Em quem você confia? Usando a Web of Trust, um método de autenticação criptográfica, você pode construir uma rede de chaves confiáveis.
A identificação eficiente ao participar online tornou-se cada vez mais crucial. Como resultado, vários sistemas de segurança surgiram para que as plataformas possam verificar a si mesmas e a seus usuários. Uma delas é a Web of Trust.
Então, o que é Web of Trust e como funciona?
O que é Web of Trust?
O Web of Trust é um sistema de classificação ponto a ponto que permite verificar as chaves públicas e seus proprietários sem depender de uma autoridade de identidade central.
Embora ele se referisse a isso como uma “teia de confiança”, Philip Zimmermann introduziu o conceito de "Web of Trust" em sua documentação para Pretty Good Privacy (PGP) do MIT. No PGP, duas chaves estão envolvidas: suas chaves pública e privada (secreta). Usando sua chave secreta e um resumo de mensagem, o PGP forma uma assinatura digital, que é usada para certificar sua chave pública.
Como resultado, sua chave pública é automaticamente válida para PGP. O software confia nas suas chaves e também confia em você para validar outras chaves, permitindo que você crie uma “teia de confiança” começando por você.
Web of Trust é ainda usado em sistemas compatíveis com GnuPG e OpenPGP e sistemas de verificação de identidade como Prova de Humanidade para autenticar identidades no blockchain. Zimmermann afirma que os usuários da web podem atestar a autenticidade e a reputação uns dos outros, criando um sistema de confiança descentralizado e distribuído.
O Web of Trust usa técnicas criptográficas para garantir que os dados não possam ser manipulados. Ele pode ser usado para criptografar e assinar e-mails e participar de comunidades online.
Como funciona a Web de confiança?
Web of Trust requer criptografia de chave pública (o uso de chaves públicas e privadas para criptografar e descriptografar mensagens) e assinaturas digitais (a criação de certificados contendo informações sobre sua identidade e credenciais) funcionem.
Usando sua chave privada, você pode assinar certificados e qualquer pessoa com sua chave pública pode ver que você assinou. Outros usuários que confiam em sua identidade e credenciais também podem assinar seu certificado. Isso cria uma rede de confiança.
Por exemplo, no cenário acima, como Manuel assinou anteriormente a chave de Eva, Susi pode confiar na assinatura de Manuel ao decidir se deve confiar na chave de Eva. Se Eva tiver mais assinaturas de mais pessoas em quem Susi confia, melhor ainda - sua chave provavelmente é autêntica. Susi pode criptografar uma mensagem para Eva usando a chave pública de Eva e criptografá-la com sua chave privada. Por outro lado, Eva pode confirmar que a mensagem é de Susi usando sua chave pública. Com o tempo, conforme Susi, Eva e Manuel contratam mais pessoas, a rede continuará a se expandir.
Quando alguém novo ingressa em uma rede Web of Trust, ele deve encontrar alguém para assinar seus certificados. A pessoa que vai assinar deve verificar a identidade do signatário de alguma forma - talvez em uma reunião virtual ou em uma festa de assinatura de chaves. O signatário também deve confirmar a impressão digital da chave, um código de identificação exclusivo associado à chave pública do signatário, e garantir que ela seja carregada nos servidores de chaves após a assinatura.
Depois disso, as pessoas que confiam neles também podem se inscrever para o novo usuário. O Web of Trust requer várias assinaturas para cada certificado para reduzir falhas. Se outros acharem que o signatário não verificou a identidade do novo usuário ou a impressão digital da chave corretamente, eles podem decidir não assinar.
Benefícios da Web de confiança
Obviamente, existem inúmeros benefícios de usar o Web of Trust.
1. Fácil de usar
Você só precisa gerar chaves e compartilhar suas chaves públicas para participar de uma Web de confiança. Este é o único incômodo para navegar, pois várias ferramentas de software como Gerenciador de Confiança do Software DigiCert que automatizam a criação, assinatura e verificação de certificados já existem.
2. Distribuída e Descentralizada
O Web of Trust utiliza um rede de confiança distribuída e descentralizada. O sistema é baseado na classificação dos participantes da rede; não depende de uma autoridade centralizada.
Você é responsável por gerenciar suas chaves e certificados e pode escolher em quem confiar e em quem assinar.
3. Reforça a confiança nos relacionamentos
Você pode estabelecer confiança com outras pessoas com base em seus requisitos. Você também pode revogar ou modificar os níveis de confiança de outras pessoas a qualquer momento.
Limitações do Web of Trust
Embora o Web of Trust ofereça muitos benefícios, ele também tem muitas limitações.
1. Preocupações com a privacidade
Ao criar ou assinar certificados, você pode expor involuntariamente informações confidenciais. Lembre-se: os certificados contêm informações sobre sua identidade e credenciais, como seu nome e chave pública. Esses detalhes não devem ser expostos.
Além disso, você pode não saber quanto controle aqueles que assinam por você têm sobre seus certificados e chaves. Por exemplo, partes mal-intencionadas podem copiá-los, modificá-los ou vazá-los.
2. Requer Participação Ativa na Rede de Confiança
Você precisa manter suas chaves e certificados e assinar os certificados de outras pessoas, o que pode ser tedioso e demorado.
Além disso, novos usuários com novos certificados podem não ser confiáveis por outros por um tempo, pois não há controlador central. Eles só serão confiáveis quando outras pessoas na rede puderem e decidirem assinar seus certificados. E isso pode exigir reuniões físicas.
Você pode incorrer em riscos e responsabilidades ao assinar por terceiros. Se alguém que você atestou for fraudulento, você também poderá ser responsabilizado.
3. Vulnerável a ataques
Se você perder suas chaves privadas, não conseguirá acessar seus certificados ou verificar outros. Se suas chaves forem roubadas, hackeadas ou falsificadas, quem quer que as tenha pode se passar por você e prejudicar sua credibilidade.
E você não poderá fazer nada, pois não pode acessar seu chave privada para descriptografar suas mensagens; certificados PGP mais recentes têm datas de validade, no entanto.
Você ainda pode enfrentar ataques de engenharia social, em que atores fraudulentos tentam induzi-lo a assinar por eles.
Você pode confiar na Web of Trust?
Apesar dos objetivos e tecnologias, todo sistema de segurança de dados pode ser invadido. O mesmo vale para Web of Trust.
Não é um sistema perfeito que lhe oferecerá segurança completa. Em vez disso, permitirá interações baseadas em confiança entre você e outras pessoas com interesses e entendimentos comuns. Este sistema pode ser benéfico se usado de forma responsável por todos os participantes.
No entanto, sua dependência de pessoas o deixa vulnerável a manipulações e erros humanos. Tenha cuidado para não comprometer sua chave secreta. E fique atento a vírus, adulteração de chaves públicas, brechas na segurança do seu dispositivo, arquivos que você excluiu, mas ainda estão em algum lugar do seu disco rígido e até mesmo criptoanálise, o outro lado da criptografia.
A rede de confiança é ótima, mas não perfeita
O Web of Trust permite a verificação de identidade no blockchain sem exigir uma autoridade central. Embora esse sistema tenha grandes promessas e benefícios, ele também enfrenta várias limitações.
Com modificações adicionais, o Web of Trust pode se tornar um sistema de verificação de identidade amplamente adotado.