• Identität
• Geld
• Content
• Zugang
• Sichtbarkeit
• Resümee

Im letzten Artikel “Wie zensursicher ist Nostr” haben wir analysiert dass Nostr wesentlich zensursicherer ist als Plattformen wie Substack, aber nicht absolut zensursicher per se. Der Sicherheitslevel hängt von zahlreichen Einstellungen des Nutzers ab, und heute wollen wir detaillierter untersuchen wie er Richtung 100% erhöht werden kann. Jedes System-Design basiert auf Prinzipien, deshalb sollen die zuerst erörtert werden.

Für das angestrebte Ziel wird der englische Begriff “permissionless” verwendet, auf deutsch “ohne Zustimmung”, wofür man auch das Synonym “Selbstbestimmung” verwenden kann. Es geht um die vollständige Kontrolle aller für das Ergebnis relevanten Aspekte, d.h. Content, Identität, Geld und Systemzugang. Alle “single points of failure” im System müssen dafür eliminiert werden.

permissionless bedeutet keine Nutzung von Konten (Username / Password). Konten sind fremdverwaltete Identitäten, sie können eingeschränkt, gesperrt und gehackt werden. Nostr bietet eine selbstverwaltete Identität (SSI) mit einem Schlüsselpaar (nsec / npub). Die Nutzung von Konten ist ein “single point of failure” und widerspricht der Nostr-Philosophie.

openness bedeutet ausschließlich Open Source Software zu verwenden, egal ob Client, Signer oder Relay. Nur so kann man sicherstellen dass es durch die Software im Zuge der Datenverarbeitung nicht zu unerwünschten Aktivitäten kommt.

Redundanz schafft Optionalität und Ausfallsicherheit, dafür ist strikte Einhaltung von Standards notwendig (Nostr, Blossom, Lightning, Cashu, RSS, Podcasting 2.0, etc.). Alle Daten werden redundant gespeichert, für deren Bearbeitung können jeweils verschiedene Apps verwendet werden. Im Gegensatz zu den BigTech-Silos hat Nostr einen datenzentrischen Ansatz, statt einer Everything-App wird das Prinzip von zahlreichen Mini-Apps verfolgt, die sich auf bestimmte Anwendungsbereiche fokussieren (Chat, Groups, Blog, Bild, Audio, Video, etc.).

§Identität

Der öffentlichen Schlüssel @Roland ist der eindeutige Identifier für jedes Nostr-Profil, alle Assets sind damit verknüpft, man kann ihn per Suche finden. Da er aber für Austausch und Erinnerung etwas unpraktisch ist, kann man dem npub einen oder MEHRERE!!! lesbare Nostr-Namen (NIP-05 Identifier) zuweisen (roland@pareto.space). Ein kurzer Test zeigt das Prinzip:

GET https://pareto.town/.well-known/nostr.json?name=michael_meyen {“names”:{“michael_meyen”:“044da3442a54bd55202b66ca0c4f5fd58cbb158b67f2fb067cc0467c073a8a0e”},“relays”:{“044da3442a54bd55202b66ca0c4f5fd58cbb158b67f2fb067cc0467c073a8a0e”:[“wss://nostr.pareto.space”,“wss://pareto.nostr1.com”]}}

Wir sehen den npub (im hex-Format) sowie Outbox-Relays mit den Daten des Users (es sollten ein paar mehr sein). Da der User in aller Regel nicht die Kontrolle über den Domainserver hat, kann mit der Identität viel Unerfreuliches passieren (siehe Angriffsvektoren). Generell gilt es Klumpenrisiken zu vermeiden, also Nostr-Adresse, Lightning-Adresse, Mediadaten, etc. bei einem Anbieter zu bündeln.

Empfehlung:

a. für Besitzer einer eigenen Domäne ist die Selbstverwaltung die sicherste Option, die relativ einfach einzurichten ist. Ein Eintrag (z.B. Michael) in die Datei https://freie-medienakademie.de/.well-known/nostr.json und fertig ist die eigene Identität.
Mehr Details hier: https://thebitcoinmanual.com/articles/nostr-account-nip-05-verified/

b. wer keine eigene Domäne hat, dem hilft die Redundanz, also mehrere Namen anlegen und im Falle von Problemen umswitchen. Hier sind einige geeignete Anbieter dafür, der Name trägt dann den jeweiligen Anbieter-Suffix (manche bieten mehrere Optionen)

https://zaps.lol free, mit zusätzlicher Lightning-Adresse → daher mein Favorit
https://nostradress.com free
https://nostrplebs.com paid (15k sats)

§Geld

Die Zahlung von Services mit Fiat-Money ist weder sicher noch anonym, selbes gilt für den Empfang von Spenden (zaps). Daher sind in Nostr innovative Zahlungsmethoden mit Lightning und eCash integraler Betandteil. Micro-Payments in Echtzeit und praktisch ohne Kosten sind nur damit möglich, ebenso wie Zaps-Splits, Zap-Streaming, Subscriptions und die (antiquierten) Paywalls. Lightning und eCash sind programmable Internet-Money, damit ist nichts unmöglich, und wir stehen erst am Anfang der Entwicklung. Für die Nutzung in Nostr benötigt man eine Lightning-Wallet und eine Wallet-Adresse (LUD-16), die nur wenige Wallets bieten.

Empfehlung:

• WalletofSatoshi ist ein einfaches und sicheres Wallet (wenn man die self custody Option wählt)

• https://zaps.lol bietet eine gleichlautende Adresse für Nostr und Lightning, das ist praktisch (als Weiterleitung auf die WoS)

• die Lightning-Adresse (LUD-16) im Profil ermöglichst den Empfang von Spenden (zaps).

