वेब ऑफ़ ट्रस्ट: Difference between revisions
No edit summary |
No edit summary |
||
Line 39: | Line 39: | ||
प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को अक्सर [[छोटी दुनिया की घटना]] द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, अक्सर उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। हालांकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक बहुत मजबूत बाधा है। | प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को अक्सर [[छोटी दुनिया की घटना]] द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, अक्सर उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। हालांकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक बहुत मजबूत बाधा है। | ||
एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और | एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं शामिल हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य आबादी प्रत्यक्ष विश्वास स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके बजाय उन्हें अप्रत्यक्ष विश्वास के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।{{citation needed|date=January 2018}} | ||
सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी जोखिम प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष [[मैन-इन-द-बीच हमला]]|मध्य-पुरुष, स्वयं है दुर्व्यवहार या हमलों के प्रति संवेदनशील। इस जोखिम से बचने के लिए, एक लेखक इसके बजाय अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (यानी, एक वेब सर्वर जो उनके | सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी जोखिम प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष [[मैन-इन-द-बीच हमला]]|मध्य-पुरुष, स्वयं है दुर्व्यवहार या हमलों के प्रति संवेदनशील। इस जोखिम से बचने के लिए, एक लेखक इसके बजाय अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (यानी, एक वेब सर्वर जो उनके अधिकार वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड कनेक्शन। विवरण के लिए, नीचे #WOT सहायक समाधान देखें। | ||
== मजबूत सेट == | == मजबूत सेट == |
Revision as of 12:43, 24 December 2022
This article needs additional citations for verification. (June 2019) (Learn how and when to remove this template message) |
क्रिप्टोग्राफी में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग काफ़ी अच्छी गोपनीयता, जीएनयू प्राइवेसी गार्ड और अन्य ओपन-पीजीपी-संगत सिस्टम में सार्वजनिक कुंजी और उसके मालिक के बीच बंधन के प्रमाणीकरण को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक#औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।[1] जैसा कि कंप्यूटर नेटवर्क के साथ होता है, भरोसे के कई स्वतंत्र जाल होते हैं, और कोई भी उपयोगकर्ता (अपने सार्वजनिक कुंजी प्रमाणपत्र के माध्यम से) कई जाले का एक हिस्सा और उनके बीच एक कड़ी हो सकती है।
वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर फिल ज़िम्मरमैन द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था:
जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। हर कोई अपने स्वयं के भरोसेमंद परिचयकर्ताओं का चयन करेगा। और हर कोई धीरे-धीरे अपनी कुंजी के साथ अन्य लोगों से प्रमाणित हस्ताक्षरों का एक संग्रह जमा करेगा और वितरित करेगा, इस उम्मीद के साथ कि इसे प्राप्त करने वाला कोई भी व्यक्ति कम से कम एक या दो हस्ताक्षरों पर भरोसा करेगा। यह सभी सार्वजनिक चाबियों के लिए विकेंद्रीकृत दोष-सहिष्णु विश्वास वेब के उद्भव का कारण बनेगा।
इस संदर्भ में उद्भव शब्द के प्रयोग पर ध्यान दें। विश्वास का जाल उभरने की अवधारणा का उपयोग करता है।
भरोसे के जाल का संचालन
सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र पुनरीक्षण योजना शामिल है; इसके संचालन को विश्वास का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मालिक की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ शामिल हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह आमतौर पर कुंजी हस्ताक्षर करने वाली पार्टी में किया जाता है।[2] ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी शामिल है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर डेटा बाइंडिंग शामिल है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मालिक और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या शायद छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है।
अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है।
सरलीकृत स्पष्टीकरण
एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो खुले तौर पर साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।
प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ छेड़छाड़ नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।
== ठेठ पीकेआई == के साथ तुलना करें WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए आमतौर पर व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में आमतौर पर दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र शामिल होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में विश्वास प्रदान करते हैं जो उन्हें वापस ले जाते हैं।
WOT विफलता के एक बिंदु को CA पदानुक्रम से समझौता करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।[3] एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।[4]
समस्याएं
निजी चाबियों का नुकसान
ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। हालाँकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि शामिल नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या समझौता किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।[5] वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां शामिल होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक की शुरुआत में पेश किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।
सार्वजनिक कुंजी प्रामाणिकता जांच
ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) विश्वास के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से विश्वास नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या शायद कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर विश्वास करें, आदि।
ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक कुंजी सर्वर (क्रिप्टोग्राफ़िक) की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा विश्वसनीय बनने की दिशा में केवल मामूली लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। . कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को विश्वास के उपस्थित जाले में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। Gossamer स्पाइडर वेब ऑफ ट्रस्ट भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित विश्वास से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम विश्वास करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।
प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को अक्सर छोटी दुनिया की घटना द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, अक्सर उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। हालांकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक बहुत मजबूत बाधा है।
एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं शामिल हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य आबादी प्रत्यक्ष विश्वास स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके बजाय उन्हें अप्रत्यक्ष विश्वास के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।[citation needed] सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी जोखिम प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष मैन-इन-द-बीच हमला|मध्य-पुरुष, स्वयं है दुर्व्यवहार या हमलों के प्रति संवेदनशील। इस जोखिम से बचने के लिए, एक लेखक इसके बजाय अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (यानी, एक वेब सर्वर जो उनके अधिकार वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड कनेक्शन। विवरण के लिए, नीचे #WOT सहायक समाधान देखें।
मजबूत सेट
