Was ist das Web of Trust ?
In einer Schulung ging es kurzzeitig um den Begriff Web of Trust. Die Rede war von einem Firefox Plugin.
Ich kenne und kannte den Begriff aber in anderem Zusammenhang.
Was ist das Web of Trust ?
Aber Was ist das Web of Trust ?
Ich kenne es als ein alternatives Konzept zur CA Certifacted Authority, also zu einer Authentifizierung gegen eine zentrale Stelle, von der man pauschal davon ausgeht, dass man dieser vertrauen kann.
Hier muss ich etwas ausholen
Es ist eine weithin bekannte Sache, dass im Internet verschlüsselte Verbindungen mit SSL und deren Zertifikaten durchgeführt werden. Weit weniger bekannt ist die Tatsache, dass eine so dargestellte Sicherheit nicht mehr als eine Illusion ist. Es ist in der Vergangenheit nicht nur einmal passiert, dass eine CA Certifacted Authority durch Unbekannte eingenommen/übernommen wurde.
.
Die Folge davon ist, dass der Unbekannte sich RootZertifikate als CA ausstellen kann und somit eine Illusion eines sicheren Stammzertifikates erzeugen kann. Jene die diesem Stammzertifikat vertrauen und ihre Zertifkate auf diesem Vertrauen erstellen, haben im Grunde keine Möglichkeit festzustellen, ob sich dieser Unbekannte in seine Verbindungen einklinkt. Eine Sicherheit wäre es nur dann, wenn eine Unsicherheit ausgeschlossen ist.
…und genau das ist nicht der Fall.
Das Web of Trust als Konzept ging nicht, anstatt einer bzw. mehrer zentraler CA, davon aus, dass die Authorisierung von Verbindungen, sondern durch nicht beteiligte Nutzer erfolgt.
Das heißt z.B
- Bob möchte ein Verbindung zu Alice.
- Bob kennt Alice nicht und umgekehrt kennt Alice Bob nicht.
- George kennt Bob und vertraut ihm. Henry kennt Alice und vertraut ihr und da Henry und George sich ebenfalls kennen und vertrauen, können Sie ruhigen Gewissens auch die Verbindung von Alice zu George und von ihm zu Bob vertrauen.
Das Konzept oder dieser Ansatz beantwortet die Frage, was ist das Web of Trust ?
Es basiert im Wesentlichen nicht auf einem zentralen Ansatz mit einer Baumstruktur, sondern dezentral auf das Vertrauen bereits bestehender Beziehungen.
Es ist für mich auch weniger wichtig, ob der Browserhersteller dem Zertifikatsaussteller vertraut und ihn auf seine WhiteList setzt, wichtiger ist für mich einzig und allein, ob ich mit meinem Gegenüber eine a(bhör)sichere Verbindung herstellen kann oder nicht.
Nachdem Aufspüren der Lücke in OpenSSL vertraue ich hier eher niemanden mehr.