これはなに
PGP/GPGで信頼モデルとして
- 公開鍵基盤(PKI)
- Web of Trust(WoT)
が出てきたので、Web of Trustについて学んだことをまとめる。
Web of Trustとは
引用: https://en.wikipedia.org/wiki/Web_of_trust
In cryptography, a web of trust is a concept used in PGP, GnuPG, and other OpenPGP-compatible systems to establish the authenticity of the binding between a public key and its owner. Its decentralized trust model is an alternative to the centralized trust model of a public key infrastructure (PKI), which relies exclusively on a certificate authority (or a hierarchy of such). As with computer networks, there are many independent webs of trust, and any user (through their public key certificate) can be a part of, and a link between, multiple webs.
(日本語訳)
暗号技術において、Web of Trustは、PGP、GnuPG、およびその他のOpenPGP互換システムにおいて、公開鍵とその所有者の間の結合の信頼性を確立するために使用される概念である。この分散型信頼モデルは、認証局(またはその階層)のみに依存する公開鍵基盤(PKI)の集中型信頼モデルの代替となるものです。コンピュータネットワークと同様に、多くの独立した信頼の網が存在し、どのユーザーも(公開鍵証明書を通じて)複数の網の一部となり、またその間をつなぐことができるのです。
HTTPSのような認証局による公開鍵の証明とは異なり、それぞれの個人が認証をしあい、信頼を構築していくモデルのこと。
(引用: https://en.wikipedia.org/wiki/Web_of_trust)
画像左のIngoが自分だとすると、
- 友達である
EvaとAxelは信頼できる -
ManuelはEvaが信頼できる(例えば友達)としているため、知らない人だがIngoからも信頼できる -
SusiはManuelが信頼できるとしているため、Evaも知らない人だが信頼できる
といった連鎖によって信頼のネットワークを構築していく。
信頼できるかどうかの判断は公開鍵への署名によって行われ、その証明書をもとに判断される。
この連鎖によって信頼する深さ,信頼できるとしている人数などに関してはそれぞれの個人が設定できる。
上記の例だと、友達であるEvaとAxelの友達までは信頼するといったことができる。
このように認証局に左右されず、自身で信頼の基準を決めることができる。
以下の記事が具体的でわかりやすい。
信頼できると安全は別の話
ただし、信頼できると安全は別の話である。
PKIやWeb of Trustが保証するのは、その公開鍵と鍵の持ち主が一致していることであって、その持ち主がどんな人かまでは保証できない。
HTTPSが良い例で、HTTPSでページにアクセスできるからと言って、そのページが安全かどうかはわからない。HTTPSが保証するのは、そのドメインにアクセスしていることであって、そのサイトの運営者が悪い人なのかどうかは保証しない。(EV証明書では身元まで保証している)
どこまでが保証されていて、どこからが保証されていないのかは把握しておく必要がある。
最後に
Web of Trustについて現状学んだことをまとめた。
わからんことだらけだが、知れば知るほど面白くなってきたので引き続き勉強するぞ!
もし、間違っている箇所があれば編集リクエストで教えていただけると助かります 