Keneen sinä luotat? Käyttämällä Web of Trust, kryptografista todennusmenetelmää, voit rakentaa luotettavien avainten verkoston.
Tehokas tunnistaminen verkossa osallistuessa on tullut yhä tärkeämmäksi. Tämän seurauksena useat turvajärjestelmät ovat tulleet etualalle, jotta alustat voivat tarkistaa itsensä ja käyttäjänsä. Yksi niistä on Web of Trust.
Joten mikä Web of Trust on ja miten se toimii?
Mikä on Web of Trust?
Web of Trust on vertaisarviointijärjestelmä, jonka avulla voit tarkistaa julkiset avaimet ja niiden omistajat turvautumatta keskitettyyn henkilöllisyysviranomaiseen.
Vaikka hän kutsui sitä "luottamuksen verkkona", Philip Zimmermann esitteli käsite "Web of Trust" hänen MIT: n Pretty Good Privacy (PGP) -dokumentaatiossaan. PGP: ssä on mukana kaksi avainta: julkinen ja yksityinen (salainen) avaimesi. Käyttämällä salaista avaimesi ja viestikooste, PGP muodostaa digitaalisen allekirjoituksen, jota käytetään julkisen avaimesi varmentamiseen.
Tämän seurauksena julkinen avaimesi on automaattisesti voimassa PGP: lle. Ohjelmisto luottaa avaimiisi ja myös muiden avainten vahvistamiseen, jolloin voit luoda "luottamusverkon" sinusta alkaen.
Web of Trustia käytetään edelleen GnuPG- ja OpenPGP-yhteensopivissa järjestelmissä ja henkilöllisyyden vahvistusjärjestelmissä, kuten Todiste ihmisyydestä lohkoketjun henkilöllisyyksien todentamiseksi. Zimmermann väittää, että verkon käyttäjät voivat taata toistensa aitouden ja maineen luomalla hajautetun ja hajautetun luottamusjärjestelmän.
Web of Trust käyttää salaustekniikoita varmistaakseen, että tietoja ei voida käsitellä. Sitä voidaan käyttää sähköpostien salaamiseen ja allekirjoittamiseen sekä osallistumiseen verkkoyhteisöihin.
Miten Web of Trust toimii?
Web of Trust vaatii julkisen avaimen salauksen (käyttämällä julkiset ja yksityiset avaimet viestien salaamiseen ja salauksen purkamiseen) ja digitaaliset allekirjoitukset (henkilöllisyyttäsi ja tunnistetietojasi sisältävien sertifikaattien luominen) toimimaan.
Yksityisellä avaimellasi voit allekirjoittaa varmenteita, ja kuka tahansa, jolla on julkinen avaimesi, voi nähdä, että olet allekirjoittanut. Muut käyttäjät, jotka luottavat henkilöllisyytesi ja tunnistetietoihisi, voivat myös allekirjoittaa varmenteen. Tämä luo luottamusverkoston.
Esimerkiksi yllä olevassa skenaariossa, koska Manuel on aiemmin allekirjoittanut Evan avaimen, Susi voisi luottaa Manuelin allekirjoitukseen päättäessään luottaako Evan avaimeen. Jos Evalla on enemmän allekirjoituksia useammilta ihmisiltä, joihin Susi luottaa, sitä parempi – hänen avaimensa on todennäköisemmin aito. Susi voi salata viestin Evalle Evan julkisella avaimella ja salata sen yksityisellä avaimellaan. Toisaalta Eva voi vahvistaa, että viesti on Susilta hänen julkisen avaimensa avulla. Ajan myötä, kun Susi, Eva ja Manuel allekirjoittavat enemmän ihmisiä, ketju jatkaa laajentumistaan.
Kun joku uusi liittyy Web of Trust -verkkoon, hänen on löydettävä joku allekirjoittamaan sertifikaattinsa. Allekirjoittajan on vahvistettava allekirjoittajan henkilöllisyys jollakin tavalla – ehkä virtuaalikokouksessa tai avaimen allekirjoitustilaisuudessa. Allekirjoittajan on myös vahvistettava avaimen sormenjälki, allekirjoittajan julkiseen avaimeen liittyvä yksilöllinen tunnistekoodi, ja varmistettava, että se ladataan avainpalvelimille allekirjoituksen jälkeen.
Tämän jälkeen heihin luottavat voivat myös kirjautua uudelle käyttäjälle. Web of Trust vaatii useita allekirjoituksia jokaiselle varmenteelle virheiden vähentämiseksi. Jos muiden mielestä allekirjoittaja ei ole vahvistanut uuden käyttäjän henkilöllisyyttä tai avaimen sormenjälkeä kunnolla, he saattavat päättää olla allekirjoittamatta.
Web of Trustin edut
Web of Trustin käyttämisessä on tietysti lukuisia etuja.
1. Helppokäyttöinen
Sinun tarvitsee vain luoda avaimia ja jakaa julkiset avaimesi voidaksesi osallistua Web of Trust -ohjelmaan. Tämä on ainoa vaiva navigointiin, kuten useat ohjelmistotyökalut pitävät DigiCert Software Trust Manager jotka automatisoivat varmenteiden luomisen, allekirjoittamisen ja vahvistamisen.
2. Hajautettu ja hajautettu
Web of Trust hyödyntää a hajautettu ja hajautettu luottamusverkko. Järjestelmä perustuu verkoston osallistujien luokitukseen; se ei ole riippuvainen keskitetystä viranomaisesta.
Olet vastuussa avainten ja varmenteiden hallinnasta ja voit valita, keneen luotat ja keneen allekirjoitat.
3. Vahvistaa luottamusta ihmissuhteisiin
Voit luoda luottamusta muihin tarpeidesi perusteella. Voit myös peruuttaa tai muuttaa muiden luottamustasoja milloin tahansa.
Web of Trustin rajoitukset
Vaikka Web of Trust tarjoaa monia etuja, sillä on myös monia rajoituksia.
1. Tietosuojaongelmat
Kun luot tai allekirjoitat varmenteita, saatat vahingossa paljastaa arkaluonteisia tietoja. Muista: sertifikaatit sisältävät tietoja henkilöllisyydestäsi ja tunnistetiedoistasi, kuten nimestäsi ja julkisesta avaimestasi. Näitä yksityiskohtia ei ole tarkoitus paljastaa.
Lisäksi et ehkä tiedä, kuinka paljon sinun puolestasi allekirjoittaneilla on hallintaoikeus varmenteihisi ja avaimillesi. Haitalliset osapuolet voivat esimerkiksi kopioida, muokata tai vuotaa niitä.
2. Edellyttää aktiivista osallistumista luottamusverkostoon
Sinun on säilytettävä avaimesi ja varmenteesi sekä allekirjoitettava muiden varmenteita, mikä voi olla työlästä ja aikaa vievää.
Myöskään uusiin käyttäjiin, joilla on tuoreet varmenteet, muut eivät ehkä luota vähään aikaan, koska keskusohjainta ei ole. Heihin luotetaan vain, kun muut verkossa voivat allekirjoittaa ja päättävät allekirjoittaa varmenteensa. Ja tämä saattaa vaatia fyysisiä tapaamisia.
Saatat ottaa riskejä ja vastuita allekirjoittaessasi muiden puolesta. Jos joku takaamasi henkilö osoittautuu petokseksi, voit myös joutua vastuuseen.
3. Alttiina hyökkäyksille
Jos kadotat yksityiset avaimesi, et voi käyttää varmenteitasi tai vahvistaa muita. Jos avaimesi varastetaan, hakkeroidaan tai väärennetään, kuka tahansa, jolla on ne, voi esiintyä sinuna ja vahingoittaa uskottavuuttasi.
Etkä voi tehdä mitään, koska et pääse käsiksi omaan yksityinen avain viestien salauksen purkamiseen; uudemmilla PGP-varmenteilla on kuitenkin viimeinen voimassaolopäivä.
Saatat kohdata edelleen sosiaalisen manipuloinnin hyökkäyksiä, joissa petolliset toimijat yrittävät huijata sinut allekirjoittamaan heidät.
Voitko luottaa Web of Trustiin?
Tavoitteista ja teknologioista huolimatta jokainen tietoturvajärjestelmä on läpäistävissä. Sama koskee Web of Trustia.
Se ei ole täydellinen järjestelmä, joka tarjoaa sinulle täydellisen suojan. Sen sijaan se mahdollistaa luottamukseen perustuvan vuorovaikutuksen sinun ja muiden välillä, joilla on yhteisiä kiinnostuksen kohteita ja ymmärrystä. Tästä järjestelmästä voi olla hyötyä, jos kaikki osallistujat käyttävät sitä vastuullisesti.
Kuitenkin sen riippuvuus ihmisistä jättää sen alttiiksi inhimillisille manipuloinneille ja virheille. Varo vaarantamasta salaista avaintasi. Ja ole tietoinen viruksista, julkisen avaimen peukaloitumisesta, laitteesi tietoturvaloukkauksista, tiedostoista, jotka poistit, mutta jotka ovat edelleen jossain kiintolevylläsi, ja jopa kryptografia, salauksen toinen puoli.
Luottamuksen verkko on hieno, mutta ei täydellinen
Web of Trust mahdollistaa henkilöllisyyden todentamisen lohkoketjussa ilman keskusviranomaista. Vaikka tällä järjestelmällä on suuria lupauksia ja etuja, sillä on myös useita rajoituksia.
Lisämuutoksilla Web of Trustista voi tulla laajalti hyväksytty henkilöllisyyden todentamisjärjestelmä.
