वेब ऑफ़ ट्रस्ट
क्रिप्टोग्राफी में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग काफ़ी अच्छी गोपनीयता, जीएनयू प्राइवेसी गार्ड और अन्य ओपन-पीजीपी-संगत सिस्टम में सार्वजनिक कुंजी और उसके मास्टर के बीच बंधन के प्रमाणीकरण को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक, औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।[1] जैसा कि संगणक नेटवर्क के साथ होता है, संभावना के कई स्वतंत्र वेब होते हैं, और कोई भी उपयोगकर्ता (अपने सार्वजनिक कुंजी प्रमाणपत्र के माध्यम से) कई वेब का एक भाग और उनके बीच एक कड़ी हो सकती है।
वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर फिल ज़िम्मरमैन द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था:
जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। सभी अपने स्वयं के भरोसेमंद परिचयकर्ताओं का चयन करेगा। और सभी धीरे-धीरे अपनी कुंजी के साथ अन्य लोगों से प्रमाणित हस्ताक्षरों का एक संग्रह जमा करेगा और वितरित करेगा, इस उम्मीद के साथ कि इसे प्राप्त करने वाला कोई भी व्यक्ति कम से कम एक या दो हस्ताक्षरों पर भरोसा करेगा। यह सभी सार्वजनिक चाबियों के लिए विकेंद्रीकृत दोष-सहिष्णु विश्वास वेब के उद्भव का कारण बनेगा।
इस संदर्भ में उद्भव शब्द के प्रयोग पर ध्यान दें। भरोसे का जाल उभरने की अवधारणा का उपयोग करता है।
भरोसे के जाल का संचालन
सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र पुनरीक्षण योजना सम्मलित है; इसके संचालन को भरोसे का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मास्टर की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ सम्मलित हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह सामान्यतः कुंजी हस्ताक्षर करने वाली पार्टी में किया जाता है।[2]
ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी सम्मलित है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर डेटा बाइंडिंग सम्मलित है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मास्टर और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या संभवतः छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है।
अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है।
सरलीकृत स्पष्टीकरण
एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो सामान्यतः साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।
प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ फेर बदल नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।
PKI के साथ तुलना करें
WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए सामान्यतः व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में सामान्यतः दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र सम्मलित होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में भरोसा प्रदान करते हैं जो उन्हें वापस ले जाते हैं।
WOT विफलता के एक बिंदु को CA पदानुक्रम से निष्कर्ष करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।[3] एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।[4]
समस्याएं
निजी चाबियों की हानी
ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। चूंकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि सम्मलित नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या निष्कर्ष किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।[5] वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां सम्मलित होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक के प्रारंभ में प्रस्तुत किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।
सार्वजनिक कुंजी प्रामाणिकता जांच
ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) भरोसे के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से भरोसा नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या संभवतः कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर भरोसा करें, आदि।
ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक कुंजी सर्वर (क्रिप्टोग्राफ़िक) की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा भरोसेमंद बनने की दिशा में केवल साधारण लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को भरोसे के उपस्थित वेब में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। Gossamer स्पाइडर वेब ऑफ ट्रस्ट भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित भरोसे से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम भरोसा करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।
प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को प्रायः छोटी दुनिया की घटना द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, प्रायः उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। चूंकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक स्थायी बाधा है।
एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं सम्मलित हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य विकास प्रत्यक्ष भरोसा स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके अतिरिक्त उन्हें अप्रत्यक्ष भरोसा के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।[citation needed]
सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी हानि प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष मैन-इन-द-बीच हमला|मध्य-पुरुष, स्वयं है दुर्व्यवहार या प्रहारों के प्रति संवेदनशील। इस हानि से बचने के लिए, एक लेखक इसके अतिरिक्त अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (अर्थात, एक वेब सर्वर जो उनके अधिकार वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड संपर्क। विवरण के लिए, नीचे #WOT सहायक समाधान देखें।
स्ट्रोंग सेट
स्ट्रोंग सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है।[6] यह भरोसे के सार्वभौमिक वेब का आधार बनता है। स्ट्रोंग सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और उपस्थित हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए स्ट्रोंग सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है किंतु वह स्ट्रोंग सेट का भाग बन सके।[7] वर्ष 2015 के प्रारंभ में स्ट्रोंग सेट का आकार लगभग 55000 चाबियों का था।[8]
मीन शॉर्टेस्ट डिस्टेंस
प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस (MSD) इस बात का एक माप है कि दी गई पीजीपी कुंजी, पीजीपी कुंजी के दृढ़ता से जुड़े सेट के भीतर कितनी भरोसेमंद है जो भरोसे का वेब बनाती है। .
MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। कई बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ग्लोबल MSD से की जाएगी, जो सामान्यतः सार्वभौमिक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है।
WOT सहायक समाधान
मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम भरोसा स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और भरोसा करने का सबसे अच्छा उपाय है, और सर्वोत्तम भरोसेमंद उपाय का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए भरोसेमंद कुंजी साझा करने का दूसरा सबसे अच्छा उपाय है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए।
चूंकि, यह उन लाखों उपयोगकर्ताओं के लिए व्यावहारिक नहीं है जो प्रत्येक प्राप्तकर्ता उपयोगकर्ता के साथ शारीरिक रूप से मिलने के लिए सुरक्षित रूप से संवाद या संदेश देना चाहते हैं, और यह उन लाखों सॉफ़्टवेयर उपयोगकर्ताओं के लिए भी व्यावहारिक नहीं है, जिन्हें सैकड़ों सॉफ़्टवेयर डेवलपर्स या लेखकों से शारीरिक रूप से मिलने की आवश्यकता है, जिनके सॉफ्टवेयर या फाइल साइनिंग प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड पब्लिक की जिसे वे सत्यापित और भरोसा करना चाहते हैं और अंततः अपने संगणक में उपयोग करते हैं। इसलिए, एक या अधिक विश्वसनीय तृतीय पक्ष | विश्वसनीय तृतीय-पक्ष प्राधिकरण (TTPA) प्रकार की इकाई या समूह को उपयोगकर्ताओं के लिए उपलब्ध होना चाहिए और उपयोगकर्ताओं द्वारा उपयोग करने योग्य होना चाहिए, और ऐसी इकाई/समूह को भरोसेमंद -प्रमाणीकरण#Digital प्रदान करने में सक्षम होना चाहिए किसी भी समय दुनिया भर के लाखों उपयोगकर्ताओं के लिए प्रमाणीकरण या भरोसा -प्रतिनिधिमंडल (संगणक सुरक्षा) सेवाएं।
व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के संदेश प्रमाणीकरण को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की भरोसेमंद और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल अधिकारी द्वारा भरोसेमंद फ़ाइल-हस्ताक्षरित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी। और वास्तव में एक विशिष्ट PGP/GPG कुंजी पर भरोसा करने के लिए, उपयोगकर्ताओं को भौतिक रूप से प्रत्येक विशिष्ट मूल लेखक या डेवलपर से मिलने की आवश्यकता होगी, या उपयोगकर्ताओं को फ़ाइल-हस्ताक्षर पब-कुंजी के मूल-रिलीज़र के साथ भौतिक रूप से मिलने की आवश्यकता होगी, या, उपयोगकर्ताओं को इसकी आवश्यकता होगी एक अन्य वैकल्पिक भरोसेमंद उपयोगकर्ता को खोजने के लिए, जो WOT की भरोसेमंद-श्रृंखला में है (अतः, अन्य उपयोगकर्ता या अन्य डेवलपर या अन्य लेखक, जिस पर उस विशिष्ट मूल लेखक या डेवलपर द्वारा भरोसा किया जाता है), और फिर सत्यापित करने के लिए उस व्यक्ति से भौतिक रूप से मिलते हैं उसकी/उसकी पीजीपी/जीपीजी कुंजी के साथ उनकी वास्तविक आईडी (और दूसरे उपयोगकर्ता को अपनी स्वयं की आईडी और कुंजी भी प्रदान करें, इस कारण दोनों पक्ष एक-दूसरे की पीजीपी/जीपीजी