Kome vjerujete? Koristeći Web of Trust, metodu kriptografske provjere autentičnosti, možete izgraditi mrežu pouzdanih ključeva.
Učinkovita identifikacija pri online sudjelovanju postaje sve važnija. Kao rezultat toga, nekoliko sigurnosnih sustava došlo je do izražaja kako bi platforme mogle provjeriti sebe i svoje korisnike. Jedan od njih je Web of Trust.
Dakle, što je Web of Trust i kako funkcionira?
Što je Web of Trust?
Web of Trust je peer-to-peer sustav ocjenjivanja koji vam omogućuje provjeru javnih ključeva i njihovih vlasnika bez oslanjanja na središnje tijelo za identifikaciju.
Iako je to nazvao "mrežom povjerenja", Predstavljen Philip Zimmermann koncept "Web of Trust" u svojoj dokumentaciji za MIT-ov Pretty Good Privacy (PGP). U PGP-u su uključena dva ključa: vaš javni i privatni (tajni) ključ. Koristeći svoj tajni ključ i sažetak poruke, PGP oblikuje digitalni potpis koji se koristi za ovjeru vašeg javnog ključa.
Kao rezultat toga, vaš javni ključ je automatski valjan za PGP. Softver vjeruje vašim ključevima i također vjeruje vama da potvrdite druge ključeve, omogućujući vam da stvorite "mrežu povjerenja" počevši od vas.
Web of Trust dalje se koristi u sustavima kompatibilnim s GnuPG i OpenPGP i sustavima za provjeru identiteta kao što su Dokaz čovječnosti za provjeru autentičnosti identiteta na blockchainu. Zimmermann tvrdi da web korisnici mogu jamčiti jedni drugima za autentičnost i ugled, stvarajući decentralizirani i distribuirani sustav povjerenja.
Web of Trust koristi kriptografske tehnike kako bi se osiguralo da se podacima ne može manipulirati. Može se koristiti za šifriranje i potpisivanje e-pošte i sudjelovanje u mrežnim zajednicama.
Kako funkcionira Web of Trust?
Web of Trust zahtijeva kriptografiju s javnim ključem (upotreba javni i privatni ključevi za šifriranje i dešifriranje poruka) i digitalnih potpisa (stvaranje certifikata koji sadrže informacije o vašem identitetu i vjerodajnicama) za rad.
Koristeći svoj privatni ključ, možete potpisati certifikate, a svatko s vašim javnim ključem može vidjeti da ste potpisali. Drugi korisnici koji vjeruju vašem identitetu i vjerodajnicama također mogu potpisati vaš certifikat. Ovo stvara mrežu povjerenja.
Na primjer, u gornjem scenariju, budući da je Manuel prethodno potpisao Evin ključ, Susi bi mogla vjerovati Manuelovu potpisu kada odlučuje hoće li vjerovati Evinom ključu. Ako Eva ima više potpisa od više ljudi kojima Susi vjeruje, tim bolje - vjerojatnije je da je njezin ključ autentičan. Susi može šifrirati poruku za Evu pomoću Evinog javnog ključa i šifrirati je svojim privatnim ključem. S druge strane, Eva može potvrditi da je poruka od Susi koristeći svoj javni ključ. S vremenom, kako Susi, Eva i Manuel budu potpisivali ugovore za više ljudi, lanac će se nastaviti širiti.
Kada se netko novi pridruži mreži Web of Trust, mora pronaći nekoga tko će potpisati njihove certifikate. Osoba koja će potpisati mora nekako potvrditi identitet potpisnika—možda na virtualnom sastanku ili na zabavi potpisivanja ključeva. Potpisnik također mora potvrditi otisak ključa, jedinstveni identifikacijski kod povezan s potpisnikovim javnim ključem, i osigurati da se učita na poslužitelje ključeva nakon potpisivanja.
Nakon toga se za novog korisnika mogu prijaviti i osobe koje im vjeruju. Web of Trust zahtijeva više potpisa za svaki certifikat kako bi se smanjili nedostaci. Ako drugi smatraju da potpisnik nije ispravno potvrdio identitet ili otisak ključa novog korisnika, mogu odlučiti da se ne potpišu.
Prednosti Web of Trust-a
Očito postoje brojne prednosti korištenja Web of Trust-a.
