Web of Trust: fiducia decentralizzata

Indice dei contenuti

• Cos’è il Web of Trust
• Come funziona il Web of Trust
• Web of Trust è sicuro?
• Web of Trust per Android
• Web of Trust per Chrome e altri browser
• Differenze tra Web of Trust e PKI
• Approfondimento: Vantaggi e svantaggi del Web of Trust
• Web of Trust oggi: una nicchia per esperti?

---

Uno dei temi più delicati è quello dell’autenticazione delle identità digitali. Mentre le infrastrutture centralizzate come le PKI (Public Key Infrastructure) dominano la scena, esiste un modello alternativo, meno noto ma affascinante: il Web of Trust.

Questo articolo esplora in modo approfondito cos’è, come funziona, quanto è sicuro, le sue implementazioni nei browser e su Android, le sue differenze con le PKI tradizionali e infine i pro e i contro di questo approccio decentralizzato alla fiducia digitale.

Cos’è il Web of Trust

Il Web of Trust (WoT) è una struttura concettuale e tecnica che consente agli utenti di stabilire l’autenticità delle chiavi pubbliche crittografiche senza fare affidamento su autorità centrali, come avviene invece nella Public Key Infrastructure (PKI).

Il contesto della crittografia a chiave pubblica

Nella crittografia asimmetrica, ogni utente possiede una chiave pubblica (da condividere) e una chiave privata (da mantenere segreta). Queste due chiavi sono matematicamente legate: un messaggio cifrato con la chiave pubblica può essere decifrato solo con la corrispondente chiave privata.

Il problema: come so che una chiave pubblica appartiene davvero a quella persona?

Questo è il problema dell’autenticazione della chiave. Le PKI risolvono il problema con certificati digitali firmati da autorità di certificazione (CA). Il Web of Trust, invece, adotta un approccio peer-to-peer.

Il principio del WoT

Nel Web of Trust, ogni utente può firmare digitalmente la chiave pubblica di un altro utente. La firma è un attestato che dichiara: “Io, che firmo, confermo di aver verificato che questa chiave appartiene a questa persona.”

Le firme vengono poi salvate in un keyring, una sorta di portachiavi digitale dove sono memorizzate tutte le chiavi e le relative firme.

Esempio reale di rete di fiducia

Immagina:

• Alice conosce personalmente Bob e firma la sua chiave.
• Carol conosce Alice e si fida delle sue verifiche.
• Carol può scegliere di fidarsi della chiave di Bob, tramite la firma di Alice.

La fiducia si propaga nel network.

Codice: firmare una chiave con GnuPG

# Supponiamo che la chiave pubblica di Bob sia stata importata nel nostro keyring.
# Visualizza le chiavi presenti
gpg --list-keys

# Firma la chiave di Bob
gpg --sign-key <ID_CHIAVE_BOB>

# Dopo averla firmata, puoi anche esportarla per inviarla a Bob o a un keyserver
gpg --export --armor <ID_CHIAVE_BOB> > bob_signed.asc

Questo comando firma la chiave di Bob e la rende parte della tua rete di fiducia.

Visualizzare il Web of Trust

Puoi usare strumenti come pgpdump, gpg –list-sigs o gpg –edit-key per vedere chi ha firmato una chiave, oppure app come Gpg4win (per Windows) o OpenKeychain (per Android) per una visualizzazione grafica.

Come funziona il Web of Trust

Nel Web of Trust, ogni utente possiede e gestisce la propria chiave pubblica, che può essere condivisa con altri per la cifratura dei messaggi e la verifica della firma digitale. Ma questa chiave non è automaticamente “affidabile”: deve essere certificata, ossia firmata da altri utenti.

Le firme come attestazioni crittografiche

Quando un utente firma la chiave pubblica di un altro, sta producendo una firma digitale che rappresenta un’asserzione crittografica. È come dire:

“Io, Alice, attesto che questa chiave pubblica appartiene davvero a Bob”.

Questa operazione è crittograficamente sicura e verificabile, e crea un legame di fiducia diretta tra i due soggetti.

I Key Signing Party

Una delle pratiche più comuni nella comunità PGP/GPG per certificare le chiavi è il Key Signing Party: un evento in cui gli utenti si incontrano fisicamente, presentano documenti di identità, e si scambiano impronte delle proprie chiavi (fingerprint). Dopo aver verificato i dati, firmano reciprocamente le chiavi usando i propri computer.

