Bom dia irmãos!
Continuando a obra “PGP Web of Trust Misconceptions”, que começamos no versículo anterior..
O que teria de ser adicionado para permitir que um verdadeiro modelo de rede de confiança fosse usado em um programa como o PGP? Basicamente o que é necessário é alguma maneira de julgar a confiabilidade das assinaturas de pessoas que você não conhece. Isso seria mais plausivelmente fornecido pelas pessoas que assinaram suas chaves. Por exemplo, se houvesse outro tipo de assinatura de chave que não apenas atestasse a identidade da pessoa, mas também sua confiabilidade e cuidado ao assinar as chaves, então uma cadeia de tais assinaturas poderia servir de base para uma verdadeira rede de confiança. Obviamente, tais assinaturas não poderiam ser dadas com tanta facilidade quanto o tipo que temos agora, onde um olhar rápido sobre a carteira de motorista de um estranho é muitas vezes tudo o que recebemos, mas elas poderiam ser dadas a amigos próximos e aqueles que conhecemos e confiamos.
Sistemas mais elaborados podem incluir classificações numéricas de confiabilidade que ajudariam a estimar a força de qualquer caminho dado. O ponto principal é que algumas informações desse tipo seriam necessárias para permitir a comunicação com pessoas distantes na rede de conexões.
Sem isso, acho que continuaremos a ter problemas com o PGP sendo incapaz de validar chaves de pessoas com as quais queremos nos comunicar. As pessoas vão coletar enormes listas de assinaturas na esperança de que quem quiser se comunicar com elas conheça uma dessas pessoas. Validadores de chaves centralizados vão aparecer (como no caso dos serviço SLED que está sendo iniciado agora, o qual assinará uma chave com base em uma verificação assinada com o seu nome). O resultado pode ser uma escolha entre usar uma chave não assinada ou usar uma assinada por alguma burocracia sem rosto, o que não é melhor que a concepção original PEM.
(As pessoas podem ficar confusas com esse artigo porque achavam que o PGP já funcionava dessa maneira. O PGP tem um modelo “siga-a-rede” (follow-the-web), mas isso é apenas para seguir assinaturas. No exemplo acima, onde eu queria falar com Joe e havia uma cadeia para ele através de A, B, C, e D, temos que primeiro supor que eu conheço e confio em todos, A, B, C e D. Dado isso, o que o PGP pode fazer é determinar se tenho chaves válidas para todas essas pessoas. Ele notará que A assinou a chave de B, então é válida. Eu conheço B e disse ao PGP que ele era confiável, e ele assinou a chave de C, portanto é válida. Da mesma forma, conheço C e conheço D então o PGP pode seguir a cadeia através deles. Finalmente chegamos a Joe, a quem não conheço, mas porque conheço D e o PGP seguiu a rede para determinar que a chave de D é válida. Mas, novamente, isso foi apenas porque eu conhecia D e todos os demais na cadeia. O ponto de partida é que eu só posso me comunicar com pessoas que conhecem alguém que eu conheço.)
Hal Finney
Terminamos com isso a obra “PGP Web of Trust Misconceptions”. Volto amanhã com o Capítulo 13. Espero que tenham gostado. Grande abraço e até a próxima!
