वेब ऑफ़ ट्रस्ट

क्रिप्टोग्राफी में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग काफ़ी अच्छी गोपनीयता, जीएनयू प्राइवेसी गार्ड और अन्य ओपन-पीजीपी-संगत सिस्टम में सार्वजनिक कुंजी और उसके मालिक के बीच बंधन के प्रमाणीकरण को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक#औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है। जैसा कि कंप्यूटर नेटवर्क के साथ होता है, भरोसे के कई स्वतंत्र जाल होते हैं, और कोई भी उपयोगकर्ता (अपने सार्वजनिक कुंजी प्रमाणपत्र के माध्यम से) कई जाले का एक हिस्सा और उनके बीच एक कड़ी हो सकता है।

वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर फिल ज़िम्मरमैन द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था:

इस संदर्भ में उद्भव शब्द के प्रयोग पर ध्यान दें। विश्वास का जाल उभरने की अवधारणा का उपयोग करता है।

भरोसे के जाल का संचालन
सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र पुनरीक्षण योजना शामिल है; इसके संचालन को विश्वास का जाल कहा गया है। OpenPGP प्रमाणपत्र (जिसमें मालिक की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ शामिल हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह आमतौर पर कुंजी हस्ताक्षर करने वाली पार्टी में किया जाता है। ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी शामिल है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-स्वामी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए वाउच किया है (और इसलिए इसमें पब्लिक की - ओनर डेटा बाइंडिंग शामिल है), या यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट में मालिक और पब्लिक की के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या शायद छह आंशिक) और यदि वांछित हो तो पूरी तरह से बायपास किया जा सकता है।

अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है।

सरलीकृत स्पष्टीकरण
एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो खुले तौर पर साझा की जाती है और एक निजी कुंजी जो स्वामी द्वारा रोकी जाती है। स्वामी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।

प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ छेड़छाड़ नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।

ठेठ पीकेआई
के साथ तुलना करें WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए आमतौर पर व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में आमतौर पर दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र शामिल होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में विश्वास प्रदान करते हैं जो उन्हें वापस ले जाते हैं।

WOT विफलता के एक बिंदु को CA पदानुक्रम से समझौता करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है। एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के खिलाफ डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।

निजी चाबियों का नुकसान
ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। हालाँकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब OpenPGP प्रमाणपत्र में मिली मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि शामिल नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के खिलाफ एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या समझौता किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था। वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां शामिल होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक की शुरुआत में पेश किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी स्वामी किसी तीसरे पक्ष को निर्दिष्ट कर सकता है जिसके पास कुंजी स्वामी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी स्वामी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।

सार्वजनिक कुंजी प्रामाणिकता जांच
ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) विश्वास के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से भरोसा नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे ताकि संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या शायद कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर विश्वास करें, आदि।

ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक कुंजी सर्वर (क्रिप्टोग्राफ़िक) की आसान उपलब्धता के बावजूद, व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को आसानी से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी स्वामी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा भरोसेमंद बनने की दिशा में केवल मामूली लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। . कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को विश्वास के मौजूदा जाले में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य OpenPGP उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी मौजूद हैं। Gossamer स्पाइडर वेब ऑफ ट्रस्ट भी OpenPGP उपयोगकर्ताओं को ट्रस्ट के एक पदानुक्रमित शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को आसान बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित विश्वास से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम विश्वास करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।

प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को अक्सर छोटी दुनिया की घटना द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, अक्सर उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, ताकि श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। हालांकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, बल्कि श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक बहुत मजबूत बाधा है।

एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और स्वामित्व को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं शामिल हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य आबादी प्रत्यक्ष विश्वास स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके बजाय उन्हें अप्रत्यक्ष विश्वास के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए। सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी जोखिम प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष मैन-इन-द-बीच हमला|मध्य-पुरुष, स्वयं है दुर्व्यवहार या हमलों के प्रति संवेदनशील। इस जोखिम से बचने के लिए, एक लेखक इसके बजाय अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (यानी, एक वेब सर्वर जो उनके स्वामित्व वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड कनेक्शन। विवरण के लिए, नीचे #WOT सहायक समाधान देखें।