Esempio pratico: rete di fiducia transitiva

Supponiamo che:

• Alice conosce personalmente Bob e decide di firmare la sua chiave pubblica dopo averne verificato l’identità.
• Carol conosce bene Alice e si fida delle sue verifiche.
• Di conseguenza, Carol può decidere di fidarsi anche della chiave di Bob, perché Alice ha firmato quella chiave.

Questo meccanismo genera una rete di fiducia transitiva, dove ogni firma rappresenta un arco in un grafo orientato, e ogni utente è un nodo del grafo.

Visualizzazione come grafo

Alice ---> Bob
   \
    \
    ---> Carol

Carol può dedurre: se mi fido di Alice, e Alice si fida di Bob, allora posso fidarmi di Bob.

In GnuPG, questa struttura viene mantenuta nel keyring, e l’utente può visualizzare i percorsi di firma con:

gpg --list-sigs
gpg --edit-key <ID_CHIAVE>  # per analizzare le firme ricevute

Inoltre, strumenti come GPG Keychain Access su macOS o Gpg4win su Windows permettono anche una visualizzazione grafica della rete di fiducia.

Web of Trust è sicuro?

La risposta breve è: sì, ma con riserve. Il Web of Trust (WoT) può essere molto sicuro, ma a differenza di una PKI, la sua sicurezza non è automatica: dipende strettamente dal comportamento degli utenti, dal livello di cura nella verifica e dalla gestione delle chiavi.

Punti di forza della sicurezza nel WoT

• Decentralizzazione totale
  • Il WoT non dipende da una CA (Certificate Authority) centrale, quindi non esiste un punto unico di fallimento. Un attacco o una compromissione di un nodo non compromette l’intera rete.
  • Esempio: se un’autorità di certificazione come DigiCert viene compromessa, migliaia di certificati diventano inaffidabili. Nel WoT, solo i legami diretti sono compromessi.
• Controllo individuale
  • Ogni utente decide autonomamente di chi fidarsi.
  • Non sei obbligato a fidarti di chi firma chiavi “di default”, ma puoi costruire la tua rete personale di fiducia, magari limitandola solo a persone che hai conosciuto di persona.

Punti deboli e rischi

• Scalabilità limitata
  • A differenza delle PKI, dove le CA rilasciano milioni di certificati in modo automatizzato, nel WoT la gestione delle chiavi è manuale e lenta.
  • La costruzione della fiducia richiede eventi fisici, come i key signing party, e verifiche accurate di persona.
• Firme non verificate
  • Uno dei rischi più comuni è la pratica di firme incrociate non verificate: utenti che si firmano le chiavi senza aver verificato davvero l’identità reciproca.
  • Questo comportamento mina le basi stesse del WoT e può creare nodi falsamente fidati.
• Assenza di sistemi di revoca centralizzati
  • La revoca di una chiave compromessa dipende dalla volontà dell’utente che l’ha generata e non è automatica.
  • Se un utente non revoca la propria chiave, altri potrebbero continuare a fidarsi di essa senza sapere che è stata rubata.

Come aumentare la sicurezza

Per mitigare questi rischi e aumentare la sicurezza, è consigliato:

• Usare GnuPG con i seguenti accorgimenti:
  • Controllare sempre le impronte digitali (fingerprint) delle chiavi.
  • Aggiungere un livello di fiducia solo dopo verifica personale dell’identità.
  • Mantenere aggiornato il proprio keyring.

# Controlla l'impronta di una chiave
gpg --fingerprint <ID_CHIAVE>

# Imposta il livello di fiducia di una chiave firmata
gpg --edit-key <ID_CHIAVE>
trust
# Poi scegli un livello (1 = nessuna fiducia, 5 = completa fiducia)

• Usare sistemi di revoca:
  • Crea un certificato di revoca subito dopo aver generato una nuova chiave.

gpg --output revoke.asc --gen-revoke <ID_CHIAVE>

• Caricare le chiavi solo su server attendibili, come keys.openpgp.org, che supportano revoca e verifica tramite email.

Web of Trust per Android

Sebbene i sistemi operativi mobili siano spesso orientati alla semplicità d’uso, è possibile integrare il Web of Trustanche su Android tramite applicazioni compatibili con OpenPGP, lo standard aperto ispirato a PGP.

