Hvem stoler du på? Ved å bruke Web of Trust, en kryptografisk autentiseringsmetode, kan du bygge et nettverk av pålitelige nøkler.
Effektiv identifisering ved deltakelse på nett har blitt mer og mer avgjørende. Som et resultat har flere sikkerhetssystemer kommet i forgrunnen slik at plattformer kan verifisere seg selv og brukerne sine. En av dem er Web of Trust.
Så hva er Web of Trust, og hvordan fungerer det?
Hva er Web of Trust?
Web of Trust er et peer-to-peer-vurderingssystem som lar deg verifisere offentlige nøkler og deres eiere uten å stole på en sentral identitetsmyndighet.
Selv om han omtalte det som et "nett av tillit", Philip Zimmermann introduserte konseptet med en "Web of Trust" i dokumentasjonen hans for MITs Pretty Good Privacy (PGP). I PGP er to nøkler involvert: dine offentlige og private (hemmelige) nøkler. Bruk din hemmelige nøkkel og en meldingssammendrag, danner PGP en digital signatur, som brukes til å sertifisere din offentlige nøkkel.
Som et resultat er den offentlige nøkkelen din automatisk gyldig for PGP. Programvaren stoler på nøklene dine og stoler også på at du validerer andre nøkler, slik at du kan lage et "nett av tillit" som starter med deg.
Web of Trust brukes videre i GnuPG og OpenPGP-kompatible systemer og identitetsverifiseringssystemer som Bevis på menneskeheten for å autentisere identiteter på blokkjeden. Zimmermann hevder at nettbrukere kan gå god for hverandres autentisitet og omdømme, og skape et desentralisert og distribuert tillitssystem.
Web of Trust bruker kryptografiske teknikker for å sikre at dataene ikke kan manipuleres. Den kan brukes til å kryptere og signere e-poster, og delta i nettsamfunn.
Hvordan fungerer Web of Trust?
Web of Trust krever offentlig nøkkelkryptering (bruk av offentlige og private nøkler for å kryptere og dekryptere meldinger) og digitale signaturer (oppretting av sertifikater som inneholder informasjon om din identitet og legitimasjon) for å fungere.
Ved å bruke den private nøkkelen din kan du signere sertifikater, og alle med den offentlige nøkkelen din kan se at du har signert. Andre brukere som stoler på din identitet og legitimasjon kan også signere sertifikatet ditt. Dette skaper et nettverk av tillit.
For eksempel, i scenariet ovenfor, siden Manuel tidligere har signert Evas nøkkel, kunne Susi stole på Manuels signatur når hun bestemmer seg for om hun skal stole på Evas nøkkel. Hvis Eva har flere signaturer fra flere Susi stoler på, desto bedre – nøkkelen hennes er mer sannsynlig autentisk. Susi kan kryptere en melding for Eva ved hjelp av Evas offentlige nøkkel og kryptere den med hennes private nøkkel. På den annen side kan Eva bekrefte at meldingen er fra Susi ved hjelp av hennes offentlige nøkkel. Over tid, ettersom Susi, Eva og Manuel signerer for flere mennesker, vil kjeden fortsette å utvide seg.
Når noen nye blir med i et Web of Trust-nettverk, må de finne noen til å signere sertifikatene deres. Personen som skal signere, må bekrefte signaturens identitet på en eller annen måte – kanskje i et virtuelt møte eller på en nøkkelsigneringsfest. Signatøren må også bekrefte nøkkelfingeravtrykket, en unik identifikasjonskode knyttet til signaturens offentlige nøkkel, og sørge for at den lastes opp til nøkkelserverne etter signeringen.
Etter dette kan også personer som stoler på dem signere for den nye brukeren. Web of Trust krever flere signaturer for hvert sertifikat for å redusere feil. Hvis andre føler at underskriveren ikke bekreftet den nye brukerens identitet eller nøkkelfingeravtrykk på riktig måte, kan de bestemme seg for ikke å signere.
Fordeler med Web of Trust
Det er åpenbart mange fordeler ved å bruke Web of Trust.
