kuo tu pasitiki? Naudodami Web of Trust, kriptografinį autentifikavimo metodą, galite sukurti patikimų raktų tinklą.
Veiksmingas identifikavimas dalyvaujant internete tampa vis svarbesnis. Dėl to išryškėjo kelios apsaugos sistemos, kad platformos galėtų patikrinti save ir savo vartotojus. Vienas iš jų yra pasitikėjimo tinklas.
Taigi, kas yra Web of Trust ir kaip jis veikia?
Kas yra pasitikėjimo tinklas?
„Web of Trust“ yra lygiaverčių vertinimo sistema, leidžianti patikrinti viešuosius raktus ir jų savininkus nepasikliaujant centrine tapatybės institucija.
Nors jis tai vadino „pasitikėjimo tinklu“, Philipas Zimmermannas pristatė „Pasitikėjimo žiniatinklio“ sąvoka jo dokumentacijoje, skirta MIT gana gero privatumo (PGP) dokumentams. PGP naudojami du raktai: jūsų viešieji ir privatūs (slapti) raktai. Naudodami savo slaptąjį raktą ir žinutės santrauka, PGP formuoja skaitmeninį parašą, kuris naudojamas jūsų viešajam raktui patvirtinti.
Dėl to jūsų viešasis raktas automatiškai galioja PGP. Programinė įranga pasitiki jūsų raktais ir taip pat patiki, kad patvirtinsite kitus raktus, todėl galite sukurti „pasitikėjimo tinklą“, pradedant nuo jūsų.
Web of Trust toliau naudojamas su GnuPG ir OpenPGP suderinamose sistemose ir tapatybės tikrinimo sistemose, pvz Žmoniškumo įrodymas tapatybei patvirtinti blokų grandinėje. Zimmermannas tvirtina, kad interneto vartotojai gali garantuoti vienas kito autentiškumą ir reputaciją, sukurdami decentralizuotą ir paskirstytą pasitikėjimo sistemą.
„Web of Trust“ naudoja kriptografinius metodus, kad užtikrintų, jog duomenų negalima manipuliuoti. Jis gali būti naudojamas šifruoti ir pasirašyti el. laiškus bei dalyvauti internetinėse bendruomenėse.
Kaip veikia Web of Trust?
„Web of Trust“ reikalauja viešojo rakto kriptografijos (naudojant viešieji ir privatieji raktai šifruoti ir iššifruoti pranešimus) ir skaitmeninius parašus (sertifikatų, kuriuose yra informacija apie jūsų tapatybę ir kredencialus, kūrimą), kad veiktų.
Naudodami privatų raktą galite pasirašyti sertifikatus ir visi, turintys jūsų viešąjį raktą, gali matyti, kad jūs pasirašėte. Kiti naudotojai, kurie pasitiki jūsų tapatybe ir kredencialais, taip pat gali pasirašyti jūsų sertifikatą. Taip sukuriamas pasitikėjimo tinklas.
Pavyzdžiui, pagal aukščiau pateiktą scenarijų, kadangi Manuelis anksčiau pasirašė Evos raktą, Susi gali pasitikėti Manuelio parašu, kai nuspręs, ar pasitikėti Evos raktu. Jei Eva turi daugiau parašų iš daugiau žmonių, kuriais Susi pasitiki, tuo geriau – jos raktas greičiausiai bus autentiškas. Susi gali užšifruoti Evai skirtą žinutę naudodama viešąjį Evos raktą ir užšifruoti ją savo privačiu raktu. Kita vertus, Eva gali patvirtinti, kad žinutė yra nuo Susi, naudodama jos viešąjį raktą. Laikui bėgant Susi, Eva ir Manuelis pasirašys daugiau žmonių, grandinė ir toliau plėsis.
Kai kas nors naujas prisijungia prie „Web of Trust“ tinklo, jis turi rasti ką nors, kas pasirašytų jų sertifikatus. Asmuo, kuris pasirašys, turi kažkaip patikrinti pasirašančiojo tapatybę – galbūt virtualiame susitikime arba rakto pasirašymo vakarėlyje. Pasirašęs asmuo taip pat turi patvirtinti rakto piršto atspaudą – unikalų identifikavimo kodą, susietą su pasirašančiojo viešuoju raktu, ir užtikrinti, kad jis būtų įkeltas į rakto serverius po pasirašymo.
Po to jais pasitikintys žmonės taip pat gali pasirašyti už naują vartotoją. „Web of Trust“ reikalauja kelių parašų kiekvienam sertifikatui, kad sumažintų trūkumus. Jei kiti mano, kad pasirašiusysis tinkamai nepatvirtino naujojo naudotojo tapatybės arba rakto piršto atspaudo, jie gali nuspręsti nepasirašyti.
„Web of Trust“ pranašumai
Akivaizdu, kad naudojant „Web of Trust“ yra daug privalumų.
