Wie vertrouw je? Met behulp van het Web of Trust, een cryptografische authenticatiemethode, kunt u een netwerk van betrouwbare sleutels bouwen.
Efficiënte identificatie bij online deelname is steeds belangrijker geworden. Als gevolg hiervan zijn verschillende beveiligingssystemen naar voren gekomen, zodat platforms zichzelf en hun gebruikers kunnen verifiëren. Een daarvan is het Web of Trust.
Dus wat is Web of Trust en hoe werkt het?
Wat is een web van vertrouwen?
Web of Trust is een peer-to-peer beoordelingssysteem waarmee u openbare sleutels en hun eigenaren kunt verifiëren zonder te vertrouwen op een centrale identiteitsautoriteit.
Hoewel hij het een 'web van vertrouwen' noemde, Philip Zimmermann geïntroduceerd het concept van een "Web of Trust" in zijn documentatie voor MIT's Pretty Good Privacy (PGP). Bij PGP zijn twee sleutels betrokken: uw publieke en private (geheime) sleutels. Met behulp van uw geheime sleutel en een berichtenoverzicht, vormt PGP een digitale handtekening, die wordt gebruikt om uw openbare sleutel te certificeren.
Hierdoor is uw openbare sleutel automatisch geldig voor PGP. De software vertrouwt uw sleutels en vertrouwt er ook op dat u andere sleutels valideert, zodat u een "web van vertrouwen" kunt creëren dat bij u begint.
Web of Trust wordt verder gebruikt in GnuPG- en OpenPGP-compatibele systemen en systemen voor identiteitsverificatie Bewijs van menselijkheid om identiteiten op de blockchain te authenticeren. Zimmermann beweert dat webgebruikers kunnen instaan voor elkaars authenticiteit en reputatie, waardoor een gedecentraliseerd en gedistribueerd vertrouwenssysteem ontstaat.
Web of Trust gebruikt cryptografische technieken om ervoor te zorgen dat de gegevens niet kunnen worden gemanipuleerd. Het kan worden gebruikt om e-mails te coderen en te ondertekenen en om deel te nemen aan online communities.
Hoe werkt een web van vertrouwen?
Web of Trust vereist public key cryptografie (het gebruik van publieke en private sleutels om berichten te versleutelen en ontsleutelen) en digitale handtekeningen (het aanmaken van certificaten met informatie over uw identiteit en inloggegevens) om te werken.
Met uw persoonlijke sleutel kunt u certificaten ondertekenen en iedereen met uw openbare sleutel kan zien dat u hebt ondertekend. Andere gebruikers die uw identiteit en inloggegevens vertrouwen, kunnen uw certificaat ook ondertekenen. Zo ontstaat er een netwerk van vertrouwen.
In het bovenstaande scenario bijvoorbeeld, aangezien Manuel eerder de sleutel van Eva heeft ondertekend, kan Susi de handtekening van Manuel vertrouwen bij het beslissen of ze de sleutel van Eva vertrouwt. Als Eva meer handtekeningen heeft van meer mensen die Susi vertrouwt, des te beter - haar sleutel is waarschijnlijker authentiek. Susi kan een bericht voor Eva versleutelen met de openbare sleutel van Eva en het versleutelen met haar privésleutel. Aan de andere kant kan Eva met haar openbare sleutel bevestigen dat het bericht van Susi komt. Naarmate Susi, Eva en Manuel in de loop van de tijd voor meer mensen tekenen, zal de keten zich blijven uitbreiden.
Wanneer iemand nieuw lid wordt van een Web of Trust-netwerk, moeten ze iemand vinden om hun certificaten te ondertekenen. De persoon die ondertekent, moet de identiteit van de ondertekenaar op de een of andere manier verifiëren, misschien in een virtuele vergadering of op een belangrijk ondertekeningsfeest. De ondertekenaar moet ook de sleutelvingerafdruk bevestigen, een unieke identificatiecode die is gekoppeld aan de openbare sleutel van de ondertekenaar, en ervoor zorgen dat deze na de ondertekening wordt geüpload naar de sleutelservers.
Hierna kunnen mensen die hen vertrouwen ook tekenen voor de nieuwe gebruiker. Web of Trust vereist meerdere handtekeningen voor elk certificaat om gebreken te verminderen. Als anderen vinden dat de ondertekenaar de identiteit van de nieuwe gebruiker of de vingerafdruk van de sleutel niet correct heeft geverifieerd, kunnen ze besluiten om niet te ondertekenen.
Voordelen van Web of Trust
Het gebruik van Web of Trust heeft uiteraard tal van voordelen.