मजबूत सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है।[6] यह भरोसे के वैश्विक जाल का आधार बनता है। मजबूत सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और मौजूद हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए मजबूत सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है ताकि वह मजबूत सेट का हिस्सा बन सके।[7] वर्ष 2015 की शुरुआत में मजबूत सेट का आकार लगभग 55000 चाबियों का था।[8]
मतलब सबसे कम दूरी
प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस (एमएसडी) इस बात का एक माप है कि दी गई पीजीपी कुंजी, पीजीपी कुंजी के दृढ़ता से जुड़े सेट के भीतर कितनी विश्वसनीय है जो विश्वास का वेब बनाती है। .
MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। बहुत बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ग्लोबल MSD से की जाएगी, जो आम तौर पर वैश्विक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है।
WOT सहायक समाधान
मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम विश्वास स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और भरोसा करने का सबसे अच्छा तरीका है, और सर्वोत्तम भरोसेमंद तरीके का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए भरोसेमंद कुंजी साझा करने का दूसरा सबसे अच्छा तरीका है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए।
हालांकि, यह उन लाखों उपयोगकर्ताओं के लिए व्यावहारिक नहीं है जो प्रत्येक प्राप्तकर्ता उपयोगकर्ता के साथ शारीरिक रूप से मिलने के लिए सुरक्षित रूप से संवाद या संदेश देना चाहते हैं, और यह उन लाखों सॉफ़्टवेयर उपयोगकर्ताओं के लिए भी व्यावहारिक नहीं है, जिन्हें सैकड़ों सॉफ़्टवेयर डेवलपर्स या लेखकों से शारीरिक रूप से मिलने की आवश्यकता है, जिनके सॉफ्टवेयर या फाइल साइनिंग प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड पब्लिक की जिसे वे सत्यापित और भरोसा करना चाहते हैं और अंततः अपने कंप्यूटर में उपयोग करते हैं। इसलिए, एक या अधिक विश्वसनीय तृतीय पक्ष|विश्वसनीय तृतीय-पक्ष प्राधिकरण (TTPA) प्रकार की इकाई या समूह को उपयोगकर्ताओं के लिए उपलब्ध होना चाहिए और उपयोगकर्ताओं द्वारा उपयोग करने योग्य होना चाहिए, और ऐसी इकाई/समूह को विश्वसनीय-प्रमाणीकरण#Digital प्रदान करने में सक्षम होना चाहिए किसी भी समय दुनिया भर के लाखों उपयोगकर्ताओं के लिए प्रमाणीकरण या विश्वास-प्रतिनिधिमंडल (कंप्यूटर सुरक्षा) सेवाएं।
व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के संदेश प्रमाणीकरण को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की भरोसेमंद और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल स्वामी द्वारा भरोसेमंद फ़ाइल-हस्ताक्षरित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी। और वास्तव में एक विशिष्ट PGP/GPG कुंजी पर भरोसा करने के लिए, उपयोगकर्ताओं को भौतिक रूप से प्रत्येक विशिष्ट मूल लेखक या डेवलपर से मिलने की आवश्यकता होगी, या उपयोगकर्ताओं को फ़ाइल-हस्ताक्षर पब-कुंजी के मूल-रिलीज़र के साथ भौतिक रूप से मिलने की आवश्यकता होगी, या, उपयोगकर्ताओं को इसकी आवश्यकता होगी एक अन्य वैकल्पिक विश्वसनीय उपयोगकर्ता को खोजने के लिए, जो WOT की विश्वसनीय-श्रृंखला में है (उर्फ, अन्य उपयोगकर्ता या अन्य डेवलपर या अन्य लेखक, जिस पर उस विशिष्ट मूल लेखक या डेवलपर द्वारा भरोसा किया जाता है), और फिर सत्यापित करने के लिए उस व्यक्ति से भौतिक रूप से मिलते हैं उसकी/उसकी पीजीपी/जीपीजी कुंजी के साथ उनकी वास्तविक आईडी (और दूसरे उपयोगकर्ता को अपनी खुद की आईडी और कुंजी भी प्रदान करें, ताकि दोनों पक्ष एक-दूसरे की पीजीपी/जीपीजी कुंजी पर हस्ताक्षर/प्रमाणन और भरोसा कर सकें)। कोई सॉफ़्टवेयर लोकप्रिय है या नहीं, सॉफ़्टवेयर उपयोगकर्ता आमतौर पर दुनिया भर में विभिन्न स्थानों पर स्थित होते हैं। लाखों उपयोगकर्ताओं को सार्वजनिक कुंजी या ट्रस्ट या आईडी सत्यापन सेवाएं प्रदान करना मूल लेखक या डेवलपर या फ़ाइल-रिलीज़र के लिए भौतिक रूप से संभव नहीं है। न ही लाखों सॉफ्टवेयर उपयोगकर्ताओं के लिए प्रत्येक सॉफ्टवेयर या प्रत्येक सॉफ्टवेयर-लाइब्रेरी या कोड के डेवलपर या लेखक या रिलीजर के प्रत्येक टुकड़े से शारीरिक रूप से मिलना व्यावहारिक है, जिसे वे अपने कंप्यूटर में उपयोग (उपयोग या) करने की आवश्यकता होगी। यहां तक कि WOT की विश्वसनीय-श्रृंखला में कई विश्वसनीय लोगों/व्यक्ति (मूल-लेखक द्वारा) के साथ, यह अभी भी भौतिक या व्यावहारिक रूप से प्रत्येक डेवलपर या लेखक के लिए अन्य सभी उपयोगकर्ताओं से मिलना संभव नहीं है, और यह भी संभव नहीं है कि प्रत्येक उपयोगकर्ता मिलें सैकड़ों डेवलपर्स के साथ जिनके सॉफ्टवेयर का वे उपयोग कर रहे होंगे या उन पर काम कर रहे होंगे। जब यह विकेन्द्रीकृत पदानुक्रम आधारित WoT श्रृंखला मॉडल लोकप्रिय हो जाएगा और अधिकांश आस-पास के उपयोगकर्ताओं द्वारा उपयोग किया जाएगा, तभी भौतिक बैठक और pub-key प्रमाणन और WoT की हस्ताक्षर प्रक्रिया आसान हो जाएगी।
कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक विश्वास-स्तर सेट करने की आवश्यकता होती है। फिर अद्यतन सार्वजनिक-कुंजियाँ और अद्यतन फ़ाइल-हस्ताक्षर करने वाली सार्वजनिक-कुंजियाँ भी प्रकाशित और वितरित की जानी चाहिए (या accessible) उपयोगकर्ताओं के लिए, ऑनलाइन सुरक्षित और एन्क्रिप्टेड माध्यमों के माध्यम से, ताकि दुनिया के किसी भी स्थान से कोई भी उपयोगकर्ता सही और विश्वसनीय और असंशोधित सार्वजनिक-कुंजी प्राप्त कर सके। यह सुनिश्चित करने के लिए कि प्रत्येक उपयोगकर्ता को सही और विश्वसनीय सार्वजनिक-कुंजियाँ और हस्ताक्षरित-कोड/फ़ाइल मिल रही है, मूल देव/लेखक या मूल-रिलीज़र को अपनी अद्यतन सार्वजनिक-कुंजियाँ अपने स्वयं के कुंजी सर्वर (क्रिप्टोग्राफ़िक) पर प्रकाशित करनी चाहिए और HKPS एन्क्रिप्टेड कनेक्शन को बाध्य करना चाहिए उपयोग, या अपने स्वयं के HTTPS एन्क्रिप्टेड वेबपेज पर, अपने स्वयं के प्राथमिक डोमेन वेबसाइट से, अपने स्वयं के वेब सर्वर के तहत, अपनी अद्यतन और पूर्ण सार्वजनिक-कुंजियाँ (और हस्ताक्षरित-कोड/फ़ाइल) प्रकाशित करें, (किसी भी उप-डोमेन से नहीं जो स्थित हैं) बाहरी-सर्वर में, किसी मिरर से नहीं, किसी बाहरी/साझा फ़ोरम/विकी आदि वेबसाइट सर्वर से नहीं, किसी सार्वजनिक या बाहरी/साझा क्लाउड या होस्टिंग सर्विस सर्वर से नहीं), और सुरक्षित रूप से स्थित और रखा जाना चाहिए अपने स्वयं के परिसर के अंदर: अपना-घर, अपना-घर-कार्यालय, या अपना-कार्यालय। इस तरह, मूल कुंजी/कोड के वे छोटे टुकड़े, इंटरनेट के माध्यम से अक्षुण्ण यात्रा करेंगे और पारगमन (एन्क्रिप्टेड कनेक्शन के कारण) के दौरान असंशोधित रहेंगे और उपयोगकर्ता के पक्ष में छिपकर या संशोधित किए बिना गंतव्य तक पहुंच जाएंगे, और उन्हें भरोसेमंद माना जा सकता है सार्वजनिक कुंजी एकल या बहु चैनल TTPA आधारित सत्यापन के कारण। जब एक से अधिक विश्वसनीय तृतीय पक्ष (विश्वसनीय तृतीय पक्ष प्राधिकरण) आधारित सुरक्षित, सत्यापित और एन्क्रिप्टेड कनेक्शन के माध्यम से एक सार्वजनिक-कुंजी (मूल डेवलपर के अपने वेब-सर्वर से) प्राप्त की जाती है, तो यह अधिक भरोसेमंद है।
जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड कनेक्शन या एन्क्रिप्टेड वेबपेज पर दिखाए जाते हैं, तो किसी भी अन्य फाइल, डेटा या सामग्री को किसी भी प्रकार के गैर-एन्क्रिप्टेड कनेक्शन पर स्थानांतरित किया जा सकता है, जैसे: HTTP/FTP आदि किसी भी सब-डोमेन सर्वर से या किसी मिरर से या किसी साझा क्लाउड/होस्टिंग सर्वर से, क्योंकि, गैर-एन्क्रिप्टेड कनेक्शन आधारित डाउनलोड किए गए आइटम/डेटा/फाइलों को मूल सार्वजनिक-कुंजियों का उपयोग करके बाद में प्रमाणित किया जा सकता है। /हस्ताक्षरित-कोड, जो मूल लेखक/डेवलपर के अपने सर्वर से सुरक्षित, एन्क्रिप्टेड और विश्वसनीय (उर्फ, सत्यापित) कनेक्शन/चैनलों पर प्राप्त किए गए थे।
कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड कनेक्शन का उपयोग करके, सॉफ़्टवेयर उपयोगकर्ताओं को सार्वजनिक कुंजी क्रिप्टोग्राफी विश्वसनीय तृतीय पक्ष (विश्वसनीय तृतीय पक्ष प्राधिकरण), जैसे सार्वजनिक प्रमाणपत्र प्राधिकरण (प्रमाणपत्र प्राधिकरण) के साथ अपना विश्वास सौंपने की अनुमति दें, प्रदान करने में मदद करने के लिए किसी भी समय मूल डेवलपर/लेखक के वेब सर्वर और दुनिया भर के लाखों उपयोगकर्ताओं के कंप्यूटर के बीच विश्वसनीय कनेक्शन।
जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा HTTP सार्वजनिक कुंजी पिनिंग तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई विश्वसनीय तृतीय पक्ष के माध्यम से भी सत्यापित किया जा सकता है: डीएनएसएसईसी और डीएनएस नेमस्पेस मेंटेनर आईसीएएनएन, सार्वजनिक सीए के अलावा। डीएनएसएसईसी पीजीपी/जीपीजी डब्ल्यूओटी का दूसरा रूप है लेकिन नाम-सर्वरों के लिए; यह पहले (लोगों/व्यक्ति के बजाय) नाम-सर्वरों के लिए एक विश्वसनीय-श्रृंखला बनाता है, और फिर लोगों/व्यक्ति की PGP/GPG कुंजियों और फ़िंगरप्रिंट को भी सर्वर के DNSSEC DNS रिकॉर्ड में जोड़ा जा सकता है। तो कोई भी उपयोगकर्ता जो सुरक्षित रूप से संवाद करना चाहता है (या कोई सॉफ़्टवेयर उपयोगकर्ता), दो (उर्फ, दोहरी/डबल) विश्वसनीय पीकेआई टीटीपीए/चैनलों के माध्यम से अपने डेटा/कुंजी/कोड/वेबपेज आदि को प्रभावी ढंग से सत्यापित (उर्फ, प्रमाणित) प्राप्त/प्राप्त कर सकता है। एक ही समय में: ICANN (DNSSEC) और प्रमाणपत्र प्राधिकरण (सार्वजनिक कुंजी प्रमाणपत्र|SSL/TLS प्रमाणपत्र)। इसलिए PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा (या फ़ाइल) पर भरोसा किया जा सकता है, जब ऐसे समाधान और तकनीकों का उपयोग किया जाता है: HKPS, HKPS+DNSSEC+DANE, HTTPS, HTTPS+HPKP या HTTPS+HPKP+DNSSEC+DANE।
यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन बनाती है#DNSSEC लुकसाइड सत्यापन - ऐतिहासिक आधारित DNSSEC डोमेन नाम रजिस्ट्री, और यदि उपयोगकर्ता अपने स्वयं के स्थानीय DNSSEC-आधारित DNS में नए DLV (ICANN-DNSSEC के साथ) रूट-की का उपयोग करते हैं रिज़ॉल्वर/सर्वर, और यदि डोमेन-स्वामी भी इसका उपयोग अपने स्वयं के डोमेन-नामों के अतिरिक्त हस्ताक्षर के लिए करते हैं, तो एक नया तीसरा TTPA हो सकता है। ऐसे मामले में, कोई भी PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा या वेबपेज या वेब डेटा तीन/ट्रिपल-चैनल सत्यापित हो सकता है। इंटरनेट सिस्टम कंसोर्टियम के डीएलवी को तीसरे टीटीपीए के रूप में इस्तेमाल किया जा सकता है क्योंकि यह अभी भी व्यापक रूप से और सक्रिय रूप से उपयोग किया जाता है, इसलिए एक और नए डीएलवी की उपलब्धता चौथा टीटीपीए बन जाएगी।
यह भी देखें
- दोस्त-टू-दोस्त (F2F) कंप्यूटर नेटवर्क।
- स्व-संप्रभु पहचान
- मैं गिर गया ने कई साल पहले OpenPGP कुंजियों पर हस्ताक्षर करना बंद कर दिया था[when?] और अब केवल X.509 प्रमाणपत्र जारी करता है।
- आभासी समुदाय
संदर्भ
- ↑ Chien, Hung-Yu (2021-08-19). "फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र". Electronics (in English). 10 (16): 2009. doi:10.3390/electronics10162009. ISSN 2079-9292.
- ↑ Ulrich, Alexander; Holz, Ralph; Hauck, Peter; Carle, Georg (2011). Atluri, Vijay; Diaz, Claudia (eds.). "ट्रस्ट के ओपनपीजीपी वेब की जांच". Computer Security – ESORICS 2011. Lecture Notes in Computer Science (in English). Berlin, Heidelberg: Springer. 6879: 489–507. doi:10.1007/978-3-642-23822-2_27. ISBN 978-3-642-23822-2.
- ↑ Nightingale, Johnathan. "कपटपूर्ण *.google.com प्रमाणपत्र". Retrieved 29 August 2011.
- ↑ "द मंकीस्फेयर प्रोजेक्ट". Retrieved 13 December 2016.
- ↑ Ferguson, Niels; Schneier, Bruce (2003). प्रैक्टिकल क्रिप्टोग्राफी. Wiley. p. 333. ISBN 978-0471223573.
ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।
- ↑ Penning, Henk. "apache.org वेब ऑफ ट्रस्ट पर". Archived from the original on 2 March 2013. Retrieved 13 December 2013.
- ↑ Streib, M. Drew. "इस कीरिंग विश्लेषण की व्याख्या". Archived from the original on 3 February 2009. Retrieved 13 December 2013.
- ↑ Penning, Henk P. "ट्रस्ट के पीजीपी वेब में मजबूत सेट का विश्लेषण". Retrieved 8 January 2015.
अग्रिम पठन
- Ferguson, Niels; Bruce Schneier (2003). Practical Cryptography. John Wiley & Sons. ISBN 0-471-22357-3.
इस पेज में लापता आंतरिक लिंक की सूची
- प्रमाणपत्र, प्राधिकारी
- सार्वजनिक मुख्य बुनियादी सुविधा
- जड़ प्रमाण पत्र
- दृढ़ता से जुड़ा हुआ
- नामांकित संस्थाओं का DNS-आधारित प्रमाणीकरण
- अंगुली का हस्ताक्षर
बाहरी संबंध
- An explanation of the PGP Web of Trust
- analysis of the strong set in the PGP web of trust, no longer maintained; last archived link from August 2020.