Conversation

Notices

Embed this notice
ふぁみ (fami@ktnfm.com)'s status on Friday, 28-Jul-2023 17:13:01 JST ふぁみ

これは私の脳死で発言してる内容なんだけど、じゃあ秘密鍵の再生成を行ってリモートサーバーへのリクエスト発行って、方法もよくわからない（そもそもAPに秘密鍵再発行リクエストがあるの知らなかった。あるの？）しそれ専用にスクリプトを書くなりしないとならんからめんどくさすぎる
なんかもうちょっと現実的に守る方法はないものかね

（多分今まではパスワードのハッシュだから別に警察に見られてもよかったのかなあとか思ったり思わなかったり）

RE: https://fedibird.com/users/noellabo/statuses/110790545962213197
In conversation Friday, 28-Jul-2023 17:13:01 JST from ktnfm.com permalink
Attachments
1. Domain not in remote thumbnail source whitelist: s3.fedibird.com
  
  のえる (@noellabo@fedibird.com)
  
  from のえる
  
  Mastodonの公開サーバを運営していると、警察の照会や捜査・押収の対象になることはあります。（もちろんMisskeyも同様です）この際、正当な要請であれば捜査に協力します。法的根拠を求めて不当な捜査には抵抗しますが、まぁ強制捜査だとなんともならないことが考えられるので、提供可能な情報は提供されうると考えてください。 Mastodonはほとんど個人のデータを保持していないので、通常の捜査協力ではアクセス日時の裏付けや直近のIPアドレスの確認ぐらいしか提供できる情報はないのですが、仮にデータベースを持って行かれた場合は、投稿データまるごとに加え、各アカウントの秘密鍵という重要情報が奪われる危険があります。死守したいところです。 VPSはまだしも、自宅サーバが物理で押収しやすいの、ちょっと怖いですね。当局側が技術に明るければ、という条件付きではありますが、この秘密鍵と発信元ドメインをおさえられると、アカウントの乗っ取りが可能になってきます。大げさなようですが、クーデター・テロ対応など、事案によってはあり得るかもしれません。なお、サーバが動いている状態、あるいは返却されれば、秘密鍵の再生成を行ってリモートサーバに差し替えリクエストを発行することで古い秘密鍵を無効にすることはできます。
- Embed this notice
  のえる (noellabo@fedibird.com)'s status on Friday, 28-Jul-2023 17:13:01 JST のえる
  in reply to
  - かき@GNUsocialJP
  @fami tootctlっていう管理コマンドに鍵の差し替え専用のコマンドがあるので、手順自体は簡単だよ。
  
  In conversation Friday, 28-Jul-2023 17:13:01 JST permalink

Public

Conversation

Notices

Feeds