Ποιον εμπιστεύεσαι; Χρησιμοποιώντας το Web of Trust, μια μέθοδο κρυπτογραφικού ελέγχου ταυτότητας, μπορείτε να δημιουργήσετε ένα δίκτυο αξιόπιστων κλειδιών.
Η αποτελεσματική αναγνώριση κατά τη συμμετοχή στο Διαδίκτυο γίνεται όλο και πιο σημαντική. Ως αποτέλεσμα, αρκετά συστήματα ασφαλείας έχουν έρθει στο προσκήνιο, ώστε οι πλατφόρμες να μπορούν να επαληθεύουν τον εαυτό τους και τους χρήστες τους. Ένα από αυτά είναι το Web of Trust.
Τι είναι λοιπόν το Web of Trust και πώς λειτουργεί;
Τι είναι το Web of Trust;
Το Web of Trust είναι ένα σύστημα αξιολόγησης peer-to-peer που σας δίνει τη δυνατότητα να επαληθεύετε τα δημόσια κλειδιά και τους κατόχους τους χωρίς να βασίζεστε σε μια κεντρική αρχή ταυτότητας.
Αν και το χαρακτήρισε ως «ιστό εμπιστοσύνης», Ο Philip Zimmermann παρουσίασε την έννοια του «Web of Trust» στην τεκμηρίωσή του για το Pretty Good Privacy (PGP) του MIT. Στο PGP, εμπλέκονται δύο κλειδιά: το δημόσιο και το ιδιωτικό (μυστικό) κλειδί σας. Χρησιμοποιώντας το μυστικό κλειδί σας και
μια σύνοψη μηνύματος, το PGP σχηματίζει μια ψηφιακή υπογραφή, η οποία χρησιμοποιείται για την πιστοποίηση του δημόσιου κλειδιού σας.Ως αποτέλεσμα, το δημόσιο κλειδί σας είναι αυτόματα έγκυρο στο PGP. Το λογισμικό εμπιστεύεται τα κλειδιά σας και σας εμπιστεύεται επίσης την επικύρωση άλλων κλειδιών, επιτρέποντάς σας να δημιουργήσετε έναν «ιστό εμπιστοσύνης» ξεκινώντας από εσάς.
Το Web of Trust χρησιμοποιείται περαιτέρω σε συστήματα συμβατά με GnuPG και OpenPGP και συστήματα επαλήθευσης ταυτότητας όπως Απόδειξη Ανθρωπότητας για τον έλεγχο ταυτότητας στο blockchain. Ο Zimmermann ισχυρίζεται ότι οι χρήστες του Ιστού μπορούν να εγγυηθούν ο ένας την αυθεντικότητα και τη φήμη του άλλου, δημιουργώντας ένα αποκεντρωμένο και κατανεμημένο σύστημα εμπιστοσύνης.
Το Web of Trust χρησιμοποιεί κρυπτογραφικές τεχνικές για να διασφαλίσει ότι τα δεδομένα δεν μπορούν να χειραγωγηθούν. Μπορεί να χρησιμοποιηθεί για κρυπτογράφηση και υπογραφή μηνυμάτων ηλεκτρονικού ταχυδρομείου και συμμετοχή σε διαδικτυακές κοινότητες.
Πώς λειτουργεί το Web of Trust;
Το Web of Trust απαιτεί κρυπτογράφηση δημόσιου κλειδιού (η χρήση του δημόσια και ιδιωτικά κλειδιά για κρυπτογράφηση και αποκρυπτογράφηση μηνυμάτων) και ψηφιακές υπογραφές (η δημιουργία πιστοποιητικών που περιέχουν πληροφορίες σχετικά με την ταυτότητά σας και τα διαπιστευτήριά σας) για να λειτουργήσει.
Χρησιμοποιώντας το ιδιωτικό σας κλειδί, μπορείτε να υπογράψετε πιστοποιητικά και οποιοσδήποτε έχει το δημόσιο κλειδί σας μπορεί να δει ότι έχετε υπογράψει. Άλλοι χρήστες που εμπιστεύονται την ταυτότητα και τα διαπιστευτήριά σας μπορούν επίσης να υπογράψουν το πιστοποιητικό σας. Αυτό δημιουργεί ένα δίκτυο εμπιστοσύνης.
