Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

1.13.1     Pavučina důvěry, místo stromu důvěry

Alternativou ke „stromu důvěry“ může být pavučina důvěry (anglicky web of trust). Konkrétně řešení, v rámci kterého neexistují certifikační autority, které by uživatelům vydávaly jejich certifikáty - a místo toho si jednotliví uživatelé vydávají své certifikáty sami[15]. Jak je ale potom posuzována důvěryhodnost takovýchto certifikátů?

Základní princip je vcelku jednoduchý: důvěru v certifikát, vydaný samotným uživatelem, vyjadřují další uživatelé. Pokud daného uživatele znají, nejlépe osobně, mohou vyjádřit důvěru jeho certifikátu tím, že ho sami podepíší (opatří svým podpisem). Tím stvrzují, že oni důvěřují obsahu certifikátu. Tedy tomu, že veřejný klíč, obsažený v certifikátu, skutečně patří té osobě, jejíž identita je v certifikátu uvedena.

Svým způsobem tak tito další uživatelé nahrazují roli certifikační autority. Jestliže v rámci „stromu důvěry“ certifikát podepisuje ta certifikační autorita, která jej vydává (a certifikát je tak podepsán pouze jednou), v rámci nyní popisované alternativy může být jeden certifikát podepsán apriorně neomezeným počtem dalších uživatelů. 

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa vydávání certifikátů v rámci stromu důvěry a v rámci
pavučiny důvěry

Obrázek 1 - 27: Představa vydávání certifikátů v rámci stromu důvěry a v rámci pavučiny důvěry

Navíc to, že někdo podepíše certifikát jiného uživatele, může mít různý význam: může tím dávat najevo, že příslušného uživatele dobře zná a jeho certifikátu plně důvěřuje. Ale stejně tak může dát najevo to, že dotyčného zná „jen málo“, a že jeho certifikátu důvěřuje „částečně“.

Jinými slovy: i zde je zásadní odlišnost oproti stromu důvěry, kde podpis certifikační autority na jí vydaném certifikátu má jen jeden možný význam (ve smyslu „plné důvěry“). Z pohledu toho, kdo s certifikátem pracuje, má pak důvěryhodnost absolutní charakter: certifikát pro něj buďto je důvěryhodný, nebo je nedůvěryhodný (případně jeho důvěryhodnost není schopen posoudit). Ale neexistuje zde něco jako: „tento certifikát je důvěryhodný na 50%”.

V rámci pavučiny důvěry to ale možné je. Zde může být míra důvěry, udělovaná konkrétnímu certifikátu ostatními uživateli, různě odstupňována. Je pak na tom, kdo s takovýmto certifikátem pracuje, aby sám vyhodnotil, zda a do jaké míry mu bude důvěřovat. Aby jakoby „sečetl“ míru důvěry, kterou jiní uživatelé certifikátu vyjádřili, a na základě toho posoudil, zda výsledek již překročil hranici, kterou si sám zvolil – a za kterou již posuzovanému certifikátu bude důvěřovat i on.

Přitom všem ale musí dotyčný zohlednit i to, zda (a do jaké míry) sám důvěřuje těm uživatelům, jejichž názor na důvěryhodnost posuzovaného certifikátu právě využívá. Což je o to komplikovanější, že nemusí jít o přímý, ale pouze o zprostředkovaný vztah, ve smyslu: „znám a do určité míry důvěřuji někomu, kdo zná a do určité míry důvěřuje někomu jinému, kdo do takové a takové míry důvěřuje posuzovanému certifikátu“, viz obrázek. 

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa hodnocení důvěryhodnosti certifikátu v rámci pavučiny důvěry

Obrázek 1 - 28: Představa hodnocení důvěryhodnosti certifikátu v rámci pavučiny důvěry

Právě proto se zde hovoří o „pavučině důvěry“ – protože zde vzniká často dosti složité předivo vzájemných vztahů a vazeb důvěry mezi různými lidmi[16].


[15] A sami si je také podepisují. Jde tedy o certifikáty tzv. s vlastním podpisem (self signed), jak se dozvíme v dalších kapitolách.

[16] V praxi je řešení na principu pavučiny důvěry používáno zejména v rámci systémů PGP (Pretty Good Privacy).



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61