1. Paprasta naudoti
Jums tereikia sugeneruoti raktus ir bendrinti viešuosius raktus, kad galėtumėte dalyvauti pasitikėjimo tinkle. Tai vienintelis vargo naršymas, pavyzdžiui, kai kurie programinės įrangos įrankiai „DigiCert“ programinės įrangos patikimumo vadybininkas dabar egzistuoja automatizuojančio sertifikatų kūrimo, pasirašymo ir tikrinimo funkciją.
2. Paskirstytas ir decentralizuotas
Web of Trust naudoja a paskirstytasis ir decentralizuotas pasitikėjimo tinklas. Sistema pagrįsta tinklo dalyvių reitingu; ji nesiremia centralizuota valdžia.
Jūs esate atsakingi už raktų ir sertifikatų tvarkymą ir galite pasirinkti, kuo pasitikėti ir ką pasirašyti.
3. Įtvirtina pasitikėjimą santykiais
Galite sukurti pasitikėjimą kitais, atsižvelgdami į savo poreikius. Jūs taip pat galite bet kada atšaukti arba pakeisti kitų pasitikėjimo lygius.
„Web of Trust“ apribojimai
Nors Web of Trust siūlo daug privalumų, jis taip pat turi daug apribojimų.
1. Privatumo susirūpinimas
Kurdami arba pasirašydami sertifikatus galite netyčia atskleisti neskelbtiną informaciją. Atminkite: sertifikatuose yra informacijos apie jūsų tapatybę ir kredencialus, pvz., jūsų vardą ir viešąjį raktą. Šios detalės nėra skirtos atskleisti.
Be to, galbūt nežinote, kiek už jus pasirašantys asmenys gali kontroliuoti jūsų sertifikatus ir raktus. Pavyzdžiui, kenkėjiškos šalys gali juos kopijuoti, modifikuoti arba nutekinti.
2. Būtinas aktyvus dalyvavimas pasitikėjimo tinkle
Turite prižiūrėti savo raktus ir sertifikatus bei pasirašyti kitų sertifikatus, o tai gali būti nuobodu ir atimti daug laiko.
Be to, naujais vartotojais, turinčiais naujus sertifikatus, kurį laiką kiti gali nepasitikėti, nes nėra centrinio valdiklio. Jais bus galima pasitikėti tik tada, kai kiti tinklo nariai galės ir nuspręs pasirašyti jų sertifikatus. Ir tam gali prireikti fizinių susitikimų.
Pasirašydami kitų vardu galite prisiimti riziką ir prisiimti atsakomybę. Jei kas nors, už ką garantavote, yra apgaulė, taip pat galite būti patrauktas atsakomybėn.
3. Atsparus atakoms
Jei pamesite privačius raktus, negalėsite pasiekti savo sertifikatų ar patvirtinti kitų. Jei jūsų raktai yra pavogti, nulaužti ar suklastoti, kas juos turi, gali apsimesti jumis ir pakenkti jūsų patikimumui.
Ir jūs negalėsite nieko padaryti, nes negalite pasiekti savo privatų raktą žinutėms iššifruoti; Tačiau naujesni PGP sertifikatai turi galiojimo laiką.
Galite ir toliau susidurti su socialinės inžinerijos atakomis, kai apgaulingi veikėjai bando jus apgaule išvilioti, kad jie pasirašytų.
Ar galite pasitikėti „Web of Trust“?
Nepaisant tikslų ir technologijų, į kiekvieną duomenų apsaugos sistemą galima įsiskverbti. Tas pats pasakytina ir apie Web of Trust.
Tai nėra tobula sistema, kuri jums pasiūlys visišką saugumą. Vietoj to, tai leis pasitikėjimu pagrįstą sąveiką tarp jūsų ir kitų, turinčių bendrų interesų ir supratimo. Ši sistema gali būti naudinga, jei ja naudosis atsakingai visi dalyviai.
Tačiau jo priklausomybė nuo žmonių daro jį pažeidžiamą žmonių manipuliacijų ir klaidų. Būkite atsargūs, kad nepažeistumėte savo slaptojo rakto. Būkite sąmoningi dėl virusų, viešojo rakto klastojimo, įrenginio saugos pažeidimų, failų, kuriuos ištrynėte, bet vis dar yra kietajame diske, ir net kriptoanalizė, kita kriptografijos pusė.
Pasitikėjimo tinklas yra puikus, bet ne tobulas
„Web of Trust“ įgalina tapatybės patikrinimą „blockchain“ nereikalaujant centrinės institucijos. Nors ši sistema turi daug pažadų ir privalumų, ji taip pat susiduria su keliais apribojimais.
Atlikus papildomus pakeitimus, Web of Trust gali tapti plačiai naudojama tapatybės tikrinimo sistema.