Για παράδειγμα, στο παραπάνω σενάριο, δεδομένου ότι ο Manuel έχει υπογράψει προηγουμένως το κλειδί της Eva, η Susi θα μπορούσε να εμπιστευτεί την υπογραφή του Manuel όταν αποφασίζει αν θα εμπιστευτεί το κλειδί της Eva. Αν η Εύα έχει περισσότερες υπογραφές από περισσότερα άτομα που εμπιστεύεται η Σούσι, τόσο το καλύτερο—το κλειδί της είναι πιο πιθανό να είναι αυθεντικό. Η Susi μπορεί να κρυπτογραφήσει ένα μήνυμα για την Eva χρησιμοποιώντας το δημόσιο κλειδί της Eva και να το κρυπτογραφήσει με το ιδιωτικό της κλειδί. Από την άλλη, η Εύα μπορεί να επιβεβαιώσει ότι το μήνυμα είναι από τη Σούσι χρησιμοποιώντας το δημόσιο κλειδί της. Με τον καιρό, καθώς η Susi, η Eva και ο Manuel υπογράφουν για περισσότερα άτομα, η αλυσίδα θα συνεχίσει να επεκτείνεται.
Όταν κάποιος νέος εντάσσεται σε ένα δίκτυο Web of Trust, πρέπει να βρει κάποιον να υπογράψει τα πιστοποιητικά του. Το άτομο που θα υπογράψει πρέπει να επαληθεύσει την ταυτότητα του υπογράφοντος με κάποιο τρόπο—ίσως σε μια εικονική συνάντηση ή σε ένα βασικό πάρτι υπογραφής. Ο υπογράφων πρέπει επίσης να επιβεβαιώσει το δακτυλικό αποτύπωμα του κλειδιού, έναν μοναδικό κωδικό αναγνώρισης που σχετίζεται με το δημόσιο κλειδί του υπογράφοντος, και να βεβαιωθεί ότι μεταφορτώνεται στους διακομιστές κλειδιών μετά την υπογραφή.
Μετά από αυτό, τα άτομα που τους εμπιστεύονται μπορούν επίσης να υπογράψουν για τον νέο χρήστη. Το Web of Trust απαιτεί πολλαπλές υπογραφές για κάθε πιστοποιητικό για τη μείωση των ελαττωμάτων. Εάν άλλοι πιστεύουν ότι ο υπογράφων δεν επαλήθευσε σωστά την ταυτότητα ή το δακτυλικό αποτύπωμα του νέου χρήστη, μπορεί να αποφασίσουν να μην υπογράψουν.
Οφέλη του Web of Trust
Υπάρχουν προφανώς πολλά οφέλη από τη χρήση του Web of Trust.
1. Εύχρηστος
Χρειάζεται μόνο να δημιουργήσετε κλειδιά και να μοιραστείτε τα δημόσια κλειδιά σας για να συμμετάσχετε σε ένα Web of Trust. Αυτή είναι η μόνη ταλαιπωρία για πλοήγηση, όπως αρέσει σε πολλά εργαλεία λογισμικού DigiCert Software Trust Manager που αυτοματοποιούν τη δημιουργία, την υπογραφή και την επαλήθευση πιστοποιητικών υπάρχουν πλέον.
2. Κατανεμημένη και Αποκεντρωμένη
Το Web of Trust χρησιμοποιεί α κατανεμημένο και αποκεντρωμένο δίκτυο εμπιστοσύνης. Το σύστημα βασίζεται στην αξιολόγηση των συμμετεχόντων στο δίκτυο. δεν βασίζεται σε μια κεντρική αρχή.
Είστε υπεύθυνοι για τη διαχείριση των κλειδιών και των πιστοποιητικών σας και μπορείτε να επιλέξετε ποιον να εμπιστευτείτε και ποιον να υπογράψετε.
3. Ενισχύει την εμπιστοσύνη στις σχέσεις
Μπορείτε να δημιουργήσετε εμπιστοσύνη με τους άλλους με βάση τις απαιτήσεις σας. Μπορείτε επίσης να ανακαλέσετε ή να τροποποιήσετε τα επίπεδα εμπιστοσύνης άλλων ανά πάσα στιγμή.
Περιορισμοί του Web of Trust
Αν και το Web of Trust προσφέρει πολλά οφέλη, έχει επίσης πολλούς περιορισμούς.
1. Προβλήματα απορρήτου
Κατά τη δημιουργία ή την υπογραφή πιστοποιητικών, ενδέχεται να εκθέσετε ακούσια ευαίσθητες πληροφορίες. Θυμηθείτε: τα πιστοποιητικά περιέχουν πληροφορίες σχετικά με την ταυτότητά σας και τα διαπιστευτήριά σας, όπως το όνομα και το δημόσιο κλειδί σας. Αυτές οι λεπτομέρειες δεν προορίζονται να εκτεθούν.
