वेब ऑफ़ ट्रस्ट: Difference between revisions
No edit summary |
No edit summary |
||
(37 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
{{short description|Mechanism for authenticating cryptographic keys}} | {{short description|Mechanism for authenticating cryptographic keys}} | ||
{{For|इंटरनेट सुरक्षा वेबसाइट|WOT सेवाएं}} | {{For|इंटरनेट सुरक्षा वेबसाइट|WOT सेवाएं}}[[File:Web_of_Trust-en.svg|thumb|400px|वेब ऑफ ट्रस्ट का योजनाबद्ध आरेख]][[क्रिप्टोग्राफी]] में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग [[काफ़ी अच्छी गोपनीयता]], [[जीएनयू प्राइवेसी गार्ड]] और अन्य [[ओपन-पीजीपी]]-संगत सिस्टम में [[सार्वजनिक कुंजी]] और उसके मास्टर के बीच बंधन के [[प्रमाणीकरण]] को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक, औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।<ref>{{Cite journal |last=Chien |first=Hung-Yu |date=2021-08-19 |title=फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र|journal=Electronics |language=en |volume=10 |issue=16 |pages=2009 |doi=10.3390/electronics10162009 |issn=2079-9292|doi-access=free }}</ref> जैसा कि संगणक नेटवर्क के साथ होता है, संभावना के कई स्वतंत्र वेब होते हैं, और कोई भी उपयोगकर्ता (अपने [[सार्वजनिक कुंजी प्रमाणपत्र]] के माध्यम से) कई वेब का एक भाग और उनके बीच एक कड़ी हो सकती है। | ||
[[File:Web_of_Trust-en.svg|thumb|400px|वेब ऑफ ट्रस्ट का योजनाबद्ध आरेख]][[क्रिप्टोग्राफी]] में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग [[काफ़ी अच्छी गोपनीयता]], [[जीएनयू प्राइवेसी गार्ड]] और अन्य [[ओपन-पीजीपी]]-संगत सिस्टम में [[सार्वजनिक कुंजी]] और उसके | |||
वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर [[फिल ज़िम्मरमैन]] द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था: | वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर [[फिल ज़िम्मरमैन]] द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था: | ||
{{quotation|जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। | {{quotation|जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। सभी अपने स्वयं के भरोसेमंद परिचयकर्ताओं का चयन करेगा। और सभी धीरे-धीरे अपनी कुंजी के साथ अन्य लोगों से प्रमाणित हस्ताक्षरों का एक संग्रह जमा करेगा और वितरित करेगा, इस उम्मीद के साथ कि इसे प्राप्त करने वाला कोई भी व्यक्ति कम से कम एक या दो हस्ताक्षरों पर भरोसा करेगा। यह सभी सार्वजनिक चाबियों के लिए विकेंद्रीकृत दोष-सहिष्णु विश्वास वेब के उद्भव का कारण बनेगा। | ||
}} | }} | ||
इस संदर्भ में [[उद्भव]] शब्द के प्रयोग पर ध्यान दें। | इस संदर्भ में [[उद्भव]] शब्द के प्रयोग पर ध्यान दें। भरोसे का जाल उभरने की अवधारणा का उपयोग करता है। | ||
==भरोसे के जाल का संचालन== | ==भरोसे के जाल का संचालन== | ||
सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र [[पुनरीक्षण]] योजना | सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र [[पुनरीक्षण]] योजना सम्मलित है; इसके संचालन को भरोसे का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मास्टर की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ सम्मलित हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह सामान्यतः [[कुंजी हस्ताक्षर करने वाली पार्टी]] में किया जाता है।<ref>{{Cite journal|last1=Ulrich|first1=Alexander|last2=Holz|first2=Ralph|last3=Hauck|first3=Peter|last4=Carle|first4=Georg|date=2011|editor-last=Atluri|editor-first=Vijay|editor2-last=Diaz|editor2-first=Claudia|title=ट्रस्ट के ओपनपीजीपी वेब की जांच|url=https://link.springer.com/chapter/10.1007/978-3-642-23822-2_27|journal=Computer Security – ESORICS 2011|series=Lecture Notes in Computer Science|volume=6879 |language=en|location=Berlin, Heidelberg|publisher=Springer|pages=489–507|doi=10.1007/978-3-642-23822-2_27|isbn=978-3-642-23822-2}}</ref> | ||
ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी | |||
ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी सम्मलित है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर [[डेटा बाइंडिंग]] सम्मलित है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मास्टर और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या संभवतः छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है। | |||
अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है। | अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है। | ||
=== सरलीकृत स्पष्टीकरण === | === सरलीकृत स्पष्टीकरण === | ||
एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो | एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो सामान्यतः साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है। | ||
प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ | प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ फेर बदल नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)। | ||
= | === PKI के साथ तुलना करें === | ||
WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए | WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए सामान्यतः व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में सामान्यतः दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र सम्मलित होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में भरोसा प्रदान करते हैं जो उन्हें वापस ले जाते हैं। | ||
WOT विफलता के एक बिंदु को CA पदानुक्रम से | WOT विफलता के एक बिंदु को CA पदानुक्रम से निष्कर्ष करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।<ref>{{cite web|url=https://blog.mozilla.org/security/2011/08/29/fraudulent-google-com-certificate/|access-date=29 August 2011|last=Nightingale|first=Johnathan|title=कपटपूर्ण *.google.com प्रमाणपत्र}}</ref> एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।<ref>{{cite web|url=http://web.monkeysphere.info/|access-date=13 December 2016|title=द मंकीस्फेयर प्रोजेक्ट}}</ref> | ||
== समस्याएं == | == समस्याएं == | ||
=== निजी चाबियों | === निजी चाबियों की हानी === | ||
ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। | ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। चूंकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि सम्मलित नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या निष्कर्ष किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।<ref>{{cite book|last1=Ferguson|first1=Niels|last2=Schneier|first2=Bruce|title=प्रैक्टिकल क्रिप्टोग्राफी|publisher=Wiley|year=2003|isbn=978-0471223573|pages=333|quote=ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।}}</ref> वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां सम्मलित होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक के प्रारंभ में प्रस्तुत किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)। | ||
=== सार्वजनिक कुंजी प्रामाणिकता जांच === | === सार्वजनिक कुंजी प्रामाणिकता जांच === | ||
ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) | ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) भरोसे के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से भरोसा नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या संभवतः कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर भरोसा करें, आदि। | ||
ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक [[कुंजी सर्वर (क्रिप्टोग्राफ़िक)]] की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा भरोसेमंद बनने की दिशा में केवल साधारण लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को भरोसे के उपस्थित वेब में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। [http://www.gswot.org Gossamer स्पाइडर वेब ऑफ ट्रस्ट] भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित भरोसे से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम भरोसा करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)। | |||
प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को प्रायः [[छोटी दुनिया की घटना]] द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, प्रायः उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। चूंकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक स्थायी बाधा है। | |||
एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं सम्मलित हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य <bdi>विकास</bdi> प्रत्यक्ष भरोसा स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके अतिरिक्त उन्हें अप्रत्यक्ष भरोसा के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।{{citation needed|date=January 2018}} | |||
सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी हानि प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष [[मैन-इन-द-बीच हमला]]|मध्य-पुरुष, स्वयं है दुर्व्यवहार या प्रहारों के प्रति संवेदनशील। इस हानि से बचने के लिए, एक लेखक इसके अतिरिक्त अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (अर्थात, एक वेब सर्वर जो उनके अधिकार वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड संपर्क। विवरण के लिए, नीचे #WOT सहायक समाधान देखें। | |||
== स्ट्रोंग सेट == | |||
== | स्ट्रोंग सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है।<ref>{{cite web|url=https://people.apache.org/~henkp/trust/|access-date=13 December 2013|last=Penning|first=Henk|archive-url=https://web.archive.org/web/20130302032948/http://people.apache.org/~henkp/trust/|archive-date=2 March 2013|title=apache.org वेब ऑफ ट्रस्ट पर|url-status=live}}</ref> यह भरोसे के सार्वभौमिक वेब का आधार बनता है। स्ट्रोंग सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और उपस्थित हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए स्ट्रोंग सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है किंतु वह स्ट्रोंग सेट का भाग बन सके।<ref>{{cite web|url=http://dtype.org/keyanalyze/explanation.php|archive-url=https://web.archive.org/web/20090203235946/http://dtype.org/keyanalyze/explanation.php|archive-date=3 February 2009|last=Streib|first=M. Drew|access-date=13 December 2013|title=इस कीरिंग विश्लेषण की व्याख्या|url-status=dead}}</ref> वर्ष 2015 के प्रारंभ में स्ट्रोंग सेट का आकार लगभग 55000 चाबियों का था।<ref>{{cite web|url=http://pgp.cs.uu.nl/plot/|last=Penning|first=Henk P.|access-date=8 January 2015|title=ट्रस्ट के पीजीपी वेब में मजबूत सेट का विश्लेषण}}</ref> | ||
== | == मीन शॉर्टेस्ट डिस्टेंस == | ||
[[File:MSD-Based Trust.png|thumb|alt=MSD-बेस्ड ट्रस्ट एक्सप्लेनेशन इमेज|एमएसडी-बेस्ड ट्रस्ट एक्सप्लेनेशन]]प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस ( | [[File:MSD-Based Trust.png|thumb|alt=MSD-बेस्ड ट्रस्ट एक्सप्लेनेशन इमेज|एमएसडी-बेस्ड ट्रस्ट एक्सप्लेनेशन]]प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस (MSD) इस बात का एक माप है कि दी गई पीजीपी कुंजी, पीजीपी कुंजी के दृढ़ता से जुड़े सेट के भीतर कितनी भरोसेमंद है जो भरोसे का वेब बनाती है। . | ||
MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। | MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। कई बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ''ग्लोबल MSD'' से की जाएगी, जो सामान्यतः सार्वभौमिक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है। | ||
== WOT सहायक समाधान == | == WOT सहायक समाधान == | ||
मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम | मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम भरोसा स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और भरोसा करने का सबसे अच्छा उपाय है, और सर्वोत्तम भरोसेमंद उपाय का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए भरोसेमंद कुंजी साझा करने का दूसरा सबसे अच्छा उपाय है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए। | ||
चूंकि, यह उन लाखों उपयोगकर्ताओं के लिए व्यावहारिक नहीं है जो प्रत्येक प्राप्तकर्ता उपयोगकर्ता के साथ शारीरिक रूप से मिलने के लिए सुरक्षित रूप से संवाद या संदेश देना चाहते हैं, और यह उन लाखों सॉफ़्टवेयर उपयोगकर्ताओं के लिए भी व्यावहारिक नहीं है, जिन्हें सैकड़ों सॉफ़्टवेयर डेवलपर्स या लेखकों से शारीरिक रूप से मिलने की आवश्यकता है, जिनके सॉफ्टवेयर या फाइल साइनिंग प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड पब्लिक की जिसे वे सत्यापित और भरोसा करना चाहते हैं और अंततः अपने संगणक में उपयोग करते हैं। इसलिए, एक या अधिक [[विश्वसनीय तृतीय पक्ष]] | विश्वसनीय तृतीय-पक्ष प्राधिकरण (TTPA) प्रकार की इकाई या समूह को उपयोगकर्ताओं के लिए उपलब्ध होना चाहिए और उपयोगकर्ताओं द्वारा उपयोग करने योग्य होना चाहिए, और ऐसी इकाई/समूह को भरोसेमंद -प्रमाणीकरण#Digital प्रदान करने में सक्षम होना चाहिए किसी भी समय दुनिया भर के लाखों उपयोगकर्ताओं के लिए प्रमाणीकरण या भरोसा -[[प्रतिनिधिमंडल (कंप्यूटर सुरक्षा)|प्रतिनिधिमंडल (संगणक सुरक्षा)]] सेवाएं। | |||
