- ENTRADA 032 -
Verificando con Keyoxide
¿Otra vez Melita Norwood ha hecho una filtracion?
Si señor, debemos empezar a verificar nuestros datos.
--- Fecha: vie 28 jul 2023 18:36:48 CET
Webs de referencia:
https://docs.keyoxide.org/service-providers/activitypub/
Keyoxide es un servicio de verificación de servicios. Es útil para verificar que un servicio te pertenece realmente, y que alguien con malas intenciones no pueda clonar tu servicio y hacerse pasar por ti.
Keyoxide puede funcionar de varias maneras, pero lo más recomendable es usar el sistema de claves GPG.
Puedes aprender qué es y cómo usarlo en el siguiente curso GPG
Suponiendo que ya tengas tu par de claves creadas y funcionales, paso a explicar cómo usarla para verificarnos en Mastodon y Akkoma
Hacer notacion en gpg:
Debemos hacer un par de "notaciones" añadiendo unas líneas (cambia miclave@servidor.com por tus datos):
gpg --edit-key miclave@servidor.com gpg> notation proof@ariadne.id=https://hispagatos.space/users/moribundo gpg> notation proof@ariadne.id=https://fe.disroot.org/users/linuxzx80 gpg> save
¿Qué son esas líneas? Es la forma de decirle más tarde a keyoxide que tienes cuenta en Mastodon y Akkoma (en mi caso) y que quieres verificarlas.
SIEMPRE las entradas de verificación mediante keyoxide han de empezar con "proof@ariadne.id=" porque es el método de verificacion que usa.
Asegurate de que gpg las ha guardado bien:
gpg --edit-key miclave@servidor.com gpg> showpref
-- NOTA:-- Aunque la URL para entrar a mi usuario es https://hispagatos.space/@moribundo, keyoxide se lía con la @ del nombre de usuario, por lo que hay que especificarlo con las URL anteriores
Subir la clave a keys.openpgp.org
Exportamos la clave a un archivo mediante shell o gpa:
gpg -a --export miclave@servidor.com > miclave
Subimos el archivo "miclave" a <https://keys.openpgp.org> para que keyoxide pueda usarla.
En mastodon/akkoma/pleroma...
Ahora vas a decirle a Mastodon y a los demás que tienes una clave pública gpg y que keyoxide va a ir a buscarla para verificarla:
1. Logueate en tu cuenta y edita el perfil
2. En Mastodon, añadir un nuevo ítem debajo de los metadatos del perfil con una etiqueta que quieras, del estilo verificación, keyoxide, gpg, etc. El valor debe ser el proof en el siguiente formato:
https://keyoxide.org/1AEA5BD1E5CE1DA3E6F1E5F9CCB6788E959564E1
3. Para Akkoma/Pleroma, añadir el proof a tu "About me" o sección de biografía
-- NOTA:-- Cambia ese número tan largo, el ID, por el tuyo, que es el fingerprint de tu clave GPG
Si ahora vas a un navegador de internet como Firefox y tecleas de nuevo https://keyoxide.org/1AEA5BD1E5CE1DA3E6F1E5F9CCB6788E959564E1 y todo ha ido bien, aparecerán aspas verdes dando la verificación por buena.
¿Qué es lo que ha pasado?
Nuestra clave pública gpg lleva mucha información: nuestro nombre, el correo asociado, los comentarios que hayamos puesto (opcional), las notaciones, etc. Al subir la clave a un servidor de claves, toda esa info está ahí, disponible para todo el mundo, incluido servicios de verificación como keyoxide.
De la misma manera que si accedemos a cualquier servidor de claves y tecleamos el ID de nuestra clave el servidor nos devuelve toda esa información, lo mismo hace keyoxide, pero de forma más completa, es decir, cuando tecleamos nuestro ID en keyoxide en formato "https://keyoxide.org/mi_ID" se va a buscar la info, ve que hay notaciones que apuntan a servicios (en mi caso Mastodon y Akkoma), verifica que el ID que aparece en Mastodon y Akkoma son el mismo que el que existe en el servidor de claves, y si coinciden, te da por verificada la cuenta. Así de fácil y de difícil si no estás muy acostumbrada a usar gpg.
Tags #keyoxide #verificación
/blog/