開一串來筆記一下對於Mastadon資訊安全的了解。我還沒有深入研究Mastodon及ActivityPub,以下都是基於粗淺了解的想法,很可能有謬誤的地方。
首先,Mastodon的核心概念以及強項是去中心化,而不是資訊安全。任何人只要有一些資訊能力以及一些預算,都可以自己架設站點。沒有任何公司、國家可以完整的下架或控制Mastodon。比方說Twitter可以封禁川普,但如果川普選擇請人自架Mastodon的話是很難被封禁的。
然而,Mastodon單純在資訊安全方面我認為是不如Twitter、Facebook等由大公司營運的中心化群網站。這可以分成幾點討論
1. 系統安全
2. 資料安全(站點及管理者可獲取的資料權限)
3. (點對點)加密
4. 敏感內容過濾(嚴格上不算資訊安全)
此外應該還有很多方面可以討論...
先休息一下但還有更多可以講的...
@mrbigcat 很豐富,也幫助我這個剛進Mastodon的用戶對於Mastodon 有更深一層的認識。
嚴格加密就像是要進入 web3 了吧,可以利用區塊鏈錢包的助記詞作為個人私鑰,進而註冊成為任一實體的會員,就像是現在 matters.news 在做的事情一樣。
也許最近的加密貨幣風波會讓更多人瞭解如何正確地保管這串堪比生命還重要的十幾個單字,後續也讓許多服務提供者接受以私鑰註冊帳號。
不過何謂「正確地」保管私鑰,我覺得可以寫一大篇論文了….
或是乾脆就引用指紋解鎖或是面容解鎖等生物特徵。
助記詞與私鑰:是的,對點對加密需要非對稱金鑰。我們可以想出一些簡單的設計:使用註記詞產生金鑰,或系統自動產生金鑰但允許使用者自行備份。這些技術遠早於區塊鏈存在(雖然使用註記詞為種子應該是隨區塊鏈而普及)
指紋解鎖或是面容解鎖:使用生物特徵解鎖一直不是精確的方法,需要有一定程度的容錯率。比方說,你無法把一個人的臉部特徵穩定地對應到一個256 bits的hash value並滿足不可逆性。這使得生物特徵可以作為本機解鎖的手段之一,但無法獨立成為保管(確保安全性+降低丟絲可能性)方法。
