aeris ☣ 🇫🇷 @aeris

Entre les gens pour qui la crypto et eux font 42, « c’est quoi ton pseudo ? voilà c’est certifié » sans vérifier la clef publique.
À l’opposé, les « je ne te connais pas assez bien pour te certifier » (et qui bug sur le BIEN).
Et le moment ultime du « comment s’assurer que la personne en face n’a pas déjà un compte » (hint : c’est impossible).
J’ai vaguement l’impression que c’est un peu YOLO pour le moment tout ça 😂

@aeris j'en avais déjà parlé avec des devs de Duniter, et leur position était « c'est trop compliqué de se présenter à la communauté sous plusieurs identités, quelqu'un va s'en rendre compte ! » 🤷
Je ne suis pas très convaincu…

@Thib @aeris
Pour les probabilités de détection de double compte, je laisse les explications à @elois

@Thib J’en ai parlé hier, et ayant eu plusieurs identités dans ma vie, je peux te confirmer que c’est « simple » de s’en faire plusieurs.

@aeris @Thib
oui c'est simple de faire plusieurs identités, mais est-ce simple de les faire certifier par 5 membres...

@vincentux @Thib Si je vais dans 5 ou 6 villes différentes (voire pays différents), ça me semble assez faisable quand même…

@Thib @vincentux Tes 5 certifs, tu peux les choper en 1 évènement.
Si tu n’as pas une tête super connue, il est assez peu probable qu’une personne à Brest te croise à Marseille…

@aeris @Thib @vincentux D'ou le "certifiez des gens que vous connaissez", les signing party duniter c'est assez différent des signing party GPG

@inso @aeris @vincentux ça amène aussi au fait que la WoT est alors un graphe social public assez détaillé, ce qui me pose un peu problème, perso.

(Oui, c'est pire qu'avec le modèle PGP, dans lequel la confiance et la vérification d'identité sont décorrélées, avec la confiance généralement totalement privée et locale, et où la vérification n'est pas systématiquement publique)

@Thib @aeris @vincentux
Pour le graphe social public, l'usage de pseudonyme limite les effets négatifs.
Après il n'y a pas de notion d'identité unique dans PGP. Ce ne sont pas les mêmes contraintes.

D'ailleurs le terme de WoT pour Duniter est un peu limité - c'est plus une toile de reconnaissance d'identité qu'une toile de confiance à la PGP.

@inso @aeris @vincentux oui enfin, tout le monde (dans le réseau) doit te connaître sous ce pseudonyme pour éviter les double-comptes 😉️

Il y a quand même une notion de confiance dans la WoT de Duniter : tu signifie avoir confiance en le fait que la personne certifiée a lu la licence G1 et la respecte.

@Thib @aeris @vincentux
Non, tes certifieurs doivent te connaître sous ce pseudo. La toile, ce n'est pas nécessaire. Elle peut même ne pas te connaître du tout :)

@inso @Thib @vincentux Il y a alors un problème de bootstrap. En tout cas à l’heure actuelle.
Trop peu de membres sont en capacité de me connaître sous ce pseudo…
Je galère déjà à obtenir mes certifications alors que le niveau de connaissance de ma personne me semble bien faible.

@vincentux @Thib @inso (Et encore, j’avais de la chance je pense, hier à la réunion mensuelle francilienne, sur la 20aine de présent, un connaissait mon blog 😋)

@aeris @Thib @vincentux Oui, c'est le problème majeur à l'heure actuel, le bootstrap. Ce qui fait que c'est très compliqué à initialiser. Après la croissance étant (supposée) exponentielle, le problème serait de moins en moins là. Il y a probablement un palier à franchir...

@aeris @inso @Thib @vincentux C'est en effet compliqué de devenir membre sans révéler son identité. Une option est que tu deviennes membre avec ton identité réelle, que tu crées un compte portefeuille pour ton pseudo, et que tu reverses ton DU du compte membre vers le portefeuille (en passant éventuellement par un mélangeur).

@brab @aeris @inso @vincentux y a du coup plus ou moins moyen (en utilisant un tiers de confiance…) de décorréler tes dépenses de ton identité, mais le « graphe social » reste publique.

@inso @aeris @vincentux comment vérifient-ils que tu n'es pas déjà dans la toile ?

@Thib @aeris @vincentux Tes certifieurs te connaissant bien, on peut supposer qu'ils connaissent ton vrai nom et ton pseudo. Mais seul ton pseudo est public dans la toile.

@inso @Thib @vincentux Je met au défi mes 3 certifieurs actuels de donner mon vrai nom. Y’en a même un qui n’avait aucune idée de qui j’étais 10min avant la certification.

@brab @inso @Thib @vincentux Ben en même temps, l’intersection de l’ensemble des personnes capables de me certifier et de celles capable de citer mon identité sans note, ça doit franchement tendre assez rapidement vers Ø…

@aeris @brab @Thib @vincentux Oui, la période de bootstrap est la plus sensible et compliquée. Une fois la WoT construite, ce n'est plus censé se faire comme ça. Mais en attendant, effectivement, certains sont plus à même de vouloir aller "trop vite". La construction de la WoT c'est un travail qui se fait dans le temps long...

@inso @brab @Thib @vincentux Wé sauf que les certifs’ ont un TTL de 2 mois seulement 😋

@aeris @brab @Thib @vincentux Ca c'est pour l'antispam :) Du côté des humains, les certifs peuvent être réémisent quand ils veulent, puisqu'ils se connaissent :)

@inso @brab @Thib @vincentux Oui sauf que tout se retrouve aussi engorger parce que tu as aussi un TTL entre 2 certifs…

@vincentux @Thib @brab @inso C’est un véritable merdier actuellement. T’en arrives à devoir faire des promesses de certifs et à devoir contacter tes 5 certifieurs potentiels à la mimine pour faire une grosse synchro parce que tu n’as aucun moyen de savoir l’état de leur queue de certification.

@aeris
C'est clair que c'est compliqué, et c'est d'autant plus compliqué que le nombre de personnes certifiées est faible. Il y aura certainement des gens avec plusieurs comptes, mais tant que cela reste à la marge, ce n'est pas grave.

@aeris
Qu'est ce que tu entends par "qui bug sur le #define" ?
Sinon oui, pour beaucoup d'utilisateurs, Duniter est un gigantesque vulgarisateur de la crypto, faut leur apprendre .. c'est bien pour ça qu'on conseil aux membres de ne certifier qu'en groupe pour le moment.

@inso Ben personne n’était forcément d’accord sur la notion de « bien connaître » 😋

@aeris @inso le principal c'est qu'on puisse s'assurer que t'es une personne unique, vivante, et qu'on pourra te contacter facilement par la suite, c'est pourtant pas très difficile ... Moi je te connais pas, mais je te connais bien :)

@aeris @inso C'est effectivement une estimation personnelle. Qui peut même évoluer avec le temps…

@aeris
Mais tu me fais penser à une excellente idée - une UX qui étape par étape vérifie l'application de la licence... ( Cf le protocole décrit dans la licence duniter.org/fr/files/licence_g )

@aeris Il faut, au moins, 5 certifications pour devenir membre. Sur ces 5 personnes il doit bien en avoir une qui est sensible à la sécurité. il est impossible de vérifier si quelqu'un possède plusieurs comptes certifiés. Seul la confiance permet cela d'où l’importance de certifier des personnes que l'on connaît.