Web de confiance

Dans la cryptographie , un Web de de la confiance est un concept utilisé dans PGP , GnuPG , et tout autre OpenPGP - systèmes compatibles pour établir l'authenticité de l'attache entre une clef publique et un utilisateur. Son modèle décentralisé de confiance des bases est une alternative au modèle centralisé de confiance d'une infrastructure de clef publique (PKI), qui se fonde exclusivement sur un Certificate Authority (ou une hiérarchie de tels). Comme avec des réseaux informatiques, il y a beaucoup de Webs indépendants de confiance, et n'importe quel utilisateur (par leur certificat d'identité ) peut être une partie, et un lien d'entre, les Webs multiples.

Le Web du concept de confiance a été mis en avant par le Phil Zimmermann de créateur de PGP dans le manuel pour la version 2.0 de PGP : les

As chronomètrent continue, vous accumuleront des clefs d'autres personnes que vous pouvez vouloir pour indiquer en tant qu'introducteurs de confiance. Chacun autrement chacun choisira leurs propres les introducteurs de confiance. Et chacun graduellement accumulera et distribuera avec leur clef une collection de signatures de certification d'autres personnes, avec l'espérance que n'importe qui la recevant fera confiance au moins à un ou deux des signatures. Ceci causera l'apparition d'un Web insensible aux défaillances décentralisé de confiance pour tout le public keys.

Opération d'un Web de confiance

Toutes les réalisations OpenPGP-conformes incluent un de certificat contrôlant l'arrangement de pour assister ceci ; son opération s'est nommée un Web de confiance. Les certificats d'identité de d'OpenPGP (qui incluent des clefs publiques et l'information de propriétaire) peuvent être digitalement signés par d'autres utilisateurs qui, par cet acte, approuvent l'association de cette clef publique avec la personne/entité énumérées dans le certificat. Ceci est généralement fait aux parties de signature principales .

les réalisations OpenPGP-conformes incluent également une voix comptant l'arrangement qui peut être employé pour déterminer quel &ndash de clef publique ; association de propriétaire qu'un utilisateur fera confiance tout en employant le PGP. Par exemple, si trois endosseurs partiellement de confiance ont garanti pour un certificat (et ainsi son &ndash inclus de clef publique ; le de propriétaire liant ), OU si un endosseur entièrement de confiance a fait ainsi, l'association entre le propriétaire et la clef publique dans ce certificat sera fait confiance pour être correct. Les paramètres sont utilisateur-réglables (par exemple, aucuns partials du tout, ou peut-être 6 partials) et peuvent être complètement déviés si désirés.

L'arrangement est flexible, à la différence de la plupart d'infrastructure de clef publique conçoit, et laisse des décisions de confiance dans les mains de différents utilisateurs. Elle n'est pas parfaite et n'exige pas l'attention et la surveillance intelligente par des utilisateurs. Essentiellement toutes les conceptions de PKI sont moins flexibles et exigent des utilisateurs de suivre l'approbation de confiance du PKI produit, le Certificate Authority (CA) - signé, certificats de . L'intelligence ni n'est normalement exigée ni est permise. Ces arrangements ne sont pas parfaits non plus, et exigent l'attention et le soin par des utilisateurs.

Contraste avec PKI typique

En revanche, un typique X.509 PKI permet à chaque certificat d'être signé seulement par une partie simple : un Certificate Authority (CA) de . Le certificat de CA peut lui-même être signé par un CA différent, toute la manière jusqu'à un certificat « individu-signé » de racine de . Les certificats de racine doivent être disponibles à ceux qui emploient un certificat de CA de niveau plus bas et ainsi sont typiquement distribués largement. Ils sont par exemple, distribué avec des applications telles que des navigateurs et des clients d'email. De cette façon SSL / TLS - des pages Web, les messages électroniques, etc. protégés peuvent être authentifiés sans exiger des utilisateurs d'installer manuellement des certificats de racine. Les applications incluent généralement plus de cent certificats de racine des douzaines de PKIs, ainsi par confiance de accord de défaut dans toute la hiérarchie des certificats qui mènent de nouveau à eux. Plusieurs de ces certificats de racine ont été créés par les compagnies qui se sont effondrées, par exemple comme l'éclat de la bulle de point-com de . À moins que ces PKIs encore soient correctement contrôlés on ne devrait pas compter les certificats de racine presque certainement au moment maintenant.

Web des problèmes de confiance

Le Web d'OpenPGP de la confiance est essentiellement inchangé par des choses telles que des échecs de compagnie, et a continué à fonctionner avec peu de changement. Cependant, un problème relatif se pose. Les utilisateurs, si les individus ou les organismes, qui perdent la voie d'une clef privée peuvent plus ne déchiffrer des messages envoyés à eux ont produit using la clef publique assortie trouvée dans un certificat d'OpenPGP. Les certificats tôt de PGP n'ont pas inclus des dates de péremption d'échéance, et ces certificats ont eu les vies illimitées. Les utilisateurs ont dû préparer un certificat signé d'annulation contre le moment où la clef privée assortie a été perdue ou compromise. Un cryptographe très en avant reçoit toujours des messages chiffrés using une clef publique pour laquelle il a il y a bien longtemps perdu la voie de la clef privée ( Ferguson 2003 , p. Il ne peut pas faire beaucoup avec ces messages excepté l'écart ils après avoir informé l'expéditeur qu'ils étaient illisibles et demandants renvoyer avec une clef publique pour laquelle il prend toujours la clef privée assortie. Le PGP postérieur, et tous certificats conformes d'OpenPGP incluent les dates de péremption d'échéance qui excluent automatiquement de tels ennuis (par la suite) une fois utilisées raisonnablement.

