În cine ai încredere? Folosind Web of Trust, o metodă de autentificare criptografică, puteți construi o rețea de chei de încredere.
Identificarea eficientă atunci când participați online a devenit din ce în ce mai crucială. Ca urmare, mai multe sisteme de securitate au ieșit în prim-plan, astfel încât platformele să se poată verifica pe sine și utilizatorii lor. Unul dintre ele este Web of Trust.
Deci, ce este Web of Trust și cum funcționează?
Ce este Web of Trust?
Web of Trust este un sistem de evaluare peer-to-peer care vă permite să verificați cheile publice și proprietarii acestora fără a vă baza pe o autoritate centrală de identitate.
Deși s-a referit la asta drept o „pânză a încrederii”, Philip Zimmermann a prezentat conceptul de „Web of Trust” în documentația sa pentru Pretty Good Privacy (PGP) al MIT. În PGP, sunt implicate două chei: cheile dvs. publice și private (secrete). Folosind cheia ta secretă și un rezumat al mesajului, PGP formează o semnătură digitală, care este utilizată pentru a vă certifica cheia publică.
Ca rezultat, cheia dumneavoastră publică este automat validă pentru PGP. Software-ul are încredere în cheile dvs. și, de asemenea, are încredere în dvs. pentru a valida alte chei, permițându-vă să creați o „pânză de încredere” începând cu dvs.
Web of Trust este utilizat în continuare în sistemele compatibile cu GnuPG și OpenPGP și sistemele de verificare a identității, cum ar fi Dovada umanității pentru a autentifica identitățile pe blockchain. Zimmermann afirmă că utilizatorii de web pot garanta unul pentru autenticitatea și reputația celuilalt, creând un sistem de încredere descentralizat și distribuit.
Web of Trust folosește tehnici criptografice pentru a se asigura că datele nu pot fi manipulate. Poate fi folosit pentru a cripta și semna e-mailuri și pentru a participa la comunitățile online.
Cum funcționează Web of Trust?
Web of Trust necesită criptare cu cheie publică (utilizarea chei publice și private pentru a cripta și decripta mesajele) și semnăturile digitale (crearea de certificate care conțin informații despre identitatea și acreditările dvs.) să funcționeze.
Folosind cheia dvs. privată, puteți semna certificate, iar oricine are cheia dvs. publică poate vedea că ați semnat. Alți utilizatori care au încredere în identitatea și acreditările dvs. vă pot semna și certificatul. Acest lucru creează o rețea de încredere.
De exemplu, în scenariul de mai sus, deoarece Manuel a semnat anterior cheia Evei, Susi ar putea avea încredere în semnătura lui Manuel atunci când decide dacă să aibă încredere în cheia Evei. Dacă Eva are mai multe semnături de la mai mulți oameni în care Susi are încredere, cu atât mai bine – cheia ei este mai probabil autentică. Susi poate cripta un mesaj pentru Eva folosind cheia publică a Evei și îl poate cripta cu cheia ei privată. Pe de altă parte, Eva poate confirma că mesajul este de la Susi folosind cheia ei publică. În timp, pe măsură ce Susi, Eva și Manuel semnează pentru mai mulți oameni, lanțul va continua să se extindă.
Când cineva nou se alătură unei rețele Web of Trust, trebuie să găsească pe cineva care să-și semneze certificatele. Persoana care va semna trebuie să verifice cumva identitatea semnatarului - poate într-o întâlnire virtuală sau la o petrecere de semnare a cheilor. Semnatarul trebuie să confirme, de asemenea, amprenta cheii, un cod unic de identificare asociat cu cheia publică a semnatarului și să se asigure că este încărcată pe serverele de chei după semnare.
După aceasta, persoanele care au încredere în ei pot semna și pentru noul utilizator. Web of Trust necesită semnături multiple pentru fiecare certificat pentru a reduce defectele. Dacă alții consideră că semnatarul nu a verificat corect identitatea noului utilizator sau amprenta cheii, ei pot decide să nu semneze.
Beneficiile Web of Trust
Există, evident, numeroase beneficii ale utilizării Web of Trust.
