Di chi ti fidi? Utilizzando il Web of Trust, un metodo di autenticazione crittografica, puoi creare una rete di chiavi affidabili.
L'identificazione efficiente durante la partecipazione online è diventata sempre più cruciale. Di conseguenza, sono emersi diversi sistemi di sicurezza in modo che le piattaforme possano verificare se stesse e i propri utenti. Uno di questi è il Web of Trust.
Quindi cos'è Web of Trust e come funziona?
Che cos'è la rete della fiducia?
Web of Trust è un sistema di valutazione peer-to-peer che consente di verificare le chiavi pubbliche e i loro proprietari senza fare affidamento su un'autorità di identità centrale.
Anche se l'ha definita una "rete di fiducia", Philip Zimmermann introdotto il concetto di "Web of Trust" nella sua documentazione per Pretty Good Privacy (PGP) del MIT. In PGP sono coinvolte due chiavi: la tua chiave pubblica e quella privata (segreta). Usando la tua chiave segreta e un riassunto del messaggio, PGP forma una firma digitale, che viene utilizzata per certificare la tua chiave pubblica.
Di conseguenza, la tua chiave pubblica è automaticamente valida per PGP. Il software si fida delle tue chiavi e si fida anche di te per convalidare altre chiavi, permettendoti di creare una "rete di fiducia" a partire da te.
Web of Trust è ulteriormente utilizzato nei sistemi compatibili con GnuPG e OpenPGP e nei sistemi di verifica dell'identità come Prova di umanità per autenticare le identità sulla blockchain. Zimmermann afferma che gli utenti web possono garantire l'autenticità e la reputazione reciproci, creando un sistema di fiducia decentralizzato e distribuito.
Web of Trust utilizza tecniche crittografiche per garantire che i dati non possano essere manipolati. Può essere utilizzato per crittografare e firmare e-mail e partecipare a comunità online.
Come funziona Web of Trust?
Web of Trust richiede la crittografia a chiave pubblica (l'uso di chiavi pubbliche e private per crittografare e decrittografare i messaggi) e le firme digitali (la creazione di certificati contenenti informazioni sulla tua identità e credenziali) per funzionare.
Usando la tua chiave privata, puoi firmare i certificati e chiunque abbia la tua chiave pubblica può vedere che hai firmato. Anche altri utenti che si fidano della tua identità e delle tue credenziali possono firmare il tuo certificato. Questo crea una rete di fiducia.
Ad esempio, nello scenario precedente, poiché Manuel ha precedentemente firmato la chiave di Eva, Susi potrebbe fidarsi della firma di Manuel quando decide se fidarsi della chiave di Eva. Se Eva ha più firme da più persone di cui Susi si fida, tanto meglio: la sua chiave è probabilmente autentica. Susi può crittografare un messaggio per Eva utilizzando la chiave pubblica di Eva e crittografarlo con la sua chiave privata. D'altra parte, Eva può confermare che il messaggio proviene da Susi usando la sua chiave pubblica. Nel tempo, man mano che Susi, Eva e Manuel firmano per più persone, la catena continuerà ad espandersi.
Quando qualcuno di nuovo si unisce a una rete Web of Trust, deve trovare qualcuno che firmi i propri certificati. La persona che firmerà deve verificare l'identità del firmatario in qualche modo, magari in una riunione virtuale o a una festa per la firma delle chiavi. Il firmatario deve inoltre confermare l'impronta digitale della chiave, un codice identificativo univoco associato alla chiave pubblica del firmatario, e assicurarsi che venga caricata sui server delle chiavi dopo la firma.
Successivamente, anche le persone che si fidano di loro possono firmare per il nuovo utente. Web of Trust richiede più firme per ciascun certificato per ridurre i difetti. Se altri ritengono che il firmatario non abbia verificato correttamente l'identità o l'impronta digitale della chiave del nuovo utente, potrebbero decidere di non firmare.
Vantaggi di Web of Trust
Ci sono ovviamente numerosi vantaggi nell'usare Web of Trust.
