वेब ऑफ़ ट्रस्ट

From Vigyanwiki
Revision as of 18:45, 14 January 2023 by alpha>Saurabh
वेब ऑफ ट्रस्ट का योजनाबद्ध आरेख

क्रिप्टोग्राफी में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग काफ़ी अच्छी गोपनीयता, जीएनयू प्राइवेसी गार्ड और अन्य ओपन-पीजीपी-संगत सिस्टम में सार्वजनिक कुंजी और उसके मालिक के बीच बंधन के प्रमाणीकरण को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक, औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।[1] जैसा कि संगणक नेटवर्क के साथ होता है, भरोसे के कई स्वतंत्र वेब होते हैं, और कोई भी उपयोगकर्ता (अपने सार्वजनिक कुंजी प्रमाणपत्र के माध्यम से) कई वेब का एक हिस्सा और उनके बीच एक कड़ी हो सकती है।

वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर फिल ज़िम्मरमैन द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था:

जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। सभी अपने स्वयं के भरोसेमंद परिचयकर्ताओं का चयन करेगा। और सभी धीरे-धीरे अपनी कुंजी के साथ अन्य लोगों से प्रमाणित हस्ताक्षरों का एक संग्रह जमा करेगा और वितरित करेगा, इस उम्मीद के साथ कि इसे प्राप्त करने वाला कोई भी व्यक्ति कम से कम एक या दो हस्ताक्षरों पर भरोसा करेगा। यह सभी सार्वजनिक चाबियों के लिए विकेंद्रीकृत दोष-सहिष्णु विश्वास वेब के उद्भव का कारण बनेगा।

इस संदर्भ में उद्भव शब्द के प्रयोग पर ध्यान दें। विश्वास का जाल उभरने की अवधारणा का उपयोग करता है।

भरोसे के जाल का संचालन

सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र पुनरीक्षण योजना सम्मलित है; इसके संचालन को विश्वास का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मालिक की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ सम्मलित हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह सामान्यतः कुंजी हस्ताक्षर करने वाली पार्टी में किया जाता है।[2] ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी सम्मलित है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर डेटा बाइंडिंग सम्मलित है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मालिक और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या संभवतः छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है।

अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है।

सरलीकृत स्पष्टीकरण

एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो खुले तौर पर साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।

प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ छेड़छाड़ नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।

PKI के साथ तुलना करें

WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए सामान्यतः व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में सामान्यतः दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र सम्मलित होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में विश्वास प्रदान करते हैं जो उन्हें वापस ले जाते हैं।

WOT विफलता के एक बिंदु को CA पदानुक्रम से समझौता करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।[3] एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।[4]


समस्याएं

निजी चाबियों का नुकसान

ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। चूंकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि सम्मलित नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या समझौता किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।[5] वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां सम्मलित होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक की शुरुआत में प्रस्तुत किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।

सार्वजनिक कुंजी प्रामाणिकता जांच

ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) विश्वास के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से विश्वास नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या संभवतः कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर विश्वास करें, आदि।

ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक कुंजी सर्वर (क्रिप्टोग्राफ़िक) की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा विश्वसनीय बनने की दिशा में केवल मामूली लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। . कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को विश्वास के उपस्थित वेब में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। Gossamer स्पाइडर वेब ऑफ ट्रस्ट भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित विश्वास से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम विश्वास करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।

प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को प्रायः छोटी दुनिया की घटना द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, प्रायः उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। चूंकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक बहुत मजबूत बाधा है।

एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं सम्मलित हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य आबादी प्रत्यक्ष विश्वास स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके अतिरिक्त उन्हें अप्रत्यक्ष विश्वास के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।[citation needed] सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी जोखिम प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष मैन-इन-द-बीच हमला|मध्य-पुरुष, स्वयं है दुर्व्यवहार या हमलों के प्रति संवेदनशील। इस जोखिम से बचने के लिए, एक लेखक इसके अतिरिक्त अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (अर्थात, एक वेब सर्वर जो उनके अधिकार वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड संपर्क। विवरण के लिए, नीचे #WOT सहायक समाधान देखें।

मजबूत सेट

मजबूत सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है।[6] यह भरोसे के वैश्विक वेब का आधार बनता है। मजबूत सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और उपस्थित हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए मजबूत सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है किंतु वह मजबूत सेट का हिस्सा बन सके।[7] वर्ष 2015 के प्रारंभ में मजबूत सेट का आकार लगभग 55000 चाबियों का था।[8]


मतलब सबसे कम दूरी

MSD-बेस्ड ट्रस्ट एक्सप्लेनेशन इमेज
एमएसडी-बेस्ड ट्रस्ट एक्सप्लेनेशन

प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस (MSD) इस बात का एक माप है कि दी गई पीजीपी कुंजी, पीजीपी कुंजी के दृढ़ता से जुड़े सेट के भीतर कितनी विश्वसनीय है जो विश्वास का वेब बनाती है। .

MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। कई बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ग्लोबल MSD से की जाएगी, जो सामान्यतः वैश्विक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है।

WOT सहायक समाधान

मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम विश्वास स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और विश्वास करने का सबसे अच्छा उपाय है, और सर्वोत्तम विश्वासमंद उपाय का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए विश्वासमंद कुंजी साझा करने का दूसरा सबसे अच्छा उपाय है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए।

चूंकि, यह उन लाखों उपयोगकर्ताओं के लिए व्यावहारिक नहीं है जो प्रत्येक प्राप्तकर्ता उपयोगकर्ता के साथ शारीरिक रूप से मिलने के लिए सुरक्षित रूप से संवाद या संदेश देना चाहते हैं, और यह उन लाखों सॉफ़्टवेयर उपयोगकर्ताओं के लिए भी व्यावहारिक नहीं है, जिन्हें सैकड़ों सॉफ़्टवेयर डेवलपर्स या लेखकों से शारीरिक रूप से मिलने की आवश्यकता है, जिनके सॉफ्टवेयर या फाइल साइनिंग प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड पब्लिक की जिसे वे सत्यापित और विश्वास करना चाहते हैं और अंततः अपने संगणक में उपयोग करते हैं। इसलिए, एक या अधिक विश्वसनीय तृतीय पक्ष|विश्वसनीय तृतीय-पक्ष प्राधिकरण (TTPA) प्रकार की इकाई या समूह को उपयोगकर्ताओं के लिए उपलब्ध होना चाहिए और उपयोगकर्ताओं द्वारा उपयोग करने योग्य होना चाहिए, और ऐसी इकाई/समूह को विश्वसनीय-प्रमाणीकरण#Digital प्रदान करने में सक्षम होना चाहिए किसी भी समय दुनिया भर के लाखों उपयोगकर्ताओं के लिए प्रमाणीकरण या विश्वास-प्रतिनिधिमंडल (संगणक सुरक्षा) सेवाएं।

