वेब ऑफ़ ट्रस्ट: Difference between revisions

{{For|इंटरनेट सुरक्षा वेबसाइट|WOT सेवाएं}}

 

[[File:Web_of_Trust-en.svg|thumb|400px|वेब ऑफ ट्रस्ट का योजनाबद्ध आरेख]][[क्रिप्टोग्राफी]] में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग [[काफ़ी अच्छी गोपनीयता]], [[जीएनयू प्राइवेसी गार्ड]] और अन्य [[ओपन-पीजीपी]]-संगत सिस्टम में [[सार्वजनिक कुंजी]] और उसके मालिक के बीच बंधन के [[प्रमाणीकरण]] को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक, औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।<ref>{{Cite journal |last=Chien |first=Hung-Yu |date=2021-08-19 |title=फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र|journal=Electronics |language=en |volume=10 |issue=16 |pages=2009 |doi=10.3390/electronics10162009 |issn=2079-9292|doi-access=free }}</ref> जैसा कि कंप्यूटर नेटवर्क के साथ होता है, भरोसे के कई स्वतंत्र जाल होते हैं, और कोई भी उपयोगकर्ता (अपने [[सार्वजनिक कुंजी प्रमाणपत्र]] के माध्यम से) कई जाले का एक हिस्सा और उनके बीच एक कड़ी हो सकती है।

{{quotation|जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। हर कोई अपने स्वयं के भरोसेमंद परिचयकर्ताओं का चयन करेगा। और हर कोई धीरे-धीरे अपनी कुंजी के साथ अन्य लोगों से प्रमाणित हस्ताक्षरों का एक संग्रह जमा करेगा और वितरित करेगा, इस उम्मीद के साथ कि इसे प्राप्त करने वाला कोई भी व्यक्ति कम से कम एक या दो हस्ताक्षरों पर भरोसा करेगा। यह सभी सार्वजनिक चाबियों के लिए विकेंद्रीकृत दोष-सहिष्णु विश्वास वेब के उद्भव का कारण बनेगा।

इस संदर्भ में [[उद्भव]] शब्द के प्रयोग पर ध्यान दें। विश्वास का जाल उभरने की अवधारणा का उपयोग करता है।

सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र [[पुनरीक्षण]] योजना सम्मलित है; इसके संचालन को विश्वास का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मालिक की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ सम्मलित हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह सामान्यतः [[कुंजी हस्ताक्षर करने वाली पार्टी]] में किया जाता है।<ref>{{Cite journal|last1=Ulrich|first1=Alexander|last2=Holz|first2=Ralph|last3=Hauck|first3=Peter|last4=Carle|first4=Georg|date=2011|editor-last=Atluri|editor-first=Vijay|editor2-last=Diaz|editor2-first=Claudia|title=ट्रस्ट के ओपनपीजीपी वेब की जांच|url=https://link.springer.com/chapter/10.1007/978-3-642-23822-2_27|journal=Computer Security – ESORICS 2011|series=Lecture Notes in Computer Science|volume=6879 |language=en|location=Berlin, Heidelberg|publisher=Springer|pages=489–507|doi=10.1007/978-3-642-23822-2_27|isbn=978-3-642-23822-2}}</ref>

ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी सम्मलित है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर [[डेटा बाइंडिंग]] सम्मलित है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मालिक और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या संभवतः छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है।

एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो खुले तौर पर साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।

प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ छेड़छाड़ नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।

WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए सामान्यतः व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में सामान्यतः दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र सम्मलित होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में विश्वास प्रदान करते हैं जो उन्हें वापस ले जाते हैं।

WOT विफलता के एक बिंदु को CA पदानुक्रम से समझौता करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।<ref>{{cite web|url=https://blog.mozilla.org/security/2011/08/29/fraudulent-google-com-certificate/|access-date=29 August 2011|last=Nightingale|first=Johnathan|title=कपटपूर्ण *.google.com प्रमाणपत्र}}</ref> एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।<ref>{{cite web|url=http://web.monkeysphere.info/|access-date=13 December 2016|title=द मंकीस्फेयर प्रोजेक्ट}}</ref>

=== निजी चाबियों का नुकसान ===

ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। चूंकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि सम्मलित नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या समझौता किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।<ref>{{cite book|last1=Ferguson|first1=Niels|last2=Schneier|first2=Bruce|title=प्रैक्टिकल क्रिप्टोग्राफी|publisher=Wiley|year=2003|isbn=978-0471223573|pages=333|quote=ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।}}</ref> वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां सम्मलित होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक की शुरुआत में प्रस्तुत किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।

ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) विश्वास के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से विश्वास नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या संभवतः कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर विश्वास करें, आदि।

ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक [[कुंजी सर्वर (क्रिप्टोग्राफ़िक)]] की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा विश्वसनीय बनने की दिशा में केवल मामूली लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। . कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को विश्वास के उपस्थित जाले में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। [http://www.gswot.org Gossamer स्पाइडर वेब ऑफ ट्रस्ट] भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित विश्वास से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम विश्वास करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।

प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को प्रायः [[छोटी दुनिया की घटना]] द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, प्रायः उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर