Siapa yang kamu percaya? Menggunakan Web of Trust, metode autentikasi kriptografi, Anda dapat membangun jaringan kunci tepercaya.
Identifikasi yang efisien saat berpartisipasi online menjadi semakin penting. Akibatnya, beberapa sistem keamanan muncul sehingga platform dapat memverifikasi diri mereka sendiri dan penggunanya. Salah satunya adalah Web of Trust.
Jadi apa itu Web of Trust, dan bagaimana cara kerjanya?
Apa itu Jaringan Kepercayaan?
Web of Trust adalah sistem peringkat peer-to-peer yang memungkinkan Anda memverifikasi kunci publik dan pemiliknya tanpa bergantung pada otoritas identitas pusat.
Meskipun dia menyebutnya sebagai "jaring kepercayaan", Philip Zimmermann memperkenalkan konsep "Web of Trust" dalam dokumentasinya untuk MIT's Pretty Good Privacy (PGP). Di PGP, ada dua kunci yang terlibat: kunci publik dan privat (rahasia). Menggunakan kunci rahasia Anda dan intisari pesan, PGP membentuk tanda tangan digital, yang digunakan untuk mengesahkan kunci publik Anda.
Akibatnya, kunci publik Anda secara otomatis berlaku untuk PGP. Perangkat lunak memercayai kunci Anda dan juga memercayai Anda untuk memvalidasi kunci lain, memungkinkan Anda membuat "jaringan kepercayaan" yang dimulai dari Anda.
Web of Trust selanjutnya digunakan dalam sistem yang kompatibel dengan GnuPG dan OpenPGP serta sistem verifikasi identitas Bukti Kemanusiaan untuk mengotentikasi identitas pada blockchain. Zimmermann menegaskan bahwa pengguna web dapat menjamin keaslian dan reputasi satu sama lain, menciptakan sistem kepercayaan yang terdesentralisasi dan terdistribusi.
Web of Trust menggunakan teknik kriptografi untuk memastikan data tidak dapat dimanipulasi. Itu dapat digunakan untuk mengenkripsi dan menandatangani email, dan berpartisipasi dalam komunitas online.
Bagaimana Cara Kerja Web Kepercayaan?
Web of Trust membutuhkan kriptografi kunci publik (penggunaan kunci publik dan privat untuk mengenkripsi dan mendekripsi pesan) dan tanda tangan digital (pembuatan sertifikat yang berisi informasi tentang identitas dan kredensial Anda) agar berfungsi.
Dengan menggunakan kunci pribadi Anda, Anda dapat menandatangani sertifikat, dan siapa pun yang memiliki kunci publik Anda dapat melihat bahwa Anda telah menandatanganinya. Pengguna lain yang memercayai identitas dan kredensial Anda juga dapat menandatangani sertifikat Anda. Ini menciptakan jaringan kepercayaan.
Misalnya, dalam skenario di atas, karena sebelumnya Manuel telah menandatangani kunci Eva, Susi dapat mempercayai tanda tangan Manuel saat memutuskan apakah akan mempercayai kunci Eva. Jika Eva memiliki lebih banyak tanda tangan dari lebih banyak orang yang dipercaya Susi, itu lebih baik—kuncinya kemungkinan besar asli. Susi dapat mengenkripsi pesan untuk Eva menggunakan kunci publik Eva dan mengenkripsinya dengan kunci privatnya. Di sisi lain, Eva dapat mengonfirmasi bahwa pesan tersebut berasal dari Susi menggunakan kunci publiknya. Seiring waktu, karena Susi, Eva, dan Manuel menandatangani lebih banyak orang, rantai akan terus berkembang.
Ketika seseorang baru bergabung dengan jaringan Web of Trust, mereka harus menemukan seseorang untuk menandatangani sertifikat mereka. Orang yang akan menandatangani harus memverifikasi identitas penerima entah bagaimana caranya—mungkin dalam rapat virtual atau di pesta penandatanganan kunci. Penanda tangan juga harus mengonfirmasi sidik jari kunci, kode pengenal unik yang terkait dengan kunci publik penerima tanda tangan, dan memastikannya diunggah ke server kunci setelah penandatanganan.
Setelah itu, orang yang mempercayai mereka juga dapat mendaftar untuk pengguna baru. Web of Trust membutuhkan banyak tanda tangan untuk setiap sertifikat untuk mengurangi kekurangan. Jika orang lain merasa penanda tangan tidak memverifikasi identitas pengguna baru atau sidik jari kunci dengan benar, mereka mungkin memutuskan untuk tidak menandatangani.
Manfaat Web of Trust
Jelas ada banyak manfaat menggunakan Web of Trust.