मजबूत सेट
मजबूत सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है। यह भरोसे के वैश्विक जाल का आधार बनता है। मजबूत सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और मौजूद हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए मजबूत सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है ताकि वह मजबूत सेट का हिस्सा बन सके। वर्ष 2015 की शुरुआत में मजबूत सेट का आकार लगभग 55000 चाबियों का था।

मतलब सबसे कम दूरी
प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस (एमएसडी) इस बात का एक माप है कि दी गई पीजीपी कुंजी, पीजीपी कुंजी के दृढ़ता से जुड़े सेट के भीतर कितनी विश्वसनीय है जो विश्वास का वेब बनाती है।.

MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। बहुत बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ग्लोबल MSD से की जाएगी, जो आम तौर पर वैश्विक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है।

WOT सहायक समाधान
मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम विश्वास स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और भरोसा करने का सबसे अच्छा तरीका है, और सर्वोत्तम भरोसेमंद तरीके का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए भरोसेमंद कुंजी साझा करने का दूसरा सबसे अच्छा तरीका है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए।

हालांकि, यह उन लाखों उपयोगकर्ताओं के लिए व्यावहारिक नहीं है जो प्रत्येक प्राप्तकर्ता उपयोगकर्ता के साथ शारीरिक रूप से मिलने के लिए सुरक्षित रूप से संवाद या संदेश देना चाहते हैं, और यह उन लाखों सॉफ़्टवेयर उपयोगकर्ताओं के लिए भी व्यावहारिक नहीं है, जिन्हें सैकड़ों सॉफ़्टवेयर डेवलपर्स या लेखकों से शारीरिक रूप से मिलने की आवश्यकता है, जिनके सॉफ्टवेयर या फाइल साइनिंग प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड पब्लिक की जिसे वे सत्यापित और भरोसा करना चाहते हैं और अंततः अपने कंप्यूटर में उपयोग करते हैं। इसलिए, एक या अधिक विश्वसनीय तृतीय पक्ष|विश्वसनीय तृतीय-पक्ष प्राधिकरण (TTPA) प्रकार की इकाई या समूह को उपयोगकर्ताओं के लिए उपलब्ध होना चाहिए और उपयोगकर्ताओं द्वारा उपयोग करने योग्य होना चाहिए, और ऐसी इकाई/समूह को विश्वसनीय-प्रमाणीकरण#Digital प्रदान करने में सक्षम होना चाहिए किसी भी समय दुनिया भर के लाखों उपयोगकर्ताओं के लिए प्रमाणीकरण या विश्वास-प्रतिनिधिमंडल (कंप्यूटर सुरक्षा) सेवाएं।

