kelamahan #nostr yang paling mendasar dan paling jelas adalah penggunaan single private key, artinya hanya ada 1 buah private key untuk identifikasi akun nostr. artinya seumur hidup user posting dsb, maka private keynya akan tetap sama. untuk pengguna jangka pendek tentu tidak akan jadi soal bila private keynya hilang atau kena bajak, tapi jadi persoalan kalau si user adalah pengguna nostr untuk jangka waktu lama / long term. karena identitas dan reputasi yang telah lama dia bangun akan jadi berantakan ketika private keynya hilang atau kena bajak.

memang untuk solusi instannya bisa menggunakan nip-05 (verified nostr id), tapi tetap saja hal ini merepotkan user. karena belum tentu followernya menyadari apakah akun yang bersangkutan masih ada centang nya atau tidak.

selain itu penggunaan private key tunggal untuk jangka panjang memiliki dampak negatif untuk privasi user. karena tracking dan harvesting data untuk tujuan negatif menjadi makin mudah, karena hanya melibatkan satu private key saja.

jadi entah apakah kelemahan / cacat yang fundamental ini memang disengaja atau tidak , disadari atau tidak oleh pencipta nostr, namun di kalangan akademik dan peneliti umumnya sebenarnya solusi untuk penggunakan kunci privat yang bisa dirotasi telah ditemukan sejak lama dalam dekade ini.

untuk keamanan, penggunaan kunci rotasi sudah sewajarnya adalah keharusan sejak awal, dan bukan menjadi opsi atau pilihan. keuntungan kunci private rotasi adalah apabila salah satu kunci private hilang atau kena bajak, maka kunci privat tersebut hanya berlaku untuk jangka waktu / timeframe tertentu saja, dengan kata lagi pembajak tidak dapat menggunakannya untuk jangka waktu panjang (long term).

#nostr #flaw

nostr:note1nqz78a07yfau5urutgg9kxj4jymja8ctnxljgqdddpjduef5k78qu4k923