व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के [[संदेश प्रमाणीकरण]] को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की भरोसेमंद और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल | व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के [[संदेश प्रमाणीकरण]] को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की भरोसेमंद और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल अधिकारी द्वारा भरोसेमंद फ़ाइल-हस्ताक्षरित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी। और वास्तव में एक विशिष्ट PGP/GPG कुंजी पर भरोसा करने के लिए, उपयोगकर्ताओं को भौतिक रूप से प्रत्येक विशिष्ट मूल लेखक या डेवलपर से मिलने की आवश्यकता होगी, या उपयोगकर्ताओं को फ़ाइल-हस्ताक्षर पब-कुंजी के मूल-रिलीज़र के साथ भौतिक रूप से मिलने की आवश्यकता होगी, या, उपयोगकर्ताओं को इसकी आवश्यकता होगी एक अन्य वैकल्पिक भरोसेमंद उपयोगकर्ता को खोजने के लिए, जो WOT की भरोसेमंद-श्रृंखला में है (अतः, अन्य उपयोगकर्ता या अन्य डेवलपर या अन्य लेखक, जिस पर उस विशिष्ट मूल लेखक या डेवलपर द्वारा भरोसा किया जाता है), और फिर सत्यापित करने के लिए उस व्यक्ति से भौतिक रूप से मिलते हैं उसकी/उसकी पीजीपी/जीपीजी कुंजी के साथ उनकी वास्तविक आईडी (और दूसरे उपयोगकर्ता को अपनी स्वयं की आईडी और कुंजी भी प्रदान करें, इस कारण दोनों पक्ष एक-दूसरे की पीजीपी/जीपीजी कुंजी पर हस्ताक्षर/प्रमाणन और भरोसा कर सकें)। कोई सॉफ़्टवेयर लोकप्रिय है या नहीं, सॉफ़्टवेयर उपयोगकर्ता सामान्यतः दुनिया भर में विभिन्न स्थानों पर स्थित होते हैं। लाखों उपयोगकर्ताओं को सार्वजनिक कुंजी या ट्रस्ट या आईडी सत्यापन सेवाएं प्रदान करना मूल लेखक या डेवलपर या फ़ाइल-रिलीज़र के लिए भौतिक रूप से संभव नहीं है। न ही लाखों सॉफ्टवेयर उपयोगकर्ताओं के लिए प्रत्येक सॉफ्टवेयर या प्रत्येक सॉफ्टवेयर-लाइब्रेरी या कोड के डेवलपर या लेखक या रिलीजर के प्रत्येक टुकड़े से शारीरिक रूप से मिलना व्यावहारिक है, जिसे वे अपने संगणक में उपयोग (उपयोग या) करने की आवश्यकता होगी। यहां तक कि WOT की भरोसेमंद -श्रृंखला में कई भरोसेमंद लोगों/व्यक्ति (मूल-लेखक द्वारा) के साथ, यह अभी भी भौतिक या व्यावहारिक रूप से प्रत्येक डेवलपर या लेखक के लिए अन्य सभी उपयोगकर्ताओं से मिलना संभव नहीं है, और यह भी संभव नहीं है कि प्रत्येक उपयोगकर्ता मिलें सैकड़ों डेवलपर्स के साथ जिनके सॉफ्टवेयर का वे उपयोग कर रहे होंगे या उन पर काम कर रहे होंगे। जब यह विकेन्द्रीकृत पदानुक्रम आधारित WoT श्रृंखला मॉडल लोकप्रिय हो जाएगा और अधिकांश आस-पास के उपयोगकर्ताओं द्वारा उपयोग किया जाएगा, तभी भौतिक बैठक और pub-key प्रमाणन और WoT की हस्ताक्षर प्रक्रिया आसान हो जाएगी। | ||
कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक | कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक भरोसा-स्तर सेट करने की आवश्यकता होती है। फिर अद्यतन सार्वजनिक-कुंजियाँ और अद्यतन फ़ाइल-हस्ताक्षर करने वाली सार्वजनिक-कुंजियाँ भी प्रकाशित और वितरित की जानी चाहिए (या accessible) उपयोगकर्ताओं के लिए, ऑनलाइन सुरक्षित और एन्क्रिप्टेड माध्यमों के माध्यम से, इस कारण दुनिया के किसी भी स्थान से कोई भी उपयोगकर्ता सही और भरोसेमंद और असंशोधित सार्वजनिक-कुंजी प्राप्त कर सके। यह सुनिश्चित करने के लिए कि प्रत्येक उपयोगकर्ता को सही और भरोसेमंद सार्वजनिक-कुंजियाँ और हस्ताक्षरित-कोड/फ़ाइल मिल रही है, मूल देव/लेखक या मूल-रिलीज़र को अपनी अद्यतन सार्वजनिक-कुंजियाँ अपने स्वयं के कुंजी सर्वर (क्रिप्टोग्राफ़िक) पर प्रकाशित करनी चाहिए और HKPS एन्क्रिप्टेड संपर्क को बाध्य करना चाहिए उपयोग, या अपने स्वयं के [[HTTPS]] एन्क्रिप्टेड वेबपेज पर, अपने स्वयं के प्राथमिक डोमेन वेबसाइट से, अपने स्वयं के वेब सर्वर के अधीन, अपनी अद्यतन और पूर्ण सार्वजनिक-कुंजियाँ (और हस्ताक्षरित-कोड/फ़ाइल) प्रकाशित करें, (किसी भी उप-डोमेन से नहीं जो स्थित हैं) बाहरी-सर्वर में, किसी मिरर से नहीं, किसी बाहरी/साझा फ़ोरम/विकी आदि वेबसाइट सर्वर से नहीं, किसी सार्वजनिक या बाहरी/साझा क्लाउड या होस्टिंग सर्विस सर्वर से नहीं), और सुरक्षित रूप से स्थित और रखा जाना चाहिए अपने स्वयं के परिसर के अंदर: अपना-घर, अपना-घर-कार्यालय, या अपना-कार्यालय। इस प्रकार, मूल कुंजी/कोड के वे छोटे टुकड़े, इंटरनेट के माध्यम से अक्षुण्ण यात्रा करेंगे और पारगमन (एन्क्रिप्टेड संपर्क के कारण) के दौरान असंशोधित रहेंगे और उपयोगकर्ता के पक्ष में छिपकर या संशोधित किए बिना गंतव्य तक पहुंच जाएंगे, और उन्हें भरोसेमंद माना जा सकता है सार्वजनिक कुंजी एकल या बहु चैनल TTPA आधारित सत्यापन के कारण। जब एक से अधिक भरोसेमंद तृतीय पक्ष (भरोसेमंद तृतीय पक्ष प्राधिकरण) आधारित सुरक्षित, सत्यापित और एन्क्रिप्टेड संपर्क के माध्यम से एक सार्वजनिक-कुंजी (मूल डेवलपर के अपने वेब-सर्वर से) प्राप्त की जाती है, तो यह अधिक भरोसेमंद है। | ||
जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड | जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड संपर्क या एन्क्रिप्टेड वेबपेज पर दिखाए जाते हैं, तो किसी भी अन्य फाइल, डेटा या सामग्री को किसी भी प्रकार के गैर-एन्क्रिप्टेड संपर्क पर स्थानांतरित किया जा सकता है, जैसे: HTTP/FTP आदि किसी भी सब-डोमेन सर्वर से या किसी मिरर से या किसी साझा क्लाउड/होस्टिंग सर्वर से, क्योंकि, गैर-एन्क्रिप्टेड संपर्क आधारित डाउनलोड किए गए आइटम/डेटा/फाइलों को मूल सार्वजनिक-कुंजियों का उपयोग करके बाद में प्रमाणित किया जा सकता है। /हस्ताक्षरित-कोड, जो मूल लेखक/डेवलपर के अपने सर्वर से सुरक्षित, एन्क्रिप्टेड और विश्वसनीय (उर्फ, सत्यापित) संपर्क/चैनलों पर प्राप्त किए गए थे। | ||
कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड | कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड संपर्क का उपयोग करके, सॉफ़्टवेयर उपयोगकर्ताओं को [[सार्वजनिक कुंजी क्रिप्टोग्राफी]] भरोसेमंद तृतीय पक्ष (भरोसेमंद तृतीय पक्ष प्राधिकरण), जैसे सार्वजनिक प्रमाणपत्र प्राधिकरण (प्रमाणपत्र प्राधिकरण) के साथ अपना भरोसा सौंपने की अनुमति दें, प्रदान करने में सहायता करने के लिए किसी भी समय मूल डेवलपर/लेखक के वेब सर्वर और दुनिया भर के लाखों उपयोगकर्ताओं के संगणक के बीच भरोसेमंद संपर्क। | ||
जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा [[HTTP सार्वजनिक कुंजी पिनिंग]] तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई | जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा [[HTTP सार्वजनिक कुंजी पिनिंग]] तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई भरोसेमंद तृतीय पक्ष के माध्यम से भी सत्यापित किया जा सकता है: डीएनएसएसईसी और डीएनएस नेमस्पेस मेंटेनर आईसीएएनएन, सार्वजनिक सीए के अतिरिक्त। डीएनएसएसईसी पीजीपी/जीपीजी डब्ल्यूओटी का दूसरा रूप है किंतु नाम-सर्वरों के लिए; यह पहले (लोगों/व्यक्ति के अतिरिक्त) नाम-सर्वरों के लिए एक भरोसेमंद-श्रृंखला बनाता है, और फिर लोगों/व्यक्ति की PGP/GPG कुंजियों और फ़िंगरप्रिंट को भी सर्वर के DNSSEC DNS रिकॉर्ड में जोड़ा जा सकता है। तो कोई भी उपयोगकर्ता जो सुरक्षित रूप से संवाद करना चाहता है (या कोई सॉफ़्टवेयर उपयोगकर्ता), दो (अतः, दोहरी/डबल) भरोसेमंद पीकेआई TTPA/चैनलों के माध्यम से अपने डेटा/कुंजी/कोड/वेबपेज आदि को प्रभावी ढंग से सत्यापित (उर्फ, प्रमाणित) प्राप्त/प्राप्त कर सकता है। एक ही समय में: [[ICANN]] (DNSSEC) और प्रमाणपत्र प्राधिकरण (सार्वजनिक कुंजी प्रमाणपत्र|SSL/TLS प्रमाणपत्र)। इसलिए PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा (या फ़ाइल) पर भरोसा किया जा सकता है, जब ऐसे समाधान और तकनीकों का उपयोग किया जाता है: HKPS, HKPS+DNSSEC+DANE, HTTPS, HTTPS+HPKP या HTTPS+HPKP+DNSSEC+DANE। | ||
यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया [[डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन]] बनाती है | यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया [[डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन]] बनाती है DNSSEC लुकसाइड सत्यापन - ऐतिहासिक आधारित DNSSEC [[डोमेन नाम रजिस्ट्री]], और यदि उपयोगकर्ता अपने स्वयं के स्थानीय DNSSEC-आधारित DNS में नए DLV (ICANN-DNSSEC के साथ) रूट-की का उपयोग करते हैं रिज़ॉल्वर/सर्वर, और यदि डोमेन-धारक भी इसका उपयोग अपने स्वयं के डोमेन-नामों के अतिरिक्त हस्ताक्षर के लिए करते हैं, तो एक नया तीसरा TTPA हो सकता है। ऐसे कार्य में, कोई भी PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा या वेबपेज या वेब डेटा तीन/ट्रिपल-चैनल सत्यापित हो सकता है। [[इंटरनेट सिस्टम कंसोर्टियम]] के डीएलवी को तीसरे TTPA के रूप में उपयोग किया जा सकता है क्योंकि यह अभी भी व्यापक रूप से और सक्रिय रूप से उपयोग किया जाता है, इसलिए एक और नए डीएलवी की उपलब्धता चौथा TTPA बन जाएगी। | ||
== यह भी देखें == | == यह भी देखें == | ||
* [[दोस्त-टू-दोस्त]] (F2F) | * [[दोस्त-टू-दोस्त|दोस्त-से-दोस्त]] (F2F) संगणक नेटवर्क। | ||
* [[स्व-संप्रभु पहचान]] | * [[स्व-संप्रभु पहचान]] | ||
* [[मैं गिर गया]] ने कई साल पहले OpenPGP कुंजियों पर हस्ताक्षर करना बंद कर दिया था{{when|date=March 2020}} और अब केवल X.509 प्रमाणपत्र जारी करता है। | * [[मैं गिर गया|स्वराज्य पहचान]] ने कई साल पहले OpenPGP कुंजियों पर हस्ताक्षर करना बंद कर दिया था{{when|date=March 2020}} और अब केवल X.509 प्रमाणपत्र जारी करता है। | ||
* [[आभासी समुदाय]] | * [[आभासी समुदाय]] | ||
Line 92: | Line 92: | ||
==बाहरी संबंध== | ==बाहरी संबंध== | ||
*[http://www.rubin.ch/pgp/weboftrust.en.html An explanation of the PGP Web of Trust] | *[http://www.rubin.ch/pgp/weboftrust.en.html An explanation of the PGP Web of Trust] | ||
Line 107: | Line 98: | ||
{{Cryptography navbox | public-key}} | {{Cryptography navbox | public-key}} | ||
{{DEFAULTSORT:Web Of Trust}} | {{DEFAULTSORT:Web Of Trust}} | ||
[[hi:सार्वजनिक कुंजी अवसंरचना#वेब ऑफ ट्रस्ट]] | [[hi:सार्वजनिक कुंजी अवसंरचना#वेब ऑफ ट्रस्ट]] | ||
[[Category:All articles with unsourced statements|Web Of Trust]] | |||
[[Category: | [[Category:All articles with vague or ambiguous time|Web Of Trust]] | ||
[[Category:Created On 16/12/2022]] | [[Category:Articles with hatnote templates targeting a nonexistent page|Web Of Trust]] | ||
[[Category:Articles with invalid date parameter in template|Web Of Trust]] | |||
[[Category:Articles with unsourced statements from January 2018|Web Of Trust]] | |||
[[Category:CS1 English-language sources (en)]] | |||
[[Category:Collapse templates|Web Of Trust]] | |||
[[Category:Created On 16/12/2022|Web Of Trust]] | |||
[[Category:Machine Translated Page|Web Of Trust]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists|Web Of Trust]] | |||
[[Category:Pages with script errors|Web Of Trust]] | |||
[[Category:Short description with empty Wikidata description|Web Of Trust]] | |||
[[Category:Sidebars with styles needing conversion|Web Of Trust]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready|Web Of Trust]] | |||
[[Category:Templates generating microformats|Web Of Trust]] | |||
[[Category:Templates that add a tracking category|Web Of Trust]] | |||
[[Category:Templates that are not mobile friendly|Web Of Trust]] | |||
[[Category:Templates using TemplateData|Web Of Trust]] | |||
[[Category:Vague or ambiguous time from March 2020|Web Of Trust]] | |||
[[Category:Wikipedia metatemplates|Web Of Trust]] | |||
[[Category:ओपनपीजीपी|Web Of Trust]] | |||
[[Category:कम्प्यूटेशनल ट्रस्ट|Web Of Trust]] | |||
[[Category:कुंजी प्रबंधन|Web Of Trust]] | |||
[[Category:पहचान प्रबंधन|Web Of Trust]] | |||
[[Category:प्रमाणीकरण|Web Of Trust]] | |||
[[Category:सार्वजनिक कुंजी अवसंरचना|Web Of Trust]] |
Latest revision as of 11:24, 19 January 2023
क्रिप्टोग्राफी में, विश्वास की एक वेब एक अवधारणा है जिसका उपयोग काफ़ी अच्छी गोपनीयता, जीएनयू प्राइवेसी गार्ड और अन्य ओपन-पीजीपी-संगत सिस्टम में सार्वजनिक कुंजी और उसके मास्टर के बीच बंधन के प्रमाणीकरण को स्थापित करने के लिए किया जाता है। इसका विकेन्द्रीकृत ट्रस्ट मीट्रिक, औपचारिक मेट्रिक्स एक सार्वजनिक कुंजी अवसंरचना (पीकेआई) के केंद्रीकृत ट्रस्ट मॉडल का एक विकल्प है, जो विशेष रूप से एक प्रमाणपत्र प्राधिकरण (या इस तरह के एक पदानुक्रम) पर निर्भर करता है।[1] जैसा कि संगणक नेटवर्क के साथ होता है, संभावना के कई स्वतंत्र वेब होते हैं, और कोई भी उपयोगकर्ता (अपने सार्वजनिक कुंजी प्रमाणपत्र के माध्यम से) कई वेब का एक भाग और उनके बीच एक कड़ी हो सकती है।
