In der Geheimschrift ist ein Web des Vertrauens ein Konzept, das in PGP, GnuPG und anderen OpenPGP-vereinbaren Systemen verwendet ist, um die Echtheit der Schwergängigkeit zwischen einem öffentlichen Schlüssel und seinem Eigentümer zu gründen. Sein dezentralisiertes Vertrauensmodell ist eine Alternative zum zentralisierten Vertrauensmodell einer öffentlichen Schlüsselinfrastruktur (PKI), die sich exklusiv auf eine Zertifikat-Autorität (oder eine Hierarchie von solchem) verlässt. Als mit Computernetzen gibt es vieles unabhängiges Web des Vertrauens, und jeder Benutzer (durch ihr Identitätszertifikat) kann ein Teil, und eine Verbindung zwischen, vielfaches Web sein.

Das Web des Vertrauenskonzepts wurde zuerst hervor vom PGP Schöpfer Phil Zimmermann 1992 im Handbuch für die PGP Version 2.0 gestellt:

Operation eines Webs des Vertrauens

Alle OpenPGP-entgegenkommenden Durchführungen schließen ein Zertifikat ein, das Schema untersucht, damit zu helfen; seine Operation ist ein Web des Vertrauens genannt worden. Identitätszertifikate von OpenPGP (die öffentlichen Schlüssel und Eigentümerinformation einschließen) können von anderen Benutzern digital unterzeichnet werden, die, durch diese Tat, die Vereinigung dieses öffentlichen Schlüssels mit der Person oder im Zertifikat verzeichneten Entität gutheißen. Das wird an Schlüsselunterzeichnen-Parteien allgemein getan.

OpenPGP-entgegenkommende Durchführungen schließen auch ein Stimmenzählen-Schema ein, das verwendet werden kann, um zu bestimmen, welchem öffentlichem Schlüssel - Eigentümervereinigung ein Benutzer vertrauen wird, während er PGP verwenden wird. Zum Beispiel, wenn sich drei teilweise vertraute Indossanten für ein Zertifikat (und so sein eingeschlossener öffentlicher Schlüssel - Eigentümer verbürgt haben, der bindet), ODER wenn ein völlig vertrauter Indossant so getan hat, wird der Vereinigung zwischen Eigentümer und öffentlichem Schlüssel in diesem Zertifikat vertraut, um richtig zu sein. Die Rahmen sind (z.B, kein partials überhaupt, oder vielleicht 6 partials) benutzerregulierbar und können wenn gewünscht, völlig umgangen werden.

Das Schema ist verschieden von den meisten öffentlichen Schlüsselinfrastruktur-Designs flexibel, und verlässt Vertrauensentscheidung (En) in den Händen von individuellen Benutzern. Es ist nicht vollkommen und verlangt sowohl Verwarnung als auch intelligente Aufsicht durch Benutzer. Im Wesentlichen sind alle PKI Designs weniger flexibel und verlangen, dass Benutzer der Vertrauensindossierung des PKI erzeugt, Zertifikat-Autorität (CA) - unterzeichnet, Zertifikate folgen. Intelligenz ist normalerweise weder erforderlich noch erlaubt. Diese Maßnahmen sind auch nicht vollkommen, und verlangen sowohl Verwarnung als auch Sorge durch Benutzer.

In einfacheren Begriffen haben Sie 2 Schlüssel: Ein öffentlicher Schlüssel, dass Sie die Leute lassen, denen Sie vertrauen, weiß; und ein privater Schlüssel, den nur Sie wissen. Ihr öffentlicher Schlüssel wird jede Information encrypted mit Ihrem privaten Schlüssel, und umgekehrt entschlüsseln. Im Web des Vertrauens haben Sie einen Schlüsselring mit einer Gruppe der öffentlichen Schlüssel von Leuten.

Sie encrypt Ihre Information mit dem Empfänger-Publikum-Schlüssel und nur ihrem privaten Schlüssel werden es entschlüsseln. Sie unterzeichnen dann digital die Information mit Ihrem privaten Schlüssel so, wenn sie es mit Ihrem öffentlichen Schlüssel nachprüfen, können sie bestätigen, dass es Sie sind. Das Tun davon wird sicherstellen, dass die Information aus Ihnen gekommen ist und nicht herumgebastelt worden ist, und nur die Person, an die Sie es senden, die Information lesen kann (weil nur sie ihren privaten Schlüssel wissen).

