そうそう。マストドンの最大の弱点はこのDMの扱い。
マストドンのDMは暗号化されていないし、自分の所属するサーバーだけではなく、相手先のサーバーにも平文で記録される。
これがなんとかならないかと思って「巨象の肩に乗って」を書き始めた。
もちろん小説書いたってE2E暗号ができるわけじゃないんだけど、暗号が何をしてるのかを知ることはできた。
読んだ人に少しなりと伝わったなら幸い。
仮に暗号化してサーバーで鍵を管理しても、管理人は中を読むことができてしまうんだ。
マストドンのDMを暗号化するためには、秘密鍵をアプリやWebクライアントが持たなければならない。
アプリはともかくWebクライアントで鍵を作り、管理してE2E暗号ができればOAuth以来の発明になると個人的には考えています。
@taiyo クライアントで鍵対を生成して安全に(サーバ管理者に知られず)交換するプロトコルは実用化されてますが、Mastodonではクライアントの実装が無いため無効化されてます。ブラウザで鍵対を生成する場合は利用者から見て鍵が漏れているかどうか判別しづらいという問題もありそう。
巨象の肩に乗ってみたかった - Qiita https://qiita.com/zunda/items/b12999c1fc939bf51ae2#mastodon%E3%81%AEe2ee-api-%E8%BF%BD%E8%A3%9C
@zundan そうでしたそうでした!一回入ってたのをすっかり忘れてました。
@zundan それこそコールドウォレットに入れとく案件だと思うんですけどね。eth界隈はこういうところに目を向けない。
@taiyo うーん…私有鍵のやり取りはブロックチェーン経由ではできないし、メッセージを閲覧するときに私有鍵が必要なのでコールドウォレットに格納しておくのはあまり実用的ではないように見えます。
@zundan ああ、確かにそうですね。