我正在研究网络和系统安全,我遇到了“信任网络”这个短语。来自维基百科:
在密码学中,信任网络是 PGP、GnuPG 和其他与 OpenPGP 兼容的系统中使用的概念,用于建立公钥与其所有者之间绑定的真实性。其分散式信任模型是公钥基础设施 (PKI) 的集中式信任模型的替代方案,后者完全依赖于证书颁发机构(或此类机构的层次结构)。与计算机网络一样,有许多独立的信任网络,任何用户(通过他们的身份证书)都可以成为多个网络的一部分,并成为多个网络之间的链接。
如果可能的话,我想要一个更清晰的定义和一些例子。
分层公钥基础结构是指某些证书颁发机构(CA) 向许多子实体颁发证书:CA 签署证书以保证身份与该实体拥有的公钥之间的链接。PKI 是分层的,因为 CA 很少,每个 CA 为很多人签署证书。
在信任网络中,每个人都是 CA。每个用户都为他想要的任何人签署证书。
在数学语言中,分层 PKI 自然意味着一个非循环的认证图,通常是一棵树:信任从单个根 CA或一小组根 CA 向下渗透。而 WoT 是一个超级连接的通用图,在任意两点之间有循环和许多路径。
在政治上,分层的 PKI 是一种受军事启发的结构,具有中央指挥链;而 WoT 是一个无政府主义嬉皮士乌托邦,其中信任从聚集的人(或暴民,从另一个角度来看)半神奇地出现。
基本上它是去中心化信任管理的概念:PKI 基础设施依赖于一个中心化的第三方来决定哪个实体是值得信任的,哪个不值得信任。
例如(PKI):
鲍勃是个好人。每个人都爱鲍勃,并且非常信任他。当有人敲门时,Bob 派他来就可以了——而不是 Alice 派那个人来。
信任网络有所不同:如果其他人信任您,就会授予信任,而您的信任基于其他值得信赖的人对新信任的信任程度。
例如(WOT):
鲍勃是个好人。但爱丽丝也是个好女孩。爱丽丝信任鲍勃,而鲍勃信任爱丽丝。这群人中还有一个不太好的人,伊芙。一个新人来了,约翰。鲍勃信任约翰。如果有人想知道 John 是否值得信赖,他可以看到 John 被 Alice 信任,而这些人中没有一个人信任 Eve 或被 Eve 信任。因此,可以相当安全地得出结论,约翰是值得信赖的。
最简单的解释方式有点像“6度分离”。信任网络的想法是,您验证某人的身份并决定信任他们为您信任他人。因此,如果我验证 Bob 的证书实际上是给 Bob 的,并且我验证 Charlie 的证书来自 Charlie,那么 Bob 和 Charlie 都可以验证 Dan 实际上是 Dan。
现在,当 Dan 想和我交谈时,他可以提供 Bob 和 Charlie 都信任的证书。由于我信任 Bob 和 Charlie,我认为 Dan 实际上是 Dan 的可能性很大。
这很有效,因为我预计 Bob 和 Charlie 不会一起工作,而 Dan 必须让他们俩都相信他没事。
信任网络是这样一个由已验证彼此证书的人组成的网络,因此您可以根据您已验证与他们建立关系的人数来信任未知证书。