1. Facile da usare
Devi solo generare chiavi e condividere le tue chiavi pubbliche per partecipare a una rete di fiducia. Questa è l'unica seccatura da navigare, come piace a molti strumenti software Gestore dell'affidabilità del software DigiCert che automatizzano la creazione, la firma e la verifica dei certificati ora esistono.
2. Distribuito e Decentralizzato
Web of Trust utilizza a rete fiduciaria distribuita e decentralizzata. Il sistema si basa sul rating dei partecipanti alla rete; non si basa su un'autorità centralizzata.
Sei responsabile della gestione delle chiavi e dei certificati e puoi scegliere di chi fidarti e chi firmare.
3. Rafforza la fiducia nelle relazioni
Puoi stabilire un rapporto di fiducia con gli altri in base alle tue esigenze. Puoi anche revocare o modificare i livelli di fiducia di altri in qualsiasi momento.
Limitazioni di Web of Trust
Sebbene Web of Trust offra molti vantaggi, presenta anche molti limiti.
1. Preoccupazioni relative alla privacy
Durante la creazione o la firma di certificati, potresti esporre involontariamente informazioni riservate. Ricorda: i certificati contengono informazioni sulla tua identità e credenziali, come il tuo nome e la chiave pubblica. Questi dettagli non sono pensati per essere esposti.
Inoltre, potresti non sapere quanto controllo hanno coloro che firmano per te sui tuoi certificati e chiavi. Ad esempio, i malintenzionati potrebbero copiarli, modificarli o farli trapelare.
2. Richiede la partecipazione attiva alla rete fiduciaria
Devi mantenere le tue chiavi e i tuoi certificati e firmare i certificati di altri, il che può essere noioso e richiedere molto tempo.
Inoltre, i nuovi utenti con nuovi certificati potrebbero non essere considerati attendibili da altri per un po', in quanto non esiste un controller centrale. Saranno considerati attendibili solo quando altri nella rete possono e decidono di firmare i loro certificati. E questo potrebbe richiedere incontri fisici.
Potresti incorrere in rischi e responsabilità mentre firmi per altri. Se qualcuno per cui hai garantito si rivela fraudolento, potresti anche essere ritenuto responsabile.
3. Vulnerabile agli attacchi
Se smarrisci le tue chiavi private, non sarai in grado di accedere ai tuoi certificati o verificarne altri. Se le tue chiavi vengono rubate, hackerate o contraffatte, chiunque le possieda potrebbe impersonarti e danneggiare la tua credibilità.
E non sarai in grado di fare nulla poiché non puoi accedere al tuo chiave privata per decifrare i tuoi messaggi; Tuttavia, i certificati PGP più recenti hanno date di scadenza.
Potresti inoltre affrontare attacchi di ingegneria sociale, in cui attori fraudolenti cercano di indurti a firmare per loro.
Puoi fidarti della rete della fiducia?
Nonostante gli obiettivi e le tecnologie, ogni sistema di sicurezza dei dati può essere violato. Lo stesso vale per Web of Trust.
Non è un sistema perfetto che ti offrirà una sicurezza completa. Invece, consentirà interazioni basate sulla fiducia tra te e altri con interessi e intese comuni. Questo sistema può essere vantaggioso se utilizzato in modo responsabile da tutti i partecipanti.
Tuttavia, la sua dipendenza dalle persone lo rende vulnerabile alle manipolazioni e agli errori umani. Fai attenzione a non compromettere la tua chiave segreta. E fai attenzione ai virus, alla manomissione della chiave pubblica, alle violazioni della sicurezza del tuo dispositivo, ai file che hai eliminato ma che sono ancora da qualche parte sul tuo disco rigido e persino crittoanalisi, l'altra faccia della crittografia.
La rete della fiducia è ottima ma non perfetta
Web of Trust consente la verifica dell'identità sulla blockchain senza richiedere un'autorità centrale. Sebbene questo sistema abbia grandi promesse e vantaggi, deve anche affrontare diversi limiti.
Con ulteriori modifiche, Web of Trust può diventare un sistema di verifica dell'identità ampiamente adottato.