1. Ușor de folosit
Trebuie doar să generați chei și să partajați cheile publice pentru a participa la un Web of Trust. Aceasta este singura bătaie de cap de navigat, așa cum le plac mai multe instrumente software DigiCert Software Trust Manager care automatizează crearea, semnarea și verificarea certificatelor există acum.
2. Distribuit și descentralizat
Web of Trust utilizează un rețea de încredere distribuită și descentralizată. Sistemul se bazează pe evaluarea participanților în rețea; nu se bazează pe o autoritate centralizată.
Sunteți responsabil pentru gestionarea cheilor și certificatelor dvs. și puteți alege în cine să aveți încredere și în cine să semnați.
3. Implementează încrederea în relații
Puteți stabili încredere cu ceilalți în funcție de cerințele dvs. Puteți revoca sau modifica oricând nivelurile de încredere ale altora.
Limitările Web of Trust
Deși Web of Trust oferă multe beneficii, are și multe limitări.
1. Preocupări de confidențialitate
Când creați sau semnați certificate, este posibil să expuneți neintenționat informații sensibile. Rețineți: certificatele conțin informații despre identitatea și acreditările dvs., cum ar fi numele și cheia publică. Aceste detalii nu sunt menite să fie expuse.
În plus, este posibil să nu știi cât de mult control au cei care semnează pentru tine asupra certificatelor și cheilor tale. De exemplu, părțile rău intenționate le pot copia, modifica sau divulga.
2. Necesită participare activă în rețeaua de încredere
Trebuie să vă păstrați cheile și certificatele și să semnați certificatele altora, ceea ce poate fi obositor și consuma mult timp.
De asemenea, utilizatorii noi cu certificate noi ar putea să nu aibă încredere de către alții pentru o perioadă, deoarece nu există un controler central. Ei vor fi de încredere numai atunci când alții din rețea pot și decide să-și semneze certificatele. Și acest lucru ar putea necesita întâlniri fizice.
Puteți suporta riscuri și responsabilități în timp ce semnați pentru alții. Dacă cineva pentru care ați garantat se dovedește a fi fraudulos, puteți fi, de asemenea, tras la răspundere.
3. Vulnerabil la atacuri
Dacă pierdeți cheile private, nu veți putea să vă accesați certificatele sau să verificați altele. Dacă cheile dvs. sunt furate, sparte sau falsificate, oricine le deține s-ar putea uzurpa identitatea dvs. și vă poate afecta credibilitatea.
Și nu veți putea face nimic, deoarece nu vă puteți accesa cheie privată pentru a decripta mesajele dvs; certificatele PGP mai noi au date de expirare, totuși.
Te-ai putea confrunta și mai mult cu atacuri de inginerie socială, în care actorii frauduloși încearcă să te păcălească să semnezi pentru ei.
Poți avea încredere în Web of Trust?
În ciuda obiectivelor și tehnologiilor, fiecare sistem de securitate a datelor poate fi pătruns. Același lucru este valabil și pentru Web of Trust.
Nu este un sistem perfect care vă va oferi securitate completă. În schimb, va permite interacțiuni bazate pe încredere între dvs. și alții cu interese și înțelegeri comune. Acest sistem poate fi benefic dacă este utilizat în mod responsabil de către toți participanții.
Cu toate acestea, dependența sa de oameni îl face vulnerabil la manipulări și erori umane. Aveți grijă să nu compromiteți cheia secretă. Și fiți conștient de viruși, manipularea cheii publice, încălcări ale securității dispozitivului dvs., fișiere pe care le-ați șters, dar care sunt încă undeva pe hard disk și chiar criptoanaliza, cealaltă parte a criptografiei.
Web of Trust este grozav, dar nu perfect
Web of Trust permite verificarea identității pe blockchain fără a necesita o autoritate centrală. Deși acest sistem are promisiuni și beneficii mari, se confruntă și cu câteva limitări.
Cu modificări suplimentare, Web of Trust poate deveni un sistem de verificare a identității adoptat pe scară largă.