Un non technique, social, difficulté avec un Web de confiance comme celle établi dans le type systèmes de PGP/OpenPGP est que chaque Web de confiance sans unité centrale de traitement (par exemple, un CA ) dépend d'autres utilisateurs pour la confiance. Ceux avec les nouveaux certificats (IE, produit en cours de produire d'une nouvelle paire principale) probablement ne seront pas aisément faits confiance par les systèmes d'autres utilisateurs, qui est par ceux elles ne se sont pas personnellement réunis, jusqu'à ce qu'elles trouvent assez d'approbations pour le nouveau certificat. C'est parce que beaucoup l'autre Web des utilisateurs de confiance aura leur ensemble de contrôle de certificat pour exiger un ou plusieurs a entièrement fait confiance à des endosseurs d'un certificat autrement inconnu (ou peut-être à plusieurs endosseurs partiels) avant d'employer la clef publique dans ce certificat pour préparer des messages, croient des signatures, etc.

En dépit de l'utilisation large des systèmes conformes d'OpenPGP et de la disponibilité facile des serveurs multiples en ligne de clef de il est possible dans la pratique de ne pouvoir pas trouver aisément quelqu'un (ou plusieurs personnes) pour approuver un nouveau certificat (par exemple, en comparant l'identification physique à l'information principale de propriétaire et puis en signant digitalement le nouveau certificat). Les utilisateurs dans les contrées lointaines ou les peu développées, par exemple, peuvent trouver d'autres utilisateurs rares. Et, si l'autre certificat est également nouveau (et sans ou peu d'approbations de d'autres), puis sa signature sur n'importe quel nouveau certificat peut offrir seulement l'avantage marginal vers devenir fait confiance par immobile les systèmes d'autres parties et si capable solidement aux messages d'échange avec eux. Les parties de signature principales sont un mécanisme relativement populaire pour résoudre ce problème de trouver d'autres utilisateurs qui peuvent installer son certificat en Webs existants de confiance en l'approuvant. Les sites Web existent également pour faciliter l'endroit d'autres utilisateurs d'OpenPGP pour arranger des keysignings. La toile d'araignée de gaze de la confiance facilite également la vérification principale en liant des utilisateurs d'OpenPGP par l'intermédiaire d'un Web hiérarchique de modèle de confiance où les utilisateurs peuvent bénéficier de confiance coïncidente ou déterminée de quelqu'un qui est approuvé comme introducteur, ou de faire confiance explicitement à la clef supérieure de GSWoT d'une façon minimum comme introducteur du niveau 2 (la clef supérieure approuve des introducteurs du niveau 1).

La possibilité de trouver des chaînes des certificats est souvent justifiée par le " ; Petit " du phénomène du monde de ; : donné deux individus, il est souvent possible de trouver un à chaîne courte des personnes entre elles tels que chaque personne dans la chaîne sait les liens précédents et suivants. Cependant, une telle chaîne n'est pas nécessairement utile : la personne chiffrant un email ou vérifiant une signature non seulement doit trouver une chaîne des signatures de sa clef privée à son correspondant, mais également faire confiance à chaque personne de la chaîne pour être honnête et compétente au sujet des clefs de signature (c'est-à-dire, il doit juger si ces personnes sont susceptibles de suivre honnêtement les directives au sujet de vérifier l'identité des personnes avant de signer des clefs). C'est une contrainte beaucoup plus forte.

Faire les maths

Le travail d'Audun Jøsang est un traitement algébrique des mesures de confiance et des méthodes et le calcul qui essaye de capturer comment la confiance varie en tant qu'elle le " ; traverses" ; un Web de confiance. Les autres emplacements (ci-dessous) contient un lien à ses publications. Bon à commencer par pourrait être " ; Une algèbre pour évaluer la confiance dans la certification Chains" ;. Voir également la logique subjective et le faire confiance à métrique.

Voir également

La communauté virtuelle
L'autorité de CAcert délivre les certificats X.509 sans frais plutôt qu'OpenPGP. Elle exige que ceux avec la fonctionnalité avancée sont vérifiés par un Web de confiance.
Également le Thawte actionne une Web-de-confiance , qui laisse valider l'identité des membres, toutefois le client d'issues (email) délivre un certificat seulement.

Random links:

Explorateur avancé de composition | d'USS S-37 (SS-142) | 1978 Prix grand sud-africain | Münstertal | Benzothiazole | Web_de_la_confianza

© 2007-2009 encyclopediefrancaise.com; le texte de cet article est distribué sous les termes de GFDL; en.wikipedia.org