वेब ऑफ ट्रस्ट कॉन्सेप्ट को सबसे पहले 1992 में PGP क्रिएटर फिल ज़िम्मरमैन द्वारा PGP संस्करण 2.0 के मैनुअल में प्रस्तुत किया गया था:
जैसे-जैसे समय बीतता जाएगा, आप अन्य लोगों से चाबियां जमा करेंगे जिन्हें आप विश्वसनीय परिचयकर्ता के रूप में नामित करना चाहते हैं। सभी अपने स्वयं के भरोसेमंद परिचयकर्ताओं का चयन करेगा। और सभी धीरे-धीरे अपनी कुंजी के साथ अन्य लोगों से प्रमाणित हस्ताक्षरों का एक संग्रह जमा करेगा और वितरित करेगा, इस उम्मीद के साथ कि इसे प्राप्त करने वाला कोई भी व्यक्ति कम से कम एक या दो हस्ताक्षरों पर भरोसा करेगा। यह सभी सार्वजनिक चाबियों के लिए विकेंद्रीकृत दोष-सहिष्णु विश्वास वेब के उद्भव का कारण बनेगा।
इस संदर्भ में उद्भव शब्द के प्रयोग पर ध्यान दें। भरोसे का जाल उभरने की अवधारणा का उपयोग करता है।
भरोसे के जाल का संचालन
सभी ओपनपीजीपी-अनुरूप कार्यान्वयन में इसमें सहायता के लिए एक प्रमाणपत्र पुनरीक्षण योजना सम्मलित है; इसके संचालन को भरोसे का जाल कहा गया है। ओपन-पीजीपी प्रमाणपत्र (जिसमें मास्टर की जानकारी के साथ एक या अधिक सार्वजनिक कुंजियाँ सम्मलित हैं) को अन्य उपयोगकर्ताओं द्वारा डिजिटल रूप से हस्ताक्षरित किया जा सकता है, जो उस अधिनियम द्वारा, प्रमाणपत्र में सूचीबद्ध व्यक्ति या संस्था के साथ उस सार्वजनिक कुंजी के जुड़ाव का समर्थन करते हैं। यह सामान्यतः कुंजी हस्ताक्षर करने वाली पार्टी में किया जाता है।[2]
ओपनपीजीपी-अनुरूप कार्यान्वयन में एक वोट काउंटिंग योजना भी सम्मलित है जिसका उपयोग यह निर्धारित करने के लिए किया जा सकता है कि पीजीपी का उपयोग करते समय उपयोगकर्ता किस सार्वजनिक कुंजी-अधिकारी संघ पर भरोसा करेगा। उदाहरण के लिए, यदि तीन आंशिक रूप से भरोसेमंद एंडोर्सर्स ने एक सर्टिफिकेट के लिए प्रमाणित किया है (और इसलिए इसमें पब्लिक की - ओनर डेटा बाइंडिंग सम्मलित है) यदि एक पूरी तरह से भरोसेमंद एंडोर्सर ने ऐसा किया है, तो उस सर्टिफिकेट के मास्टर और पब्लिक के बीच संबंध पर भरोसा किया जाएगा। सही हो। पैरामीटर उपयोगकर्ता-समायोज्य हैं (उदाहरण के लिए, कोई आंशिक नहीं, या संभवतः छह आंशिक) और यदि वांछित हो तो पूरी तरह से बाईपास किया जा सकता है।
अधिकांश सार्वजनिक कुंजी अवसंरचना डिज़ाइनों के विपरीत, यह योजना लचीली है, और व्यक्तिगत उपयोगकर्ताओं के हाथों में भरोसे के फैसले छोड़ती है। यह सही नहीं है और उपयोगकर्ताओं द्वारा सावधानी और बुद्धिमान पर्यवेक्षण दोनों की आवश्यकता है। अनिवार्य रूप से सभी पीकेआई डिजाइन कम लचीले होते हैं और उपयोगकर्ताओं को पीकेआई जनरेट किए गए सर्टिफिकेट अथॉरिटी (सीए)-हस्ताक्षरित प्रमाणपत्रों के ट्रस्ट एंडोर्समेंट का पालन करने की आवश्यकता होती है।
सरलीकृत स्पष्टीकरण
एक व्यक्ति से संबंधित दो कुंजियाँ हैं: एक सार्वजनिक कुंजी जो सामान्यतः साझा की जाती है और एक निजी कुंजी जो अधिकारी द्वारा रोकी जाती है। अधिकारी की निजी कुंजी उसकी सार्वजनिक कुंजी से एन्क्रिप्ट की गई किसी भी जानकारी को डिक्रिप्ट करेगी। भरोसे के जाल में, प्रत्येक उपयोगकर्ता के पास अन्य लोगों की सार्वजनिक चाबियों के साथ एक चाबी का छल्ला होता है।
प्रेषक अपनी जानकारी को प्राप्तकर्ता की सार्वजनिक कुंजी से एन्क्रिप्ट करते हैं, और केवल प्राप्तकर्ता की निजी कुंजी इसे डिक्रिप्ट करेगी। प्रत्येक प्रेषक तब एन्क्रिप्टेड जानकारी को अपनी निजी कुंजी के साथ डिजिटल रूप से हस्ताक्षरित करता है। जब प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी के विरुद्ध प्राप्त एन्क्रिप्टेड जानकारी की पुष्टि करता है, तो वे पुष्टि कर सकते हैं कि यह प्रेषक की ओर से है। ऐसा करने से यह सुनिश्चित होगा कि एन्क्रिप्ट की गई जानकारी विशिष्ट उपयोगकर्ता से आई है और उसके साथ फेर बदल नहीं की गई है, और केवल इच्छित प्राप्तकर्ता ही जानकारी को डिक्रिप्ट कर सकता है (क्योंकि केवल वे ही अपनी निजी कुंजी जानते हैं)।
PKI के साथ तुलना करें
WOT के विपरीत, एक विशिष्ट X.509 PKI प्रत्येक प्रमाणपत्र को एक ही पार्टी द्वारा हस्ताक्षरित करने में सक्षम बनाता है: एक प्रमाणपत्र प्राधिकरण (CA)। CA का प्रमाणपत्र स्वयं एक भिन्न CA द्वारा हस्ताक्षरित हो सकता है, जो 'स्व-हस्ताक्षरित' मूल प्रमाणपत्र तक हो सकता है। रूट प्रमाणपत्र उन लोगों के लिए उपलब्ध होना चाहिए जो निचले स्तर के सीए प्रमाणपत्र का उपयोग करते हैं और इसलिए सामान्यतः व्यापक रूप से वितरित किए जाते हैं। उदाहरण के लिए, वे ब्राउज़र और ईमेल क्लाइंट जैसे एप्लिकेशन के साथ वितरित किए जाते हैं। इस तरह ट्रांसपोर्ट लेयर सिक्योरिटी|एसएसएल/टीएलएस-संरक्षित वेब पेज, ईमेल संदेश आदि को उपयोगकर्ताओं को मैन्युअल रूप से रूट प्रमाणपत्र स्थापित करने की आवश्यकता के बिना प्रमाणित किया जा सकता है। अनुप्रयोगों में सामान्यतः दर्जनों पीकेआई से सौ से अधिक रूट प्रमाणपत्र सम्मलित होते हैं, इस प्रकार डिफ़ॉल्ट रूप से उन प्रमाणपत्रों के पदानुक्रम में भरोसा प्रदान करते हैं जो उन्हें वापस ले जाते हैं।
WOT विफलता के एक बिंदु को CA पदानुक्रम से निष्कर्ष करने से रोकने के लिए ट्रस्ट एंकरों के विकेंद्रीकरण का समर्थन करता है।[3] एक उल्लेखनीय परियोजना जो इंटरनेट के अन्य क्षेत्रों में प्रमाणीकरण के लिए एक रूपरेखा प्रदान करने के लिए पीकेआई के विरुद्ध डब्ल्यूओटी का उपयोग करती है, वह है मंकीस्फीयर यूटिलिटीज।[4]
समस्याएं
निजी चाबियों की हानी
ट्रस्ट का ओपनपीजीपी वेब अनिवार्य रूप से कंपनी की विफलताओं जैसी चीजों से अप्रभावित है, और थोड़े बदलाव के साथ कार्य करना जारी रखा है। चूंकि, एक संबंधित समस्या उत्पन्न होती है: उपयोगकर्ता, चाहे व्यक्ति या संगठन, जो एक निजी कुंजी का ट्रैक खो देते हैं, अब ओपन-पीजीपी प्रमाणपत्र में मिलान वाली सार्वजनिक कुंजी का उपयोग करके उन्हें भेजे गए संदेशों को डिक्रिप्ट नहीं कर सकते हैं। प्रारंभिक पीजीपी प्रमाणपत्रों में समाप्ति तिथि सम्मलित नहीं थी, और उन प्रमाणपत्रों में असीमित जीवन था। उपयोगकर्ताओं को उस समय के विरुद्ध एक हस्ताक्षरित रद्दीकरण प्रमाणपत्र तैयार करना था जब मिलान करने वाली निजी कुंजी खो गई थी या निष्कर्ष किया गया था। एक बहुत ही प्रमुख क्रिप्टोग्राफर अभी भी एक सार्वजनिक कुंजी का उपयोग करके संदेशों को एन्क्रिप्ट कर रहा है, जिसके लिए वह बहुत पहले निजी कुंजी का ट्रैक खो चुका था।[5] वे उन संदेशों के साथ बहुत कुछ नहीं कर सकते हैं सिवाय प्रेषक को सूचित करने के बाद कि वे अपठनीय थे और एक सार्वजनिक कुंजी के साथ फिर से भेजने का अनुरोध करने के बाद उन्हें छोड़ दें जिसके लिए उनके पास अभी भी मिलान करने वाली निजी कुंजी है। बाद में पीजीपी, और सभी ओपनपीजीपी अनुपालन प्रमाणपत्रों में समाप्ति तिथियां सम्मलित होती हैं जो समझदारी से उपयोग किए जाने पर स्वचालित रूप से ऐसी परेशानियों (अंततः) को रोकती हैं। 1990 के दशक के प्रारंभ में प्रस्तुत किए गए नामित रिवोकर्स के उपयोग से भी इस समस्या से आसानी से बचा जा सकता है। एक कुंजी अधिकारी किसी तीसरे पक्ष को वर्णित कर सकता है जिसके पास कुंजी अधिकारी की कुंजी को रद्द करने की अनुमति है (यदि कुंजी अधिकारी अपनी निजी कुंजी खो देता है और इस प्रकार अपनी स्वयं की सार्वजनिक कुंजी को रद्द करने की क्षमता खो देता है)।