1. Jednostavan za korištenje
Trebate samo generirati ključeve i podijeliti svoje javne ključeve da biste sudjelovali u Web of Trust. Ovo je jedina gnjavaža za navigaciju, kao što to čini nekoliko softverskih alata DigiCert Software Trust Manager koji automatiziraju stvaranje, potpisivanje i provjeru certifikata sada postoje.
2. Distribuirano i decentralizirano
Web of Trust koristi a distribuirana i decentralizirana mreža povjerenja. Sustav se temelji na ocjeni sudionika u mreži; ne oslanja se na centraliziranu vlast.
Vi ste odgovorni za upravljanje svojim ključevima i certifikatima i možete odabrati kome vjerovati i koga potpisati.
3. Jača povjerenje u odnosima
Možete uspostaviti povjerenje s drugima na temelju svojih zahtjeva. Također možete opozvati ili izmijeniti razine povjerenja drugih u bilo kojem trenutku.
Ograničenja Web of Trust-a
Iako Web of Trust nudi mnoge prednosti, ima i brojna ograničenja.
1. Zabrinutost u vezi s privatnošću
Prilikom izrade ili potpisivanja certifikata, možete nenamjerno izložiti osjetljive podatke. Upamtite: certifikati sadrže informacije o vašem identitetu i vjerodajnicama, poput vašeg imena i javnog ključa. Ovi detalji nisu namijenjeni za otkrivanje.
Osim toga, možda ne znate koliko oni koji se potpisuju za vas imaju kontrole nad vašim certifikatima i ključevima. Na primjer, zlonamjerne strane mogu ih kopirati, modificirati ili objaviti.
2. Zahtijeva aktivno sudjelovanje u mreži povjerenja
Morate održavati svoje ključeve i certifikate te potpisivati tuđe certifikate, što može biti zamorno i dugotrajno.
Također, novi korisnici sa svježim certifikatima možda neko vrijeme neće imati povjerenja jer nema središnjeg kontrolera. Njima će se vjerovati samo kada drugi u mreži mogu i odluče potpisati njihove certifikate. A to bi moglo zahtijevati fizičke sastanke.
Možete se izložiti rizicima i odgovornostima dok potpisujete za druge. Ako se ispostavi da je netko za koga ste jamčili prevarant, također biste mogli biti pozvani na odgovornost.
3. Osjetljivo na napade
Ako izgubite svoje privatne ključeve, nećete moći pristupiti svojim certifikatima niti potvrditi druge. Ako su vaši ključevi ukradeni, hakirani ili krivotvoreni, onaj tko ih ima mogao bi se lažno predstavljati kao vi i naštetiti vašoj vjerodostojnosti.
I nećete moći ništa učiniti jer ne možete pristupiti svom privatni ključ za dešifriranje vaših poruka; noviji PGP certifikati ipak imaju datume isteka.
Mogli biste se dodatno suočiti s napadima društvenog inženjeringa, gdje vas prevaranti pokušavaju navesti da potpišete za njih.
Možete li vjerovati Web of Trust?
Unatoč ciljevima i tehnologijama, svaki sustav zaštite podataka može se probiti. Isto vrijedi i za Web of Trust.
To nije savršen sustav koji će vam ponuditi potpunu sigurnost. Umjesto toga, omogućit će interakcije temeljene na povjerenju između vas i drugih sa zajedničkim interesima i razumijevanjem. Ovaj sustav može biti koristan ako ga svi sudionici koriste odgovorno.
Međutim, njegovo oslanjanje na ljude čini ga ranjivim na ljudske manipulacije i pogreške. Pazite da ne ugrozite svoj tajni ključ. Budite svjesni virusa, neovlaštenog mijenjanja javnog ključa, proboja u sigurnost vašeg uređaja, datoteka koje ste izbrisali, ali su još uvijek negdje na vašem tvrdom disku, pa čak i kriptoanaliza, druga strana kriptografije.
Web of Trust je sjajan, ali nije savršen
Web of Trust omogućuje provjeru identiteta na blockchainu bez potrebe za središnjim autoritetom. Iako ovaj sustav ima velika obećanja i prednosti, također se suočava s nekoliko ograničenja.
Uz dodatne izmjene, Web of Trust može postati naširoko prihvaćen sustav za provjeru identiteta.
