komu důvěřuješ? Pomocí Web of Trust, kryptografické metody ověřování, můžete vytvořit síť důvěryhodných klíčů.
Efektivní identifikace při online účasti je stále důležitější. V důsledku toho se dostalo do popředí několik bezpečnostních systémů, aby platformy mohly ověřit sebe a své uživatele. Jedním z nich je Web of Trust.
Co je tedy Web of Trust a jak funguje?
Co je Web of Trust?
Web of Trust je systém hodnocení peer-to-peer, který vám umožňuje ověřovat veřejné klíče a jejich vlastníky, aniž byste se spoléhali na centrální autoritu identity.
Ačkoli to označoval jako „síť důvěry“, Philip Zimmermann představil koncept „Web of Trust“ v jeho dokumentaci k dokumentu MIT’s Pretty Good Privacy (PGP). V PGP se jedná o dva klíče: váš veřejný a soukromý (tajný) klíč. Pomocí vašeho tajného klíče a přehled zpráv, PGP tvoří digitální podpis, který se používá k certifikaci vašeho veřejného klíče.
Výsledkem je, že váš veřejný klíč je automaticky platný pro PGP. Software důvěřuje vašim klíčům a také vám důvěřuje při ověřování dalších klíčů, což vám umožňuje vytvořit „síť důvěry“, která začíná u vás.
Web of Trust se dále používá v systémech kompatibilních s GnuPG a OpenPGP a v systémech ověřování identity jako Důkaz lidskosti k ověření identity na blockchainu. Zimmermann tvrdí, že uživatelé webu mohou ručit za svou autenticitu a reputaci a vytvořit tak decentralizovaný a distribuovaný systém důvěry.
Web of Trust používá kryptografické techniky, aby zajistil, že s daty nebude možné manipulovat. Lze jej použít k šifrování a podepisování e-mailů a k účasti v online komunitách.
Jak Web of Trust funguje?
Web of Trust vyžaduje kryptografii veřejného klíče (použití veřejné a soukromé klíče pro šifrování a dešifrování zpráv) a digitální podpisy (vytváření certifikátů obsahujících informace o vaší identitě a přihlašovacích údajích).
Pomocí soukromého klíče můžete podepisovat certifikáty a kdokoli s vaším veřejným klíčem uvidí, že jste podepsali. Ostatní uživatelé, kteří důvěřují vaší identitě a přihlašovacím údajům, mohou váš certifikát také podepsat. To vytváří síť důvěry.
Například ve výše uvedeném scénáři, protože Manuel již dříve podepsal Evin klíč, mohla Susi důvěřovat Manuelovu podpisu, když se rozhodovala, zda důvěřovat Evinu klíči. Pokud má Eva více podpisů od více lidí, kterým Susi důvěřuje, tím lépe – její klíč je pravděpodobnější. Susi může zašifrovat zprávu pro Evu pomocí Evina veřejného klíče a zašifrovat ji svým soukromým klíčem. Na druhou stranu Eva může potvrdit, že zpráva je od Susi pomocí jejího veřejného klíče. Postupem času, jak Susi, Eva a Manuel podepisují další lidi, se řetězec bude nadále rozšiřovat.
Když se někdo nový připojí k síti Web of Trust, musí najít někoho, kdo podepíše jeho certifikáty. Osoba, která bude podepisovat, musí nějakým způsobem ověřit identitu podepsané osoby – třeba na virtuální schůzce nebo na večírku podepisování klíčů. Podepisující osoba musí také potvrdit otisk klíče, jedinečný identifikační kód spojený s veřejným klíčem příjemce, a zajistit, aby byl po podpisu nahrán na servery klíčů.
Poté se mohou k novému uživateli přihlásit také lidé, kteří jim důvěřují. Web of Trust vyžaduje více podpisů pro každý certifikát, aby se snížily nedostatky. Pokud se ostatní domnívají, že podepisující osoba řádně neověřila identitu nového uživatele nebo otisk klíče, mohou se rozhodnout nepodepsat.
Výhody Web of Trust
Je zřejmé, že používání Web of Trust má řadu výhod.
