¿Cuál es la red de confianza?

Una infraestructura jerárquica de clave pública es cuando alguna Autoridad de Certificación (CA) emite certificados a muchas subentidades: la CA firma certificados para garantizar el enlace entre una La identidad y la clave pública de la entidad. La PKI es jerárquica en el sentido de que hay pocas CA y cada CA firma certificados para muchas personas.

En una Web of Trust , todo el mundo es un CA. Cada usuario firma certificados para quien quiera.

En los lenguajes matemáticos, una PKI jerárquica implica naturalmente un gráfico de certificación acíclico, generalmente un árbol : confianza filtra hacia abajo el árbol desde una única raíz CA , o un pequeño conjunto de CA raíz. Considerando que el WoT es un gráfico genérico super-conectado con ciclos y muchas rutas entre dos puntos cualquiera.

Políticamente, la PKI jerárquica es una estructura de inspiración militar, con una cadena de mando central; mientras que el WoT es una utopía hippie anarquista en la que la confianza surge semi-mágicamente de las personas reunidas (o la mafia, desde otro punto de vista).

La forma más sencilla de explicarlo es un poco como "6 grados de separación". La idea con una red de confianza es que usted verifique la identidad de alguien y decida confiar en ellos para que confíen en las personas para usted. Entonces, si verifico que el certificado de Bob es en realidad para Bob y yo verifico que el certificado de Charlie es de Charlie, Bob y Charlie pueden verificar que Dan es, de hecho, Dan.

Ahora, cuando Dan quiere hablar conmigo, puede proporcionar su certificado en el que confían tanto Bob como Charlie. Dado que confío en Bob y Charlie, creo que es probable que Dan sea Dan.

Esto funciona porque creo que Bob y Charlie no estaban trabajando juntos y Dan tuvo que convencerlos de que estaba bien.

Una red de confianza es una red de personas que han verificado los certificados de los demás y, por lo tanto, puede confiar en certificados desconocidos según la cantidad de personas que haya verificado que hayan establecido una relación con ellos.

Básicamente, es el concepto de descentralización de la gestión de confianza: la infraestructura de PKI se basa en un tercero centralizado para decidir qué entidad es confiable y cuál no.

Por ejemplo (PKI):

Bob es un buen chico. Todo el mundo ama a Bob, y realmente confía en él. Cuando alguien llama a su puerta, está bien si Bob lo envió, no si Alice lo envió.

Una Web de confianza es algo diferente: la confianza se otorga si alguien más confía en usted, y usted basa su confianza en la cantidad de confianza que otras personas de confianza depositan en la nueva.

Por ejemplo (WOT):

Bob es un buen chico. Pero Alice es una buena chica también. Alice confía en Bob, y Bob confía en Alice. También hay una persona no tan agradable en el pelotón, Eve. Llega un chico nuevo, John. John es de confianza para Bob. Si alguien quiere saber si John es digno de confianza, puede ver que Alicia confía en John, y que ninguna de esas personas confía en Eva o que Eva confía en ella. Por lo tanto, puede ser bastante seguro concluir que John es confiable.

Fuente: enlace