A qui faites-vous confiance? En utilisant le Web of Trust, une méthode d'authentification cryptographique, vous pouvez créer un réseau de clés fiables.
Une identification efficace lors de la participation en ligne est devenue de plus en plus cruciale. En conséquence, plusieurs systèmes de sécurité sont apparus afin que les plateformes puissent se vérifier et vérifier leurs utilisateurs. L'un d'eux est le Web of Trust.
Alors, qu'est-ce que Web of Trust et comment ça marche ?
Qu'est-ce qu'une toile de confiance?
Web of Trust est un système d'évaluation peer-to-peer qui vous permet de vérifier les clés publiques et leurs propriétaires sans dépendre d'une autorité d'identité centrale.
Bien qu'il l'ait qualifié de "toile de confiance", Philip Zimmermann a présenté le concept de « Web of Trust » dans sa documentation pour Pretty Good Privacy (PGP) du MIT. Dans PGP, deux clés sont impliquées: vos clés publique et privée (secrète). En utilisant votre clé secrète et un résumé des messages, PGP forme une signature numérique, qui est utilisée pour certifier votre clé publique.
Par conséquent, votre clé publique est automatiquement valide pour PGP. Le logiciel fait confiance à vos clés et vous fait également confiance pour valider d'autres clés, vous permettant de créer un « réseau de confiance » en commençant par vous.
Web of Trust est également utilisé dans les systèmes compatibles GnuPG et OpenPGP et les systèmes de vérification d'identité tels que Preuve d'humanité pour authentifier les identités sur la blockchain. Zimmermann affirme que les internautes peuvent se porter garants de l'authenticité et de la réputation des uns et des autres, créant ainsi un système de confiance décentralisé et distribué.
Web of Trust utilise des techniques cryptographiques pour garantir que les données ne peuvent pas être manipulées. Il peut être utilisé pour chiffrer et signer des e-mails et participer à des communautés en ligne.
Comment fonctionne Web of Trust?
Web of Trust nécessite une cryptographie à clé publique (l'utilisation de clés publiques et privées pour chiffrer et déchiffrer les messages) et les signatures numériques (la création de certificats contenant des informations sur votre identité et vos informations d'identification) fonctionnent.
À l'aide de votre clé privée, vous pouvez signer des certificats et toute personne disposant de votre clé publique peut voir que vous avez signé. Les autres utilisateurs qui font confiance à votre identité et à vos informations d'identification peuvent également signer votre certificat. Cela crée un réseau de confiance.
Par exemple, dans le scénario ci-dessus, puisque Manuel a déjà signé la clé d'Eva, Susi pourrait faire confiance à la signature de Manuel pour décider de faire confiance à la clé d'Eva. Si Eva a plus de signatures de plus de personnes en qui Susi a confiance, tant mieux - sa clé est plus probablement authentique. Susi peut chiffrer un message pour Eva en utilisant la clé publique d'Eva et le chiffrer avec sa clé privée. D'autre part, Eva peut confirmer que le message provient de Susi en utilisant sa clé publique. Au fil du temps, alors que Susi, Eva et Manuel signent pour plus de personnes, la chaîne continuera de se développer.
Lorsqu'une nouvelle personne rejoint un réseau Web of Trust, elle doit trouver quelqu'un pour signer ses certificats. La personne qui signera doit vérifier l'identité du signataire d'une manière ou d'une autre, peut-être lors d'une réunion virtuelle ou lors d'une soirée de signature de clé. Le signataire doit également confirmer l'empreinte digitale de la clé, un code d'identification unique associé à la clé publique du signataire, et s'assurer qu'elle est téléchargée sur les serveurs de clés après la signature.
Après cela, les personnes qui leur font confiance peuvent également signer pour le nouvel utilisateur. Web of Trust nécessite plusieurs signatures pour chaque certificat afin de réduire les failles. Si d'autres estiment que le signataire n'a pas correctement vérifié l'identité ou l'empreinte digitale du nouvel utilisateur, ils peuvent décider de ne pas signer.
Avantages de la toile de confiance
Il y a évidemment de nombreux avantages à utiliser Web of Trust.
1. Facile à utiliser
Il vous suffit de générer des clés et de partager vos clés publiques pour participer à un Web de confiance. C'est le seul problème pour naviguer, car plusieurs outils logiciels comme Gestionnaire de confiance du logiciel DigiCert qui automatisent la création, la signature et la vérification des certificats existent désormais.
2. Distribué et décentralisé
Web of Trust utilise un réseau de confiance distribué et décentralisé. Le système est basé sur la notation des participants au réseau; il ne repose pas sur une autorité centralisée.
Vous êtes responsable de la gestion de vos clés et de vos certificats, et pouvez choisir à qui faire confiance et à qui signer.
3. Renforce la confiance dans les relations
Vous pouvez établir une relation de confiance avec les autres en fonction de vos besoins. Vous pouvez également révoquer ou modifier les niveaux de confiance des autres à tout moment.
Limites de la toile de confiance
Bien que Web of Trust offre de nombreux avantages, il présente également de nombreuses limites.
1. Problèmes de confidentialité
Lors de la création ou de la signature de certificats, vous pouvez involontairement exposer des informations sensibles. N'oubliez pas: les certificats contiennent des informations sur votre identité et vos informations d'identification, telles que votre nom et votre clé publique. Ces détails ne sont pas destinés à être exposés.
De plus, vous ne savez peut-être pas à quel point ceux qui signent pour vous contrôlent vos certificats et vos clés. Par exemple, des parties malveillantes peuvent les copier, les modifier ou les divulguer.
2. Nécessite une participation active au réseau de confiance
Vous devez conserver vos clés et certificats, et signer les certificats des autres, ce qui peut être fastidieux et chronophage.
De plus, les nouveaux utilisateurs avec de nouveaux certificats peuvent ne pas être approuvés par d'autres pendant un certain temps, car il n'y a pas de contrôleur central. Ils ne seront dignes de confiance que lorsque d'autres membres du réseau pourront et décideront de signer leurs certificats. Et cela pourrait nécessiter des réunions physiques.
Vous pouvez encourir des risques et des responsabilités en signant pour d'autres. Si quelqu'un dont vous vous êtes porté garant s'avère frauduleux, vous pourriez également être tenu responsable.
3. Vulnérable aux attaques
Si vous égarez vos clés privées, vous ne pourrez pas accéder à vos certificats ni en vérifier d'autres. Si vos clés sont volées, piratées ou falsifiées, quiconque les possède pourrait se faire passer pour vous et nuire à votre crédibilité.
Et vous ne pourrez rien faire puisque vous ne pouvez pas accéder à votre clé privée pour déchiffrer vos messages; cependant, les nouveaux certificats PGP ont des dates d'expiration.
Vous pourriez en outre faire face à des attaques d'ingénierie sociale, où des acteurs frauduleux essaient de vous inciter à signer pour eux.
Pouvez-vous faire confiance à Web of Trust?
Malgré les objectifs et les technologies, chaque système de sécurité des données peut être pénétré. Il en va de même pour Web of Trust.
Ce n’est pas un système parfait qui vous offrira une sécurité complète. Au lieu de cela, cela permettra des interactions basées sur la confiance entre vous et d'autres personnes ayant des intérêts et des compréhensions communs. Ce système peut être bénéfique s'il est utilisé de manière responsable par tous les participants.
Cependant, sa dépendance vis-à-vis des personnes la rend vulnérable aux manipulations et aux erreurs humaines. Veillez à ne pas compromettre votre clé secrète. Et soyez conscient des virus, de la falsification de clé publique, des failles dans la sécurité de votre appareil, des fichiers que vous avez supprimés mais qui sont toujours quelque part sur votre disque dur, et même la cryptanalyse, l'envers de la cryptographie.
La toile de confiance est excellente mais pas parfaite
Web of Trust permet la vérification d'identité sur la blockchain sans nécessiter une autorité centrale. Bien que ce système présente de grandes promesses et de grands avantages, il se heurte également à plusieurs limites.
Avec des modifications supplémentaires, Web of Trust peut devenir un système de vérification d'identité largement adopté.