Mastodon Konto verifizieren mit GPG
Di, 6. Dezember 2022, Lioh Möller
Das Verifizieren eines Mastodon-Kontos mittels Crosslinks ist relativ trivial und wurde von uns bereits im Detail beschrieben.
Einen etwas anderen und umfangreicheren Ansatz bietet das Projekt Keyoxide zur Etablierung einer dezentralen Online-Identität.
Voraussetzung ist ein entsprechend vorbereiteter GPG Key, dessen Erstellung beziehungsweise Anpassungen im Folgenden beschrieben wird.
Sollte bisher noch kein GPG zum Einsatz kommen, kann ein neues Schlüsselpaar auf der Kommandozeile wie folgt erstellt werden:
gpg2 --full-generate-key
Es öffnet sich ein textbasierter Assistent, der durch die notwendigen Schritte leitet. Empfohlen wird aktuell ein RSA-Schlüssel mit 4096 Bit Länge. Darüber hinaus kann bei Bedarf ein Ablaufdatum gesetzt werden. Der voreingestellte Wert 0 stellt sicher, dass der Schlüssel dauerhaft seine Gültigkeit behält.
Daraufhin muss eine sogenannte Notation zum erzeugten Schlüssel hinzugefügt werden. Dabei handelt es sich um Metadaten, welche von Keyoxide interpretiert werden können.
Mit dem Befehl gpg2 --list-secret-keys können alle vorhandenen Schlüssel aufgelistet werden:
gpg2 --list-secret-keys
/home/lmoeller/.gnupg/pubring.kbx
---------------------------------
sec rsa4096 2022-12-06 [SC]
52F74B3E4D89620EB13681BC2C46865632B5AF80
uid [ ultimativ ] Lioh Möller <user@domain.tld>
ssb rsa4096 2022-12-06 [E]
Für die weitere Verwendung sollte der sogenannte Fingerprint notiert werden. In obigen Beispiel wäre dies: 52F74B3E4D89620EB13681BC2C46865632B5AF80
Nach dem Ermitteln dieser Informationen kann der Schlüssel bearbeitet werden, wobei der Fingerprint durch den eigenen zuvor ermittelten Wert ersetzt werden muss:
gpg2 --edit-key 52F74B3E4D89620EB13681BC2C46865632B5AF80Daraufhin können im interaktiven Modus unter Angabe von notation die Metadaten hinzugefügt werden.
gpg> notation
Enter the notation: proof@ariadne.id=https://social.anoxinon.de/@LiohDie Formatierung erfolgt anhand der Ariadne Spezifikation und beginnt mit proof@ariadne.id= gefolgt von der eigenen Mastodon-Profilurl. Diese muss zwingend mit führendem http beziehungsweise https angegeben werden. Weitere Informationen finden sich in der ActivityPub Serviceprovider Dokumentation von Keyoxide.
Mittels save können die Änderungen gespeichert werden:
gpg> saveAbschliessend kann der so modifizierte Publickey exportiert werden:
gpg2 --armor --export \
52F74B3E4D89620EB13681BC2C46865632B5AF80 > pubkey.ascDie so erstellte Schlüsseldatei pubkey.asc lässt sich nun auf den Keyserver keys.openpgp.org hochladen, welcher bei Keyoxide für Abfragen zum Einsatz kommt.
Hinweis: Dabei ist es wichtig, dass die im Schlüssel angegebene E-Mail-Adresse verifiziert wird, da andernfalls Keyoxide die Schlüssel nicht einbindet.
Sobald dieser Vorgang erfolgreich abgeschlossen wurde, sollte der Key mittels hkp über Keyoxide aufgelistet werden: https://keyoxide.org/hkp/52F74B3E4D89620EB13681BC2C46865632B5AF80 - der letzte Teil der url entspricht dabei dem Fingerprint des Schlüssels und muss an die eigenen Gegebenheiten angepasst werden.
Die so generierte Keyoxide URL mit den korrekten ActivityPub Metadaten kann in den Mastodon Profileinstellungen angegeben werden. Als Bezeichnung kann beispielsweise GPG hinterlegt werden:
Wurden alle Schritte erfolgreich durchgeführt, wird die Keyoxide URL im Mastodon-Profil als verifiziert angezeigt.
Falls es bei der Einrichtung zu Fehlern kommen sollte, kann beispielsweise der Befehl gpg --list-packets unter Angabe der Schlüsseldatei (Beispiel: pubkey.asc) zur Analyse genutzt werden.
