Hvem stoler du på? Ved at bruge Web of Trust, en kryptografisk godkendelsesmetode, kan du bygge et netværk af pålidelige nøgler.
Effektiv identifikation, når man deltager online, er blevet mere og mere afgørende. Som følge heraf er flere sikkerhedssystemer kommet frem, så platforme kan verificere sig selv og deres brugere. En af dem er Web of Trust.
Så hvad er Web of Trust, og hvordan fungerer det?
Hvad er Web of Trust?
Web of Trust er et peer-to-peer-vurderingssystem, der gør det muligt for dig at verificere offentlige nøgler og deres ejere uden at være afhængig af en central identitetsautoritet.
Selvom han omtalte det som et "net af tillid", Philip Zimmermann introducerede konceptet om et "Web of Trust" i hans dokumentation for MIT's Pretty Good Privacy (PGP). I PGP er to nøgler involveret: dine offentlige og private (hemmelige) nøgler. Brug din hemmelige nøgle og en beskedsammenfatning, PGP danner en digital signatur, som bruges til at certificere din offentlige nøgle.
Som et resultat er din offentlige nøgle automatisk gyldig for PGP. Softwaren stoler på dine nøgler og stoler også på, at du validerer andre nøgler, hvilket giver dig mulighed for at skabe et "tillidsnet", der starter med dig.
Web of Trust bruges yderligere i GnuPG og OpenPGP-kompatible systemer og identitetsbekræftelsessystemer som f.eks Bevis på menneskelighed at autentificere identiteter på blockchain. Zimmermann hævder, at webbrugere kan stå inde for hinandens ægthed og omdømme, hvilket skaber et decentralt og distribueret tillidssystem.
Web of Trust bruger kryptografiske teknikker for at sikre, at dataene ikke kan manipuleres. Det kan bruges til at kryptere og signere e-mails og deltage i online-fællesskaber.
Hvordan fungerer Web of Trust?
Web of Trust kræver offentlig nøglekryptering (brug af offentlige og private nøgler at kryptere og dekryptere meddelelser) og digitale signaturer (oprettelse af certifikater, der indeholder oplysninger om din identitet og legitimationsoplysninger) til at fungere.
Ved at bruge din private nøgle kan du signere certifikater, og alle med din offentlige nøgle kan se, at du har underskrevet. Andre brugere, der stoler på din identitet og dine legitimationsoplysninger, kan også underskrive dit certifikat. Dette skaber et netværk af tillid.
For eksempel, i ovenstående scenarie, da Manuel tidligere har underskrevet Evas nøgle, kunne Susi stole på Manuels underskrift, når hun besluttede, om hun skulle stole på Evas nøgle. Hvis Eva har flere signaturer fra flere mennesker, Susi stoler på, så meget desto bedre – hendes nøgle er mere sandsynligt autentisk. Susi kan kryptere en besked til Eva ved hjælp af Evas offentlige nøgle og kryptere den med sin private nøgle. På den anden side kan Eva bekræfte, at beskeden er fra Susi ved hjælp af hendes offentlige nøgle. Over tid, efterhånden som Susi, Eva og Manuel tegner for flere mennesker, vil kæden fortsætte med at udvide sig.
Når en ny bruger tilmelder sig et Web of Trust-netværk, skal de finde nogen til at underskrive deres certifikater. Den person, der skal underskrive, skal bekræfte underskriverens identitet på en eller anden måde - måske i et virtuelt møde eller ved en nøglesigneringsfest. Underskriveren skal også bekræfte nøglefingeraftrykket, en unik identifikationskode, der er knyttet til underskriverens offentlige nøgle, og sikre, at den er uploadet til nøgleserverne efter underskrivelsen.
Herefter kan folk, der har tillid til dem, også signere for den nye bruger. Web of Trust kræver flere signaturer for hvert certifikat for at reducere fejl. Hvis andre føler, at underskriveren ikke har bekræftet den nye brugers identitet eller nøglefingeraftryk korrekt, kan de beslutte sig for ikke at underskrive.