सार्वजनिक कुंजी प्रामाणिकता जांच
ट्रस्ट के वेब के साथ एक गैर-तकनीकी, सामाजिक कठिनाई जैसे कि पीजीपी/ओपनपीजीपी प्रकार के सिस्टम में निर्मित एक केंद्रीय नियंत्रक के बिना ट्रस्ट का प्रत्येक वेब (जैसे, एक प्रमाणपत्र प्राधिकरण) भरोसे के लिए अन्य उपयोगकर्ताओं पर निर्भर करता है। जिनके पास नए प्रमाणपत्र हैं (अर्थात, एक नई कुंजी जोड़ी उत्पन्न करने की प्रक्रिया में उत्पादित) अन्य उपयोगकर्ताओं के सिस्टम द्वारा आसानी से भरोसा नहीं किया जाएगा, अर्थात उनके द्वारा वे व्यक्तिगत रूप से नहीं मिले हैं, जब तक कि उन्हें नए प्रमाणपत्र के लिए पर्याप्त समर्थन नहीं मिल जाता। ऐसा इसलिए है क्योंकि वेब ऑफ ट्रस्ट के कई अन्य उपयोगकर्ताओं के पास अपने प्रमाणपत्र पुनरीक्षण सेट होंगे इसलिये संदेशों को तैयार करने के लिए उस प्रमाणपत्र में सार्वजनिक कुंजी का उपयोग करने से पहले अन्यथा अज्ञात प्रमाणपत्र (या संभवतः कई आंशिक एंडोर्सर्स) के एक या अधिक पूर्ण विश्वसनीय एंडोर्सर्स की आवश्यकता हो, हस्ताक्षर पर भरोसा करें, आदि।
ओपनपीजीपी अनुपालन प्रणालियों के व्यापक उपयोग और ऑन-लाइन एकाधिक कुंजी सर्वर (क्रिप्टोग्राफ़िक) की आसान उपलब्धता के अतिरिक्त , व्यवहार में यह संभव है कि किसी नए प्रमाणपत्र का समर्थन करने के लिए किसी (या कई लोगों) को सरलता से ढूंढने में असमर्थ हो (उदाहरण के लिए, तुलना करके) कुंजी अधिकारी की जानकारी के लिए भौतिक पहचान और फिर नए प्रमाणपत्र पर डिजिटल हस्ताक्षर)। उदाहरण के लिए, दूरस्थ क्षेत्रों या अविकसित क्षेत्रों में उपयोगकर्ता अन्य उपयोगकर्ताओं को दुर्लभ पा सकते हैं। और, यदि दूसरे का प्रमाणपत्र भी नया है (और दूसरों से कोई या कुछ समर्थन नहीं है), तो किसी भी नए प्रमाणपत्र पर उसके हस्ताक्षर अन्य पार्टियों के सिस्टम द्वारा भरोसेमंद बनने की दिशा में केवल साधारण लाभ प्रदान कर सकते हैं और इस तरह उनके साथ सुरक्षित रूप से संदेशों का आदान-प्रदान कर सकते हैं। कुंजी हस्ताक्षर करने वाली पार्टी अन्य उपयोगकर्ताओं को खोजने की इस समस्या को हल करने के लिए एक अपेक्षाकृत लोकप्रिय तंत्र है जो किसी के प्रमाण पत्र को भरोसे के उपस्थित वेब में स्थापित कर सकता है। की-साइनिंग की व्यवस्था करने के लिए अन्य ओपन-पीजीपी उपयोगकर्ताओं के स्थान की सुविधा के लिए वेबसाइटें भी स्थित हैं। Gossamer स्पाइडर वेब ऑफ ट्रस्ट भी ओपन-पीजीपी उपयोगकर्ताओं को ट्रस्ट के एक वर्गीकृत शैली वेब के माध्यम से लिंक करके प्रमुख सत्यापन को सरल बनाता है जहां अंतिम उपयोगकर्ता किसी ऐसे व्यक्ति के संयोग या निर्धारित भरोसे से लाभान्वित हो सकते हैं जो एक के रूप में समर्थित है। परिचयकर्ता, या स्पष्ट रूप से GSWoT की शीर्ष-स्तरीय कुंजी पर स्तर 2 परिचयकर्ता के रूप में न्यूनतम भरोसा करके (शीर्ष-स्तर कुंजी स्तर 1 परिचयकर्ता का समर्थन करती है)।
प्रमाणपत्रों की श्रृंखलाओं को खोजने की संभावना को प्रायः छोटी दुनिया की घटना द्वारा उचित ठहराया जाता है: दो व्यक्तियों को दिए जाने पर, प्रायः उनके बीच लोगों की एक छोटी श्रृंखला का पता लगाना संभव होता है, इसलिये श्रृंखला में प्रत्येक व्यक्ति पूर्ववर्ती और निम्नलिखित लिंक को जानता हो। चूंकि, ऐसी श्रृंखला आवश्यक रूप से उपयोगी नहीं है: ईमेल को एन्क्रिप्ट करने वाले या हस्ताक्षर को सत्यापित करने वाले व्यक्ति को न केवल अपनी निजी कुंजी से अपने संवाददाता की हस्ताक्षर की एक श्रृंखला ढूंढनी होगी, किन्तु श्रृंखला के प्रत्येक व्यक्ति को ईमानदार और सक्षम होने पर भरोसा करना होगा। साइनिंग कीज़ के बारे में (अर्थात्, उन्हें यह निर्णय करना होगा कि क्या इन लोगों द्वारा चाबियों पर हस्ताक्षर करने से पहले लोगों की पहचान सत्यापित करने के बारे में दिशानिर्देशों का ईमानदारी से पालन करने की संभावना है)। यह एक स्थायी बाधा है।
एक और बाधा किसी सार्वजनिक कुंजी और ईमेल पते की पहचान और अधिकार को सत्यापित करने के लिए किसी के साथ शारीरिक रूप से मिलने की आवश्यकता है (उदाहरण के लिए, एक कुंजी हस्ताक्षर करने वाली पार्टी में), जिसमें दोनों पक्षों को प्रभावित करने वाले यात्रा व्यय और शेड्यूलिंग बाधाएं सम्मलित हो सकती हैं। एक सॉफ्टवेयर उपयोगकर्ता को दुनिया भर में स्थित हजारों डेवलपर्स द्वारा निर्मित सैकड़ों सॉफ्टवेयर घटकों को सत्यापित करने की आवश्यकता हो सकती है। जैसा कि सॉफ्टवेयर उपयोगकर्ताओं की सामान्य विकास प्रत्यक्ष भरोसा स्थापित करने के लिए सभी सॉफ्टवेयर डेवलपर्स के साथ व्यक्तिगत रूप से नहीं मिल सकती है, इसके अतिरिक्त उन्हें अप्रत्यक्ष भरोसा के तुलनात्मक रूप से धीमे प्रसार पर भरोसा करना चाहिए।[citation needed]
सार्वजनिक कुंजी सर्वर से किसी लेखक (या डेवलपर, प्रकाशक, आदि) की PGP/GPG कुंजी प्राप्त करना भी हानि प्रस्तुत करता है, क्योंकि कुंजी सर्वर एक तृतीय-पक्ष मैन-इन-द-बीच हमला|मध्य-पुरुष, स्वयं है दुर्व्यवहार या प्रहारों के प्रति संवेदनशील। इस हानि से बचने के लिए, एक लेखक इसके अतिरिक्त अपनी सार्वजनिक कुंजी को अपने प्रमुख सर्वर पर प्रकाशित करना चुन सकता है (अर्थात, एक वेब सर्वर जो उनके अधिकार वाले डोमेन नाम के माध्यम से सुलभ है, और सुरक्षित रूप से उनके निजी कार्यालय या घर में स्थित है) और इसके उपयोग की आवश्यकता है उनकी सार्वजनिक कुंजी के प्रसारण के लिए HKPS-एन्क्रिप्टेड संपर्क। विवरण के लिए, नीचे #WOT सहायक समाधान देखें।
स्ट्रोंग सेट
स्ट्रोंग सेट ओपनपीजीपी कुंजियों के दृढ़ता से जुड़े सबसे बड़े संग्रह को संदर्भित करता है।[6] यह भरोसे के सार्वभौमिक वेब का आधार बनता है। स्ट्रोंग सेट में किन्हीं भी दो चाबियों के बीच एक रास्ता होता है; जबकि चाबियों के सेट के द्वीप जो डिस्कनेक्ट किए गए समूह में केवल एक दूसरे पर हस्ताक्षर कर सकते हैं और उपस्थित हो सकते हैं, उस समूह के केवल एक सदस्य को उस समूह के लिए स्ट्रोंग सेट के साथ हस्ताक्षर का आदान-प्रदान करने की आवश्यकता होती है किंतु वह स्ट्रोंग सेट का भाग बन सके।[7] वर्ष 2015 के प्रारंभ में स्ट्रोंग सेट का आकार लगभग 55000 चाबियों का था।[8]
मीन शॉर्टेस्ट डिस्टेंस
प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड/ओपनपीजीपी वेब ऑफ ट्रस्ट के सांख्यिकीय विश्लेषण में मीन शॉर्टेस्ट डिस्टेंस (MSD) इस बात का एक माप है कि दी गई पीजीपी कुंजी, पीजीपी कुंजी के दृढ़ता से जुड़े सेट के भीतर कितनी भरोसेमंद है जो भरोसे का वेब बनाती है। .
