarás en https://docs.keyoxide.org/service-providers para cada servicio. Por ejemplo, en mastodon debes ponerlo en un campo de tu perfil de usuario, en tu dominio deberás incorporarlo en la configuración de las DNS como un registro TXT, en gitea deberás crear un repositorio y ponerlo en la descripción del mismo...

Subida de tu clave pública a un servidor público de claves.

Abre GPA, accede al listado de claves y pulsa con el botón derecho sobre tu clave recién creada, dale a la opción "export keys" y guarda el archivo.

Accede ahora con el navegador a keys.openpgp.org, selecciona la opción "upload", selecciona el archivo que acabas de crear y súbelo.

Desde el servidor de claves te mandarán un email de confirmación, accede al email y confírmalo. Como ves todo el proceso depende de la confirmación de un email, si es un email personal y no quieres publicarlo, crea uno que sólo uses para este propósito.

Ahora tu clave pública, no la privada, ya está publicada y al alcance de cualquiera, también de keyoxide para confirmar tus cuentas.

Y ya está, a partir de ahora cuando alguien quiera verificarte, pulsará sobre el link keyoxide que has puesto en cada servicio y le saldrá algo así:

https://keyoxide.org/hkp/7DC7ACE0B585D4337F753B8D134ED74582FCD9DE

Si quieres añadir un avatar a tu perfil, sigue estas instruciones, en mi caso me registré en libravatar.org:

https://docs.keyoxide.org/openpgp-profiles/avatar/

Problemas e incertidumbres sobre el uso de Keyoxide

- Dificultad para el usuario que no sea geek, no es muy fácil.

- Apenas hay servidores de claves, me preocupa que apenas haya unos pocos servidores públicos de claves, esta forma de verificación depende de esos servidores.

- Por ahora sólo parece haber un servidor que ofrezca Keyoxide, keyoxide.org.

This work by SL1200 is licensed under CC BY 4.0

◄ BACK

🏠 Home