Mạng lưới tín nhiệm

Tất cả các hệ thống tuân theo OpenPGP đều quy định cách thức để xem xét các chứng thực. Các chứng thực thường được chính người dùng tạo ra cho mình (thông qua phần mềm máy khách) và sẽ được ký xác nhận bởi những người dùng khác nếu họ biết được rằng mối quan hệ giữa khóa công khai và định danh người dùng trong chứng thực là đúng. Thông thường việc ký xác nhận được tiến hành trong các buổi ký xác nhận khóa (key signing party).

Các hệ thống tuân theo OpenPGP còn bao gồm các cơ chế để người dùng quyết định sự tin tưởng vào thông tin trong một chứng thực. Chẳng hạn người dùng sẽ tin vào một chứng thực khi chứng thực đó có tối thiểu 3 xác nhận bán phần hoặc 1 xác nhận toàn phần. Các quy định này thông thường có thể thay đổi và thậm chí có thể được bỏ qua.

Các cơ chế mạng lưới tin cậy rất mềm dẻo và việc quyết định hoàn toàn phụ thuộc vào từng người sử dụng. Vì thế chúng không hoàn hảo và cần được giám sát thường xuyên bởi chính những người sử dụng. Các hệ thống hạ tầng khóa công khai trung tâm thì trái lại. Chúng kém mềm dẻo và người dùng bắt buộc phải tuân theo những quy định của nhà cung cấp chứng thực số trung tâm. Các hệ thống này cũng không hoàn hảo và người dùng vẫn cần phải thận trọng khi sử dụng.

Trong mô hình PKI theo tiêu chuẩn X.509 thì mỗi chứng thực chỉ được ký bởi một thực thể duy nhất là nhà cung cấp chứng thực số (CA). Chứng thực của CA này có thể lại được ký bởi một nhà cung cấp chứng thực số khác cho tới CA cấp cao nhất (tự xác nhận - root CA). Do đó, các chứng thực gốc phải được phân phối rộng rãi và đảm bảo sẵn sàng bất cứ khi nào cần đến. Một cách phân phối đã được sử dụng là thông qua các trình duyệt và chương trình email máy khách. Bằng cách này, các trang web dùng giao thức SSL/TLS hay các email có thể được chứng thực mà người dùng không cần phải cài đặt các chứng thực gốc. Ngày nay, nhiều ứng dụng đã được cài sẵn hàng trăm chứng thực gốc của nhiều nhà cung cấp PKI khác nhau để có thể tự động nhận dạng phần lớn các chứng thực. Tuy nhiên trong số các chứng thực gốc được cài sẵn, một số lại thuộc về các công ty đã ngừng hoạt động (trong thời kỳ bong bóng đầu tư dot.com chẳng hạn). Vì thế trừ trường hợp các PKI này vẫn được quản lý tốt thì các PKI gốc đó không nên được sử dụng.

Mạng lưới tín nhiệm sẽ không bị ảnh hưởng đáng kể khi một công ty nào đó ngừng hoạt động. Tuy nhiên cũng có nhiều vấn đề nảy sinh trong cách hoạt động của hệ thống. Nếu một người dùng nào đó (cá nhân hoặc tổ chức) bị mất khóa bí mật thì không thể giải mã được các thông tin gửi đến sử dụng khóa công khai trong chứng thực của mình. Trong trường hợp này người nhận chỉ có thể hủy các thông điệp nhận được và thông báo lại cho bên gửi để gửi lại với khóa công khai khác. Các chứng thực PGP thời kỳ đầu hoàn toàn không có thời gian sử dụng. Các phiên bản PGP về sau và các hệ thống dựa trên OpenPGP đều đã đưa thêm thời gian sử dụng vào trong chứng thực. Việc này đã loại bỏ được một số vấn đề khi được sử dụng hợp lý.

Do mạng lưới tín nhiệm không có thực thể đóng vai trò điều khiển trung tâm, một vấn đề khác nảy sinh liên quan đến khía cạnh xã hội của hệ thống. Phần lớn người sử dụng hệ thống sẽ chỉ tin tưởng vào những chứng thực đã được xác nhận bởi một hoặc nhiều người sử dụng khác. Vì thế một người sử dụng mới sẽ không được những người khác tin tưởng cho đến khi có một người sử dụng nào đó xác nhận vào chứng thực mà quá trình này nhiều khi đòi hỏi có sự gặp mặt trực tiếp. Điều này càng đặc biệt khó khăn cho những người sử dụng ở những vùng hẻo lánh hoặc kém phát triển vì mật độ người sử dụng ở những nơi này rất thấp. Một điều nữa cần chú ý là nếu người ký vào chứng thực cũng là người sử dụng mới hoặc không được nhiều người biết đến thì chữ ký của họ cũng sẽ có ít giá trị. Các buổi ký xác nhận khóa là một cơ chế tương đối mới để giải quyết vấn đề này. Tại những buổi như vậy, người dùng có cơ hội dễ dàng hơn để tìm ra người sử dụng khác ký xác nhận cho mình. Ngoài ra cũng có các website cung cấp những thông tin về địa chỉ người dùng hệ thống OpenPGP để giúp cho việc ký xác nhận. Ví dụ như trang Gossamer Spider Web of Trust Lưu trữ 2022-04-06 tại Wayback Machine giúp liên kết người sử dụng OpenPGP thông qua việc tổ chức mạng lưới tín nhiệm theo thứ bậc.

• Cộng đồng ảo
• CAcert: Cung cấp chứng thực X.509 miễn phí. Các tính năng nâng cao phải được kiểm tra bằng mạng lưới tín nhiệm.

Tổng quan

• Giải thích về mạng lưới tín nhiệm PGP
• Bài nghiên cứu của Abdul-Rahman về OpenPGP Lưu trữ 2006-05-06 tại Wayback Machine

Phân tích khóa PGP

• PGP Web of Trust Statistics - analysis by Neal McBurnett in 1996
• Analysis of a large OpenPGP ring Lưu trữ 2005-04-03 tại Wayback Machine - analysis by Drew Streib in 2001-2002
• Current key analysis reports Lưu trữ 2006-12-29 tại Wayback Machine - maintained by Jason Harris
• Analysis of the PGP strong set Lưu trữ 2006-06-15 tại Wayback Machine - maintained by Henk Penning

Các công cụ và thống kê về mạng lưới tín nhiệm

• Wotsap - Web of trust statistics and pathfinder
• The Footsie Web of Trust analysis Lưu trữ 2008-11-21 tại Wayback Machine
• PGP tools, pathfinder, references Lưu trữ 2005-03-05 tại Wayback Machine from Henk P. Penning
• Individual key statistics Lưu trữ 2006-07-15 tại Wayback Machine from Thomas Butter
• Web of Trust RDF Vocabulary

Các địa chỉ và công cụ khác có liên quan

• Trust-forum: a project of web-based communication system that aims to include a web of trust between servers based on trust declarations between users.
• Trust Metrics Evaluation Project Lưu trữ 2005-03-09 tại Wayback Machine wiki.
• Semantic Web Trust and Security Resource Guide Lưu trữ 2006-07-01 tại Wayback Machine