Fordele ved Web of Trust
Der er naturligvis adskillige fordele ved at bruge Web of Trust.
1. Let at bruge
Du behøver kun at generere nøgler og dele dine offentlige nøgler for at deltage i et Web of Trust. Dette er det eneste besvær at navigere i, som flere softwareværktøjer kan lide DigiCert Software Trust Manager at automatisere oprettelse, signering og bekræftelse af certifikater nu eksisterer.
2. Distribueret og decentraliseret
Web of Trust bruger en distribueret og decentraliseret tillidsnetværk. Systemet er baseret på bedømmelsen af deltagere i netværket; den er ikke afhængig af en centraliseret autoritet.
Du er ansvarlig for at administrere dine nøgler og certifikater og kan vælge, hvem du vil stole på, og hvem du vil underskrive.
3. Styrker tillid i relationer
Du kan skabe tillid til andre baseret på dine krav. Du kan til enhver tid tilbagekalde eller ændre andres tillidsniveauer.
Begrænsninger af Web of Trust
Selvom Web of Trust tilbyder mange fordele, har det også mange begrænsninger.
1. Bekymringer om privatlivets fred
Når du opretter eller underskriver certifikater, kan du utilsigtet afsløre følsomme oplysninger. Husk: certifikater indeholder oplysninger om din identitet og legitimationsoplysninger, såsom dit navn og offentlige nøgle. Disse detaljer er ikke beregnet til at blive afsløret.
Desuden ved du måske ikke, hvor meget kontrol dem, der underskriver for dig, har over dine certifikater og nøgler. For eksempel kan ondsindede parter kopiere, ændre eller lække dem.
2. Kræver aktiv deltagelse i tillidsnetværket
Du skal vedligeholde dine nøgler og certifikater og underskrive andres certifikater, hvilket kan være kedeligt og tidskrævende.
Nye brugere med nye certifikater er muligvis ikke tillid til andre i et stykke tid, da der ikke er nogen central controller. De vil kun være tillid til, når andre i netværket kan og beslutter at underskrive deres certifikater. Og det kan kræve fysiske møder.
Du kan pådrage dig risici og ansvar, mens du underskriver for andre. Hvis en person, du står inde for, viser sig at være svigagtig, kan du også blive stillet til ansvar.
3. Sårbar over for angreb
Hvis du forlader dine private nøgler, vil du ikke kunne få adgang til dine certifikater eller bekræfte andre. Hvis dine nøgler bliver stjålet, hacket eller forfalsket, kan den, der har dem, efterligne dig og skade din troværdighed.
Og du vil ikke være i stand til at gøre noget, da du ikke kan få adgang til din privat nøgle til at dekryptere dine beskeder; nyere PGP-certifikater har dog udløbsdatoer.
Du kan yderligere blive udsat for sociale ingeniørangreb, hvor svigagtige skuespillere forsøger at narre dig til at skrive under på dem.
Kan du stole på Web of Trust?
På trods af målene og teknologierne kan ethvert datasikkerhedssystem trænges igennem. Det samme gælder Web of Trust.
Det er ikke et perfekt system, der vil tilbyde dig fuldstændig sikkerhed. I stedet vil det muliggøre tillidsbaserede interaktioner mellem dig og andre med fælles interesser og forståelser. Dette system kan være en fordel, hvis det bruges ansvarligt af alle deltagere.
Dens afhængighed af mennesker gør den imidlertid sårbar over for menneskelige manipulationer og fejl. Pas på ikke at kompromittere din hemmelige nøgle. Og vær opmærksom på vira, manipulation af offentlige nøgler, brud på din enheds sikkerhed, filer, du har slettet, men som stadig er et sted på din harddisk, og endda kryptoanalyse, den anden side af kryptografi.
Web of Trust er fantastisk, men ikke perfekt
Web of Trust muliggør identitetsverifikation på blockchain uden at kræve en central myndighed. Selvom dette system har store løfter og fordele, står det også over for flere begrænsninger.
Med yderligere ændringer kan Web of Trust blive et bredt udbredt identitetsbekræftelsessystem.
