Web of Trust

Web of trust je decentralizovaný model pro ověřování autenticity kryptografických klíčů bez spoléhání na centrální certifikační autoritu. V systémech jako PGP (Pretty Good Privacy) si uživatelé navzájem podepisují veřejné klíče, aby potvrdili, že klíč skutečně patří osobě, o níž tvrdí, že jí patří. Pokud Alice podepsala Bobův klíč a Carol důvěřuje Alici, může Carol důvěřovat Bobovu klíči, aniž by Boba přímo potkala. Důvěra se šíří sítí podpisů a vytváří distribuovanou infrastrukturu ověřených identit postavenou výhradně na dobrovolném potvrzování mezi jednotlivci, kteří se navzájem znají.

Key signing party - setkání, na němž si účastníci ověřují doklady totožnosti a navzájem podepisují své veřejné klíče - je rituál, skrze který web of trust roste. Je to zásadně odlišný model od systému certifikačních autorit používaného v HTTPS, kde je malý počet společností označen dodavateli prohlížečů za důvěryhodné podepisovatele pro celý internet. Web of trust je heterarchický: neexistuje žádná vrcholná autorita, jejíž kompromitace by zhroutila celý systém. Jeho slabinou je, že důvěra se automaticky nerozšiřuje na lidi mimo váš sociální graf - někdo nový v systému bez podpisů je neověřitelný, dokud se nesetká s lidmi ve webu. Jeho silnou stránkou je, že jej nelze centrálně podvrátit.

Pro cypherpunkové hnutí nebyl web of trust pouze technickým mechanismem, ale modelem toho, jak by měla důvěra fungovat v lidské společnosti obecněji - budovaná z přímých vztahů a dobrovolného doporučení, nikoli delegovaná na instituce, jejichž důvěryhodnost nelze nezávisle ověřit. Analogie přesahuje kryptografii: reputační systémy v decentralizovaných trzích, sítě ručení v agoristických komunitách a peer atestace v systémech sebesuverénní identity všechny implementují logiku web of trust. Společným vláknem je, že důvěra se získává prostřednictvím vztahů, nikoli uděluje autoritami.