Εξάλλου, μπορεί να μην γνωρίζετε πόσο έλεγχο έχουν αυτοί που σας υπογράφουν στα πιστοποιητικά και τα κλειδιά σας. Για παράδειγμα, τα κακόβουλα μέρη μπορεί να τα αντιγράψουν, να τροποποιήσουν ή να τα διαρρεύσουν.
2. Απαιτεί ενεργή συμμετοχή στο δίκτυο εμπιστοσύνης
Πρέπει να διατηρήσετε τα κλειδιά και τα πιστοποιητικά σας και να υπογράψετε τα πιστοποιητικά άλλων, κάτι που μπορεί να είναι κουραστικό και χρονοβόρο.
Επίσης, οι νέοι χρήστες με νέα πιστοποιητικά ενδέχεται να μην τους εμπιστεύονται άλλοι για λίγο, καθώς δεν υπάρχει κεντρικός ελεγκτής. Θα είναι αξιόπιστοι μόνο όταν άλλοι στο δίκτυο μπορούν και αποφασίσουν να υπογράψουν τα πιστοποιητικά τους. Και αυτό μπορεί να απαιτήσει φυσικές συναντήσεις.
Ενδέχεται να αναλάβετε κινδύνους και ευθύνες ενώ υπογράφετε για άλλους. Εάν κάποιος για τον οποίο εγγυηθήκατε αποδειχθεί δόλιος, θα μπορούσατε επίσης να λογοδοτήσετε.
3. Ευάλωτος σε επιθέσεις
Εάν τοποθετήσετε λάθος τα ιδιωτικά σας κλειδιά, δεν θα μπορείτε να αποκτήσετε πρόσβαση στα πιστοποιητικά σας ή να επαληθεύσετε άλλα. Εάν τα κλειδιά σας κλαπούν, παραβιαστούν ή πλαστογραφηθούν, όποιος τα έχει θα μπορούσε να σας μιμηθεί και να βλάψει την αξιοπιστία σας.
Και δεν θα μπορείτε να κάνετε τίποτα αφού δεν μπορείτε να αποκτήσετε πρόσβαση στο δικό σας ιδιωτικό κλειδί για την αποκρυπτογράφηση των μηνυμάτων σας; Ωστόσο, τα νεότερα πιστοποιητικά PGP έχουν ημερομηνίες λήξης.
Θα μπορούσατε περαιτέρω να αντιμετωπίσετε επιθέσεις κοινωνικής μηχανικής, όπου δόλιοι ηθοποιοί προσπαθούν να σας εξαπατήσουν για να τους υπογράψετε.
Μπορείτε να εμπιστευτείτε το Web of Trust;
Παρά τους στόχους και τις τεχνολογίες, κάθε σύστημα ασφάλειας δεδομένων μπορεί να διεισδύσει. Το ίδιο ισχύει και για το Web of Trust.
Δεν είναι ένα τέλειο σύστημα που θα σας προσφέρει πλήρη ασφάλεια. Αντίθετα, θα επιτρέψει αλληλεπιδράσεις βασισμένες στην εμπιστοσύνη μεταξύ εσάς και άλλων με κοινά ενδιαφέροντα και κατανοήσεις. Αυτό το σύστημα μπορεί να είναι επωφελές εάν χρησιμοποιείται υπεύθυνα από όλους τους συμμετέχοντες.
Ωστόσο, η εξάρτησή του από τους ανθρώπους το αφήνει ευάλωτο σε ανθρώπινους χειρισμούς και λάθη. Προσέξτε να μην παραβιάσετε το μυστικό κλειδί σας. Και να έχετε επίγνωση των ιών, της παραβίασης του δημόσιου κλειδιού, των παραβιάσεων στην ασφάλεια της συσκευής σας, των αρχείων που διαγράψατε αλλά εξακολουθούν να βρίσκονται κάπου στον σκληρό σας δίσκο, ακόμα και κρυπτανάλυση, η άλλη πλευρά της κρυπτογραφίας.
Το Web of Trust είναι υπέροχο αλλά όχι τέλειο
Το Web of Trust επιτρέπει την επαλήθευση ταυτότητας στο blockchain χωρίς να απαιτείται κεντρική αρχή. Ενώ αυτό το σύστημα έχει μεγάλες υποσχέσεις και οφέλη, αντιμετωπίζει επίσης αρκετούς περιορισμούς.
Με πρόσθετες τροποποιήσεις, το Web of Trust μπορεί να γίνει ένα ευρέως διαδεδομένο σύστημα επαλήθευσης ταυτότητας.