Web de încredere

Dezambiguizare - Dacă sunteți în căutarea unei companii finlandeze care furnizează serviciul myWoT, consultați WOT Services, Ltd.

Ca parte a criptării , un web de încredere (web of trust) este un concept folosit de PGP , GnuPG și alte sisteme compatibile cu OpenPGP pentru a stabili autenticitatea cheii publice a asociației - utilizator . În unele privințe, este o alternativă la bazarea exclusivă pe o autoritate de certificare (sau o ierarhie a acestora) tipică sistemelor PKI centralizate. Așa cum există multe rețele de calculatoare, există multe rețele independente de încredere și fiecare utilizator (prin certificatul său de identitate ) poate fi o parte și o legătură între mulți dintre ei.

Acest sistem de certificare se bazează pe conceptul celor șase grade de separare și pe teoria lumii mici .

Funcționarea unei rețele de încredere

Toate implementările compatibile cu OpenPGP includ o schemă de gestionare a certificatelor pentru ușurință în utilizare, numită rețea de încredere . Un certificat de identitate OpenPGP (care include cheia publică și informații despre proprietarul său) poate fi semnat electronic de către alți utilizatori, care, în acest mod, certifică faptul că acea cheie publică este de fapt asociată cu respectivul utilizator. Acest lucru se face în mod obișnuit în întâlniri (fizice) numite părți cheie de semnare .

În plus, toate aceste implementări includ un sistem de votare care poate fi utilizat pentru a determina în ce asociații publice de chei - proprietari poate avea încredere un utilizator fără a fi nevoie să se întâlnească fizic cu persoana respectivă. De exemplu, dacă trei cunoscuți de încredere parțială au semnat un certificat (și astfel au confirmat asocierea cheie publică - utilizator pe care o conține) sau dacă a făcut-o doar un cunoscut de încredere deplină, certificatul este considerat valid. Parametrii sunt la alegerea utilizatorului (de exemplu, poate fi setată necesitatea unei semnături de către un utilizator pe deplin de încredere sau de către un utilizator parțial de încredere) și poate fi complet suprascris, dacă se dorește.

Această schemă este flexibilă, spre deosebire de majoritatea celorlalte infrastructuri cu cheie publică , și lasă alegerea nivelului de încredere utilizatorilor individuali. Nu este perfect și necesită prudență și supraveghere atentă din partea utilizatorilor. Cu toate acestea, în esență, toate PKI-urile sunt mai puțin flexibile și obligă utilizatorii să aibă încredere în certificatele de infrastructură semnate de autoritatea de certificare . Supravegherea utilizatorului nu este nici obligatorie, nici permisă. Nici aceste sisteme nu sunt în mod evident perfecte.

Diferențe față de un PKI tipic

În schimb, într-un sistem tipic X.509 PKI, fiecare certificat poate fi semnat o singură dată de către o autoritate de certificare (CA). Certificatul CA poate fi el însuși semnat de o altă CA și așa mai departe până la un certificat „auto-semnat”, numit certificat rădăcină . Certificatele rădăcină trebuie să fie accesibile de către cineva care utilizează un certificat CA de nivel inferior, astfel încât acestea sunt de obicei distribuite pe scară largă. De exemplu, acestea sunt incluse în programe precum browsere web și e-mailuri. În acest fel, paginile web, e-mailurile etc., protejate prin SSL / TLS pot fi autentificate fără a cere utilizatorului să instaleze manual certificatele rădăcină. De obicei, sunt incluse mai mult de o sută de certificate de la zeci de PKIs, având încredere într-un certificat prin ierarhia la care se referă. Multe dintre aceste certificate au fost create de companii ulterior eșuate, cum ar fi cazul colapsului Dot-com . Cu excepția cazului în care aceste PKI sunt încă gestionate - în ciuda tuturor - certificatele rădăcină nu mai sunt aproape sigur.