व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के संदेश प्रमाणीकरण को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की भरोसेमंद और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल स्वामी द्वारा भरोसेमंद फ़ाइल-हस्ताक्षरित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी। और वास्तव में एक विशिष्ट PGP/GPG कुंजी पर भरोसा करने के लिए, उपयोगकर्ताओं को भौतिक रूप से प्रत्येक विशिष्ट मूल लेखक या डेवलपर से मिलने की आवश्यकता होगी, या उपयोगकर्ताओं को फ़ाइल-हस्ताक्षर पब-कुंजी के मूल-रिलीज़र के साथ भौतिक रूप से मिलने की आवश्यकता होगी, या, उपयोगकर्ताओं को इसकी आवश्यकता होगी एक अन्य वैकल्पिक विश्वसनीय उपयोगकर्ता को खोजने के लिए, जो WOT की विश्वसनीय-श्रृंखला में है (उर्फ, अन्य उपयोगकर्ता या अन्य डेवलपर या अन्य लेखक, जिस पर उस विशिष्ट मूल लेखक या डेवलपर द्वारा भरोसा किया जाता है), और फिर सत्यापित करने के लिए उस व्यक्ति से भौतिक रूप से मिलते हैं उसकी/उसकी पीजीपी/जीपीजी कुंजी के साथ उनकी वास्तविक आईडी (और दूसरे उपयोगकर्ता को अपनी खुद की आईडी और कुंजी भी प्रदान करें, ताकि दोनों पक्ष एक-दूसरे की पीजीपी/जीपीजी कुंजी पर हस्ताक्षर/प्रमाणन और भरोसा कर सकें)। कोई सॉफ़्टवेयर लोकप्रिय है या नहीं, सॉफ़्टवेयर उपयोगकर्ता आमतौर पर दुनिया भर में विभिन्न स्थानों पर स्थित होते हैं। लाखों उपयोगकर्ताओं को सार्वजनिक कुंजी या ट्रस्ट या आईडी सत्यापन सेवाएं प्रदान करना मूल लेखक या डेवलपर या फ़ाइल-रिलीज़र के लिए भौतिक रूप से संभव नहीं है। न ही लाखों सॉफ्टवेयर उपयोगकर्ताओं के लिए प्रत्येक सॉफ्टवेयर या प्रत्येक सॉफ्टवेयर-लाइब्रेरी या कोड के डेवलपर या लेखक या रिलीजर के प्रत्येक टुकड़े से शारीरिक रूप से मिलना व्यावहारिक है, जिसे वे अपने कंप्यूटर में उपयोग (उपयोग या) करने की आवश्यकता होगी। यहां तक ​​कि WOT की विश्वसनीय-श्रृंखला में कई विश्वसनीय लोगों/व्यक्ति (मूल-लेखक द्वारा) के साथ, यह अभी भी भौतिक या व्यावहारिक रूप से प्रत्येक डेवलपर या लेखक के लिए अन्य सभी उपयोगकर्ताओं से मिलना संभव नहीं है, और यह भी संभव नहीं है कि प्रत्येक उपयोगकर्ता मिलें सैकड़ों डेवलपर्स के साथ जिनके सॉफ्टवेयर का वे उपयोग कर रहे होंगे या उन पर काम कर रहे होंगे। जब यह विकेन्द्रीकृत पदानुक्रम आधारित WoT श्रृंखला मॉडल लोकप्रिय हो जाएगा और अधिकांश आस-पास के उपयोगकर्ताओं द्वारा उपयोग किया जाएगा, तभी भौतिक बैठक और pub-key प्रमाणन और WoT की हस्ताक्षर प्रक्रिया आसान हो जाएगी।

कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक विश्वास-स्तर सेट करने की आवश्यकता होती है। फिर अद्यतन सार्वजनिक-कुंजियाँ और अद्यतन फ़ाइल-हस्ताक्षर करने वाली सार्वजनिक-कुंजियाँ भी प्रकाशित और वितरित की जानी चाहिए (या accessible) उपयोगकर्ताओं के लिए, ऑनलाइन सुरक्षित और एन्क्रिप्टेड माध्यमों के माध्यम से, ताकि दुनिया के किसी भी स्थान से कोई भी उपयोगकर्ता सही और विश्वसनीय और असंशोधित सार्वजनिक-कुंजी प्राप्त कर सके। यह सुनिश्चित करने के लिए कि प्रत्येक उपयोगकर्ता को सही और विश्वसनीय सार्वजनिक-कुंजियाँ और हस्ताक्षरित-कोड/फ़ाइल मिल रही है, मूल देव/लेखक या मूल-रिलीज़र को अपनी अद्यतन सार्वजनिक-कुंजियाँ अपने स्वयं के कुंजी सर्वर (क्रिप्टोग्राफ़िक) पर प्रकाशित करनी चाहिए और HKPS एन्क्रिप्टेड कनेक्शन को बाध्य करना चाहिए उपयोग, या अपने स्वयं के HTTPS एन्क्रिप्टेड वेबपेज पर, अपने स्वयं के प्राथमिक डोमेन वेबसाइट से, अपने स्वयं के वेब सर्वर के तहत, अपनी अद्यतन और पूर्ण सार्वजनिक-कुंजियाँ (और हस्ताक्षरित-कोड/फ़ाइल) प्रकाशित करें, (किसी भी उप-डोमेन से नहीं जो स्थित हैं) बाहरी-सर्वर में, किसी मिरर से नहीं, किसी बाहरी/साझा फ़ोरम/विकी आदि वेबसाइट सर्वर से नहीं, किसी सार्वजनिक या बाहरी/साझा क्लाउड या होस्टिंग सर्विस सर्वर से नहीं), और सुरक्षित रूप से स्थित और रखा जाना चाहिए अपने स्वयं के परिसर के अंदर: अपना-घर, अपना-घर-कार्यालय, या अपना-कार्यालय। इस तरह, मूल कुंजी/कोड के वे छोटे टुकड़े, इंटरनेट के माध्यम से अक्षुण्ण यात्रा करेंगे और पारगमन (एन्क्रिप्टेड कनेक्शन के कारण) के दौरान असंशोधित रहेंगे और उपयोगकर्ता के पक्ष में छिपकर या संशोधित किए बिना गंतव्य तक पहुंच जाएंगे, और उन्हें भरोसेमंद माना जा सकता है सार्वजनिक कुंजी एकल या बहु चैनल TTPA आधारित सत्यापन के कारण। जब एक से अधिक विश्वसनीय तृतीय पक्ष (विश्वसनीय तृतीय पक्ष प्राधिकरण) आधारित सुरक्षित, सत्यापित और एन्क्रिप्टेड कनेक्शन के माध्यम से एक सार्वजनिक-कुंजी (मूल डेवलपर के अपने वेब-सर्वर से) प्राप्त की जाती है, तो यह अधिक भरोसेमंद है।

जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड कनेक्शन या एन्क्रिप्टेड वेबपेज पर दिखाए जाते हैं, तो किसी भी अन्य फाइल, डेटा या सामग्री को किसी भी प्रकार के गैर-एन्क्रिप्टेड कनेक्शन पर स्थानांतरित किया जा सकता है, जैसे: HTTP/FTP आदि किसी भी सब-डोमेन सर्वर से या किसी मिरर से या किसी साझा क्लाउड/होस्टिंग सर्वर से, क्योंकि, गैर-एन्क्रिप्टेड कनेक्शन आधारित डाउनलोड किए गए आइटम/डेटा/फाइलों को मूल सार्वजनिक-कुंजियों का उपयोग करके बाद में प्रमाणित किया जा सकता है। /हस्ताक्षरित-कोड, जो मूल लेखक/डेवलपर के अपने सर्वर से सुरक्षित, एन्क्रिप्टेड और विश्वसनीय (उर्फ, सत्यापित) कनेक्शन/चैनलों पर प्राप्त किए गए थे।

कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड कनेक्शन का उपयोग करके, सॉफ़्टवेयर उपयोगकर्ताओं को सार्वजनिक कुंजी क्रिप्टोग्राफी विश्वसनीय तृतीय पक्ष (विश्वसनीय तृतीय पक्ष प्राधिकरण), जैसे सार्वजनिक प्रमाणपत्र प्राधिकरण (प्रमाणपत्र प्राधिकरण) के साथ अपना विश्वास सौंपने की अनुमति दें, प्रदान करने में मदद करने के लिए किसी भी समय मूल डेवलपर/लेखक के वेब सर्वर और दुनिया भर के लाखों उपयोगकर्ताओं के कंप्यूटर के बीच विश्वसनीय कनेक्शन।

जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा HTTP सार्वजनिक कुंजी पिनिंग तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई विश्वसनीय तृतीय पक्ष के माध्यम से भी सत्यापित किया जा सकता है: डीएनएसएसईसी और डीएनएस नेमस्पेस मेंटेनर आईसीएएनएन, सार्वजनिक सीए के अलावा। डीएनएसएसईसी पीजीपी/जीपीजी डब्ल्यूओटी का दूसरा रूप है लेकिन नाम-सर्वरों के लिए; यह पहले (लोगों/व्यक्ति के बजाय) नाम-सर्वरों के लिए एक विश्वसनीय-श्रृंखला बनाता है, और फिर लोगों/व्यक्ति की PGP/GPG कुंजियों और फ़िंगरप्रिंट को भी सर्वर के DNSSEC DNS रिकॉर्ड में जोड़ा जा सकता है। तो कोई भी उपयोगकर्ता जो सुरक्षित रूप से संवाद करना चाहता है (या कोई सॉफ़्टवेयर उपयोगकर्ता), दो (उर्फ, दोहरी/डबल) विश्वसनीय पीकेआई टीटीपीए/चैनलों के माध्यम से अपने डेटा/कुंजी/कोड/वेबपेज आदि को प्रभावी ढंग से सत्यापित (उर्फ, प्रमाणित) प्राप्त/प्राप्त कर सकता है। एक ही समय में: ICANN (DNSSEC) और प्रमाणपत्र प्राधिकरण (सार्वजनिक कुंजी प्रमाणपत्र|SSL/TLS प्रमाणपत्र)। इसलिए PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा (या फ़ाइल) पर भरोसा किया जा सकता है, जब ऐसे समाधान और तकनीकों का उपयोग किया जाता है: HKPS, HKPS+DNSSEC+DANE, HTTPS, HTTPS+HPKP या HTTPS+HPKP+DNSSEC+DANE।

यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन बनाती है#DNSSEC लुकसाइड सत्यापन - ऐतिहासिक आधारित DNSSEC डोमेन नाम रजिस्ट्री, और यदि उपयोगकर्ता अपने स्वयं के स्थानीय DNSSEC-आधारित DNS में नए DLV (ICANN-DNSSEC के साथ) रूट-की का उपयोग करते हैं रिज़ॉल्वर/सर्वर, और यदि डोमेन-स्वामी भी इसका उपयोग अपने स्वयं के डोमेन-नामों के अतिरिक्त हस्ताक्षर के लिए करते हैं, तो एक नया तीसरा TTPA हो सकता है। ऐसे मामले में, कोई भी PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा या वेबपेज या वेब डेटा तीन/ट्रिपल-चैनल सत्यापित हो सकता है। इंटरनेट सिस्टम कंसोर्टियम के डीएलवी को तीसरे टीटीपीए के रूप में इस्तेमाल किया जा सकता है क्योंकि यह अभी भी व्यापक रूप से और सक्रिय रूप से उपयोग किया जाता है, इसलिए एक और नए डीएलवी की उपलब्धता चौथा टीटीपीए बन जाएगी।

यह भी देखें

 * दोस्त-टू-दोस्त (F2F) कंप्यूटर नेटवर्क।
 * स्व-संप्रभु पहचान
 * मैं गिर गया ने कई साल पहले OpenPGP कुंजियों पर हस्ताक्षर करना बंद कर दिया था और अब केवल X.509 प्रमाणपत्र जारी करता है।
 * आभासी समुदाय

इस पेज में लापता आंतरिक लिंक की सूची

 * प्रमाणपत्र, प्राधिकारी
 * सार्वजनिक मुख्य बुनियादी सुविधा
 * जड़ प्रमाण पत्र
 * दृढ़ता से जुड़ा हुआ
 * नामांकित संस्थाओं का DNS-आधारित प्रमाणीकरण
 * अंगुली का हस्ताक्षर

बाहरी संबंध

 * An explanation of the PGP Web of Trust
 * analysis of the strong set in the PGP web of trust, no longer maintained; last archived link from August 2020.

सार्वजनिक कुंजी अवसंरचना