MSD, PGP कुंजी के सेट के विश्लेषण के लिए एक सामान्य मीट्रिक बन गया है। कई बार आप MSD को कुंजियों के दिए गए सबसेट के लिए गणना करते हुए देखेंगे और इसकी तुलना ग्लोबल MSD से की जाएगी, जो सामान्यतः सार्वभौमिक वेब ऑफ ट्रस्ट के बड़े प्रमुख विश्लेषणों में से एक के भीतर की रैंकिंग को संदर्भित करता है।
WOT सहायक समाधान
मूल डेवलपर या लेखक के साथ शारीरिक रूप से मिलना हमेशा उच्चतम भरोसा स्तर के साथ PGP/GPG कुंजियों को प्राप्त करने और वितरित करने और सत्यापित करने और भरोसा करने का सबसे अच्छा उपाय है, और सर्वोत्तम भरोसेमंद उपाय का सर्वोत्तम स्तर बना रहेगा। मूल लेखक/डेवलपर द्वारा व्यापक रूप से ज्ञात (भौतिक/पेपर-सामग्री आधारित) पुस्तक पर GPG/PGP पूर्ण कुंजी या पूर्ण कुंजी फ़िंगरप्रिंट का प्रकाशन, उपयोगकर्ताओं के साथ और उनके लिए भरोसेमंद कुंजी साझा करने का दूसरा सबसे अच्छा उपाय है। किसी डेवलपर या लेखक से मिलने से पहले, उपयोगकर्ताओं को पुस्तक पुस्तकालय में और इंटरनेट के माध्यम से डेवलपर या लेखक पर स्वयं शोध करना चाहिए, और डेवलपर या लेखक की फोटो, कार्य, पब-कुंजी फिंगरप्रिंट, ईमेल-पता आदि के बारे में पता होना चाहिए।
चूंकि, यह उन लाखों उपयोगकर्ताओं के लिए व्यावहारिक नहीं है जो प्रत्येक प्राप्तकर्ता उपयोगकर्ता के साथ शारीरिक रूप से मिलने के लिए सुरक्षित रूप से संवाद या संदेश देना चाहते हैं, और यह उन लाखों सॉफ़्टवेयर उपयोगकर्ताओं के लिए भी व्यावहारिक नहीं है, जिन्हें सैकड़ों सॉफ़्टवेयर डेवलपर्स या लेखकों से शारीरिक रूप से मिलने की आवश्यकता है, जिनके सॉफ्टवेयर या फाइल साइनिंग प्रिटी गुड प्राइवेसी/जीएनयू प्राइवेसी गार्ड पब्लिक की जिसे वे सत्यापित और भरोसा करना चाहते हैं और अंततः अपने संगणक में उपयोग करते हैं। इसलिए, एक या अधिक विश्वसनीय तृतीय पक्ष | विश्वसनीय तृतीय-पक्ष प्राधिकरण (TTPA) प्रकार की इकाई या समूह को उपयोगकर्ताओं के लिए उपलब्ध होना चाहिए और उपयोगकर्ताओं द्वारा उपयोग करने योग्य होना चाहिए, और ऐसी इकाई/समूह को भरोसेमंद -प्रमाणीकरण#Digital प्रदान करने में सक्षम होना चाहिए किसी भी समय दुनिया भर के लाखों उपयोगकर्ताओं के लिए प्रमाणीकरण या भरोसा -प्रतिनिधिमंडल (संगणक सुरक्षा) सेवाएं।
व्यावहारिक रूप से, किसी भी डाउनलोड या प्राप्त सामग्री या डेटा या ईमेल या फ़ाइल के संदेश प्रमाणीकरण को सत्यापित करने के लिए, उपयोगकर्ता को अपनी डाउनलोड की गई मुख्य सामग्री या मुख्य डेटा/ईमेल या मुख्य फ़ाइल के PGP/GPG डिजिटल हस्ताक्षर कोड/फ़ाइल (ASC, SIG) को सत्यापित करने की आवश्यकता होती है। इसलिए उपयोगकर्ताओं को मूल डेवलपर या मूल लेखक की भरोसेमंद और सत्यापित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी, या उपयोगकर्ताओं को उस सार्वजनिक-कुंजी के मूल अधिकारी द्वारा भरोसेमंद फ़ाइल-हस्ताक्षरित सार्वजनिक-कुंजी का उपयोग करने की आवश्यकता होगी। और वास्तव में एक विशिष्ट PGP/GPG कुंजी पर भरोसा करने के लिए, उपयोगकर्ताओं को भौतिक रूप से प्रत्येक विशिष्ट मूल लेखक या डेवलपर से मिलने की आवश्यकता होगी, या उपयोगकर्ताओं को फ़ाइल-हस्ताक्षर पब-कुंजी के मूल-रिलीज़र के साथ भौतिक रूप से मिलने की आवश्यकता होगी, या, उपयोगकर्ताओं को इसकी आवश्यकता होगी एक अन्य वैकल्पिक भरोसेमंद उपयोगकर्ता को खोजने के लिए, जो WOT की भरोसेमंद-श्रृंखला में है (अतः, अन्य उपयोगकर्ता या अन्य डेवलपर या अन्य लेखक, जिस पर उस विशिष्ट मूल लेखक या डेवलपर द्वारा भरोसा किया जाता है), और फिर सत्यापित करने के लिए उस व्यक्ति से भौतिक रूप से मिलते हैं उसकी/उसकी पीजीपी/जीपीजी कुंजी के साथ उनकी वास्तविक आईडी (और दूसरे उपयोगकर्ता को अपनी स्वयं की आईडी और कुंजी भी प्रदान करें, इस कारण दोनों पक्ष एक-दूसरे की पीजीपी/जीपीजी कुंजी पर हस्ताक्षर/प्रमाणन और भरोसा कर सकें)। कोई सॉफ़्टवेयर लोकप्रिय है या नहीं, सॉफ़्टवेयर उपयोगकर्ता सामान्यतः दुनिया भर में विभिन्न स्थानों पर स्थित होते हैं। लाखों उपयोगकर्ताओं को सार्वजनिक कुंजी या ट्रस्ट या आईडी सत्यापन सेवाएं प्रदान करना मूल लेखक या डेवलपर या फ़ाइल-रिलीज़र के लिए भौतिक रूप से संभव नहीं है। न ही लाखों सॉफ्टवेयर उपयोगकर्ताओं के लिए प्रत्येक सॉफ्टवेयर या प्रत्येक सॉफ्टवेयर-लाइब्रेरी या कोड के डेवलपर या लेखक या रिलीजर के प्रत्येक टुकड़े से शारीरिक रूप से मिलना व्यावहारिक है, जिसे वे अपने संगणक में उपयोग (उपयोग या) करने की आवश्यकता होगी। यहां तक कि WOT की भरोसेमंद -श्रृंखला में कई भरोसेमंद लोगों/व्यक्ति (मूल-लेखक द्वारा) के साथ, यह अभी भी भौतिक या व्यावहारिक रूप से प्रत्येक डेवलपर या लेखक के लिए अन्य सभी उपयोगकर्ताओं से मिलना संभव नहीं है, और यह भी संभव नहीं है कि प्रत्येक उपयोगकर्ता मिलें सैकड़ों डेवलपर्स के साथ जिनके सॉफ्टवेयर का वे उपयोग कर रहे होंगे या उन पर काम कर रहे होंगे। जब यह विकेन्द्रीकृत पदानुक्रम आधारित WoT श्रृंखला मॉडल लोकप्रिय हो जाएगा और अधिकांश आस-पास के उपयोगकर्ताओं द्वारा उपयोग किया जाएगा, तभी भौतिक बैठक और pub-key प्रमाणन और WoT की हस्ताक्षर प्रक्रिया आसान हो जाएगी।
कुछ समाधान हैं: मूल लेखक/डेवलपर को अपनी स्वयं की फ़ाइल-हस्ताक्षर कुंजी पर हस्ताक्षर/प्रमाणित करने के लिए पहले एक भरोसा-स्तर सेट करने की आवश्यकता होती है। फिर अद्यतन सार्वजनिक-कुंजियाँ और अद्यतन फ़ाइल-हस्ताक्षर करने वाली सार्वजनिक-कुंजियाँ भी प्रकाशित और वितरित की जानी चाहिए (या accessible) उपयोगकर्ताओं के लिए, ऑनलाइन सुरक्षित और एन्क्रिप्टेड माध्यमों के माध्यम से, इस कारण दुनिया के किसी भी स्थान से कोई भी उपयोगकर्ता सही और भरोसेमंद और असंशोधित सार्वजनिक-कुंजी प्राप्त कर सके। यह सुनिश्चित करने के लिए कि प्रत्येक उपयोगकर्ता को सही और भरोसेमंद सार्वजनिक-कुंजियाँ और हस्ताक्षरित-कोड/फ़ाइल मिल रही है, मूल देव/लेखक या मूल-रिलीज़र को अपनी अद्यतन सार्वजनिक-कुंजियाँ अपने स्वयं के कुंजी सर्वर (क्रिप्टोग्राफ़िक) पर प्रकाशित करनी चाहिए और HKPS एन्क्रिप्टेड संपर्क को बाध्य करना चाहिए उपयोग, या अपने स्वयं के HTTPS एन्क्रिप्टेड वेबपेज पर, अपने स्वयं के प्राथमिक डोमेन वेबसाइट से, अपने स्वयं के वेब सर्वर के अधीन, अपनी अद्यतन और पूर्ण सार्वजनिक-कुंजियाँ (और हस्ताक्षरित-कोड/फ़ाइल) प्रकाशित करें, (किसी भी उप-डोमेन से नहीं जो स्थित हैं) बाहरी-सर्वर में, किसी मिरर से नहीं, किसी बाहरी/साझा फ़ोरम/विकी आदि वेबसाइट सर्वर से नहीं, किसी सार्वजनिक या बाहरी/साझा क्लाउड या होस्टिंग सर्विस सर्वर से नहीं), और सुरक्षित रूप से स्थित और रखा जाना चाहिए अपने स्वयं के परिसर के अंदर: अपना-घर, अपना-घर-कार्यालय, या अपना-कार्यालय। इस प्रकार, मूल कुंजी/कोड के वे छोटे टुकड़े, इंटरनेट के माध्यम से अक्षुण्ण यात्रा करेंगे और पारगमन (एन्क्रिप्टेड संपर्क के कारण) के दौरान असंशोधित रहेंगे और उपयोगकर्ता के पक्ष में छिपकर या संशोधित किए बिना गंतव्य तक पहुंच जाएंगे, और उन्हें भरोसेमंद माना जा सकता है सार्वजनिक कुंजी एकल या बहु चैनल TTPA आधारित सत्यापन के कारण। जब एक से अधिक भरोसेमंद तृतीय पक्ष (भरोसेमंद तृतीय पक्ष प्राधिकरण) आधारित सुरक्षित, सत्यापित और एन्क्रिप्टेड संपर्क के माध्यम से एक सार्वजनिक-कुंजी (मूल डेवलपर के अपने वेब-सर्वर से) प्राप्त की जाती है, तो यह अधिक भरोसेमंद है।
जब मूल सार्वजनिक-कुंजी/हस्ताक्षरित-कोड मूल देव या लेखक के स्वयं के वेब सर्वर या कुंजी सर्वर में एन्क्रिप्टेड संपर्क या एन्क्रिप्टेड वेबपेज पर दिखाए जाते हैं, तो किसी भी अन्य फाइल, डेटा या सामग्री को किसी भी प्रकार के गैर-एन्क्रिप्टेड संपर्क पर स्थानांतरित किया जा सकता है, जैसे: HTTP/FTP आदि किसी भी सब-डोमेन सर्वर से या किसी मिरर से या किसी साझा क्लाउड/होस्टिंग सर्वर से, क्योंकि, गैर-एन्क्रिप्टेड संपर्क आधारित डाउनलोड किए गए आइटम/डेटा/फाइलों को मूल सार्वजनिक-कुंजियों का उपयोग करके बाद में प्रमाणित किया जा सकता है। /हस्ताक्षरित-कोड, जो मूल लेखक/डेवलपर के अपने सर्वर से सुरक्षित, एन्क्रिप्टेड और विश्वसनीय (उर्फ, सत्यापित) संपर्क/चैनलों पर प्राप्त किए गए थे।
कुंजियों या हस्ताक्षरित/हस्ताक्षर कोड/फ़ाइलों को स्थानांतरित करने के लिए एन्क्रिप्टेड संपर्क का उपयोग करके, सॉफ़्टवेयर उपयोगकर्ताओं को सार्वजनिक कुंजी क्रिप्टोग्राफी भरोसेमंद तृतीय पक्ष (भरोसेमंद तृतीय पक्ष प्राधिकरण), जैसे सार्वजनिक प्रमाणपत्र प्राधिकरण (प्रमाणपत्र प्राधिकरण) के साथ अपना भरोसा सौंपने की अनुमति दें, प्रदान करने में सहायता करने के लिए किसी भी समय मूल डेवलपर/लेखक के वेब सर्वर और दुनिया भर के लाखों उपयोगकर्ताओं के संगणक के बीच भरोसेमंद संपर्क।
जब मूल लेखक/डेवलपर के डोमेन-नाम और नाम-सर्वर पर डोमेन नेम सिस्टम सिक्योरिटी एक्सटेंशन द्वारा हस्ताक्षर किए जाते हैं, और जब ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग किया जाता है। संसाधन-रिकॉर्ड, (और जब ट्रस्ट श्रृंखला में एसएसएल/टीएलएस प्रमाणपत्र पिन किए जाते हैं और वेब सर्वर द्वारा HTTP सार्वजनिक कुंजी पिनिंग तकनीक के माध्यम से उपयोग किए जाते हैं), तो वेब-सर्वर के वेबपेज या डेटा को किसी अन्य पीकेआई भरोसेमंद तृतीय पक्ष के माध्यम से भी सत्यापित किया जा सकता है: डीएनएसएसईसी और डीएनएस नेमस्पेस मेंटेनर आईसीएएनएन, सार्वजनिक सीए के अतिरिक्त। डीएनएसएसईसी पीजीपी/जीपीजी डब्ल्यूओटी का दूसरा रूप है किंतु नाम-सर्वरों के लिए; यह पहले (लोगों/व्यक्ति के अतिरिक्त) नाम-सर्वरों के लिए एक भरोसेमंद-श्रृंखला बनाता है, और फिर लोगों/व्यक्ति की PGP/GPG कुंजियों और फ़िंगरप्रिंट को भी सर्वर के DNSSEC DNS रिकॉर्ड में जोड़ा जा सकता है। तो कोई भी उपयोगकर्ता जो सुरक्षित रूप से संवाद करना चाहता है (या कोई सॉफ़्टवेयर उपयोगकर्ता), दो (अतः, दोहरी/डबल) भरोसेमंद पीकेआई TTPA/चैनलों के माध्यम से अपने डेटा/कुंजी/कोड/वेबपेज आदि को प्रभावी ढंग से सत्यापित (उर्फ, प्रमाणित) प्राप्त/प्राप्त कर सकता है। एक ही समय में: ICANN (DNSSEC) और प्रमाणपत्र प्राधिकरण (सार्वजनिक कुंजी प्रमाणपत्र|SSL/TLS प्रमाणपत्र)। इसलिए PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा (या फ़ाइल) पर भरोसा किया जा सकता है, जब ऐसे समाधान और तकनीकों का उपयोग किया जाता है: HKPS, HKPS+DNSSEC+DANE, HTTPS, HTTPS+HPKP या HTTPS+HPKP+DNSSEC+DANE।
यदि एक विशाल एनउपयोगकर्ता के समूह की संख्या अपना स्वयं का नया डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन बनाती है DNSSEC लुकसाइड सत्यापन - ऐतिहासिक आधारित DNSSEC डोमेन नाम रजिस्ट्री, और यदि उपयोगकर्ता अपने स्वयं के स्थानीय DNSSEC-आधारित DNS में नए DLV (ICANN-DNSSEC के साथ) रूट-की का उपयोग करते हैं रिज़ॉल्वर/सर्वर, और यदि डोमेन-धारक भी इसका उपयोग अपने स्वयं के डोमेन-नामों के अतिरिक्त हस्ताक्षर के लिए करते हैं, तो एक नया तीसरा TTPA हो सकता है। ऐसे कार्य में, कोई भी PGP/GPG कुंजी/हस्ताक्षरित-कोड डेटा या वेबपेज या वेब डेटा तीन/ट्रिपल-चैनल सत्यापित हो सकता है। इंटरनेट सिस्टम कंसोर्टियम के डीएलवी को तीसरे TTPA के रूप में उपयोग किया जा सकता है क्योंकि यह अभी भी व्यापक रूप से और सक्रिय रूप से उपयोग किया जाता है, इसलिए एक और नए डीएलवी की उपलब्धता चौथा TTPA बन जाएगी।
यह भी देखें
- दोस्त-से-दोस्त (F2F) संगणक नेटवर्क।
- स्व-संप्रभु पहचान
- स्वराज्य पहचान ने कई साल पहले OpenPGP कुंजियों पर हस्ताक्षर करना बंद कर दिया था[when?] और अब केवल X.509 प्रमाणपत्र जारी करता है।
- आभासी समुदाय
संदर्भ
- ↑ Chien, Hung-Yu (2021-08-19). "फॉरवर्ड सेक्रेसी के साथ गतिशील सार्वजनिक कुंजी प्रमाणपत्र". Electronics (in English). 10 (16): 2009. doi:10.3390/electronics10162009. ISSN 2079-9292.
- ↑ Ulrich, Alexander; Holz, Ralph; Hauck, Peter; Carle, Georg (2011). Atluri, Vijay; Diaz, Claudia (eds.). "ट्रस्ट के ओपनपीजीपी वेब की जांच". Computer Security – ESORICS 2011. Lecture Notes in Computer Science (in English). Berlin, Heidelberg: Springer. 6879: 489–507. doi:10.1007/978-3-642-23822-2_27. ISBN 978-3-642-23822-2.
- ↑ Nightingale, Johnathan. "कपटपूर्ण *.google.com प्रमाणपत्र". Retrieved 29 August 2011.
- ↑ "द मंकीस्फेयर प्रोजेक्ट". Retrieved 13 December 2016.
- ↑ Ferguson, Niels; Schneier, Bruce (2003). प्रैक्टिकल क्रिप्टोग्राफी. Wiley. p. 333. ISBN 978-0471223573.
ब्रूस ने लगभग एक दशक पहले एक PGP कुंजी खो दी थी; वह अभी भी संबंधित प्रमाणपत्र के साथ एन्क्रिप्टेड ईमेल प्राप्त करता है।
- ↑ Penning, Henk. "apache.org वेब ऑफ ट्रस्ट पर". Archived from the original on 2 March 2013. Retrieved 13 December 2013.
- ↑ Streib, M. Drew. "इस कीरिंग विश्लेषण की व्याख्या". Archived from the original on 3 February 2009. Retrieved 13 December 2013.
- ↑ Penning, Henk P. "ट्रस्ट के पीजीपी वेब में मजबूत सेट का विश्लेषण". Retrieved 8 January 2015.
अग्रिम पठन
- Ferguson, Niels; Bruce Schneier (2003). Practical Cryptography. John Wiley & Sons. ISBN 0-471-22357-3.
बाहरी संबंध
- An explanation of the PGP Web of Trust
- analysis of the strong set in the PGP web of trust, no longer maintained; last archived link from August 2020.