Unähnlichkeit mit typischem PKI

Im Gegensatz erlaubt ein typischer X.509 PKI jedem Zertifikat, nur von einer einzelnen Partei unterzeichnet zu werden: eine Zertifikat-Autorität (CA). Das Zertifikat des CA kann selbst durch einen verschiedenen CA den ganzen Weg bis zu einem 'selbstunterzeichneten' Wurzelzertifikat unterzeichnet werden. Wurzelzertifikate müssen für diejenigen verfügbar sein, die eine niedrigere Ebene CA Zertifikat verwenden und normalerweise so weit verteilt werden. Sie sind zum Beispiel, verteilt mit solchen Anwendungen wie Browser und E-Mail-Kunden. Auf diese Weise können SSL/TLS-protected Webseiten, E-Mail-Nachrichten, usw. beglaubigt werden ohne zu verlangen, dass Benutzer Wurzelzertifikate manuell installieren. Anwendungen schließen allgemein mehr als hundert Wurzelzertifikate von Dutzenden von PKIs so durch das Verzug-Schenken-Vertrauen überall in der Hierarchie von Zertifikaten ein, die zurück zu ihnen führen.

Web von Vertrauensproblemen

Das Web von OpenPGP des Vertrauens ist durch solche Dinge wie Firmenmisserfolge im Wesentlichen ungekünstelt und hat fortgesetzt, mit wenig Änderung zu fungieren. Jedoch kommt ein zusammenhängendes Problem wirklich vor. Benutzer, entweder Personen oder Organisationen, die Spur eines privaten Schlüssels verlieren, können Nachrichten nicht mehr entschlüsseln, die ihnen das erzeugte Verwenden des zusammenpassenden öffentlichen in einem Zertifikat von OpenPGP gefundenen Schlüssels gesandt sind. Frühe PGP Zertifikate haben Verfallsdaten nicht eingeschlossen, und jene Zertifikate hatten unbegrenzte Leben. Benutzer mussten ein unterzeichnetes Annullierungszertifikat gegen die Zeit vorbereiten, als der zusammenpassende private Schlüssel verloren oder in Verlegenheit gebracht wurde. Ein sehr prominenter Kryptograph bekommt noch Nachrichten encrypted das Verwenden eines öffentlichen Schlüssels, für den er vor langer Zeit Spur des privaten Schlüssels verloren hat (Ferguson 2003, p. 333). Er kann viel mit jenen Nachrichten außer nicht tun verwerfen sie nach dem Benachrichtigen des Absenders, dass sie das unlesbare und bittende Wiedersenden mit einem öffentlichen Schlüssel waren, für den er noch den zusammenpassenden privaten Schlüssel hat. Später PGP und ganzer OpenPGP entgegenkommende Zertifikate schließen Verfallsdaten ein, die automatisch solche Schwierigkeiten (schließlich) wenn verwendet, vernünftig ausschließen. Dieses Problem kann auch durch den Gebrauch von "benannten revokers" leicht vermieden werden, die am Anfang der 1990er Jahre eingeführt wurden. Ein Schlüsseleigentümer kann einen Dritten benennen, der Erlaubnis hat, den Schlüsseleigentümerschlüssel zu widerrufen (im Falle dass der Schlüsseleigentümer seinen eigenen privaten Schlüssel verliert und so die Fähigkeit verliert, seinen eigenen öffentlichen Schlüssel zu widerrufen).

Ein nicht technischer, sind soziales, Schwierigkeit mit einem Web des Vertrauens wie in Typ-Systeme PGP/OpenPGP eingebautes dasjenige, dass jedes Web des Vertrauens ohne einen Hauptkontrolleur (z.B, ein CA) von anderen Benutzern für das Vertrauen abhängt. Denjenigen mit neuen Zertifikaten (d. h., erzeugt im Prozess, ein neues Schlüsselpaar zu erzeugen), wird wahrscheinlich durch die Systeme anderer Benutzer nicht sogleich vertraut, der durch diejenigen ist, haben sie sich nicht persönlich getroffen, bis sie genug Indossierungen für das neue Zertifikat finden. Das ist, weil viele, die anderes Web von Vertrauensbenutzern ihren Zertifikat-Sicherheitsüberprüfungssatz haben wird, um ein zu verlangen, oder mehr völlig Indossanten eines sonst unbekannten Zertifikats (oder vielleicht mehreren teilweisen Indossanten) vor dem Verwenden des öffentlichen Schlüssels in diesem Zertifikat vertraut hat, um Nachrichten vorzubereiten, Unterschriften usw. zu glauben.

