वेब ऑफ़ ट्रस्ट: Difference between revisions

{{For|इंटरनेट सुरक्षा वेबसाइट|WOT सेवाएं}}

 

[[File:Web_of_Trust-en.svg|thumb|400px|वेब ऑफ ट्रस्ट का योजनाबद्ध आरेख]][[क्रिप्टोग्राफी]] में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग [[काफ़ी अच्छी गोपनीयता]], [[जीएनयू प्राइवेसी गार्ड]] और अन्य [[ओपन-पीजीपी]]-संगत सिस्टम में [[सार्वजनिक कुंजी]] और उसके मालिक के बीच बंधन के [[प्रमाणीकरण]] को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक, औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।<ref>{{Cite journal |last=Chien |first=Hung-Yu |date=2021-08-19 |title=फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र|journal=Electronics |language=en |volume=10 |issue=16 |pages=2009 |doi=10.3390/electronics10162009 |issn=2079-9292|doi-access=free }}</ref> जैसा कि संगणक नेटवर्क के साथ होता है, भरोसे के कई स्वतंत्र वेब होते हैं, और कोई भी उपयोगकर्ता (अपने [[सार्वजनिक कुंजी प्रमाणपत्र]] के माध्यम से) कई वेब का एक हिस्सा और उनके बीच एक कड़ी हो सकती है।

इस संदर्भ में [[उद्भव]] शब्द के प्रयोग पर ध्यान दें। विश्वास का जाल उभरने की अवधारणा का उपयोग करता है।

सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र [[पुनरीक्षण]] योजना सम्मलित है; इसके संचालन को विश्वास का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मालिक की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ सम्मलित हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह सामान्यतः [[कुंजी हस्ताक्षर करने वाली पार्टी]] में किया जाता है।<ref>{{Cite journal|last1=Ulrich|first1=Alexander|last2=Holz|first2=Ralph|last3=Hauck|first3=Peter|last4=Carle|first4=Georg|date=2011|editor-last=Atluri|editor-first=Vijay|editor2-last=Diaz|editor2-first=Claudia|title=ट्रस्ट के ओपनपीजीपी वेब की जांच|url=https://link.springer.com/chapter/10.1007/978-3-642-23822-2_27|journal=Computer Security – ESORICS 2011|series=Lecture Notes in Computer Science|volume=6879 |language=en|location=Berlin, Heidelberg|publisher=Springer|pages=489–507|doi=10.1007/978-3-642-23822-2_27|isbn=978-3-642-23822-2}}</ref>

ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी सम्मलित है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर [[डेटा बाइंडिंग]] सम्मलित है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मालिक और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या संभवतः छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है।

एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो खुले तौर पर साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।

प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ छेड़छाड़ नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।

WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए सामान्यतः व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में सामान्यतः दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र सम्मलित होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में विश्वास प्रदान करते हैं जो उन्हें वापस ले जाते हैं।

WOT विफलता के एक बिंदु को CA पदानुक्रम से समझौता करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।<ref>{{cite web|url=https://blog.mozilla.org/security/2011/08/29/fraudulent-google-com-certificate/|access-date=29 August 2011|last=Nightingale|first=Johnathan|title=कपटपूर्ण *.google.com प्रमाणपत्र}}</ref> एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।<ref>{{cite web|url=http://web.monkeysphere.info/|access-date=13 December 2016|title=द मंकीस्फेयर प्रोजेक्ट}}</ref>

=== निजी चाबियों का नुकसान ===

ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। चूंकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि सम्मलित नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या समझौता किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।<ref>{{cite book|last1=Ferguson|first1=Niels|last2=Schneier|first2=Bruce|title=प्रैक्टिकल क्रिप्टोग्राफी|publisher=Wiley|year=2003|isbn=978-0471223573|pages=333|quote=ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।}}</ref> वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां सम्मलित होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक की शुरुआत में प्रस्तुत किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।

ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) विश्वास के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से विश्वास नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या संभवतः कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर विश्वास करें, आदि।

ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक [[कुंजी सर्वर (क्रिप्टोग्राफ़िक)]] की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा विश्वसनीय बनने की दिशा में केवल मामूली लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। . कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को विश्वास के उपस्थित वेब में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। [http://www.gswot.org Gossamer स्पाइडर वेब ऑफ ट्रस्ट] भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित विश्वास से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम विश्वास करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।

प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को प्रायः [[छोटी दुनिया की घटना]] द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, प्रायः उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। चूंकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक बहुत मजबूत बाधा है।

एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं सम्मलित हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य आबादी प्रत्यक्ष विश्वास स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके अतिरिक्त उन्हें अप्रत्यक्ष विश्वास के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।{{citation needed|date=January 2018}}

मजबूत सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है।<ref>{{cite web|url=https://people.apache.org/~henkp/trust/|access-date=13 December 2013|last=Penning|first=Henk|archive-url=https://web.archive.org/web/20130302032948/http://people.apache.org/~henkp/trust/|archive-date=2 March 2013|title=apache.org वेब ऑफ ट्रस्ट पर|url-status=live}}</ref> यह भरोसे के वैश्विक वेब का आधार बनता है। मजबूत सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और उपस्थित हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए मजबूत सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है किंतु वह मजबूत सेट का हिस्सा बन सके।<ref>{{cite web|url=http://dtype.org/keyanalyze/explanation.php|archive-url=https://web.archive.org/web/20090203235946/http://dtype.org/keyanalyze/explanation.php|archive-date=3 February 2009|last=Streib|first=M. Drew|access-date=13 December 2013|title=इस कीरिंग विश्लेषण की व्याख्या|url-status=dead}}</ref> वर्ष 2015 के प्रारंभ में मजबूत सेट का आकार लगभग 55000 चाबियों का था।<ref>{{cite web|url=http://pgp.cs.uu.nl/plot/|last=Penning|first=Henk P.|access-date=8 January 2015|title=ट्रस्ट के पीजीपी वेब में मजबूत सेट का विश्लेषण}}</ref>

MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। कई बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ''ग्लोबल MSD'' से की जाएगी, जो सामान्यतः वैश्विक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है।

मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम विश्वास स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और विश्वास करने का सबसे अच्छा उपाय है, और सर्वोत्तम विश्वासमंद उपाय का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए विश्वासमंद कुंजी साझा करने का दूसरा सबसे अच्छा उपाय है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए।