Vem litar du på? Med hjälp av Web of Trust, en kryptografisk autentiseringsmetod, kan du bygga ett nätverk av pålitliga nycklar.
Effektiv identifiering när man deltar online har blivit mer och mer avgörande. Som ett resultat har flera säkerhetssystem kommit till förgrunden så att plattformar kan verifiera sig själva och sina användare. En av dem är Web of Trust.
Så vad är Web of Trust och hur fungerar det?
Vad är Web of Trust?
Web of Trust är ett peer-to-peer-klassificeringssystem som gör att du kan verifiera publika nycklar och deras ägare utan att förlita dig på en central identitetsmyndighet.
Även om han kallade det ett "nät av förtroende", Philip Zimmermann presenterade konceptet med en "Web of Trust" i hans dokumentation för MIT: s Pretty Good Privacy (PGP). I PGP är två nycklar inblandade: dina offentliga och privata (hemliga) nycklar. Använd din hemliga nyckel och ett meddelandesammandrag, bildar PGP en digital signatur, som används för att certifiera din publika nyckel.
Som ett resultat är din publika nyckel automatiskt giltig för PGP. Programvaran litar på dina nycklar och litar även på att du validerar andra nycklar, vilket gör att du kan skapa en "web of trust" som börjar med dig.
Web of Trust används vidare i GnuPG och OpenPGP-kompatibla system och identitetsverifieringssystem som Bevis på mänskligheten för att autentisera identiteter på blockchain. Zimmermann hävdar att webbanvändare kan garantera varandras autenticitet och rykte, vilket skapar ett decentraliserat och distribuerat förtroendesystem.
Web of Trust använder kryptografiska tekniker för att säkerställa att data inte kan manipuleras. Den kan användas för att kryptera och signera e-postmeddelanden och delta i online-communities.
Hur fungerar Web of Trust?
Web of Trust kräver kryptografi med publik nyckel (användning av offentliga och privata nycklar för att kryptera och dekryptera meddelanden) och digitala signaturer (skapandet av certifikat som innehåller information om din identitet och referenser) för att fungera.
Med din privata nyckel kan du signera certifikat och alla med din offentliga nyckel kan se att du har signerat. Andra användare som litar på din identitet och dina referenser kan också signera ditt certifikat. Detta skapar ett nätverk av förtroende.
Till exempel, i scenariot ovan, eftersom Manuel tidigare har signerat Evas nyckel, kunde Susi lita på Manuels signatur när hon bestämmer sig för om hon ska lita på Evas nyckel. Om Eva har fler signaturer från fler som Susi litar på, desto bättre – hennes nyckel är mer sannolikt äkta. Susi kan kryptera ett meddelande för Eva med Evas publika nyckel och kryptera det med sin privata nyckel. Däremot kan Eva bekräfta att meddelandet kommer från Susi med hjälp av hennes publika nyckel. Med tiden, när Susi, Eva och Manuel skriver på för fler personer, kommer kedjan att fortsätta att expandera.
När någon ny ansluter sig till ett Web of Trust-nätverk måste de hitta någon som kan signera deras certifikat. Personen som ska signera måste verifiera undertecknarens identitet på något sätt - kanske i ett virtuellt möte eller på en nyckelsigneringsfest. Undertecknaren måste också bekräfta nyckelfingeravtrycket, en unik identifieringskod som är kopplad till undertecknarens publika nyckel, och se till att den laddas upp till nyckelservrarna efter undertecknandet.
Efter detta kan personer som litar på dem också signera för den nya användaren. Web of Trust kräver flera signaturer för varje certifikat för att minska bristerna. Om andra tycker att undertecknaren inte har verifierat den nya användarens identitet eller nyckelfingeravtryck korrekt, kan de besluta sig för att inte underteckna.
Fördelar med Web of Trust
Det finns uppenbarligen många fördelar med att använda Web of Trust.
1. Lätt att använda
Du behöver bara generera nycklar och dela dina publika nycklar för att delta i en Web of Trust. Detta är det enda krånglet att navigera, som flera mjukvaruverktyg gillar DigiCert Software Trust Manager att automatisera skapande, signering och verifiering av certifikat finns nu.
2. Distribuerad och decentraliserad
Web of Trust använder en distribuerat och decentraliserat förtroendenätverk. Systemet är baserat på betyget av deltagare i nätverket; den förlitar sig inte på en centraliserad myndighet.
Du ansvarar för att hantera dina nycklar och certifikat och kan välja vem du ska lita på och vem du ska signera.
3. Framtvingar tillit i relationer
Du kan skapa förtroende med andra utifrån dina krav. Du kan när som helst återkalla eller ändra andras förtroendenivåer.
Web of Trusts begränsningar
Även om Web of Trust erbjuder många fördelar, har det också många begränsningar.
1. Integritetsfrågor
När du skapar eller signerar certifikat kan du oavsiktligt exponera känslig information. Kom ihåg: certifikat innehåller information om din identitet och referenser, som ditt namn och offentliga nyckel. Dessa detaljer är inte avsedda att avslöjas.
Dessutom kanske du inte vet hur mycket kontroll de som signerar åt dig har över dina certifikat och nycklar. Till exempel kan skadliga parter kopiera, ändra eller läcka dem.
2. Kräver aktivt deltagande i Trust Network
Du måste underhålla dina nycklar och certifikat och signera andras certifikat, vilket kan vara tråkigt och tidskrävande.
Dessutom kanske nya användare med färska certifikat inte litar på av andra på ett tag, eftersom det inte finns någon central styrenhet. De kommer bara att litas på när andra i nätverket kan och beslutar sig för att signera sina certifikat. Och detta kan kräva fysiska möten.
Du kan ådra dig risker och ansvar när du skriver under för andra. Om någon du gått i god för visar sig vara bedräglig kan du också ställas till svars.
3. Sårbar för attacker
Om du tappar bort dina privata nycklar kommer du inte att kunna komma åt dina certifikat eller verifiera andra. Om dina nycklar blir stulna, hackade eller förfalskade kan den som har dem utge sig för att vara dig och skada din trovärdighet.
Och du kommer inte att kunna göra någonting eftersom du inte kan komma åt din privat nyckel för att dekryptera dina meddelanden; nyare PGP-certifikat har dock utgångsdatum.
Du kan ytterligare möta sociala ingenjörsattacker, där bedrägliga aktörer försöker lura dig att skriva på för dem.
Kan du lita på Web of Trust?
Trots målen och teknologierna kan alla datasäkerhetssystem penetreras. Detsamma gäller för Web of Trust.
Det är inte ett perfekt system som erbjuder dig fullständig säkerhet. Istället kommer det att möjliggöra förtroendebaserade interaktioner mellan dig och andra med gemensamma intressen och förståelser. Detta system kan vara fördelaktigt om det används ansvarsfullt av alla deltagare.
Men dess beroende av människor gör den sårbar för mänskliga manipulationer och misstag. Var försiktig så att du inte äventyrar din hemliga nyckel. Och var medveten om virus, manipulering av offentliga nycklar, intrång i din enhets säkerhet, filer som du raderat men som fortfarande finns någonstans på din hårddisk och till och med kryptoanalys, den andra sidan av kryptografi.
Web of Trust är bra men inte perfekt
Web of Trust möjliggör identitetsverifiering på blockkedjan utan att kräva en central myndighet. Även om detta system har stora löften och fördelar, möter det också flera begränsningar.
Med ytterligare modifieringar kan Web of Trust bli ett allmänt antaget identitetsverifieringssystem.
