¿En quién confías? Con Web of Trust, un método de autenticación criptográfico, puede crear una red de claves confiables.
La identificación eficiente al participar en línea se ha vuelto cada vez más crucial. Como resultado, han surgido varios sistemas de seguridad para que las plataformas puedan verificarse a sí mismas y a sus usuarios. Uno de ellos es la Red de Confianza.
Entonces, ¿qué es Web of Trust y cómo funciona?
¿Qué es la Web de Confianza?
Web of Trust es un sistema de calificación entre pares que le permite verificar las claves públicas y sus propietarios sin depender de una autoridad de identidad central.
Aunque se refirió a ella como una “red de confianza”, Philip Zimmermann presentó el concepto de una "Web de confianza" en su documentación para Pretty Good Privacy (PGP) del MIT. En PGP, hay dos claves involucradas: sus claves públicas y privadas (secretas). Usando su clave secreta y resumen de un mensaje, PGP forma una firma digital, que se utiliza para certificar su clave pública.
Como resultado, su clave pública es automáticamente válida para PGP. El software confía en sus claves y también confía en usted para validar otras claves, lo que le permite crear una "red de confianza" a partir de usted.
Web of Trust se utiliza además en sistemas compatibles con GnuPG y OpenPGP y sistemas de verificación de identidad como Prueba de humanidad para autenticar identidades en la cadena de bloques. Zimmermann afirma que los usuarios de la web pueden responder por la autenticidad y la reputación de los demás, creando un sistema de confianza descentralizado y distribuido.
Web of Trust utiliza técnicas criptográficas para garantizar que los datos no puedan manipularse. Se puede utilizar para cifrar y firmar correos electrónicos y participar en comunidades en línea.
¿Cómo funciona Web of Trust?
Web of Trust requiere criptografía de clave pública (el uso de claves públicas y privadas para cifrar y descifrar mensajes) y firmas digitales (la creación de certificados que contienen información sobre su identidad y credenciales) para trabajar.
Con su clave privada, puede firmar certificados y cualquiera que tenga su clave pública puede ver que ha firmado. Otros usuarios que confíen en su identidad y credenciales también pueden firmar su certificado. Esto crea una red de confianza.
Por ejemplo, en el escenario anterior, dado que Manuel firmó previamente la clave de Eva, Susi podría confiar en la firma de Manuel al decidir si confiar en la clave de Eva. Si Eva tiene más firmas de más personas en las que Susi confía, mucho mejor: es más probable que su clave sea auténtica. Susi puede cifrar un mensaje para Eva usando la clave pública de Eva y cifrarlo con su clave privada. Por otro lado, Eva puede confirmar que el mensaje es de Susi usando su clave pública. Con el tiempo, a medida que Susi, Eva y Manuel firmen por más personas, la cadena seguirá ampliándose.
Cuando alguien nuevo se une a una red de Web of Trust, debe encontrar a alguien que firme sus certificados. La persona que firmará debe verificar la identidad del firmante de alguna manera, tal vez en una reunión virtual o en una fiesta de firma de claves. El firmante también debe confirmar la huella digital de la clave, un código de identificación único asociado con la clave pública del firmante, y asegurarse de que se cargue en los servidores de claves después de la firma.
Después de esto, las personas que confían en ellos también pueden firmar por el nuevo usuario. Web of Trust requiere varias firmas para cada certificado para reducir las fallas. Si otros sienten que el firmante no verificó correctamente la identidad del nuevo usuario o la huella dactilar clave, pueden decidir no firmar.
Beneficios de Web of Trust
Obviamente, hay numerosos beneficios de usar Web of Trust.
1. Fácil de usar
Solo necesita generar claves y compartir sus claves públicas para participar en una Web de Confianza. Esta es la única molestia para navegar, ya que varias herramientas de software como Administrador de confianza del software DigiCert que automatizan la creación, firma y verificación de certificados ahora existen.
2. Distribuido y Descentralizado
Web of Trust utiliza un red de confianza distribuida y descentralizada. El sistema se basa en la calificación de los participantes en la red; no depende de una autoridad centralizada.
Usted es responsable de administrar sus claves y certificados, y puede elegir en quién confiar y quién firmar.
3. Refuerza la confianza en las relaciones
Puede establecer confianza con otros en función de sus requisitos. También puede revocar o modificar los niveles de confianza de otros en cualquier momento.
Limitaciones de Web of Trust
Aunque Web of Trust ofrece muchos beneficios, también tiene muchas limitaciones.
1. Preocupaciones sobre la privacidad
Al crear o firmar certificados, puede exponer involuntariamente información confidencial. Recuerde: los certificados contienen información sobre su identidad y credenciales, como su nombre y clave pública. Estos detalles no están destinados a ser expuestos.
Además, es posible que no sepa cuánto control tienen quienes firman por usted sobre sus certificados y claves. Por ejemplo, las partes malintencionadas pueden copiarlos, modificarlos o filtrarlos.
2. Requiere Participación Activa en la Red de Confianza
Debe mantener sus claves y certificados, y firmar los certificados de otros, lo que puede resultar tedioso y llevar mucho tiempo.
Además, es posible que otros no confíen en los nuevos usuarios con certificados nuevos durante un tiempo, ya que no hay un controlador central. Solo se confiará en ellos cuando otros en la red puedan y decidan firmar sus certificados. Y esto podría requerir reuniones físicas.
Puede incurrir en riesgos y responsabilidades al firmar para otros. Si alguien por quien respondiste resulta ser fraudulento, también podrías ser responsable.
3. Vulnerable a los ataques
Si extravía sus claves privadas, no podrá acceder a sus certificados ni verificar otros. Si sus claves son robadas, pirateadas o falsificadas, quienquiera que las tenga podría hacerse pasar por usted y dañar su credibilidad.
Y no podrá hacer nada ya que no puede acceder a su clave privada para descifrar sus mensajes; Sin embargo, los certificados PGP más nuevos tienen fechas de vencimiento.
Además, podría enfrentar ataques de ingeniería social, donde los actores fraudulentos intentan engañarlo para que firme para ellos.
¿Puede confiar en Web of Trust?
A pesar de los objetivos y tecnologías, todos los sistemas de seguridad de datos pueden ser penetrados. Lo mismo ocurre con Web of Trust.
No es un sistema perfecto que te ofrezca seguridad total. En cambio, permitirá interacciones basadas en la confianza entre usted y otras personas con intereses y entendimientos comunes. Este sistema puede ser beneficioso si todos los participantes lo utilizan de manera responsable.
Sin embargo, su dependencia de las personas lo deja vulnerable a las manipulaciones y errores humanos. Tenga cuidado de no comprometer su clave secreta. Y sea consciente de los virus, la manipulación de claves públicas, las infracciones en la seguridad de su dispositivo, los archivos que eliminó pero que todavía están en algún lugar de su disco duro e incluso criptoanálisis, la otra cara de la criptografía.
Web of Trust es genial pero no perfecto
Web of Trust permite la verificación de identidad en la cadena de bloques sin necesidad de una autoridad central. Si bien este sistema tiene grandes promesas y beneficios, también enfrenta varias limitaciones.
Con modificaciones adicionales, Web of Trust puede convertirse en un sistema de verificación de identidad ampliamente adoptado.