6 etapas para ser verificado no Mastodon com chaves criptografadas
Obtenha a marca de seleção verde do Mastodon com PGP e Keyóxido.
O Mastodon permite que seus usuários façam a autoverificação. O método mais fácil de fazer isso é por meio de um link de verificação. Para verificação avançada, porém, você pode usar o poder das chaves criptografadas compartilhadas, às quais o Mastodon pode se vincular graças ao projeto de código aberto Keyóxido.
Instalar
A privacidade muito boa (PGP) é um padrão para criptografia de chave compartilhada. Todas as chaves PGP vêm em pares. Existe uma chave pública, para uso de qualquer pessoa no mundo, e uma chave secreta, para uso exclusivo de você. Qualquer pessoa com sua chave pública pode codificar dados para você e, uma vez criptografados, apenas sua chave secreta (à qual somente você tem acesso) pode decodificá-la novamente.
Se você ainda não possui um par de chaves, a primeira etapa para a verificação criptografada é gerar um.
Há muitas maneiras de gerar um par de chaves PGP, mas eu recomendo o pacote GnuPG de código aberto.
No Linux, o GnuPG já está instalado.
No Windows, baixe e instale o GPG4Win, que inclui o aplicativo de desktop Kleopatra.
No macOS, baixe e instale GPGTools.
1. Crie um par de chaves
Se você já possui um par de chaves GPG, pode pular esta etapa. Você não precisa criar uma chave exclusiva apenas para o Mastodon.
Para criar uma nova chave, você pode usar o aplicativo Kleopatra. Vá para o menu Arquivo e selecione Novo par de chaves. No Assistente de criação de par de chaves que aparece, clique em Criar um par de chaves OpenPGP pessoal. Insira seu nome e um endereço de e-mail válido e selecione a opção Proteger a chave gerada com uma senha. Clique em Criar para gerar seu par de chaves.
(Seth Kenlon, CC BY-SA 4.0)
Alternativamente, você pode usar o terminal:
$ gpg2 --full-generate-key
Siga as instruções até gerar um par de chaves.
2. Adicione notação
Agora que você tem uma chave, deve adicionar metadados especiais a ela. Esta etapa requer o uso do terminal (Powershell no Windows), mas é altamente interativo e não muito complexo.
Primeiro, dê uma olhada em sua chave secreta:
gpg2 --list-secret-keys
A saída exibe seu chaveiro GnuPG, contendo pelo menos uma chave secreta. Localize aquela que você deseja usar para o Mastodon (esta pode ser a única chave, se você acabou de criar a primeira hoje). Na saída, há uma longa string alfanumérica logo acima de uma linha que começa com uid
. Esse número longo é a impressão digital da sua chave. Aqui está um exemplo:
sec rsa4096 2022-11-17 [SC]
22420E443871CF4313B9E90D50C9169F563E50CF
uid [ultimate] Tux <tux@example.com>
ssb rsa4096 2022-11-17 [E]
A impressão digital desta chave de exemplo é 22420E443871CF4313B9E90D50C9169F563E50CF
. Selecione a impressão digital da sua chave com o mouse, clique com o botão direito e copie-a para a área de transferência. Depois copie-o para um documento em algum lugar, pois você vai precisar muito dele durante esse processo.
Agora você pode adicionar metadados à chave. Entre na interface do GnuPG usando o comando gpg2 --edit-key
junto com a impressão digital:
gpg2 --edit-key 22420E443871CF4313B9E90D50C9169F563E50CF
No prompt do GnuPG, selecione o ID do usuário (seu nome e endereço de e-mail) que deseja usar como método de verificação. Neste exemplo, há apenas um ID de usuário (uid [ultimate] Tux
), então esse é o ID de usuário 1:
gpg> uid 1
Designe este usuário como o usuário principal da chave:
gpg> primary
Para que o Keyóxido reconheça sua identidade Mastodon, você deve adicionar uma notação especial:
gpg> notation
Os metadados de notação, pelo menos neste contexto, são dados formatados de acordo com a especificação Ariadne. Os metadados começam com proof@ariadne.id=
e são seguidos pela URL da sua página de perfil do Mastodon.
Em um navegador da web, navegue até a página de perfil do Mastodon e copie o URL. Para mim, neste exemplo, o URL é https://example.com/@tux
, então insira a notação no prompt do GnuPG:
gpg> notation
Enter the notation: proof@ariadne.id=http://example.com/@tux
É isso. Digite save
para salvar e sair do GnuPG.
gpg> save
3. Exporte sua chave
Em seguida, exporte sua chave. Para fazer isso no Kleopatra, selecione sua chave e clique no botão Exportar na barra de ferramentas superior.
Alternativamente, você pode usar o terminal. Faça referência à sua chave pela impressão digital (eu disse que você a usaria muito):
gpg2 --armor --export \
22420E443871CF4313B9E90D50C9169F563E50CF > pubkey.asc
De qualquer forma, você acaba com uma chave pública terminando em .asc
. É sempre seguro distribuir sua chave pública. (É claro que você nunca distribuiria sua chave secreta porque ela é, como o próprio nome indica, destinada a ser secreta.)
4. Faça upload da sua chave
Abra seu navegador da web e navegue até keys.openpgp.org.
No site keys.openpgp.org, clique no link Fazer upload para fazer upload da sua chave exportada. Faça isso mesmo que você tenha uma chave GPG há anos e saiba tudo sobre a opção --send-key
. Esta é uma etapa única do processo Keyóxido, portanto, não a pule.
(Seth Kenlon, CC BY-SA 4.0)
Após o upload da sua chave, clique no botão Enviar e-mail de confirmação ao lado do seu endereço de e-mail para confirmar que você é o proprietário do e-mail ao qual sua chave afirma pertencer. Pode levar cerca de 15 minutos, mas quando você receber um e-mail do Openpgp.org, clique no link de confirmação para verificar seu e-mail.
5. Adicione sua chave ao Mastodon
Agora que tudo está configurado, você pode usar o Keyóxido como link de verificação para o Mastodon. Vá para a página do seu perfil do Mastodon e clique no link Editar perfil.
Na página Editar perfil, role para baixo até a seção Metadados do perfil. Digite PGP
(ou qualquer coisa que desejar) no campo Label. No campo Conteúdo, digite https://keyóxido.org/hkp/
e depois a impressão digital da sua chave. Para mim, neste exemplo, o URL completo é https://keyóxido.org/hkp/22420E443871CF4313B9E90D50C9169F563E50CF.
Clique no botão Salvar e retorne à página do seu perfil.
(Seth Kenlon, CC BY-SA 4.0)
Você pode clicar no link Keyóxido em seu perfil para ver a página de “perfil” do Keyóxido. Esta página é na verdade apenas uma renderização da chave GPG que você criou. O trabalho do Keyoxid é analisar sua chave e ser um destino válido quando você precisar vincular a ela (do Mastodon ou de qualquer outro serviço on-line).
6. Construa confiança
O antigo método de verificação do Twitter era opaco e exclusivo. Alguém em algum lugar alegou que alguém em outro lugar era realmente quem dizia ser. Não provou nada, a menos que você concorde em aceitar que em algum lugar existe uma rede confiável de confiança. A maioria das pessoas prefere acreditar nisso, porque o Twitter era uma grande corporação com muito em jogo, e relativamente poucas pessoas (das relativamente poucas que o receberam) reclamaram da precisão da marca de seleção azul do Twitter.
A verificação de código aberto é diferente. Está disponível para todos e prova tanto quanto a verificação do Twitter. Mas você pode fazer ainda melhor. Ao usar chaves criptografadas para verificação, você permite que seus colegas revisem sua identidade e assinem digitalmente sua chave PGP como uma prova de que você é quem afirma ser. É um método de construir uma rede de confiança, para que quando você vincular o Mastodon à sua chave PGP através do Keyóxido, as pessoas possam confiar que você é realmente o proprietário dessa chave digital. Também quero dizer que vários membros da comunidade conheceram você pessoalmente e assinaram sua chave.
Ajude a construir confiança on-line centrada no ser humano e use PGP e Keyóxido para verificar sua identidade. E se você me ver em uma conferência de tecnologia, vamos assinar as chaves!