En criptografía , la web de confianza es un concepto utilizado por PGP , GnuPG y otras aplicaciones compatibles con OpenPGP . La web de confianza permite verificar la relación entre una clave pública y una identidad digital .
Es un modelo de confianza descentralizado, una alternativa a los modelos de confianza centralizada de la mayoría de las demás infraestructuras de clave pública .
A diferencia de los modelos centralizados donde la confianza que se puede otorgar solo pasa a través de una autoridad de certificación (CA o jerarquía de CA) de la cual no sabemos en su mayor parte, una red de confianza se relaciona con un individuo que puede elegirlo. partes (generalmente otras personas físicas) en las que confía.
Como resultado, existen muchas redes de fideicomisos independientes. Cualquiera puede ser parte de él (a través de su propio certificado) y ser un vínculo entre diferentes pinturas.
El concepto de red de confianza fue descrito por primera vez por Philip Zimmermann , creador de PGP, en el PGP 2.0 Handbook, en 1992 . La expresión " red de confianza " (más tarde " red de confianza ") se utiliza en la guía del usuario de PGP 2.6.2, publicada dos años después, en octubre de 1994 .
En OpenPGP, los certificados de identidad se verifican mediante la firma digital de otros usuarios. Estos usuarios, al firmar este certificado, pueden fortalecer (para otros) la asociación entre una clave pública y la persona o entidad designada por este certificado. Esta acción generalmente se realiza durante las fiestas de firma de claves .
En la práctica, un certificado recibido por John se considera válido:
Estos parámetros son ajustables por el usuario, según sus necesidades. Incluso pueden ignorarse por completo.
En pocas palabras, cada usuario tiene dos claves: una clave privada y una clave pública. La clave privada es conocida solo por su usuario, pero la clave pública se puede distribuir a cualquier persona. Este principio tiene esencialmente dos usos:
Por tanto, el principio de la red de confianza es bastante sencillo:
Este sistema asegura que es Paul quien está enviando un mensaje. De hecho, Paul envía un mensaje firmado con su clave privada y, si no usa un servidor de claves, un certificado que contiene firmas de personas que pueden confirmar que es Paul quien posee este certificado. Solo necesita verificar las firmas del certificado para verificar que fue Paul quien lo envió. Si no confiamos en los firmantes, no podemos validar que sea Paul quien tenga la clave privada asociada a esta firma y, por lo tanto, sea él quien firmó. En este caso, la firma puede ser buena (hecha por un tal Pablo) pero inválida (no estamos seguros de que este Pablo realmente exista).
El conjunto fuerte se refiere al conjunto más grande de claves PGP unidas por firmas válidas. Es la base de una red de confianza universal.
Todas las claves del conjunto fuerte tienen un camino entre ellas. Aunque pueden existir grupos aislados de claves (no vinculados al conjunto fuerte), es suficiente que un miembro de dicho grupo firme la clave y su clave sea firmada por un miembro del conjunto fuerte para que el grupo aislado se convierta en parte .del conjunto fuerte.
El sólido conjunto contenía alrededor de 55.000 claves a principios de 2015.