1. Makkelijk te gebruiken
U hoeft alleen sleutels te genereren en uw openbare sleutels te delen om deel te nemen aan een Web of Trust. Dit is het enige gedoe om te navigeren, zoals verschillende softwaretools leuk vinden DigiCert Software Vertrouwensmanager die het maken, ondertekenen en verifiëren van certificaten automatiseren, bestaan nu.
2. Gedistribueerd en gedecentraliseerd
Web of Trust maakt gebruik van een gedistribueerd en gedecentraliseerd vertrouwensnetwerk. Het systeem is gebaseerd op de beoordeling van deelnemers aan het netwerk; het vertrouwt niet op een gecentraliseerde autoriteit.
U bent verantwoordelijk voor het beheer van uw sleutels en certificaten en kunt kiezen wie u vertrouwt en wie u ondertekent.
3. Dwingt vertrouwen in relaties af
U kunt vertrouwen met anderen opbouwen op basis van uw vereisten. U kunt ook op elk moment de vertrouwensniveaus van anderen intrekken of wijzigen.
Beperkingen van Web of Trust
Hoewel Web of Trust veel voordelen biedt, kent het ook veel beperkingen.
1. Privacybezorgdheden
Bij het maken of ondertekenen van certificaten kunt u onbedoeld gevoelige informatie vrijgeven. Onthoud: certificaten bevatten informatie over uw identiteit en inloggegevens, zoals uw naam en openbare sleutel. Deze details zijn niet bedoeld om openbaar te worden gemaakt.
Bovendien weet u misschien niet hoeveel controle degenen die voor u tekenen hebben over uw certificaten en sleutels. Kwaadwillenden kunnen ze bijvoorbeeld kopiëren, wijzigen of uitlekken.
2. Vereist actieve deelname aan het vertrouwensnetwerk
U moet uw sleutels en certificaten onderhouden en de certificaten van anderen ondertekenen, wat vervelend en tijdrovend kan zijn.
Ook kunnen nieuwe gebruikers met nieuwe certificaten een tijdje niet door anderen worden vertrouwd, omdat er geen centrale controller is. Ze worden alleen vertrouwd als anderen in het netwerk hun certificaten kunnen en besluiten te ondertekenen. En dit kan fysieke ontmoetingen vereisen.
U kunt risico's en verantwoordelijkheden oplopen terwijl u voor anderen tekent. Als iemand voor wie u garant stond frauduleus blijkt te zijn, kunt u ook aansprakelijk worden gesteld.
3. Kwetsbaar voor aanvallen
Als u uw privésleutels kwijtraakt, heeft u geen toegang tot uw certificaten of kunt u anderen niet verifiëren. Als uw sleutels worden gestolen, gehackt of vervalst, kan degene die ze heeft zich voor u uitgeven en uw geloofwaardigheid schaden.
En u zult niets kunnen doen omdat u geen toegang heeft tot uw persoonlijke sleutel om uw berichten te decoderen; nieuwere PGP-certificaten hebben echter een vervaldatum.
U kunt ook te maken krijgen met social engineering-aanvallen, waarbij frauduleuze acteurs u proberen te misleiden om voor hen te tekenen.
Kunt u vertrouwen op Web of Trust?
Ondanks de doelstellingen en technologieën kan elk gegevensbeveiligingssysteem worden gepenetreerd. Hetzelfde geldt voor Web of Trust.
Het is geen perfect systeem dat u volledige beveiliging biedt. In plaats daarvan maakt het op vertrouwen gebaseerde interacties tussen jou en anderen met gemeenschappelijke interesses en inzichten mogelijk. Dit systeem kan nuttig zijn als het op verantwoorde wijze door alle deelnemers wordt gebruikt.
De afhankelijkheid van mensen maakt het echter kwetsbaar voor menselijke manipulaties en fouten. Pas op dat u uw geheime sleutel niet in gevaar brengt. En wees u bewust van virussen, geknoei met openbare sleutels, inbreuken op de beveiliging van uw apparaat, bestanden die u hebt verwijderd maar nog ergens op uw harde schijf staan, en zelfs cryptoanalyse, de andere kant van cryptografie.
Web of Trust is geweldig, maar niet perfect
Web of Trust maakt identiteitsverificatie op de blockchain mogelijk zonder dat een centrale autoriteit nodig is. Hoewel dit systeem grote beloften en voordelen biedt, kent het ook verschillende beperkingen.
Met aanvullende aanpassingen kan Web of Trust een algemeen geaccepteerd identiteitsverificatiesysteem worden.
