Mạng lưới tín nhiệm

Trong mật mã học, mạng lưới tín nhiệm là một mô hình dùng trong các hệ thống PGP, GnuPG, và các hệ thống dựa trên OpenPGP để thiết lập tính xác thực của mối liên hệ giữa khóa công khai và người sử dụng. Trong một khía cạnh nào đó, đây là một lựa chọn thay cho mô hình hạ tầng khóa công khai tập trung (PKI) dựa trên các nhà cung cấp chứng thực số. Cũng như mạng máy tính, tồn tại nhiều mạng lưới tín nhiệm hoạt động độc lập với nhau. Mỗi người sử dụng trong mô hình này có thể là thành viên của nhiều mạng và như vậy họ trở thành cầu nối giữa các mạng đó.

Hoạt động của mạng lưới tín nhiệm

Những người tham gia vào một buổi ký xác nhận khóa đang xếp hàng để kiểm tra lẫn nhau trước khi ký xác nhận.

Tất cả các hệ thống tuân theo OpenPGP đều quy định cách thức để xem xét các chứng thực. Các chứng thực thường được chính người dùng tạo ra cho mình (thông qua phần mềm máy khách) và sẽ được ký xác nhận bởi những người dùng khác nếu họ biết được rằng mối quan hệ giữa khóa công khai và định danh người dùng trong chứng thực là đúng. Thông thường việc ký xác nhận được tiến hành trong các buổi ký xác nhận khóa (key signing party).

Các hệ thống tuân theo OpenPGP còn bao gồm các cơ chế để người dùng quyết định sự tin tưởng vào thông tin trong một chứng thực. Chẳng hạn người dùng sẽ tin vào một chứng thực khi chứng thực đó có tối thiểu 3 xác nhận bán phần hoặc 1 xác nhận toàn phần. Các quy định này thông thường có thể thay đổi và thậm chí có thể được bỏ qua.

Các cơ chế mạng lưới tin cậy rất mềm dẻo và việc quyết định hoàn toàn phụ thuộc vào từng người sử dụng. Vì thế chúng không hoàn hảo và cần được giám sát thường xuyên bởi chính những người sử dụng. Các hệ thống hạ tầng khóa công khai trung tâm thì trái lại. Chúng kém mềm dẻo và người dùng bắt buộc phải tuân theo những quy định của nhà cung cấp chứng thực số trung tâm. Các hệ thống này cũng không hoàn hảo và người dùng vẫn cần phải thận trọng khi sử dụng.

Điểm khác với PKI trung tâm

Trong mô hình PKI theo tiêu chuẩn X.509 thì mỗi chứng thực chỉ được ký bởi một thực thể duy nhất là nhà cung cấp chứng thực số (CA). Chứng thực của CA này có thể lại được ký bởi một nhà cung cấp chứng thực số khác cho tới CA cấp cao nhất (tự xác nhận - root CA). Do đó, các chứng thực gốc phải được phân phối rộng rãi và đảm bảo sẵn sàng bất cứ khi nào cần đến. Một cách phân phối đã được sử dụng là thông qua các trình duyệt và chương trình email máy khách. Bằng cách này, các trang web dùng giao thức SSL/TLS hay các email có thể được chứng thực mà người dùng không cần phải cài đặt các chứng thực gốc. Ngày nay, nhiều ứng dụng đã được cài sẵn hàng trăm chứng thực gốc của nhiều nhà cung cấp PKI khác nhau để có thể tự động nhận dạng phần lớn các chứng thực. Tuy nhiên trong số các chứng thực gốc được cài sẵn, một số lại thuộc về các công ty đã ngừng hoạt động (trong thời kỳ bong bóng đầu tư dot.com chẳng hạn). Vì thế trừ trường hợp các PKI này vẫn được quản lý tốt thì các PKI gốc đó không nên được sử dụng.

Các vấn đề của mạng lưới tín nhiệm

Mạng lưới tín nhiệm sẽ không bị ảnh hưởng đáng kể khi một công ty nào đó ngừng hoạt động. Tuy nhiên cũng có nhiều vấn đề nảy sinh trong cách hoạt động của hệ thống. Nếu một người dùng nào đó (cá nhân hoặc tổ chức) bị mất khóa bí mật thì không thể giải mã được các thông tin gửi đến sử dụng khóa công khai trong chứng thực của mình. Trong trường hợp này người nhận chỉ có thể hủy các thông điệp nhận được và thông báo lại cho bên gửi để gửi lại với khóa công khai khác. Các chứng thực PGP thời kỳ đầu hoàn toàn không có thời gian sử dụng. Các phiên bản PGP về sau và các hệ thống dựa trên OpenPGP đều đã đưa thêm thời gian sử dụng vào trong chứng thực. Việc này đã loại bỏ được một số vấn đề khi được sử dụng hợp lý.

Do mạng lưới tín nhiệm không có thực thể đóng vai trò điều khiển trung tâm, một vấn đề khác nảy sinh liên quan đến khía cạnh xã hội của hệ thống. Phần lớn người sử dụng hệ thống sẽ chỉ tin tưởng vào những chứng thực đã được xác nhận bởi một hoặc nhiều người sử dụng khác. Vì thế một người sử dụng mới sẽ không được những người khác tin tưởng cho đến khi có một người sử dụng nào đó xác nhận vào chứng thực mà quá trình này nhiều khi đòi hỏi có sự gặp mặt trực tiếp. Điều này càng đặc biệt khó khăn cho những người sử dụng ở những vùng hẻo lánh hoặc kém phát triển vì mật độ người sử dụng ở những nơi này rất thấp. Một điều nữa cần chú ý là nếu người ký vào chứng thực cũng là người sử dụng mới hoặc không được nhiều người biết đến thì chữ ký của họ cũng sẽ có ít giá trị. Các buổi ký xác nhận khóa là một cơ chế tương đối mới để giải quyết vấn đề này. Tại những buổi như vậy, người dùng có cơ hội dễ dàng hơn để tìm ra người sử dụng khác ký xác nhận cho mình. Ngoài ra cũng có các website cung cấp những thông tin về địa chỉ người dùng hệ thống OpenPGP để giúp cho việc ký xác nhận. Ví dụ như trang Gossamer Spider Web of Trust Lưu trữ 2022-04-06 tại Wayback Machine giúp liên kết người sử dụng OpenPGP thông qua việc tổ chức mạng lưới tín nhiệm theo thứ bậc.

Xem thêm

  • Cộng đồng ảo
  • CAcert: Cung cấp chứng thực X.509 miễn phí. Các tính năng nâng cao phải được kiểm tra bằng mạng lưới tín nhiệm.

Tham khảo

Liên kết ngoài

Tổng quan

Phân tích khóa PGP

Các công cụ và thống kê về mạng lưới tín nhiệm

Các địa chỉ và công cụ khác có liên quan


Mật mã hóa khóa công khai sửa
Thuật toán: Cramer-Shoup | DH | DSA | ECDH | ECDSA | EKE | ElGamal | GMR | MQV | NTRUEncrypt | NTRUSign | Paillier | Rabin | Rabin-Williams | RSA | Schnorr | SPEKE | SRP | XTR
Lý thuyết: Logarithm rời rạc | Mật mã đường cong elíp | Bài toán RSA
Tiêu chuẩn: ANS X9F1 | CRYPTREC | IEEE P1363 | NESSIE | NSA Suite B   Vấn đề khác: Chữ ký điện tử | PKI | Mạng lưới tín nhiệm | Độ lớn khóa