व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के संदेश प्रमाणीकरण को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की विश्वसनीय और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल अधिकारी द्वारा विश्वसनीय फ़ाइल-हस्ताक्षरित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी। और वास्तव में एक विशिष्ट PGP/GPG कुंजी पर विश्वास करने के लिए, उपयोगकर्ताओं को भौतिक रूप से प्रत्येक विशिष्ट मूल लेखक या डेवलपर से मिलने की आवश्यकता होगी, या उपयोगकर्ताओं को फ़ाइल-हस्ताक्षर पब-कुंजी के मूल-रिलीज़र के साथ भौतिक रूप से मिलने की आवश्यकता होगी, या, उपयोगकर्ताओं को इसकी आवश्यकता होगी एक अन्य वैकल्पिक विश्वसनीय उपयोगकर्ता को खोजने के लिए, जो WOT की विश्वसनीय-श्रृंखला में है (उर्फ, अन्य उपयोगकर्ता या अन्य डेवलपर या अन्य लेखक, जिस पर उस विशिष्ट मूल लेखक या डेवलपर द्वारा विश्वास किया जाता है), और फिर सत्यापित करने के लिए उस व्यक्ति से भौतिक रूप से मिलते हैं उसकी/उसकी पीजीपी/जीपीजी कुंजी के साथ उनकी वास्तविक आईडी (और दूसरे उपयोगकर्ता को अपनी खुद की आईडी और कुंजी भी प्रदान करें, इस कारण दोनों पक्ष एक-दूसरे की पीजीपी/जीपीजी कुंजी पर हस्ताक्षर/प्रमाणन और भरोसा कर सकें)। कोई सॉफ़्टवेयर लोकप्रिय है या नहीं, सॉफ़्टवेयर उपयोगकर्ता सामान्यतः दुनिया भर में विभिन्न स्थानों पर स्थित होते हैं। लाखों उपयोगकर्ताओं को सार्वजनिक कुंजी या ट्रस्ट या आईडी सत्यापन सेवाएं प्रदान करना मूल लेखक या डेवलपर या फ़ाइल-रिलीज़र के लिए भौतिक रूप से संभव नहीं है। न ही लाखों सॉफ्टवेयर उपयोगकर्ताओं के लिए प्रत्येक सॉफ्टवेयर या प्रत्येक सॉफ्टवेयर-लाइब्रेरी या कोड के डेवलपर या लेखक या रिलीजर के प्रत्येक टुकड़े से शारीरिक रूप से मिलना व्यावहारिक है, जिसे वे अपने संगणक में उपयोग (उपयोग या) करने की आवश्यकता होगी। यहां तक ​​कि WOT की विश्वसनीय-श्रृंखला में कई विश्वसनीय लोगों/व्यक्ति (मूल-लेखक द्वारा) के साथ, यह अभी भी भौतिक या व्यावहारिक रूप से प्रत्येक डेवलपर या लेखक के लिए अन्य सभी उपयोगकर्ताओं से मिलना संभव नहीं है, और यह भी संभव नहीं है कि प्रत्येक उपयोगकर्ता मिलें सैकड़ों डेवलपर्स के साथ जिनके सॉफ्टवेयर का वे उपयोग कर रहे होंगे या उन पर काम कर रहे होंगे। जब यह विकेन्द्रीकृत पदानुक्रम आधारित WoT श्रृंखला मॉडल लोकप्रिय हो जाएगा और अधिकांश आस-पास के उपयोगकर्ताओं द्वारा उपयोग किया जाएगा, तभी भौतिक बैठक और pub-key प्रमाणन और WoT की हस्ताक्षर प्रक्रिया आसान हो जाएगी।

कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक विश्वास-स्तर सेट करने की आवश्यकता होती है। फिर अद्यतन सार्वजनिक-कुंजियाँ और अद्यतन फ़ाइल-हस्ताक्षर करने वाली सार्वजनिक-कुंजियाँ भी प्रकाशित और वितरित की जानी चाहिए (या accessible) उपयोगकर्ताओं के लिए, ऑनलाइन सुरक्षित और एन्क्रिप्टेड माध्यमों के माध्यम से, इस कारण दुनिया के किसी भी स्थान से कोई भी उपयोगकर्ता सही और विश्वसनीय और असंशोधित सार्वजनिक-कुंजी प्राप्त कर सके। यह सुनिश्चित करने के लिए कि प्रत्येक उपयोगकर्ता को सही और विश्वसनीय सार्वजनिक-कुंजियाँ और हस्ताक्षरित-कोड/फ़ाइल मिल रही है, मूल देव/लेखक या मूल-रिलीज़र को अपनी अद्यतन सार्वजनिक-कुंजियाँ अपने स्वयं के कुंजी सर्वर (क्रिप्टोग्राफ़िक) पर प्रकाशित करनी चाहिए और HKPS एन्क्रिप्टेड संपर्क को बाध्य करना चाहिए उपयोग, या अपने स्वयं के HTTPS एन्क्रिप्टेड वेबपेज पर, अपने स्वयं के प्राथमिक डोमेन वेबसाइट से, अपने स्वयं के वेब सर्वर के अधीन, अपनी अद्यतन और पूर्ण सार्वजनिक-कुंजियाँ (और हस्ताक्षरित-कोड/फ़ाइल) प्रकाशित करें, (किसी भी उप-डोमेन से नहीं जो स्थित हैं) बाहरी-सर्वर में, किसी मिरर से नहीं, किसी बाहरी/साझा फ़ोरम/विकी आदि वेबसाइट सर्वर से नहीं, किसी सार्वजनिक या बाहरी/साझा क्लाउड या होस्टिंग सर्विस सर्वर से नहीं), और सुरक्षित रूप से स्थित और रखा जाना चाहिए अपने स्वयं के परिसर के अंदर: अपना-घर, अपना-घर-कार्यालय, या अपना-कार्यालय। इस प्रकार, मूल कुंजी/कोड के वे छोटे टुकड़े, इंटरनेट के माध्यम से अक्षुण्ण यात्रा करेंगे और पारगमन (एन्क्रिप्टेड संपर्क के कारण) के दौरान असंशोधित रहेंगे और उपयोगकर्ता के पक्ष में छिपकर या संशोधित किए बिना गंतव्य तक पहुंच जाएंगे, और उन्हें विश्वसनीय माना जा सकता है सार्वजनिक कुंजी एकल या बहु चैनल TTPA आधारित सत्यापन के कारण। जब एक से अधिक विश्वसनीय तृतीय पक्ष (विश्वसनीय तृतीय पक्ष प्राधिकरण) आधारित सुरक्षित, सत्यापित और एन्क्रिप्टेड संपर्क के माध्यम से एक सार्वजनिक-कुंजी (मूल डेवलपर के अपने वेब-सर्वर से) प्राप्त की जाती है, तो यह अधिक विश्वसनीय है।

जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड संपर्क या एन्क्रिप्टेड वेबपेज पर दिखाए जाते हैं, तो किसी भी अन्य फाइल, डेटा या सामग्री को किसी भी प्रकार के गैर-एन्क्रिप्टेड संपर्क पर स्थानांतरित किया जा सकता है, जैसे: HTTP/FTP आदि किसी भी सब-डोमेन सर्वर से या किसी मिरर से या किसी साझा क्लाउड/होस्टिंग सर्वर से, क्योंकि, गैर-एन्क्रिप्टेड संपर्क आधारित डाउनलोड किए गए आइटम/डेटा/फाइलों को मूल सार्वजनिक-कुंजियों का उपयोग करके बाद में प्रमाणित किया जा सकता है। /हस्ताक्षरित-कोड, जो मूल लेखक/डेवलपर के अपने सर्वर से सुरक्षित, एन्क्रिप्टेड और विश्वसनीय (उर्फ, सत्यापित) संपर्क/चैनलों पर प्राप्त किए गए थे।

कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड संपर्क का उपयोग करके, सॉफ़्टवेयर उपयोगकर्ताओं को सार्वजनिक कुंजी क्रिप्टोग्राफी विश्वसनीय तृतीय पक्ष (विश्वसनीय तृतीय पक्ष प्राधिकरण), जैसे सार्वजनिक प्रमाणपत्र प्राधिकरण (प्रमाणपत्र प्राधिकरण) के साथ अपना विश्वास सौंपने की अनुमति दें, प्रदान करने में सहायता करने के लिए किसी भी समय मूल डेवलपर/लेखक के वेब सर्वर और दुनिया भर के लाखों उपयोगकर्ताओं के संगणक के बीच विश्वसनीय संपर्क।

जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा HTTP सार्वजनिक कुंजी पिनिंग तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई विश्वसनीय तृतीय पक्ष के माध्यम से भी सत्यापित किया जा सकता है: डीएनएसएसईसी और डीएनएस नेमस्पेस मेंटेनर आईसीएएनएन, सार्वजनिक सीए के अतिरिक्त। डीएनएसएसईसी पीजीपी/जीपीजी डब्ल्यूओटी का दूसरा रूप है लेकिन नाम-सर्वरों के लिए; यह पहले (लोगों/व्यक्ति के अतिरिक्त) नाम-सर्वरों के लिए एक विश्वसनीय-श्रृंखला बनाता है, और फिर लोगों/व्यक्ति की PGP/GPG कुंजियों और फ़िंगरप्रिंट को भी सर्वर के DNSSEC DNS रिकॉर्ड में जोड़ा जा सकता है। तो कोई भी उपयोगकर्ता जो सुरक्षित रूप से संवाद करना चाहता है (या कोई सॉफ़्टवेयर उपयोगकर्ता), दो (उर्फ, दोहरी/डबल) विश्वसनीय पीकेआई TTPA/चैनलों के माध्यम से अपने डेटा/कुंजी/कोड/वेबपेज आदि को प्रभावी ढंग से सत्यापित (उर्फ, प्रमाणित) प्राप्त/प्राप्त कर सकता है। एक ही समय में: ICANN (DNSSEC) और प्रमाणपत्र प्राधिकरण (सार्वजनिक कुंजी प्रमाणपत्र|SSL/TLS प्रमाणपत्र)। इसलिए PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा (या फ़ाइल) पर विश्वास किया जा सकता है, जब ऐसे समाधान और तकनीकों का उपयोग किया जाता है: HKPS, HKPS+DNSSEC+DANE, HTTPS, HTTPS+HPKP या HTTPS+HPKP+DNSSEC+DANE।

यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन बनाती है#DNSSEC लुकसाइड सत्यापन - ऐतिहासिक आधारित DNSSEC डोमेन नाम रजिस्ट्री, और यदि उपयोगकर्ता अपने स्वयं के स्थानीय DNSSEC-आधारित DNS में नए DLV (ICANN-DNSSEC के साथ) रूट-की का उपयोग करते हैं रिज़ॉल्वर/सर्वर, और यदि डोमेन-धारक भी इसका उपयोग अपने स्वयं के डोमेन-नामों के अतिरिक्त हस्ताक्षर के लिए करते हैं, तो एक नया तीसरा TTPA हो सकता है। ऐसे कार्य में, कोई भी PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा या वेबपेज या वेब डेटा तीन/ट्रिपल-चैनल सत्यापित हो सकता है। इंटरनेट सिस्टम कंसोर्टियम के डीएलवी को तीसरे TTPA के रूप में उपयोग किया जा सकता है क्योंकि यह अभी भी व्यापक रूप से और सक्रिय रूप से उपयोग किया जाता है, इसलिए एक और नए डीएलवी की उपलब्धता चौथा TTPA बन जाएगी।

यह भी देखें

संदर्भ

  1. Chien, Hung-Yu (2021-08-19). "फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र". Electronics (in English). 10 (16): 2009. doi:10.3390/electronics10162009. ISSN 2079-9292.
  2. Ulrich, Alexander; Holz, Ralph; Hauck, Peter; Carle, Georg (2011). Atluri, Vijay; Diaz, Claudia (eds.). "ट्रस्ट के ओपनपीजीपी वेब की जांच". Computer Security – ESORICS 2011. Lecture Notes in Computer Science (in English). Berlin, Heidelberg: Springer. 6879: 489–507. doi:10.1007/978-3-642-23822-2_27. ISBN 978-3-642-23822-2.
  3. Nightingale, Johnathan. "कपटपूर्ण *.google.com प्रमाणपत्र". Retrieved 29 August 2011.
  4. "द मंकीस्फेयर प्रोजेक्ट". Retrieved 13 December 2016.
  5. Ferguson, Niels; Schneier, Bruce (2003). प्रैक्टिकल क्रिप्टोग्राफी. Wiley. p. 333. ISBN 978-0471223573. ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।
  6. Penning, Henk. "apache.org वेब ऑफ ट्रस्ट पर". Archived from the original on 2 March 2013. Retrieved 13 December 2013.
  7. Streib, M. Drew. "इस कीरिंग विश्लेषण की व्याख्या". Archived from the original on 3 February 2009. Retrieved 13 December 2013.
  8. Penning, Henk P. "ट्रस्ट के पीजीपी वेब में मजबूत सेट का विश्लेषण". Retrieved 8 January 2015.


अग्रिम पठन


बाहरी संबंध