Việc định danh hiệu quả khi tham gia trực tuyến ngày càng trở nên quan trọng. Do đó, một số hệ thống bảo mật đã cho ra đời để các nền tảng có thể xác minh chính họ và người dùng của họ. Một trong số đó là Web of Trust (mạng lưới tin cậy). Vậy Web of Trust là gì và nó hoạt động như thế nào?
Web of Trust là gì?
Web of Trust là một hệ thống xếp hạng ngang hàng cho phép bạn xác minh khóa công khai và chủ sở hữu của chúng mà không cần dựa vào một đơn vị định danh trung tâm.
Philip Zimmermann đã giới thiệu khái niệm “Web of Trust” (ông gọi nó là Web of Confidence) trong tài liệu của ông về Pretty Good Privacy (tạm dịch là Quyền riêng tư khá tốt, viết tắt là PGP) của MIT. Trong PGP, có hai khóa liên quan: khóa công khai (public key) và khóa riêng tư (private key) của bạn. Bằng cách sử dụng khóa bí mật và bản tóm tắt thông báo (message digest), PGP tạo thành chữ ký số, chữ ký này được dùng để chứng nhận khóa chung của bạn.
Kết quả là khóa công khai của bạn tự động được PGP coi là hợp lệ. Phần mềm tin tưởng các khóa của bạn và cũng tin tưởng để bạn xác thực các khóa khác, cho phép bạn tạo một “web of trust” (mạng lưới tin cậy) bắt đầu từ chính bạn.
Web of Trust còn được sử dụng nhiều hơn trong các hệ thống tương thích với GnuPG và OpenPGP cũng như các hệ thống xác minh danh tính như Proof of Humanity để xác thực danh tính trên blockchain. Zimmermann khẳng định rằng người dùng web có thể đảm bảo tính xác thực và danh tiếng của nhau, tạo ra một hệ thống ủy thác phi tập trung và phân tán.
Web of Trust sử dụng các kỹ thuật mã hóa để đảm bảo dữ liệu không thể bị thao túng. Nó có thể được dùng để mã hóa và ký email cũng như tham gia vào cộng đồng trực tuyến.
Web of Trust hoạt động như thế nào?
Web of Trust yêu cầu mật mã khóa công khai (sử dụng khóa công khai và khóa riêng tư để mã hóa và giải mã tin nhắn) và chữ ký số (tạo chứng nhận chứa thông tin về danh tính và thông tin xác thực của bạn) để hoạt động.
Bằng cách sử dụng khóa riêng tư của mình, bạn có thể ký chứng nhận và bất kỳ ai có khóa công khai của bạn đều có thể thấy rằng bạn đã ký. Những người dùng khác tin tưởng danh tính và thông tin xác thực của bạn cũng có thể ký chứng nhận của bạn. Điều này tạo ra một mạng lưới tin cậy.
Ví dụ, trong kịch bản trên, vì trước đây Manuel đã ký chìa khóa của Eva nên Susi có thể tin vào chữ ký của Manuel khi quyết định có nên tin chìa khóa của Eva hay không. Nếu Eva có nhiều chữ ký từ nhiều người mà Susi tin tưởng hơn thì càng tốt—chìa khóa của cô ấy có nhiều khả năng là xác thực hơn. Susi có thể mã hóa tin nhắn cho Eva bằng khóa chung của Eva và mã hóa nó bằng khóa riêng của cô ấy. Mặt khác, Eva có thể xác nhận rằng tin nhắn đền từ Susi bằng khóa chung của cô ấy. Theo thời gian, khi Susi, Eva và Manuel ký cho nhiều người hơn, mạng lưới sẽ tiếp tục mở rộng.
Khi ai đó mới tham gia mạng Web of Trust, họ phải tìm người ký chứng nhận của họ. Người ký (signer) phải bằng cách nào đó xác minh danh tính của người dùng mới—có thể trong một cuộc họp ảo hoặc tại một buổi ký kết. Người ký cũng phải xác nhận “dấu vân tay” của khóa, mã nhận dạng duy nhất được liên kết với khóa chung của người dùng mới và đảm bảo nó được tải lên máy chủ khóa sau khi ký.
Sau đó, những người tin tưởng họ cũng có thể ký cho người dùng mới. Web of Trust yêu cầu nhiều chữ ký cho mỗi chứng nhận để giảm sai sót. Nếu những người khác cảm thấy người ký không xác minh danh tính hoặc “dấu vân tay” của người dùng mới một cách chính xác, họ có thể quyết định không ký.
Lợi ích của Web of Trust
Rõ ràng có rất nhiều lợi ích khi sử dụng Web of Trust.
1. Dễ sử dụng
Bạn chỉ cần tạo khóa và chia sẻ khóa công khai của mình để tham gia vào Web of Trust.
2. Phân phối và phi tập trung
Web of Trust sử dụng mạng lưới tin cậy (trust network) được phân phối và phi tập trung. Hệ thống dựa trên đánh giá của những người tham gia mạng; nó không dựa vào một cơ quan tập trung.
Bạn chịu trách nhiệm quản lý khóa và chứng nhận của mình, đồng thời có thể chọn người để tin cậy và để ký.
3. Thực thi độ tin cậy trong các mối quan hệ
Bạn có thể thiết lập độ tin cậy (trust) với người khác dựa trên yêu cầu của bạn. Bạn cũng có thể thu hồi hoặc sửa đổi mức độ tin cậy của người khác bất kỳ lúc nào.
Hạn chế của Web of Trust
Mặc dù Web of Trust mang lại nhiều lợi ích nhưng nó cũng có nhiều hạn chế.
1. Những lo ngại về quyền riêng tư
Khi tạo hoặc ký chứng nhận, bạn có thể vô tình làm lộ thông tin nhạy cảm. Hãy nhớ: chứng nhận chứa thông tin về danh tính và thông tin xác thực của bạn, như tên và khóa chung của bạn.
Ngoài ra, bạn có thể không biết mức độ kiểm soát của những người ký thay bạn đối với chứng nhận và khóa của bạn. Ví dụ: các đối tượng độc hại có thể sao chép, sửa đổi hoặc tiết lộ chúng.
2. Yêu cầu tham gia tích cực vào Mạng lưới tin cậy
Bạn phải lưu giữ chìa khóa và chứng nhận của mình cũng như ký vào chứng nhận của người khác, việc này có thể khá tẻ nhạt và tốn thời gian.
Ngoài ra, người dùng mới có chứng nhận mới có thể không được người khác tin cậy trong một thời gian. Họ sẽ chỉ được tin cậy khi những người khác trong mạng có thể và quyết định ký chứng nhận của họ. Và điều này có thể yêu cầu các cuộc gặp mặt trực tiếp.
Bạn có thể phải chịu rủi ro và trách nhiệm khi ký thay người khác. Nếu ai đó mà bạn bảo lãnh bị phát hiện là lừa đảo, bạn cũng có thể phải chịu trách nhiệm.
3. Dễ bị tấn công
Nếu bạn đặt sai khóa riêng tư của mình, bạn sẽ không thể truy cập vào chứng nhận của mình hoặc xác minh người khác. Nếu chìa khóa của bạn bị đánh cắp, bị hack hoặc giả mạo, bất kỳ ai có chúng đều có thể mạo danh bạn và làm tổn hại đến uy tín của bạn.
Và bạn sẽ không thể làm bất cứ điều gì vì bạn không thể truy cập khóa riêng tư để giải mã tin nhắn của mình; Tuy nhiên, chứng nhận PGP mới hơn đều có ngày hết hạn.
Bạn có thể phải đối mặt với nhiều cuộc tấn công phi kỹ thuật hơn, trong đó những kẻ lừa đảo cố gắng lừa bạn ký cho họ.
Bạn có thể tin tưởng vào Web of Trust không?
Mọi hệ thống bảo mật dữ liệu đều có thể bị xâm nhập. Điều tương tự cũng xảy ra với Web of Trust.
Đây không phải là một hệ thống hoàn hảo có thể cung cấp cho bạn sự bảo mật 100%. Thay vào đó, nó sẽ cho phép tương tác dựa trên sự tin cậy giữa bạn và những người khác có cùng sở thích và hiểu biết chung. Hệ thống này có thể có lợi nếu tất cả những người tham gia sử dụng nó một cách có trách nhiệm.
Tuy nhiên, sự phụ thuộc vào con người khiến nó dễ bị con người thao túng và gây sai sót. Hãy cẩn thận để không làm tổn hại đến khóa riêng tư của bạn. Và hãy cảnh giác với vi-rút, việc giả mạo khóa công khai, vi phạm bảo mật thiết bị của bạn v.v.
Web of Trust rất tuyệt nhưng không hoàn hảo
Web of Trust cho phép xác minh danh tính trên blockchain mà không cần cơ quan trung ương. Mặc dù hệ thống này có nhiều hứa hẹn và lợi ích to lớn nhưng nó cũng gặp phải một số hạn chế.
Với những sửa đổi bổ sung, Web of Trust có thể trở thành một hệ thống xác minh danh tính được áp dụng rộng rãi.
Tìm hiểu ngay chương trình học công nghệ thông tin trực tuyến tại FUNiX ở đây:
Vân Nguyễn
Dịch từ: https://www.makeuseof.com/web-of-trust-cryptography/
Bình luận (0
)