1. Snadné použití
Chcete-li se zúčastnit Web of Trust, musíte pouze vygenerovat klíče a sdílet své veřejné klíče. Toto je jediný problém s navigací, jako má několik softwarových nástrojů Správce důvěry softwaru DigiCert že nyní existuje automatizace vytváření, podepisování a ověřování certifikátů.
2. Distribuované a decentralizované
Web of Trust využívá a distribuovaná a decentralizovaná důvěryhodná síť. Systém je založen na hodnocení účastníků v síti; nespoléhá na centralizovanou autoritu.
Zodpovídáte za správu svých klíčů a certifikátů a můžete si vybrat, komu důvěřovat a koho podepsat.
3. Posiluje důvěru ve vztazích
Na základě svých požadavků můžete navázat důvěru s ostatními. Úrovně důvěryhodnosti ostatních můžete také kdykoli zrušit nebo upravit.
Omezení Web of Trust
Přestože Web of Trust nabízí mnoho výhod, má také mnoho omezení.
1. Obavy o soukromí
Při vytváření nebo podepisování certifikátů můžete neúmyslně odhalit citlivé informace. Pamatujte: certifikáty obsahují informace o vaší identitě a pověřeních, jako je vaše jméno a veřejný klíč. Tyto detaily nejsou určeny k odhalení.
Kromě toho možná nevíte, jakou kontrolu mají ti, kteří za vás podepisují, vaše certifikáty a klíče. Škodlivé strany je mohou například kopírovat, upravovat nebo zveřejňovat.
2. Vyžaduje aktivní účast v Trust Network
Musíte udržovat své klíče a certifikáty a podepisovat certifikáty ostatních, což může být únavné a časově náročné.
Noví uživatelé s čerstvými certifikáty také nemusí nějakou dobu důvěřovat ostatním, protože neexistuje žádný centrální ovladač. Budou důvěryhodné pouze tehdy, když ostatní v síti mohou a rozhodnou se podepsat jejich certifikáty. A to může vyžadovat fyzické schůzky.
Při podepisování za jiné vám mohou vzniknout rizika a povinnosti. Pokud se ukáže, že někdo, za koho jste se zaručili, byl podvodník, můžete být také pohnán k odpovědnosti.
3. Zranitelný vůči útokům
Pokud své soukromé klíče ztratíte, nebudete moci získat přístup ke svým certifikátům ani ověřit ostatní. Pokud jsou vaše klíče odcizeny, hacknuty nebo zfalšovány, kdokoli je má, může se za vás vydávat a poškodit vaši důvěryhodnost.
A nebudete moci nic dělat, protože nemáte přístup ke svému soukromý klíč pro dešifrování vašich zpráv; novější PGP certifikáty však mají datum vypršení platnosti.
Dále byste mohli čelit útokům sociálního inženýrství, kdy se vás podvodní herci snaží oklamat, abyste jim podepsali smlouvu.
Můžete důvěřovat Web of Trust?
Navzdory cílům a technologiím lze proniknout do každého systému zabezpečení dat. Totéž platí pro Web of Trust.
Není to dokonalý systém, který vám nabídne úplné zabezpečení. Místo toho umožní interakce založené na důvěře mezi vámi a ostatními se společnými zájmy a porozuměním. Tento systém může být přínosný, pokud jej všichni účastníci používají zodpovědně.
Jeho spoléhání na lidi ho však zanechává zranitelné vůči lidským manipulacím a chybám. Dávejte pozor, abyste neprozradili svůj tajný klíč. A dejte si pozor na viry, manipulaci s veřejným klíčem, narušení zabezpečení vašeho zařízení, soubory, které jste smazali, ale stále jsou někde na vašem pevném disku, a dokonce kryptoanalýza, druhá strana kryptografie.
Web of Trust je skvělý, ale ne dokonalý
Web of Trust umožňuje ověření identity na blockchainu bez nutnosti centrální autority. I když má tento systém velké sliby a výhody, naráží také na několik omezení.
S dalšími úpravami se Web of Trust může stát široce rozšířeným systémem ověřování identity.