1. Mudah digunakan
Anda hanya perlu membuat kunci dan membagikan kunci publik Anda untuk berpartisipasi dalam Web of Trust. Ini adalah satu-satunya kerumitan untuk dinavigasi, seperti yang disukai beberapa perangkat lunak Manajer Kepercayaan Perangkat Lunak DigiCert yang mengotomatiskan pembuatan, penandatanganan, dan verifikasi sertifikat sekarang ada.
2. Terdistribusi dan Terdesentralisasi
Web of Trust menggunakan a jaringan kepercayaan terdistribusi dan terdesentralisasi. Sistem didasarkan pada peringkat peserta dalam jaringan; itu tidak bergantung pada otoritas terpusat.
Anda bertanggung jawab untuk mengelola kunci dan sertifikat Anda, dan dapat memilih siapa yang akan dipercaya dan siapa yang akan ditandatangani.
3. Menegakkan Kepercayaan dalam Hubungan
Anda dapat membangun kepercayaan dengan orang lain berdasarkan kebutuhan Anda. Anda juga dapat mencabut atau mengubah tingkat kepercayaan orang lain kapan saja.
Keterbatasan Web of Trust
Meskipun Web of Trust menawarkan banyak manfaat, namun juga memiliki banyak keterbatasan.
1. Masalah Privasi
Saat membuat atau menandatangani sertifikat, Anda mungkin secara tidak sengaja membuka informasi sensitif. Ingat: sertifikat berisi informasi tentang identitas dan kredensial Anda, seperti nama dan kunci publik Anda. Detail ini tidak dimaksudkan untuk diekspos.
Selain itu, Anda mungkin tidak tahu seberapa besar kendali yang dimiliki orang-orang yang mendaftar untuk Anda atas sertifikat dan kunci Anda. Misalnya, pihak jahat dapat menyalin, mengubah, atau membocorkannya.
2. Memerlukan Partisipasi Aktif dalam Jaringan Kepercayaan
Anda harus menyimpan kunci dan sertifikat Anda, dan menandatangani sertifikat orang lain, yang mungkin membosankan dan menghabiskan waktu.
Selain itu, pengguna baru dengan sertifikat baru mungkin tidak dipercaya oleh orang lain untuk sementara waktu, karena tidak ada pengontrol pusat. Mereka hanya akan dipercaya jika orang lain dalam jaringan dapat, dan memutuskan untuk, menandatangani sertifikat mereka. Dan ini mungkin membutuhkan pertemuan fisik.
Anda mungkin menanggung risiko dan tanggung jawab saat menandatangani untuk orang lain. Jika seseorang yang Anda jamin ternyata curang, Anda juga bisa dimintai pertanggungjawaban.
3. Rentan terhadap Serangan
Jika Anda salah menempatkan kunci pribadi, Anda tidak akan dapat mengakses sertifikat atau memverifikasi orang lain. Jika kunci Anda dicuri, diretas, atau dipalsukan, siapa pun yang memilikinya dapat menyamar sebagai Anda dan merusak kredibilitas Anda.
Dan Anda tidak akan dapat melakukan apa pun karena Anda tidak dapat mengakses kunci pribadi untuk mendekripsi pesan Anda; sertifikat PGP yang lebih baru memiliki tanggal kedaluwarsa.
Anda selanjutnya dapat menghadapi serangan rekayasa sosial, di mana aktor penipu mencoba menipu Anda agar menandatangani kontrak untuk mereka.
Bisakah Anda Mempercayai Web of Trust?
Terlepas dari tujuan dan teknologinya, setiap sistem keamanan data dapat ditembus. Hal yang sama berlaku untuk Web of Trust.
Ini bukanlah sistem yang sempurna yang akan memberi Anda keamanan penuh. Sebaliknya, itu akan memungkinkan interaksi berbasis kepercayaan antara Anda dan orang lain dengan minat dan pemahaman yang sama. Sistem ini dapat bermanfaat jika digunakan secara bertanggung jawab oleh semua peserta.
Namun, ketergantungannya pada manusia membuatnya rentan terhadap manipulasi dan kesalahan manusia. Berhati-hatilah untuk tidak mengkompromikan kunci rahasia Anda. Dan berhati-hatilah terhadap virus, perusakan kunci publik, pelanggaran keamanan perangkat Anda, file yang Anda hapus tetapi masih ada di hard disk Anda, dan bahkan kriptoanalisis, sisi lain dari kriptografi.
Jaringan Kepercayaan Itu Hebat tapi Tidak Sempurna
Web of Trust memungkinkan verifikasi identitas pada blockchain tanpa memerlukan otoritas pusat. Meskipun sistem ini menjanjikan dan bermanfaat, sistem ini juga menghadapi beberapa keterbatasan.
Dengan modifikasi tambahan, Web of Trust dapat menjadi sistem verifikasi identitas yang diadopsi secara luas.