कुंजी पर हस्ताक्षर/प्रमाणन और भरोसा कर सकें)। कोई सॉफ़्टवेयर लोकप्रिय है या नहीं, सॉफ़्टवेयर उपयोगकर्ता सामान्यतः दुनिया भर में विभिन्न स्थानों पर स्थित होते हैं। लाखों उपयोगकर्ताओं को सार्वजनिक कुंजी या ट्रस्ट या आईडी सत्यापन सेवाएं प्रदान करना मूल लेखक या डेवलपर या फ़ाइल-रिलीज़र के लिए भौतिक रूप से संभव नहीं है। न ही लाखों सॉफ्टवेयर उपयोगकर्ताओं के लिए प्रत्येक सॉफ्टवेयर या प्रत्येक सॉफ्टवेयर-लाइब्रेरी या कोड के डेवलपर या लेखक या रिलीजर के प्रत्येक टुकड़े से शारीरिक रूप से मिलना व्यावहारिक है, जिसे वे अपने संगणक में उपयोग (उपयोग या) करने की आवश्यकता होगी। यहां तक कि WOT की भरोसेमंद -श्रृंखला में कई भरोसेमंद लोगों/व्यक्ति (मूल-लेखक द्वारा) के साथ, यह अभी भी भौतिक या व्यावहारिक रूप से प्रत्येक डेवलपर या लेखक के लिए अन्य सभी उपयोगकर्ताओं से मिलना संभव नहीं है, और यह भी संभव नहीं है कि प्रत्येक उपयोगकर्ता मिलें सैकड़ों डेवलपर्स के साथ जिनके सॉफ्टवेयर का वे उपयोग कर रहे होंगे या उन पर काम कर रहे होंगे। जब यह विकेन्द्रीकृत पदानुक्रम आधारित WoT श्रृंखला मॉडल लोकप्रिय हो जाएगा और अधिकांश आस-पास के उपयोगकर्ताओं द्वारा उपयोग किया जाएगा, तभी भौतिक बैठक और pub-key प्रमाणन और WoT की हस्ताक्षर प्रक्रिया आसान हो जाएगी।
कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक भरोसा-स्तर सेट करने की आवश्यकता होती है। फिर अद्यतन सार्वजनिक-कुंजियाँ और अद्यतन फ़ाइल-हस्ताक्षर करने वाली सार्वजनिक-कुंजियाँ भी प्रकाशित और वितरित की जानी चाहिए (या accessible) उपयोगकर्ताओं के लिए, ऑनलाइन सुरक्षित और एन्क्रिप्टेड माध्यमों के माध्यम से, इस कारण दुनिया के किसी भी स्थान से कोई भी उपयोगकर्ता सही और भरोसेमंद और असंशोधित सार्वजनिक-कुंजी प्राप्त कर सके। यह सुनिश्चित करने के लिए कि प्रत्येक उपयोगकर्ता को सही और भरोसेमंद सार्वजनिक-कुंजियाँ और हस्ताक्षरित-कोड/फ़ाइल मिल रही है, मूल देव/लेखक या मूल-रिलीज़र को अपनी अद्यतन सार्वजनिक-कुंजियाँ अपने स्वयं के कुंजी सर्वर (क्रिप्टोग्राफ़िक) पर प्रकाशित करनी चाहिए और HKPS एन्क्रिप्टेड संपर्क को बाध्य करना चाहिए उपयोग, या अपने स्वयं के HTTPS एन्क्रिप्टेड वेबपेज पर, अपने स्वयं के प्राथमिक डोमेन वेबसाइट से, अपने स्वयं के वेब सर्वर के अधीन, अपनी अद्यतन और पूर्ण सार्वजनिक-कुंजियाँ (और हस्ताक्षरित-कोड/फ़ाइल) प्रकाशित करें, (किसी भी उप-डोमेन से नहीं जो स्थित हैं) बाहरी-सर्वर में, किसी मिरर से नहीं, किसी बाहरी/साझा फ़ोरम/विकी आदि वेबसाइट सर्वर से नहीं, किसी सार्वजनिक या बाहरी/साझा क्लाउड या होस्टिंग सर्विस सर्वर से नहीं), और सुरक्षित रूप से स्थित और रखा जाना चाहिए अपने स्वयं के परिसर के अंदर: अपना-घर, अपना-घर-कार्यालय, या अपना-कार्यालय। इस प्रकार, मूल कुंजी/कोड के वे छोटे टुकड़े, इंटरनेट के माध्यम से अक्षुण्ण यात्रा करेंगे और पारगमन (एन्क्रिप्टेड संपर्क के कारण) के दौरान असंशोधित रहेंगे और उपयोगकर्ता के पक्ष में छिपकर या संशोधित किए बिना गंतव्य तक पहुंच जाएंगे, और उन्हें भरोसेमंद माना जा सकता है सार्वजनिक कुंजी एकल या बहु चैनल TTPA आधारित सत्यापन के कारण। जब एक से अधिक भरोसेमंद तृतीय पक्ष (भरोसेमंद तृतीय पक्ष प्राधिकरण) आधारित सुरक्षित, सत्यापित और एन्क्रिप्टेड संपर्क के माध्यम से एक सार्वजनिक-कुंजी (मूल डेवलपर के अपने वेब-सर्वर से) प्राप्त की जाती है, तो यह अधिक भरोसेमंद है।
जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड संपर्क या एन्क्रिप्टेड वेबपेज पर दिखाए जाते हैं, तो किसी भी अन्य फाइल, डेटा या सामग्री को किसी भी प्रकार के गैर-एन्क्रिप्टेड संपर्क पर स्थानांतरित किया जा सकता है, जैसे: HTTP/FTP आदि किसी भी सब-डोमेन सर्वर से या किसी मिरर से या किसी साझा क्लाउड/होस्टिंग सर्वर से, क्योंकि, गैर-एन्क्रिप्टेड संपर्क आधारित डाउनलोड किए गए आइटम/डेटा/फाइलों को मूल सार्वजनिक-कुंजियों का उपयोग करके बाद में प्रमाणित किया जा सकता है। /हस्ताक्षरित-कोड, जो मूल लेखक/डेवलपर के अपने सर्वर से सुरक्षित, एन्क्रिप्टेड और विश्वसनीय (उर्फ, सत्यापित) संपर्क/चैनलों पर प्राप्त किए गए थे।
कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड संपर्क का उपयोग करके, सॉफ़्टवेयर उपयोगकर्ताओं को सार्वजनिक कुंजी क्रिप्टोग्राफी भरोसेमंद तृतीय पक्ष (भरोसेमंद तृतीय पक्ष प्राधिकरण), जैसे सार्वजनिक प्रमाणपत्र प्राधिकरण (प्रमाणपत्र प्राधिकरण) के साथ अपना भरोसा सौंपने की अनुमति दें, प्रदान करने में सहायता करने के लिए किसी भी समय मूल डेवलपर/लेखक के वेब सर्वर और दुनिया भर के लाखों उपयोगकर्ताओं के संगणक के बीच भरोसेमंद संपर्क।
जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा HTTP सार्वजनिक कुंजी पिनिंग तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई भरोसेमंद तृतीय पक्ष के माध्यम से भी सत्यापित किया जा सकता है: डीएनएसएसईसी और डीएनएस नेमस्पेस मेंटेनर आईसीएएनएन, सार्वजनिक सीए के अतिरिक्त। डीएनएसएसईसी पीजीपी/जीपीजी डब्ल्यूओटी का दूसरा रूप है किंतु नाम-सर्वरों के लिए; यह पहले (लोगों/व्यक्ति के अतिरिक्त) नाम-सर्वरों के लिए एक भरोसेमंद-श्रृंखला बनाता है, और फिर लोगों/व्यक्ति की PGP/GPG कुंजियों और फ़िंगरप्रिंट को भी सर्वर के DNSSEC DNS रिकॉर्ड में जोड़ा जा सकता है। तो कोई भी उपयोगकर्ता जो सुरक्षित रूप से संवाद करना चाहता है (या कोई सॉफ़्टवेयर उपयोगकर्ता), दो (अतः, दोहरी/डबल) भरोसेमंद पीकेआई TTPA/चैनलों के माध्यम से अपने डेटा/कुंजी/कोड/वेबपेज आदि को प्रभावी ढंग से सत्यापित (उर्फ, प्रमाणित) प्राप्त/प्राप्त कर सकता है। एक ही समय में: ICANN (DNSSEC) और प्रमाणपत्र प्राधिकरण (सार्वजनिक कुंजी प्रमाणपत्र|SSL/TLS प्रमाणपत्र)। इसलिए PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा (या फ़ाइल) पर भरोसा किया जा सकता है, जब ऐसे समाधान और तकनीकों का उपयोग किया जाता है: HKPS, HKPS+DNSSEC+DANE, HTTPS, HTTPS+HPKP या HTTPS+HPKP+DNSSEC+DANE।
यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन बनाती है DNSSEC लुकसाइड सत्यापन - ऐतिहासिक आधारित DNSSEC डोमेन नाम रजिस्ट्री, और यदि उपयोगकर्ता अपने स्वयं के स्थानीय DNSSEC-आधारित DNS में नए DLV (ICANN-DNSSEC के साथ) रूट-की का उपयोग करते हैं रिज़ॉल्वर/सर्वर, और यदि डोमेन-धारक भी इसका उपयोग अपने स्वयं के डोमेन-नामों के अतिरिक्त हस्ताक्षर के लिए करते हैं, तो एक नया तीसरा TTPA हो सकता है। ऐसे कार्य में, कोई भी PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा या वेबपेज या वेब डेटा तीन/ट्रिपल-चैनल सत्यापित हो सकता है। इंटरनेट सिस्टम कंसोर्टियम के डीएलवी को तीसरे TTPA के रूप में उपयोग किया जा सकता है क्योंकि यह अभी भी व्यापक रूप से और सक्रिय रूप से उपयोग किया जाता है, इसलिए एक और नए डीएलवी की उपलब्धता चौथा TTPA बन जाएगी।
यह भी देखें
- दोस्त-से-दोस्त (F2F) संगणक नेटवर्क।
- स्व-संप्रभु पहचान
- स्वराज्य पहचान ने कई साल पहले OpenPGP कुंजियों पर हस्ताक्षर करना बंद कर दिया था[when?] और अब केवल X.509 प्रमाणपत्र जारी करता है।
- आभासी समुदाय
संदर्भ
- ↑ Chien, Hung-Yu (2021-08-19). "फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र". Electronics (in English). 10 (16): 2009. doi:10.3390/electronics10162009. ISSN 2079-9292.
- ↑ Ulrich, Alexander; Holz, Ralph; Hauck, Peter; Carle, Georg (2011). Atluri, Vijay; Diaz, Claudia (eds.). "ट्रस्ट के ओपनपीजीपी वेब की जांच". Computer Security – ESORICS 2011. Lecture Notes in Computer Science (in English). Berlin, Heidelberg: Springer. 6879: 489–507. doi:10.1007/978-3-642-23822-2_27. ISBN 978-3-642-23822-2.
- ↑ Nightingale, Johnathan. "कपटपूर्ण *.google.com प्रमाणपत्र". Retrieved 29 August 2011.
- ↑ "द मंकीस्फेयर प्रोजेक्ट". Retrieved 13 December 2016.
- ↑ Ferguson, Niels; Schneier, Bruce (2003). प्रैक्टिकल क्रिप्टोग्राफी. Wiley. p. 333. ISBN 978-0471223573.
ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।
- ↑ Penning, Henk. "apache.org वेब ऑफ ट्रस्ट पर". Archived from the original on 2 March 2013. Retrieved 13 December 2013.
- ↑ Streib, M. Drew. "इस कीरिंग विश्लेषण की व्याख्या". Archived from the original on 3 February 2009. Retrieved 13 December 2013.
- ↑ Penning, Henk P. "ट्रस्ट के पीजीपी वेब में मजबूत सेट का विश्लेषण". Retrieved 8 January 2015.
अग्रिम पठन
- Ferguson, Niels; Bruce Schneier (2003). Practical Cryptography. John Wiley & Sons. ISBN 0-471-22357-3.
बाहरी संबंध
- An explanation of the PGP Web of Trust
- analysis of the strong set in the PGP web of trust, no longer maintained; last archived link from August 2020.
