על מי אתה סומך? באמצעות Web of Trust, שיטת אימות קריפטוגרפי, אתה יכול לבנות רשת של מפתחות מהימנים.

זיהוי יעיל בעת השתתפות באינטרנט הפך יותר ויותר מכריע. כתוצאה מכך, כמה מערכות אבטחה עלו על הפרק כדי שפלטפורמות יוכלו לאמת את עצמן ואת המשתמשים שלהן. אחד מהם הוא רשת האמון.

אז מה זה Web of Trust, ואיך זה עובד?

מהו רשת האמון?

Web of Trust היא מערכת דירוג עמית לעמית המאפשרת לך לאמת מפתחות ציבוריים ואת בעליהם מבלי להסתמך על סמכות זהות מרכזית.

למרות שהוא התייחס לזה כ"רשת של ביטחון", פיליפ צימרמן הציג הרעיון של "רשת של אמון" בתיעוד שלו לפרטיות די טובה של MIT (PGP). ב-PGP, שני מפתחות מעורבים: המפתחות הציבוריים והפרטיים (הסודיים) שלך. באמצעות המפתח הסודי שלך ו תקציר הודעה, PGP יוצר חתימה דיגיטלית, המשמשת לאישור המפתח הציבורי שלך.

כתוצאה מכך, המפתח הציבורי שלך תקף אוטומטית ל-PGP. התוכנה סומכת על המפתחות שלך וגם סומכת עליך שתאמת מפתחות אחרים, מה שמאפשר לך ליצור "רשת של אמון" שמתחילה איתך.

Web of Trust נמצא בשימוש נוסף במערכות תואמות GnuPG ו-OpenPGP ומערכות אימות זהות כמו הוכחה לאנושות כדי לאמת זהויות בבלוקצ'יין. צימרמן טוען שמשתמשי אינטרנט יכולים להעיד זה על האותנטיות והמוניטין של זה, וליצור מערכת אמון מבוזרת ומבוזרת.

instagram viewer

Web of Trust משתמש בטכניקות הצפנה כדי להבטיח שלא ניתן לתפעל את הנתונים. ניתן להשתמש בו כדי להצפין ולחתום אימיילים, ולהשתתף בקהילות מקוונות.

כיצד פועל רשת האמון?

Web of Trust דורש הצפנת מפתח ציבורי (השימוש ב מפתחות ציבוריים ופרטיים כדי להצפין ולפענח הודעות) וחתימות דיגיטליות (יצירת אישורים המכילים מידע על זהותך ותעודותיך) לעבוד.

באמצעות המפתח הפרטי שלך, אתה יכול לחתום על אישורים, וכל מי שיש לו את המפתח הציבורי שלך יכול לראות שחתמת. משתמשים אחרים שסומכים על הזהות והאישורים שלך יכולים לחתום גם על האישור שלך. זה יוצר רשת של אמון.

קרדיט תמונה: Kku/ויקימדיה קומונס

לדוגמה, בתרחיש שלעיל, מכיוון שמנואל חתם בעבר על המפתח של אווה, סוסי יכולה לסמוך על חתימתו של מנואל כשהיא מחליטה אם לסמוך על המפתח של אווה. אם לאווה יש יותר חתימות מיותר אנשים שסוסי סומכת עליה, על אחת כמה וכמה - המפתח שלה סביר יותר אותנטי. סוסי יכולה להצפין הודעה עבור אווה באמצעות המפתח הציבורי של אווה ולהצפין אותו במפתח הפרטי שלה. מצד שני, אווה יכולה לאשר שההודעה היא מסוסי באמצעות המפתח הציבורי שלה. עם הזמן, כשסוסי, אווה ומנואל יחתמו לעוד אנשים, הרשת תמשיך להתרחב.

כאשר מישהו חדש מצטרף לרשת Web of Trust, עליו למצוא מישהו שיחתום על האישורים שלו. האדם שיחתום חייב לאמת את זהות החתימה איכשהו - אולי בפגישה וירטואלית או במסיבת חתימת מפתח. החותם חייב גם לאשר את טביעת האצבע של המפתח, קוד זיהוי ייחודי המשויך למפתח הציבורי של החתימה, ולוודא שהוא מועלה לשרתי המפתח לאחר החתימה.

לאחר מכן, אנשים שסומכים עליהם יכולים גם לחתום עבור המשתמש החדש. Web of Trust דורש חתימות מרובות עבור כל אישור כדי לצמצם פגמים. אם אחרים מרגישים שהחותם לא אימת את זהות המשתמש החדש או את טביעת האצבע של המפתח כראוי, הם עשויים להחליט שלא לחתום.