1. Lett å bruke
Du trenger bare å generere nøkler og dele de offentlige nøklene dine for å delta i en Web of Trust. Dette er det eneste bryet å navigere, slik flere programvareverktøy liker DigiCert Software Trust Manager som automatiserer opprettelse, signering og bekreftelse av sertifikater nå eksisterer.
2. Distribuert og desentralisert
Web of Trust bruker en distribuert og desentralisert tillitsnettverk. Systemet er basert på rangering av deltakere i nettverket; den er ikke avhengig av en sentralisert autoritet.
Du er ansvarlig for å administrere nøklene og sertifikatene dine, og kan velge hvem du skal stole på og hvem du skal signere.
3. Styrker tillit i forhold
Du kan etablere tillit med andre basert på dine krav. Du kan oppheve eller endre tillitsnivåene til andre når som helst også.
Begrensninger for Web of Trust
Selv om Web of Trust tilbyr mange fordeler, har det også mange begrensninger.
1. Bekymringer om personvern
Når du oppretter eller signerer sertifikater, kan du utilsiktet avsløre sensitiv informasjon. Husk: sertifikater inneholder informasjon om din identitet og legitimasjon, som navnet ditt og den offentlige nøkkelen. Disse detaljene er ikke ment å bli eksponert.
Dessuten vet du kanskje ikke hvor mye kontroll de som signerer for deg har over sertifikatene og nøklene dine. For eksempel kan ondsinnede parter kopiere, endre eller lekke dem.
2. Krever aktiv deltakelse i Trust Network
Du må vedlikeholde nøklene og sertifikatene dine, og signere sertifikatene til andre, noe som kan være kjedelig og tidkrevende.
Det kan også hende at nye brukere med ferske sertifikater ikke blir klarert av andre på en stund, siden det ikke er noen sentral kontroller. De blir bare klarert når andre i nettverket kan og bestemmer seg for å signere sertifikatene deres. Og dette kan kreve fysiske møter.
Du kan pådra deg risiko og ansvar mens du signerer for andre. Hvis noen du har gått god for viser seg å være bedragersk, kan du også bli holdt ansvarlig.
3. Sårbar for angrep
Hvis du legger bort de private nøklene dine, vil du ikke kunne få tilgang til sertifikatene dine eller bekrefte andre. Hvis nøklene dine blir stjålet, hacket eller forfalsket, kan den som har dem utgi seg for deg og skade troverdigheten din.
Og du vil ikke kunne gjøre noe siden du ikke har tilgang til din privat nøkkel for å dekryptere meldingene dine; nyere PGP-sertifikater har imidlertid utløpsdatoer.
Du kan ytterligere møte angrep på sosialt ingeniørarbeid, der uredelige skuespillere prøver å lure deg til å signere for dem.
Kan du stole på Web of Trust?
Til tross for målene og teknologiene, kan alle datasikkerhetssystem penetreres. Det samme gjelder Web of Trust.
Det er ikke et perfekt system som vil tilby deg full sikkerhet. I stedet vil det muliggjøre tillitsbaserte interaksjoner mellom deg og andre med felles interesser og forståelser. Dette systemet kan være nyttig hvis det brukes ansvarlig av alle deltakerne.
Dens avhengighet av mennesker gjør den imidlertid sårbar for menneskelige manipulasjoner og feil. Vær forsiktig så du ikke kompromitterer den hemmelige nøkkelen din. Og vær bevisst på virus, tukling av offentlig nøkkel, brudd på enhetens sikkerhet, filer du har slettet, men som fortsatt er et sted på harddisken, og til og med kryptoanalyse, den andre siden av kryptografi.
Web of Trust er flott, men ikke perfekt
Web of Trust muliggjør identitetsverifisering på blokkjeden uten å kreve en sentral autoritet. Selv om dette systemet har store løfter og fordeler, står det også overfor flere begrensninger.
Med ytterligere modifikasjoner kan Web of Trust bli et allment brukt identitetsverifiseringssystem.