• für die Verwendung (Payments) eines Wallets in diversen Apps empfiehlt sich Nostr Wallet Connect (NWC)

NO-GO!! Nutzung der integrierten Wallets in Primal, Yakihonne, Damus, Iris u.a.

§Content

Als nicht zensierbar können folgende Inhalte betrachtet werden

• Chats

• Blogartikel

• Kommentare

• Reaktionen (Likes)

• Zaps (Spenden in sats)

• der Social Graph (Follower, Follows)

• die Identität (mit Ausnahme von Nostr-Adresse und Lightning-Adresse)

Als nicht sicher per se sind alle Mediadaten zu betrachten

Bilder

unsicher: sind alle Bilder mit einem Locator (URL)

sicherer: sind alle Bilder mit einem Identifier (URI), gemäß NIP-96 Blossom-Standard

sehr sicher: sind alle Bilder die auf mehreren Mediastores gespeichert sind → Mirroring
(die Mirrors werden automatisch aktiviert, wenn der primäre Server ausfällt)

Empfehlung:
Storage, Management + autom. Mirror
https://primal.net/settings/uploads im free Plan (1 GB Media Storage) Storage
Management + man. Mirror
https://nostria.app/collections/media ?? GB im free Plan / 2 GB bei Premium für 10 USD pro Monat
nur Storage
https://nostrmedia.com/#plan ab 2,99 USD pro Monat

Audio (Podcasts und Musik on demand → kein live Radio)

unsicher: sind alle Audiodateien mit einem Locator (URL)

sicherer: sind alle Audiodateien mit einem Identifier im Podcast Index (4.6 Mio Shows)
Radio München → statt Soundcloud https://podcastindex.org/podcast/2133609?episode=45439654626
RBM → statt Podbean https://podcastindex.org/podcast/5754941?episode=49654117072

(Konzept: mehrere Hoster mit Spiegelung → Fallback durch Änderung von Einträgen im Podcast Index)

am sichersten: mit Podcasting 2.0 https://podcasting2.org/
(Hosting bei RSS.com, Fountain, Captivate, Spreaker)

Empfehlung:

Step 1 - Eintrag im Podcast Index und redundante Speicherung bei mindestens 2 Hostern

Step 2 - Hosting bei Anbietern nach Podcasting 2.0 Standard

Hinweis: es gibt derzeit einige interessante Entwicklungen, deshalb wird das Thema in Kürze in einem weiteren Artikel vertieft (mit live Radio)

Video (on demand, kein Streaming)

Video ist technisch am anspruchsvollsten und besonders schwierig durch das YouTube-Monopol. Deshalb sind die Mehrzahl der Videos in Nostr YouTube-Links und nicht zensursicher.

Empfehlung:

Step 1 - redundante Storage auf PeerTube, Rumble oder Odysee (dort gibt es einen Autosync mit YT)

Step 2 - Testing der neuen Nostr Video-Hoster

https://zap.stream/ Audio, Shorts, Videos, Streams

https://plebs.app Shorts, Videos, Streams

Hinweis: es gibt derzeit einige interessante Entwicklungen, deshalb wird das Thema in Kürze in einem weiteren Artikel vertieft (mit Streaming)

§Zugang

Der Zugang zu Nostr, allen Apps und Services, sollte ausschließlich mit dem Nostr-Schlüssel erfolgen, keine Konten!! (Wiederholung). Premium-Dienste, Subscriptions u.ä. sind nur mit Lightning zu bezahlen und sparsam zu verwenden (abgelaufene Abos führen zu Einschränkungen oder Unterbrechungen). AGB’s und Terms of Service sind genau auf Rechteeinschränkungen zu untersuchen. Der Geschäftssitz der Anbieter sollte sorgsam gewählt werden, weil Zensur vermehrt mit juristische Repressalien durchgesetzt wird.

§Sichtbarkeit

Auf Nostr zu publizieren bedeutet nicht automatisch wahrgenommen zu werden. Zur schnellen Steigerung der Reichweite werden deshalb diverse fast lanes angeboten:

• paid content ist nett, aber was passiert ohne das Doping?

• Marktplätze bieten Promotion durch whitelisting, aber d.h. blacklisting ist auch möglich

Einige ganz korrekte Apps bieten auch Spam- und Contentfilter an - zur Sicherheit der Nutzer! Die Algorithmen sind nicht transparent und tendieren zu overconfidence. Außerdem lassen sich damit problemlos Zensurmassnahmen “under cover” durchführen, also Abstand halten!

§Resümee

Nostr ist eine großartige Technologie für Selbstbestimmung und Zensurresistenz. Aber Lösungen werden von Menschen entwickelt. Geschäftsführer wollen Erfolg und Gewinne, und Venture Capital Renditen (es gibt VC bei Nostr). Entwickler sind bequem und ziehen Vertrautes dem Neuen vor. Anwender sind gutgläubig und lassen sich von den Marketing Buzzwords täuschen. Zentralisierungs-Tendenzen sind allgegenwärtig - denn sie sind bequem für Anwender und gut für’s Business. Deshalb gibt es keine Selbstbestimmung ohne Eigenverantwortung - und kein free lunch bei der Zensurresistenz.

Dazu kann ich abschließend einen wertvollen Artikel empfehlen, Decentralize Social Media von Ross Ulbricht (März 2021) “Whoever controls the URL controls everything behind it.” (deshalb setzen wir auf URI)