Trotz des breiten Gebrauches von OpenPGP entgegenkommende Systeme und leichte Verfügbarkeit von vielfachen Online-Schlüsselservern ist es in der Praxis möglich, unfähig zu sein, sogleich zu finden, dass jemand (oder mehrere Menschen) ein neues Zertifikat (z.B, durch das Vergleichen der physischen Identifizierung mit der Schlüsseleigentümerinformation und dann digital das Unterzeichnen des neuen Zertifikats) gutheißt. Benutzer in entfernten Gebieten oder unentwickelten können zum Beispiel andere Benutzer knapp finden. Und wenn das Zertifikat eines anderen auch neu ist (und ohne oder wenige Indossierungen von anderen), dann kann seine Unterschrift auf jedem neuen Zertifikat nur Randvorteil zum Werden vertraut durch noch die Systeme anderer Parteien und so fähig anbieten, Nachrichten mit ihnen sicher auszutauschen. Schlüsselunterzeichnen-Parteien sind ein relativ populärer Mechanismus, dieses Problem aufzulösen, andere Benutzer zu finden, die jemandes Zertifikat im vorhandenen Web des Vertrauens installieren können, indem sie es gutheißen. Websites bestehen auch, um die Position anderer Benutzer von OpenPGP zu erleichtern, um keysignings einzuordnen. Das Mariengarn-Spinngewebe des Vertrauens macht auch Schlüsselüberprüfung leichter durch die Verbindung von Benutzern von OpenPGP über ein hierarchisches Stil-Web des Vertrauens, wo Endbenutzer vom zusammenfallenden oder entschlossenen Vertrauen von jemandem Vorteil haben können, der als ein introducer gutgeheißen wird, oder durch das ausführliche Vertrauen dem Schlüssel auf höchster Ebene von GSWoT minimal als ein Niveau 2 introducer (der Schlüssel auf höchster Ebene Niveau 1 introducers gutheißt).

Die Möglichkeit, Ketten von Zertifikaten zu finden, wird häufig durch das "kleine Weltphänomen" gerechtfertigt: In Anbetracht zwei Personen ist es häufig möglich, eine kurze Kette von Leuten zwischen ihnen solch zu finden, dass jede Person in der Kette das Vorangehen und im Anschluss an Verbindungen weiß. Jedoch ist solch eine Kette nicht notwendigerweise nützlich: Die Person encrypting eine E-Mail oder das Überprüfen einer Unterschrift muss nicht nur eine Kette von Unterschriften von seinem privaten Schlüssel bis seinen Korrespondenten finden, sondern auch jeder Person der Kette zu vertrauen, um ehrlich und über das Unterzeichnen von Schlüsseln fähig zu sein (d. h. er muss urteilen, ob diese Leute wahrscheinlich den Richtlinien über das Überprüfen der Identität von Leuten vor dem Unterzeichnen von Schlüsseln ehrlich folgen werden). Das ist eine viel stärkere Einschränkung.

Das Tun der Mathematik

Die Arbeit von Audun Jøsang ist eine algebraische Behandlung von Vertrauensmaßen und Methoden und Berechnung, die versucht zu gewinnen, wie sich Vertrauen ändert, weil es ein Web des Vertrauens "überquert". Die anderen Seiten enthalten (unten) eine Verbindung zu seinen Veröffentlichungen.

Ein guter, um damit anzufangen, könnte "Eine Algebra sein, um Vertrauen auf Zertifikat-Ketten Zu bewerten". Siehe auch Subjektive Logik und metrisches Vertrauen.

Haben Sie kürzeste Entfernung vor

In der statistischen Analyse des PGP/GnuPG/OpenPGP Webs des Vertrauens ist die kürzeste Mittelentfernung (MSD) ein Maß dessen, wie "vertraut" ein gegebener PGP Schlüssel innerhalb des "stark verbundenen" Satzes von PGP Schlüsseln ist, die das Web des Vertrauens zusammensetzen.

Drew Streib hat den folgenden in seiner Erklärung der Schlüsselring-Analyse geschrieben:

MSD ist ein allgemeiner metrischer für die Analyse von Sätzen von PGP Schlüsseln geworden. Sehr häufig werden Sie den MSD sehen für eine gegebene Teilmenge von Schlüsseln und im Vergleich zum globalen MSD berechnet werden, der sich allgemein auf die Schlüssel bezieht, die sich innerhalb von einer der größeren Schlüsselanalysen des globalen Webs des Vertrauens aufreihen.

Siehe auch

• Globales Vertrauenszentrum
• Virtuelle Gemeinschaft
• CAcert unterzeichnet Schlüssel von OpenPGP, wenn Sie ein Web des Vertrauens nachgeprüft werden, geben sie auch freie X.509 Zertifikate aus.
• Thawte hat aufgehört, Schlüssel von OpenPGP vor vielen Jahren zu unterzeichnen, und gibt jetzt nur X.509 Zertifikate aus.
• Freund-zu-Freund (oder F2F) Computernetz.

Links

• Eine Erklärung des PGP Webs des Vertrauens
• "Das PGP-Vertrauensmodell" - durch Alfarez Abdul-Rahman
• die Analyse des starken Satzes im PGP Web des Vertrauens - hat regelmäßig aktualisiert