Problemele unei rețele de încredere

Rețeaua de încredere a OpenPGP este imună la probleme precum eșecurile companiei și a continuat să funcționeze până în prezent, fără modificări majore. Cu toate acestea, există o problemă serioasă. Utilizatorii care își pierd cheia privată nu mai pot decripta mesajele care au fost create folosind cheia lor publică. Primele certificate PGP nu conțineau date de expirare și, prin urmare, aveau o durată nelimitată. Utilizatorii au trebuit să pregătească un certificat de revocare semnat în anticiparea furtului sau pierderii cheii private. Un celebru criptograf primește în continuare mesaje criptate folosind o cheie publică a cărei cheie privată a pierdut-o cu ceva timp în urmă. Nu poate face mult cu aceste mesaje decât să le șteargă și să informeze expeditorul că nu le poate citi, implorându-l să le retransmită cu o altă cheie publică - din care deține încă cheia privată relevantă. Noile versiuni ale programelor compatibile cu PGP și OpenPGP au certificate cu o dată de expirare care le dezactivează automat după o anumită perioadă, evitând (potențial) aceste probleme dacă sunt utilizate corect.

Versiunea 3 a X.509 este suficient de flexibilă pentru a permite o rețea de încredere în stil OpenPGP. Cu toate acestea, acest lucru este de obicei utilizat pentru a crea o rețea de legături între autoritățile de certificare la nivel înalt, mai degrabă decât utilizatorii individuali.

O dificultate socială (non-tehnică) a unei rețele de încredere, cum ar fi cea inclusă în sistemele PGP / OpenPGP, este că în orice rețea de încredere fără un controler central (de exemplu , un CA ), validarea unui certificat se bazează pe celelalte. . Noile certificate de utilizator nu vor avea încredere imediată de către alți utilizatori, în special de cei pe care nu i-au întâlnit încă personal, până când nu găsesc suficienți semnatari pentru certificatul lor. Acest lucru se datorează configurației multor utilizatori, care necesită semnătura unuia sau mai multor utilizatori pe deplin de încredere (sau a mai multor utilizatori parțial de încredere) pentru a utiliza (pregăti mesaje folosind cheia publică, crede semnătura etc.) un certificat necunoscut.

În ciuda difuzării largi a sistemelor OpenPGP și a disponibilității largi a serverelor cheie , în practică este posibil să nu poți găsi una sau mai multe persoane dispuse să semneze un nou certificat (de exemplu, compararea unui document de identificare cu informațiile conținute în certificat ). Utilizatorii care locuiesc în zone îndepărtate sau subdezvoltate, de exemplu, pot avea dificultăți în a ajunge la alți utilizatori. Și dacă certificatul celuilalt utilizator este, de asemenea, nou (fără semnături sau cu puține semnături), atunci semnătura lor poate oferi doar un mic avantaj. Partidele cheie de semnare sunt un mecanism destul de popular pentru rezolvarea problemei.

Elemente conexe

• Comunitate virtuală
• Rețea socială

linkuri externe

• Întrebări frecvente despre GnuPG pe web-ul de încredere , la gnupg.org .
• Scurtă explicație a unei rețele de încredere PGP. , pe dia.unisa.it . Adus la 10 iulie 2005 (arhivat din original la 1 septembrie 2006) .

In engleza

• O explicație a rețelei de încredere PGP , la rubin.ch .
• PGP Network of Trust Statistics - 1996 Neal McBurnett analysis
• Analiza unui inel OpenPGP mare - analiza 2001-2002 de către Drew Streib
• Wotsap - Web de statistici de încredere și căutare , pe lysator.liu.se .
• Analiza Footsie Web of Trust , la parisc-linux.org . Adus la 26 martie 2005 (arhivat din original la 21 noiembrie 2008) .
• Instrumente PGP, pathfinder, referințe de Henk P. Penning
• Trust-forum : proiectul unui sistem de comunicații web care include o rețea de încredere între servere bazată pe declarațiile de încredere dintre utilizatori.
• Proiect de evaluare a valorilor de încredere wiki.

Portal de criptografie

Portal de securitate IT