J'ai donc tenté le coup, pour faire du #GPGeverywhere - et je suis confronté à 3 problèmes que je pense ne pas pouvoir résoudre pour Mastodon:
- je dois garder le message chiffré 2 fois (une pour le destinataire, une pour le receveur)
- je déborde largement le nombre de caractères
- c'est encore plus compliqué pour une discussion à plusieurs
Mais… J'ai eu quelques idées...
Stocker ailleurs les messages, on s'en fout puisque c'est chiffré. Mais le souci, c'est de savoir "où". Et donc on exporterait les conversations en dehors des instances. C'est non pour moi.
Alors est-ce que mon idée est abandonnée: non - ça pourra servir quand même. J'ai aussi une autre astuce, mais ça demanderai beaucoup d'opérations pour l'utilisateur.
En gros, je continue de creuser.
Il est évident que le mieux serait que Masoton (ou les autres RS) chiffrent directement les messages privés. C'est une évidence. Mon extension, elle, propose de chiffrer n'importe quel champs à destination d'un correspondant qui propose sa clef publique. C'est donc jouable pour des petits messages, et pour seulement "un correspondant", en acceptant aussi que vous perdiez votre message. Pourquoi ? ==>
Tout simplement parce que quand on chiffre, on le fait pour un correspondant avec sa clef publique. Du coup, vous, vous ne pouvez plus déchiffrer le message, vous pourrez en revanche déchiffrer la réponse. D'où le souci de devoir garder votre message quelque part, et ça, c'est chaud... Bref, c'est pas si évident. Si vous avez des idées, on peut en parler.
PS: Mailvelope le fait sur gmail, et ils passent par des iframes
Mailvelope utilise un système simple, comme le fait Thunderbird, de "copie de message" dans votre boite d'envoi. En gros, le message que vous avez envoyé est chiffré avec:
- la clef du correspondant, puis est envoyé
- votre clef, et est stocké ensuite dans votre boite à vous
Ça fonctionne, mais parce qu'avec les mails, c'est un peu plus large en possibilités.
Avec des RS, c'est plus restreint... On est, techniquement, à l'étroit.
@metal3d C'est peut être tout simplement qu'il ne faut pas utiliser un réseau social pour des messages sensibles ?
Notamment, de ne pas envoyer le message tel quel, mais sous forme compressée en QRCode, mon extension navigateur est capable de lire et de demander le mot de passe de votre clef pour déchiffrer localement le message.
Par contre, on alourdis fortement la taille de stockage...
Autre idée...