とりあえず動くようにしたので、
パッチを添付します。

これが最良の方法かは分からないですが、
とりあえず動かないのは困ったので。

solargraphを後から入れたら色々と警告されたので、
自分が書いた中で簡単に対処できるやつを対処して追記。

ずっと返信を書くのをサボっててすいません。

• マイグレーションの要否
• 難読化の仕様
• blowfishの使用可否

マイグレーションの要否¶

mikutter の歴史からすると、従来から互換性を重視するという姿勢があると思います。
実際、 source:plugin/world/keep.rb@a94158ee#L139 にもすでに
migrate_older_account_data という実装がありますし、
toshi_a さんの OSC京都のスライドでも「使ってもらうための互換性」には
こだわりがあるように見えます。
https://docs.google.com/presentation/d/1xqn2vqqUi6CGIn0WZlqMU07F4XIo4GzUIzErIfWaijY/preview?pli=1#slide=id.g38e48d30b_0188

難読化の仕様¶

もし、 blowfish 以外のものを使うように変える場合に何を使うかという選択ですが、
悪意を持って調べようとする人に対しては key も同じ config file に書いているようなので
強い暗号を持ってきてもあまり意味はなく単に重くなるだけ、かつ、
時が経つとまた使えなくなるリスクが残ってしまうような気がします。
(AES256 が使えなくなる頃まで mikutter が生き残っているかという話はありますが……）

難読化する目的は「たまたま目に入ってしまうことを防ぐ」というほかには
botによる検索避けくらいだと思うので、本文に書いているように
消えることのない base64 的なエンコードのほうがいいような気がしています。

が、ここは各人の好みの問題もありますし、世間の攻撃の傾向分析が必要なところかとも
思っています。

blowfishの使用可否¶

今さらながら OpenSSL 3.0 についていくつか調べてみましたが、
古い暗号アルゴリズムについては完全に削除されたわけではなく、
デフォルトで無効化されているだけで、"legacy provider" と呼ばれる
古い実装を有効にすることも可能なようです。

具体的には openssl.cnf で以下のような記述をすればいいようです。

# ...
[provider_sect]
default = default_sect
legacy = legacy_sect

[default_sect]
activate = 1

[legacy_sect]
activate = 1

なお、いろいろ調べていたところ、本家 ruby openssl の GitHub repository でも
https://github.com/ruby/openssl/issues/500
で同様の問題が挙がっており、いまや ruby コミッタとして活躍中のレニウム氏のコメントで
ruby の openssl 実装で legacy provider をロードできるようなしくみが必要
という提案もあるようです。

とりあえずシステム共通の openssl.cnf ではなくユーザー固有設定で legacy provider を
有効にできるようならドキュメントによる回避が早そうかなと思ったのですが、
すぐには出てきませんでした。

というわけで、実装よりも仕様検討から必要かなという気がするので、
チケットステータスとしては「toshi_aの判断待ち」みたいな雰囲気です。
が、 toshi_a さんもしばらく忙しいみたいなので皆さんの意見も
うかがってみたいです。（放置したあげく丸投げですいません）

toshi_a 初音 さんは #note-6 で書きました:

結論から言うと、legacy providerをロードする良い方法がないようなので（費用対効果を考えると実装したくなさすぎる）、切ってしまうのが一番現実的な気がします。そのうえで #1585-4 が回避策として働くのであればそのことを周知してもいいかもしれません。

超いまさらながら WSL ubuntu 22.04.1 LTS で試してみましたが、
/etc/ssl/openssl.cnf を #note-4 の通り以下のように修正すれば blowfish 使えて mikutter も起動するようです。
openssl.cnf.diff

--- /etc/ssl/openssl.cnf.orig    2022-07-04 20:20:23.000000000 +0900
+++ /etc/ssl/openssl.cnf    2022-12-07 00:53:41.171961600 +0900
@@ -57,6 +57,7 @@
 # List of providers to load
 [provider_sect]
 default = default_sect
+legacy = legacy_sect
 # The fips section name should match the section name inside the
 # included fipsmodule.cnf.
 # fips = fips_sect
@@ -70,8 +71,9 @@
 # OpenSSL may not work correctly which could lead to significant system
 # problems including inability to remotely access the system.
 [default_sect]
-# activate = 1
-
+activate = 1
+[legacy_sect]
+activate = 1

 ####################################################################
 [ ca ]

一度でもコンバートされてしまえばOpenSSL3でも問題なく起動できるようになるため、コンバートされるチャンスを増やすために早めにリリースしたほうが良いです。このままの状態で長期間放置しておくと、影響範囲が大きくなっていきます。（もうすでにかなりの期間放置していますが・すみません）

っ https://akkiesoft.hatenablog.jp/entry/20221207/1670371200

対策版Rubyのリリースも秒読みという雰囲気になってきましたが、それはそれとしてBlowfishを自前実装したものでOpenSSLを置き換えてみました。OpenSSLのコードをそのまま移植した感じなのでApache Licenseを入れてます。

そもそも難読化したいだけなのにBlowfishはオーバーキルでは？という話は強く同意しますが、いっぺんに色々やると収集がつかなくなりそうなので既存実装の置き換えだけにしてます。

一応手元で動くことは確認しましたが、あまり自信がないので取り込むにしてもその前に何人か人柱になってもらいたいです。

Osamu Koga さんは #note-10 で書きました:

対策版Rubyのリリースも秒読みという雰囲気になってきましたが、それはそれとしてBlowfishを自前実装したものでOpenSSLを置き換えてみました。

神おさけー！

とりあえず ubuntu 22.04.2 LTS では動いているっぽいです
https://social.mikutter.hachune.net/@tsutsuii/111183131980584635

pushしました。内容の確認お願いします

topic/1585-bf で動作確認して既存の config での起動もOKです。

先走って pkgsrc にパッチを取り込んで思ったのですが、
blowfishの実装がOpenSSLベースでLICENSE.txtファイルも入っているのでそれについてREADMEで言及したほうがいいのだろうか、
というのが気になっているポイントです。

一応「mikutter上で動作するプラグインは適応対象外」との記載はありますが、
パッケージメンテナからすると
対象となるライセンスは一か所に一通り書いてあったほうが誤解は少ない、
みたいなポイントはあります。
https://github.com/NetBSD/pkgsrc/blob/5933bd5/net/mikutter/Makefile#L17
（既存のバンドルプラグインのライセンスがすべてMITであるという確認がされているか、という問題はありますが……）

とりあえずのREADME修正案は添付しておきます。