ActorのDeleteアクティビティの署名はJSON-LD署名

Mastodon の仕様。広く一般的かどうかは不明。

https://docs.joinmastodon.org/spec/security/#ld

When running a self-destruct sequence to send Delete activities to all known peers, the payload will use LD Signatures because HTTP Signatures will not be available. Receiving servers will process the signature by validating it against the locally cached actor key, since the HTTP server will no longer be hosting old actor information.

ActorのDeleteのとき、HTTP SignaturesではActorがそもそも消えているのでActorのpublicKeyの解決ができない

なので、代わりにJSON-LD署名によって、ペイロードが改ざんされていないことだけを検証する

実装

https://github.com/mastodon/mastodon/blob/main/app/lib/activitypub/linked_data_signature.rb

/icons/hr.icon

lacolaco.icon Misskeyではこれはやってなさそう？

Misskeyから届くPersonのDeleteには signature フィールドはなく、普通にHTTP Signatureされてそう（そしてkey-idから鍵をfetchして失敗する）