Web of Trust ist die Bezeichnung für
eine Zertifizierungsstruktur,
die nicht hierarchischen Charakter hat. Eine solche Zertifizierungsstruktur
ist für den effektiven Einsatz digitaler
Signaturen unumgänglich, findet jedoch nicht überall genug
Vertrauen. Die Idee des Web of Trust wurde
von P. Zimmerman zusammen mit PGP
entwickelt.
Alternativ zu einem Web of Trust läßt
sich eine Zertifizierungshierachie
installieren. Diese kann einerseits effektiver arbeiten, andererseit ist
sie anfälliger gegen Angriffe.
Funktion
Angenommen, eine Person A hat eine Anzahl öffentlicher
Schlüssel von ihr bekannten Personen erhalten. Schlüssel,
die A unmittelbar vom Inhaber in Empfang nimmt, signiert er/sie `eigenhändig'
und gibt dem Inhaber eine Kopie davon zurück. Schlüssel, die
nicht unmittelbar vom Inhaber stammen überprüft er/sie wenn es
notwendig erscheint. Dazu wird mit einem geeigneten Hashverfahren (bei
PGP ist dies MD5)
ein digitaler Fingerabdruck
vom signierten Schlüssel erzeugt und vom angeblichen Inhaber ebenfalls
ein digitaler Fingerabdruck von dessen Schlüssel angefordert. Stimmen
beide überein, ist der Schlüssel in Ordnung (oder es geht um
einen ausgefeilten Betrug).
Nun trifft A sich mit einer anderen Person B, die ihrerseits über
eine Anzahl öffentlicher Schlüssel aus erster Hand und zweiter
Hand verfügt. Vertrauen sich die beiden Personen genügend, so
kann jeder dem Gegenüber die Schlüssel aus seiner Sammlung öffentlicher
Schlüssel übergeben und bürgt so für die Richtigkeit
der Zuordnungen der öffentlichen Schlüssel zu den Identitäten
der Besitzer.
Wenn viele Personen so handeln, entsteht das Web
of Trust.
PGP kennt unterschiedliche Stufen des
Vertrauens. In Abhängigkeit davon werden die gesammelten Schlüssel
behandelt.