на кого вярваш С помощта на Web of Trust, криптографски метод за удостоверяване, можете да изградите мрежа от надеждни ключове.
Ефективната идентификация при онлайн участие става все по-важна. В резултат на това няколко системи за сигурност излязоха на преден план, така че платформите да могат да проверяват себе си и своите потребители. Една от тях е Мрежата на доверието.
И така, какво е Web of Trust и как работи?
Какво е Web of Trust?
Web of Trust е peer-to-peer система за оценка, която ви позволява да проверявате публичните ключове и техните собственици, без да разчитате на централен орган за идентификация.
Въпреки че го нарече „мрежа от доверие“, Представен е Филип Цимерман концепцията за „мрежа на доверие“ в неговата документация за Pretty Good Privacy (PGP) на MIT. В PGP са включени два ключа: вашият публичен и частен (таен) ключ. Използвайки вашия таен ключ и дайджест на съобщението, PGP формира цифров подпис, който се използва за удостоверяване на вашия публичен ключ.
В резултат на това вашият публичен ключ е автоматично валиден за PGP. Софтуерът се доверява на вашите ключове и също така ви се доверява да валидирате други ключове, което ви позволява да създадете „мрежа на доверие“, започвайки от вас.
Web of Trust се използва допълнително в GnuPG и OpenPGP-съвместими системи и системи за проверка на самоличността като Доказателство за човечност за удостоверяване на самоличности в блокчейна. Zimmermann твърди, че уеб потребителите могат да гарантират за автентичността и репутацията на другия, създавайки децентрализирана и разпределена система за доверие.
Web of Trust използва криптографски техники, за да гарантира, че данните не могат да бъдат манипулирани. Може да се използва за криптиране и подписване на имейли и участие в онлайн общности.
Как работи Web of Trust?
Web of Trust изисква криптография с публичен ключ (използването на публични и частни ключове за шифроване и дешифриране на съобщения) и цифрови подписи (създаване на сертификати, съдържащи информация за вашата самоличност и идентификационни данни), за да работят.
Използвайки личния си ключ, можете да подписвате сертификати и всеки с вашия публичен ключ може да види, че сте подписали. Други потребители, които се доверяват на вашата самоличност и идентификационни данни, също могат да подпишат вашия сертификат. Това създава мрежа на доверие.
Например, в горния сценарий, тъй като Мануел преди това е подписал ключа на Ева, Сузи може да се довери на подписа на Мануел, когато решава дали да се довери на ключа на Ева. Ако Ева има повече подписи от повече хора, на които Сузи има доверие, още по-добре - нейният ключ е по-вероятно автентичен. Сузи може да шифрова съобщение за Ева с помощта на публичния ключ на Ева и да го шифрова с личния си ключ. От друга страна, Ева може да потвърди, че съобщението е от Сузи, като използва своя публичен ключ. С течение на времето, докато Сузи, Ева и Мануел подписват за повече хора, веригата ще продължи да се разширява.
Когато някой нов се присъедини към мрежа на Web of Trust, той трябва да намери някой, който да подпише техните сертификати. Лицето, което ще подпише, трябва да потвърди по някакъв начин самоличността на подписващия – може би във виртуална среща или на парти за подписване на ключове. Подписващият трябва също да потвърди пръстовия отпечатък на ключа, уникален идентификационен код, свързан с публичния ключ на подписващия, и да се увери, че той е качен на ключовите сървъри след подписването.
След това хората, които им се доверяват, също могат да се подпишат за новия потребител. Web of Trust изисква множество подписи за всеки сертификат, за да се намалят пропуските. Ако други смятат, че подписващият не е потвърдил правилно самоличността на новия потребител или пръстовия отпечатък на ключа, те може да решат да не подписват.
Предимства на Web of Trust
Очевидно има много предимства от използването на Web of Trust.
1. Лесен за използване
Трябва само да генерирате ключове и да споделите публичните си ключове, за да участвате в Web of Trust. Това е единственият проблем за навигация, както харесват няколко софтуерни инструмента DigiCert Software Trust Manager които автоматизират създаването, подписването и проверката на сертификати вече съществуват.
2. Разпределени и децентрализирани
Web of Trust използва a разпределена и децентрализирана доверителна мрежа. Системата се базира на рейтинга на участниците в мрежата; не разчита на централизиран орган.
Вие носите отговорност за управлението на вашите ключове и сертификати и можете да изберете на кого да се доверите и кого да подпишете.
3. Налага доверие в отношенията
Можете да установите доверие с другите въз основа на вашите изисквания. Можете също така да отмените или промените нивата на доверие на други по всяко време.
Ограничения на Web of Trust
Въпреки че Web of Trust предлага много предимства, той има и много ограничения.
1. Притеснения относно поверителността
Когато създавате или подписвате сертификати, можете неволно да разкриете чувствителна информация. Запомнете: сертификатите съдържат информация за вашата самоличност и идентификационни данни, като вашето име и публичен ключ. Тези подробности не са предназначени за разкриване.
Освен това може да не знаете колко контрол имат тези, които подписват вместо вас, върху вашите сертификати и ключове. Например злонамерените страни могат да ги копират, променят или изтекат.
2. Изисква активно участие в Trust Network
Трябва да поддържате вашите ключове и сертификати и да подписвате сертификатите на други, което може да е досадно и отнема много време.
Освен това новите потребители с нови сертификати може да не се доверят на другите за известно време, тъй като няма централен контролер. Ще им се вярва само когато други в мрежата могат и решат да подпишат техните сертификати. И това може да изисква физически срещи.
Може да понесете рискове и отговорности, докато подписвате за други. Ако някой, за когото сте гарантирали, се окаже измамник, вие също може да бъдете подведени под отговорност.
3. Уязвими за атаки
Ако изгубите личните си ключове, няма да можете да получите достъп до вашите сертификати или да потвърдите други. Ако вашите ключове бъдат откраднати, хакнати или подправени, всеки, който ги притежава, може да се представи за вас и да навреди на доверието ви.
И няма да можете да направите нищо, тъй като нямате достъп до вашия частен ключ за дешифриране на вашите съобщения; по-новите PGP сертификати обаче имат дати на изтичане.
Освен това можете да се сблъскате с атаки чрез социално инженерство, при които измамници се опитват да ви подмамят да подпишете вместо тях.
Можете ли да се доверите на Web of Trust?
Независимо от целите и технологиите, всяка система за сигурност на данните може да бъде проникната. Същото важи и за Web of Trust.
Това не е перфектна система, която ще ви предложи пълна сигурност. Вместо това ще позволи базирани на доверие взаимодействия между вас и други с общи интереси и разбирания. Тази система може да бъде от полза, ако се използва отговорно от всички участници.
Но разчитането му на хората го прави уязвим за човешки манипулации и грешки. Внимавайте да не компрометирате секретния си ключ. И внимавайте за вируси, подправяне на публичен ключ, пробиви в сигурността на вашето устройство, файлове, които сте изтрили, но все още са някъде на твърдия ви диск и дори криптоанализ, другата страна на криптографията.
Мрежата на доверието е страхотна, но не перфектна
Web of Trust позволява проверка на самоличността в блокчейна, без да се изисква централен орган. Въпреки че тази система има големи обещания и предимства, тя също е изправена пред няколко ограничения.
С допълнителни модификации Web of Trust може да се превърне в широко разпространена система за проверка на самоличността.