Questo è ciò che è Web of Trust . Non devi identificare la persona in base al nome (chiunque può scegliere un nome), ma in base all'impronta digitale. L'idea è che potresti aver incontrato, di persona, qualcuno che si è incontrato di persona e così via. È come il sei gradi di separazione , ma usando la crittografia per stabilire la fiducia. Quando le persone visitano keyigning parties , o semplicemente capita di incontrare qualcuno a un evento, spesso firmano le chiavi di questa persona per testimoniare che si fidano che sono davvero chi dicono di essere. Dopotutto, se incontri qualcuno di persona e ti dicono la loro impronta digitale, puoi essere molto più sicuro che sia legittimo se togli la chiave da un server delle chiavi.
Spero che qualcuno nella tua rete di fiducia abbia incontrato e firmato una chiave per qualcuno che, attraverso qualsiasi livello di riferimento indiretto, abbia incontrato Max Anderson, portandoti a fidarti di lui per delega. Questo sito web lo spiega in maggior dettaglio. Si noti tuttavia che molte persone non utilizzano la rete di fiducia e invece si affidano interamente al principio di TOFU , o Trust on First Uso. Ciò fornisce una minore quantità di protezione, ma non richiede di essere coinvolto nella rete di fiducia.
Quindi che aspetto ha? Diciamo che tu e io ci incontriamo in qualche evento e firmiamo a vicenda le chiavi. Alcuni anni fa, ho incontrato Alice ad una festa per la consegna delle chiavi. Naturalmente, Alice conosce anche Bob. Bob lavorava per il capo di Max Anderson, quindi è anche nella rete della fiducia. Attraverso questo web, anche se conosci solo me e non il capo di Alice, Bob o Max Anderson, sai ancora che la chiave pubblica che hai è di proprietà del vero Max Anderson. Ora ovviamente una vera rete di fiducia ha link ridondanti (quindi web ), che ti permettono di sapere in modo più affidabile che la chiave pubblica che vedi è la vera Max Anderson.
Ecco alcune altre domande e risposte che potrebbero essere illuminanti: