komu veríš? Pomocou Web of Trust, kryptografickej autentifikačnej metódy, môžete vybudovať sieť dôveryhodných kľúčov.
Efektívna identifikácia pri online účasti je čoraz dôležitejšia. V dôsledku toho sa do popredia dostalo niekoľko bezpečnostných systémov, aby platformy mohli overiť seba a svojich používateľov. Jedným z nich je Web of Trust.
Čo je teda Web of Trust a ako funguje?
Čo je Web of Trust?
Web of Trust je systém hodnotenia typu peer-to-peer, ktorý vám umožňuje overiť verejné kľúče a ich vlastníkov bez spoliehania sa na centrálnu autoritu identity.
Hoci to označoval ako „sieť dôvery“, Philip Zimmermann predstavil koncept „Web of Trust“ v jeho dokumentácii pre MIT’s Pretty Good Privacy (PGP). V PGP sú zahrnuté dva kľúče: váš verejný a súkromný (tajný) kľúč. Pomocou tajného kľúča a súhrn správy, PGP vytvára digitálny podpis, ktorý sa používa na certifikáciu vášho verejného kľúča.
Výsledkom je, že váš verejný kľúč je automaticky platný pre PGP. Softvér dôveruje vašim kľúčom a tiež vám dôveruje pri overovaní iných kľúčov, čo vám umožňuje vytvoriť „sieť dôvery“, ktorá začína od vás.
Web of Trust sa ďalej používa v systémoch kompatibilných s GnuPG a OpenPGP a v systémoch overovania identity, ako je napr Dôkaz ľudskosti na overenie identity na blockchaine. Zimmermann tvrdí, že používatelia webu môžu ručiť za svoju pravosť a reputáciu, čím vytvárajú decentralizovaný a distribuovaný systém dôvery.
Web of Trust používa kryptografické techniky, aby zabezpečil, že s údajmi nebude možné manipulovať. Dá sa použiť na šifrovanie a podpisovanie e-mailov a na účasť v online komunitách.
Ako funguje Web of Trust?
Web of Trust vyžaduje kryptografiu s verejným kľúčom (použitie verejné a súkromné kľúče na šifrovanie a dešifrovanie správ) a digitálnych podpisov (vytváranie certifikátov obsahujúcich informácie o vašej identite a prihlasovacích údajoch).
Pomocou svojho súkromného kľúča môžete podpisovať certifikáty a každý, kto má váš verejný kľúč, môže vidieť, že ste sa podpísali. Iní používatelia, ktorí dôverujú vašej identite a povereniam, môžu tiež podpísať váš certifikát. To vytvára sieť dôvery.
Napríklad vo vyššie uvedenom scenári, keďže Manuel predtým podpísal Evin kľúč, Susi mohla dôverovať Manuelovmu podpisu, keď sa rozhodovala, či dôverovať Evinmu kľúču. Ak má Eva viac podpisov od viacerých ľudí, ktorým Susi dôveruje, tým lepšie – jej kľúč je pravdepodobnejší autentický. Susi môže zašifrovať správu pre Evu pomocou Evinho verejného kľúča a zašifrovať ju svojím súkromným kľúčom. Na druhej strane, Eva môže potvrdiť, že správa je od Susi pomocou jej verejného kľúča. Postupom času, keď Susi, Eva a Manuel budú podpisovať viac ľudí, sa reťazec bude naďalej rozširovať.
Keď sa niekto nový pripojí k sieti Web of Trust, musí nájsť niekoho, kto podpíše jeho certifikáty. Osoba, ktorá bude podpisovať, musí nejakým spôsobom overiť identitu podpísanej osoby – možno na virtuálnom stretnutí alebo na večierku na podpisovanie kľúčov. Podpisovateľ musí tiež potvrdiť odtlačok kľúča, jedinečný identifikačný kód spojený s verejným kľúčom príjemcu, a zabezpečiť, aby bol po podpise nahraný na servery kľúčov.
Potom sa môžu za nového používateľa prihlásiť aj ľudia, ktorí im dôverujú. Web of Trust vyžaduje viacero podpisov pre každý certifikát, aby sa znížili nedostatky. Ak sa iní domnievajú, že podpisovateľ správne neoveril identitu nového používateľa alebo odtlačok kľúča, môžu sa rozhodnúť nepodpísať.
Výhody Web of Trust
Je zrejmé, že používanie Web of Trust má množstvo výhod.
1. Jednoduché použitie
Aby ste sa mohli zapojiť do Web of Trust, potrebujete iba vygenerovať kľúče a zdieľať svoje verejné kľúče. Toto je jediný problém s navigáciou, ako sa to páči viacerým softvérovým nástrojom Správca dôvery softvéru DigiCert že teraz existuje automatizácia vytvárania, podpisovania a overovania certifikátov.
2. Distribuované a decentralizované
Web of Trust využíva a distribuovanej a decentralizovanej dôveryhodnej sieti. Systém je založený na hodnotení účastníkov v sieti; nespolieha sa na centralizovanú autoritu.
Zodpovedáte za správu svojich kľúčov a certifikátov a môžete si vybrať, komu dôverovať a koho podpísať.
3. Posilňuje dôveru vo vzťahoch
Na základe vašich požiadaviek si môžete vybudovať dôveru s ostatnými. Úrovne dôveryhodnosti ostatných môžete kedykoľvek odvolať alebo upraviť.
Obmedzenia Web of Trust
Hoci Web of Trust ponúka množstvo výhod, má aj mnohé obmedzenia.
1. Obavy o súkromie
Pri vytváraní alebo podpisovaní certifikátov môžete neúmyselne odhaliť citlivé informácie. Pamätajte: certifikáty obsahujú informácie o vašej identite a povereniach, ako je vaše meno a verejný kľúč. Tieto podrobnosti nie sú určené na odhalenie.
Okrem toho možno neviete, akú kontrolu nad vašimi certifikátmi a kľúčmi majú tí, ktorí sa za vás podpisujú. Škodlivé strany ich môžu napríklad kopírovať, upravovať alebo prezrádzať.
2. Vyžaduje aktívnu účasť v Trust Network
Musíte udržiavať svoje kľúče a certifikáty a podpisovať certifikáty iných, čo môže byť únavné a časovo náročné.
Noví používatelia s čerstvými certifikátmi tiež nemusia chvíľu dôverovať ostatným, pretože neexistuje žiadny centrálny ovládač. Bude im dôverovať iba vtedy, keď ostatní v sieti môžu a rozhodnú sa podpísať ich certifikáty. A to si môže vyžadovať fyzické stretnutia.
Pri podpisovaní zmluvy za iných vám môžu vzniknúť riziká a zodpovednosti. Ak sa ukáže, že niekto, za koho ste sa zaručili, je podvodník, môžete byť braný na zodpovednosť.
3. Zraniteľné voči útokom
Ak stratíte svoje súkromné kľúče, nebudete môcť získať prístup k svojim certifikátom ani overiť ostatných. Ak sú vaše kľúče ukradnuté, hacknuté alebo sfalšované, ktokoľvek ich má, môže sa za vás vydať a poškodiť vašu dôveryhodnosť.
A nebudete môcť robiť nič, pretože nemáte prístup k svojmu súkromný kľúč na dešifrovanie správ; novšie PGP certifikáty však majú dátum vypršania platnosti.
Ďalej by ste mohli čeliť útokom sociálneho inžinierstva, pri ktorých sa vás podvodní herci snažia oklamať, aby ste im podpísali zmluvu.
Môžete dôverovať Web of Trust?
Napriek cieľom a technológiám je možné preniknúť do každého systému zabezpečenia údajov. To isté platí pre Web of Trust.
Nie je to dokonalý systém, ktorý vám ponúkne úplnú bezpečnosť. Namiesto toho umožní interakcie založené na dôvere medzi vami a ostatnými so spoločnými záujmami a porozumením. Tento systém môže byť prínosom, ak ho používajú zodpovedne všetci účastníci.
Jeho spoliehanie sa na ľudí ho však robí zraniteľným voči ľudským manipuláciám a chybám. Dávajte pozor, aby ste neprezradili svoj tajný kľúč. A buďte si vedomí vírusov, manipulácie s verejným kľúčom, narušenia bezpečnosti vášho zariadenia, súborov, ktoré ste vymazali, ale stále sú niekde na vašom pevnom disku a dokonca kryptoanalýza, druhá strana kryptografie.
Web of Trust je skvelý, ale nie dokonalý
Web of Trust umožňuje overenie identity na blockchaine bez potreby centrálnej autority. Aj keď má tento systém veľké sľuby a výhody, čelí aj niekoľkým obmedzeniam.
S ďalšími úpravami sa Web of Trust môže stať široko používaným systémom overovania identity.