וכעת, אפרט מה שחשבתי עליו.
פתרון ישן שאני משער שהועלה בעבר הוא שימוש בחתימות gpg. הבעיות בפתרון הן הדרישות הטכניות (בהנחה שאנחנו רוצים גם חברים “לא טכניים” בעמותה), וכן מודל האמון שמתבסס בסופו של דבר על מסיבות החלפת מפתחות.
לאחרונה שיחקתי קצת עם שרות keybase.io, ואני מוצא שהוא נותן מענה לבעיות האלה.
למי שלא מכיר, חשוב לי להסביר כאן, מכיוון ש- keybase הוא הרבה דברים, ומרוב עצים יכול להיות קשה לראות את היער. השרותים שהם מתמקדים בהם כשהם משווקים את עצמם (בעיקר צ’אט מוצפן), הם לא השרות המרכזי שלהם בעיני.
מבחינתי הפיתוח המרכזי שלהם הוא מודל אמון - עץ חתימות PGP וכמה פרוטוקולים הקשורים בו, שמאפשרים את אוסף השרותים שלהם: זיהוי מכשירים וביטולם, זיהוי (וביטול) דיגיטלי של חשבונות ברשתות חברתיות, צ’אט מוצפן, הצפנה/חתימה/וידוא של טקסטים, שיתוף קבצים, ניהול צוותים ועוד…
לא חייבים לסמוך על keybase עצמה (היא נותנת אינדקס נוח, שמות משתמש ושרותים נוספים, אבל אפילו שרשרת החתימות מגובה ב- stellar blockchain אם איני טועה). אפשר גם לוודא את כל החתימות בעזרת gpg מבלי להתקין את האפליקציה שלהם.
ביישום מינימליסטי העמותה יכולה להחזיק פשוט רשימה של מפתח ציבורי מוכר לכל חבר. מי שרוצה ינהל המפתחות בעצמו, ומי שמתקשה פשוט יתקין אפליקצית keybase, ויתקשר לעמותה (או יגיע פיזית) לזהות את המשתמש שלו.
האפליקציה מאפשרת למשתמש חדש “לקשר” את הזהויות הדיגיטליות שלו (מייל, טויטר, גיטהאב, רדיט, מסטודון ועוד) ע"י שליחה של הודעה מתוכם, חתומה במפתח keybase שלו.
אם יש צורך לוידוא אישי ע"י העמותה - אפשר לעלות מולו בשיחת וידאו, לבקש שיקריא מהאפליקציה את החתימה, שיציג תעודת זהות, ישלח מספר כרטיס אשראי בצ’אט המוצפן או כל דבר אחר.
אם מאמצים את זה בצורה נרחבת יותר, אפשר לנצל פיצ’רים נוספים - בפרט יצירה וניהול של “צוותים” - זה יכול לשמש לניהול פרויקטים, יצירה/ביטול אוטומטיים של מפתחות ssh לשרתים וכו’.
באופן מינימליסטי, הצבעות אפשר לבצע כך גם במייל - ההצבעה נפתחת ע"י שיגור token למצביעים, והם מחזירים אותו יחד עם הצבעתם, במייל שהוא לא רק מכתובת מוכרת אלא גם חתום דיגיטלית במפתח המוכר שלהם.
אם רוצים משהו מתוחכם יותר, אפשר לנצל את התשתיות של keybase לפיתוחים נוספים (למשל בוטים בצ’אט).
אגב, גם כרטיסים חכמים שמשתמשים במפתחות pgp יכולים לשמש לזיהוי באותה השיטה (דרך keybase, gpg או כל תוכנה תומכת). אולי זה רלוונטי מבחינת החוק ואולי לא.