Em criptografia , a teia de confiança é um conceito usado por PGP , GnuPG e outros aplicativos compatíveis com OpenPGP . A teia de confiança permite verificar a relação entre uma chave pública e uma identidade digital .
É um modelo de confiança descentralizado, uma alternativa aos modelos de confiança centralizados da maioria das outras infraestruturas de chave pública .
Ao contrário dos modelos centralizados em que a confiança que pode ser dada passa apenas por uma autoridade de certificação (CA ou hierarquia CA) da qual nada sabemos em sua maior parte, uma rede de confiança é relativa a um indivíduo que pode escolhê-lo. - até terceiros (geralmente outras pessoas singulares) em quem confia.
Como resultado, existem muitas redes de trustes independentes. Qualquer pessoa pode fazer parte (através do seu próprio certificado) e ser um elo entre diferentes pinturas.
O conceito de rede de confiança foi descrito pela primeira vez por Philip Zimmermann , criador do PGP, no PGP 2.0 Handbook, em 1992 . A expressão " rede de confiança " (posteriormente " rede de confiança ") é usada no guia do usuário do PGP 2.6.2, publicado dois anos depois, em outubro de 1994 .
No OpenPGP, os certificados de identidade são verificados pela assinatura digital de outros usuários. Esses usuários, ao assinarem este certificado, podem fortalecer (para outros) a associação entre uma chave pública e a pessoa ou entidade designada por este certificado. Essa ação geralmente é executada durante as partes de assinatura de chave .
Na prática, um certificado recebido por John é considerado válido:
Esses parâmetros são ajustáveis pelo usuário, de acordo com suas necessidades. Eles podem até ser completamente ignorados.
Para simplificar, cada usuário possui duas chaves: uma chave privada e uma chave pública. A chave privada é conhecida apenas por seu usuário, mas a chave pública pode ser transmitida para qualquer pessoa. Este princípio tem essencialmente dois usos:
Uma mensagem é criptografada com a chave pública do destinatário. Este último usa sua chave privada para descriptografá-lo antes de lê-lo.A origem de uma mensagem pode ser atestada por uma assinatura, o identificador único dessa mensagem, criptografada com a chave privada do remetente. Tecnicamente, esse identificador é uma impressão digital criptográfica da mensagem. Para verificar a origem da mensagem, basta descriptografar a assinatura com a chave pública do remetente. Se o valor encontrado for igual à impressão digital da mensagem calculada localmente, a mensagem é autêntica.O princípio da rede de confiança é, portanto, bastante simples:
Esse sistema garante que é Paulo quem está enviando a mensagem. Na verdade, Paulo envia uma mensagem assinada com sua chave privada e, se ele não usar um servidor de chaves, um certificado contendo assinaturas de pessoas que podem confirmar que é de fato Paulo quem possui esse certificado. Basta verificar as assinaturas do certificado para verificar se foi Paulo quem o enviou. Se não confiarmos nos signatários, não podemos validar que é Paulo quem tem a chave privada associada a essa assinatura e, portanto, é ele quem assinou. Nesse caso, a assinatura pode ser boa (feita por um certo Paulo), mas inválida (não temos certeza de que esse Paulo realmente exista).
O conjunto forte se refere ao maior conjunto de chaves PGP vinculadas por assinaturas válidas. É a base de uma rede de confiança universal.
Todas as chaves do conjunto forte têm um caminho entre elas. Embora grupos isolados de chaves (não vinculados ao conjunto forte) possam existir, é suficiente para um membro de tal grupo assinar a chave e ter sua chave assinada por um membro do conjunto forte para que o grupo isolado se torne parte .do conjunto forte.
O conjunto forte continha cerca de 55.000 chaves no início de 2015.