היתרונות של Web of Trust

יש כמובן יתרונות רבים בשימוש ב-Web of Trust.

1. קל לשימוש

אתה רק צריך ליצור מפתחות ולשתף את המפתחות הציבוריים שלך כדי להשתתף ברשת של אמון. זוהי הטרחה היחידה לנווט, כפי שאוהבים מספר כלי תוכנה מנהל אמון DigiCert Software שקיימים כעת אישורים אוטומטיים ליצירה, חתימה ואימות.

2. מבוזר ומבוזר

Web of Trust משתמש ב-a רשת אמון מבוזרת ומבוזרת. המערכת מבוססת על דירוג המשתתפים ברשת; זה לא מסתמך על סמכות ריכוזית.

אתה אחראי על ניהול המפתחות והתעודות שלך, ויכול לבחור במי לסמוך ובמי לחתום.

3. אוכפת אמון במערכות יחסים

אתה יכול ליצור אמון עם אחרים בהתבסס על הדרישות שלך. אתה רשאי לבטל או לשנות את רמות האמון של אחרים בכל עת.

מגבלות של Web of Trust

למרות ש-Web of Trust מציע יתרונות רבים, יש לו גם מגבלות רבות.

1. חששות פרטיות

בעת יצירה או חתימה על אישורים, אתה עלול לחשוף מידע רגיש שלא במתכוון. זכור: אישורים מכילים מידע על זהותך ותעודותיך, כמו שמך ומפתח ציבורי. הפרטים האלה לא נועדו להיחשף.

חוץ מזה, אולי אינך יודע כמה שליטה יש למי שחותמים עבורך על התעודות והמפתחות שלך. לדוגמה, גורמים זדוניים עלולים להעתיק, לשנות או להדליף אותם.

2. מחייב השתתפות פעילה ברשת הנאמנות

אתה צריך לשמור על המפתחות והתעודות שלך, ולחתום על תעודות של אחרים, מה שעשוי להיות מייגע וגוזל זמן.

כמו כן, משתמשים חדשים עם אישורים טריים עשויים שלא להיות מהימנים על ידי אחרים במשך זמן מה, מכיוון שאין בקר מרכזי. ניתן יהיה לסמוך עליהם רק כאשר אחרים ברשת יכולים, ויחליטו, לחתום על התעודות שלהם. וזה עשוי לדרוש פגישות פיזיות.

אתה עלול לקחת סיכונים ואחריות בזמן חתימה עבור אחרים. אם מישהו שערבת עבורו יתברר כמרמה, אתה יכול גם להטיל אחריות.

3. פגיע להתקפות

אם תמקם את המפתחות הפרטיים שלך בטעות, לא תוכל לגשת לאישורים שלך או לאמת אחרים. אם המפתחות שלך נגנבים, נפרצו או מזויפים, מי שיש לו אותם עלול להתחזות אליך ולפגוע באמינותך.

ואתה לא תוכל לעשות שום דבר מכיוון שאתה לא יכול לגשת שלך מפתח פרטי לפענוח ההודעות שלך; עם זאת, לתעודות PGP חדשות יותר יש תאריכי תפוגה.

אתה יכול עוד להתמודד עם התקפות הנדסה חברתית, שבהן שחקנים הונאה מנסים להערים עליך לחתום עבורם.

האם אתה יכול לסמוך על Web of Trust?

למרות המטרות והטכנולוגיות, ניתן לחדור לכל מערכת אבטחת מידע. אותו דבר לגבי Web of Trust.

זו לא מערכת מושלמת שתציע לך אבטחה מלאה. במקום זאת, זה יאפשר אינטראקציות מבוססות אמון בינך לבין אחרים עם תחומי עניין והבנות משותפים. מערכת זו יכולה להיות מועילה אם כל המשתתפים משתמשים בה בצורה אחראית.

עם זאת, ההסתמכות על אנשים משאירה אותו חשוף למניפולציות וטעויות אנושיות. היזהר לא להתפשר על המפתח הסודי שלך. ותהיה מודע לווירוסים, שיבוש מפתח ציבורי, הפרות באבטחת המכשיר שלך, קבצים שמחקת אבל עדיין נמצאים איפשהו בדיסק הקשיח שלך, ואפילו אנליזה של קריפטוגרפיה, הצד השני של ההצפנה.

Web of Trust הוא נהדר אבל לא מושלם

Web of Trust מאפשר אימות זהות בבלוקצ'יין ללא צורך בסמכות מרכזית. אמנם למערכת זו הבטחות ויתרונות גדולים, היא גם עומדת בפני מספר מגבלות.

עם שינויים נוספים, Web of Trust יכולה להפוך למערכת אימות זהות מאומצת.