Qual è la rete di fiducia?

Una infrastruttura a chiave pubblica gerarchica è quando alcuni Autorità di certificazione (CA) rilasciano certificati a molte sub-entità: la CA firma i certificati per garantire il collegamento tra un identità e la chiave pubblica di proprietà di tale entità. La PKI è gerarchica in quanto ci sono poche CA e ogni CA firma i certificati per molte persone.

In un Web of Trust , tutti sono CA. Ogni utente firma i certificati per chiunque desideri.

Nei linguaggi matematici, un PKI gerarchico implica naturalmente un grafo di certificazione aciclica, solitamente un albero : fiducia percola l'albero da una singola CA principale o da una piccola serie di CA principale. Considerando che il WoT è un grafico generico super-connesso con cicli e molti percorsi tra due punti qualsiasi.

Politicamente, la PKI gerarchica è una struttura di ispirazione militare, con una catena di comando centrale; mentre il WoT è un'utopia hippy anarchica in cui la fiducia emerge semi-magicamente dalle persone riunite (o dalla folla, da un altro punto di vista).

Il modo più semplice per spiegarlo è un po 'come "6 gradi di separazione". L'idea con una rete di fiducia è che tu verifichi l'identità di qualcuno e decidi di fidarti di loro per fidarti delle persone per te. Quindi, se verificherò che il certificato di Bob è in realtà per Bob e verificherò che il certificato di Charlie è di Charlie, Bob e Charlie possono entrambi verificare che Dan sia effettivamente Dan.

Ora, quando Dan vuole parlare con me, può fornire il suo certificato che è di fiducia sia da Bob che da Charlie. Dato che mi fido di Bob e Charlie, immagino che sia probabilmente una buona possibilità che Dan sia effettivamente Dan.

Funziona poiché mi aspetto che Bob e Charlie non stessero entrambi lavorando insieme e Dan avrebbe dovuto convincerli entrambi che stava bene.

Una rete di fiducia è una rete di persone che hanno verificato i reciproci certificati e quindi puoi fidarti di certificati sconosciuti in base a quante persone hai verificato che hanno stabilito una relazione con loro.

Fondamentalmente è il concetto di decentralizzazione della gestione della fiducia: l'infrastruttura PKI si basa su una terza parte centralizzata per decidere quale entità è affidabile e quale non lo è.

Ad esempio (PKI):

Bob è un bravo ragazzo. Tutti adorano Bob, e si fida davvero di lui. Quando qualcuno bussa alla loro porta, va bene se Bob l'ha mandato - non se Alice ha mandato quella persona.

Una Web of Trust è qualcosa di diverso: la fiducia viene assegnata se qualcun altro si fida di te e tu basi la tua fiducia sulla quantità di fiducia che altre persone attendibili inseriscono nella nuova.

Ad esempio (WOT):

Bob è un bravo ragazzo. Ma anche Alice è una ragazza carina. Alice si fida di Bob, e Bob si fida di Alice. C'è anche una persona non molto simpatica nel gruppo, Eve. Arriva un nuovo ragazzo, John. John è considerato da Bob. Se qualcuno vuole sapere se John è degno di fiducia, può vedere che John è fidato da Alice, e che nessuna di queste persone si fida di Eve o di Eve. Pertanto può essere abbastanza sicuro concludere che John è degno di fiducia.

Fonte: link