什么是密码学中的信任网？

在线参与时的有效识别变得越来越重要。 因此，多种安全系统脱颖而出，允许平台验证自身及其用户。 其中之一是信任网。

什么是 Web of Trust 以及它如何运作？

什么是信任网？

Web of Trust 是一种点对点验证系统，允许您在不依赖中央身份授权机构的情况下验证公钥及其所有者。

尽管他称之为“信任网”， 菲利普·齐默尔曼介绍 他在 MIT 的 Pretty Good Privacy (PGP) 文档中提出了“信任网络”的概念。 PGP 涉及两个密钥：您的公钥和您的私钥。 PGP 使用您的密钥和消息摘要创建一个数字签名，用于验证您的公钥。

这会自动使您的公钥对 PGP 有效。 该软件信任您的密钥，也信任您验证其他密钥，从而允许您构建一个从您开始的“信任网络”。

Web of Trust 仍在 GnuPG 和 OpenPGP 兼容系统以及身份验证系统中使用，例如 人性的证明 来验证区块链上的身份。 齐默尔曼声称网络用户可以保证彼此的真实性和声誉，从而创建一个去中心化和分布式的信任系统。

Web of Trust 使用加密技术来确保数据不被篡改。 它可用于加密和签署电子邮件以及参与在线社区。

信任网如何运作？

要使 Web of Trust 发挥作用，需要公钥加密（使用公钥和私钥来加密和解密消息）和数字签名（创建包含有关您的身份和凭据的信息的证书）。

您可以使用您的私钥来签署证书，并且拥有您的公钥的任何人都可以看到您的签名。 信任您的身份和凭据的其他用户也可以签署您的证书。 这创建了一个信任网络。

图片来源：Kku/维基共享资源

例如，在上述场景中，由于 Manuel 之前签署了 Eva 的密钥，因此 Sue 在决定是否信任 Eva 的密钥时可以信任 Manuel 的签名。 如果夏娃有更多苏信任的人的签名，那就更好了——她的密钥更有可能是真实的。 Susi 可以使用 Eva 的公钥加密发给 Eva 的消息，并使用她的私钥加密该消息。 另一方面，Eva 可以使用她的公钥来确认该消息来自 Susi。 随着时间的推移，随着苏西、伊娃和曼努埃尔为越来越多的人签约，该连锁店将继续发展。

当新人加入 Web of Trust 网络时，他们需要找人签署他们的证书。 签名者必须以某种方式验证签名者的身份 – 也许是在虚拟会议或关键签名聚会上。 签名者还必须验证密钥指纹（与签名者公钥关联的唯一识别码），并确保在签名后将其上传到密钥服务器。

之后，信任他们的人也可以为新用户签名。 Web of Trust 要求每个证书有多个签名以减少错误。 如果其他人认为签名者没有正确验证新用户的身份或密钥指纹，他们可以选择不签名。

信任网的好处

使用 Web of Trust 显然有很多优势。

1. 易于使用

您所要做的就是生成密钥并共享您的公钥以参与信任网络。 这是导航唯一的麻烦，许多软件工具也是如此 DigiCert 软件信任管理器 现在有一些解决方案可以自动创建、签名和验证证书。

2. 分布式和去中心化

Web of Trust 使用分布式、去中心化的信任网络。 该系统基于网络参与者的评估； 它不依赖任何中央集权机构。

您负责管理您的密钥和证书，并且您可以选择信任谁以及签署谁。

3. 增加人际关系中的信任

根据您的要求，您可以与他人建立信任。 您还可以随时撤销或更改他人的信任级别。

信任网的局限性

尽管 Web of Trust 提供了许多好处，但它也有许多限制。

1. 隐私问题

创建或签署证书时，您可能会无意中泄露敏感信息。 请记住：证书包含有关您的身份和凭证的信息，例如您的姓名和公钥。 这些细节可能不会被披露。

此外，您可能没有意识到那些为您签名的人对您的证书和密钥拥有多少控制权。 例如，恶意方可能会复制、更改或披露它们。

2. 需要积极参与信任网络

您必须管理您的密钥和证书，并签署其他人的证书，这可能是乏味且耗时的。

此外，由于没有中央控制器，拥有新证书的新用户可能暂时不被信任。 仅当网络上的其他人能够并且确实签署了他们的证书时，他们才受到信任。 这可能需要举行实体会议。

当您为他人签名时，您可能会承担风险和责任。 如果您所担保的人被证明是欺诈者，您也可能需要承担责任。

3.容易受到攻击

如果您丢失私钥，您将无法访问您的证书或验证其他人。 如果您的密钥被盗、被黑客攻击或被伪造，那么拥有这些密钥的人都可能冒充您并损害您的信誉。

由于您无法访问您的私钥来解密您的消息，因此您无能为力。 但是，较新的 PGP 证书有一个到期日期。

此外，您可以使用 Social- 工程攻击，欺诈者试图诱骗您签署他们的协议。

您可以信任 Web of Trust 吗？

尽管有这些目标和技术，任何数据安全系统都可能被渗透。 这同样适用于信任网。

它不是一个为您提供完全安全的完美系统。 相反，它使您和具有共同兴趣和理解的其他人之间能够进行基于信任的互动。 如果所有利益相关者负责任地使用该系统，将会带来好处。

然而，由于它依赖于人类，因此很容易出现人为操纵和错误。 小心不要泄露您的密钥。 并留意病毒、公钥篡改、设备中的安全漏洞、已删除但仍在硬盘上某处的文件，甚至是密码分析（密码学的另一面）。

Web of Trust 很棒，但并不完美

Web of Trust 无需中央机构即可在区块链上进行身份验证。 虽然这个系统承诺了巨大的希望和好处，但它也有一些局限性。

经过进一步修改，Web of Trust 可以成为广泛使用的身份验证系统。