Le due app principali per il WoT su Android

• OpenKeychain
  • È un’app gratuita, open source e senza pubblicità.
  • Permette di generare, importare, firmare, revocare e gestire chiavi PGP.
  • Offre un’interfaccia grafica semplice e sicura.
  • Supporta la firma digitale di chiavi altrui, quindi integra pienamente il concetto di Web of Trust.
  • Può interfacciarsi con altre app tramite Intent Android.
• FairEmail
  • Client email moderno, leggero e focalizzato sulla privacy.
  • Supporta la cifratura e firma PGP tramite integrazione diretta con OpenKeychain.
  • Consente di verificare l’identità del mittente sfruttando la rete di fiducia costruita con WoT.

Cosa puoi fare concretamente su Android

Con OpenKeychain e FairEmail puoi:

• Creare la tua chiave pubblica/privata.
• Importare chiavi pubbliche di altri utenti e verificarne l’impronta.
• Firmare digitalmente le chiavi altrui dopo aver verificato la loro identità.
• Inviare email cifrate che solo il destinatario potrà leggere.
• Verificare se un’email è firmata da una chiave che fa parte del tuo Web of Trust.

Esempio pratico

1. Installa OpenKeychain da F-Droid o Play Store.
2. Crea una nuova identità → generi la tua coppia di chiavi.
3. Aggiungi la chiave pubblica di un amico → verifica l’impronta.
4. Firma la chiave del tuo amico → costruisci il tuo Web of Trust.
5. Apri FairEmail, collega l’identità PGP → invia email sicure.

Questa combinazione rende Android una piattaforma perfettamente compatibile con il modello decentralizzato di fiducia del Web of Trust.

Web of Trust per Chrome e altri browser

I browser moderni come Google Chrome, Mozilla Firefox e Brave non supportano nativamente il Web of Trust, perché adottano un modello basato su PKI (Public Key Infrastructure). In questo sistema, i certificati SSL/TLS vengono firmati da autorità di certificazione (CA) centralizzate e preinstallate nei browser stessi.

La limitazione dei browser: solo PKI

Quando navighi su https:// un sito web, il browser verifica la validità del certificato SSL usando una catena di fiducia che risale a una CA radice fidata. Questo meccanismo non prevede la firma tra pari, tipica del Web of Trust.

Come integrare il Web of Trust via estensioni

Nonostante ciò, puoi integrare il concetto di Web of Trust per la cifratura e verifica di email direttamente dal browser tramite plugin e estensioni che si interfacciano con GnuPG o OpenPGP.

Estensioni utili

• Mailvelope
  • Estensione per Chrome, Firefox, Edge.
  • Integra la cifratura OpenPGP nelle webmail (Gmail, Outlook, Yahoo, ecc.).
  • Usa le chiavi dal tuo keyring personale (può importare chiavi da GnuPG o crearle da zero).
  • Supporta la firma digitale e la verifica basata sul Web of Trust.
• Enigmail (storicamente per Thunderbird)
  • Anche se Thunderbird ora ha il supporto PGP integrato nativamente, Enigmail ha rappresentato per anni un ponte tra GnuPG e client email.
  • Le chiavi venivano verificate con firme e percorsi di fiducia in stile WoT.

Cosa puoi fare con Mailvelope

• Importare la tua chiave PGP e quelle dei tuoi contatti.
• Verificare le firme ricevute in base al Web of Trust.
• Firmare la chiave di un contatto e inviarla via email.
• Comporre email cifrate che solo il destinatario può leggere.

Esempio d’uso: firmare e inviare un’email cifrata

• Installa Mailvelope su Chrome.
• Genera o importa la tua chiave.
• Aggiungi la chiave pubblica del destinatario.
• Firma la chiave se hai verificato l’identità (costruendo il tuo WoT).
• Scrivi una nuova email nella tua webmail, clicca su “Componi messaggio sicuro” (Mailvelope).
• Invia l’email cifrata → solo il destinatario potrà decifrarla con la sua chiave privata.

Anche se il browser non “vede” la rete di fiducia, Mailvelope la implementa nel livello dell’applicazione.

Differenze tra Web of Trust e PKI

Le PKI (come Let’s Encrypt, DigiCert, ecc.) si basano su un modello gerarchico, dove una o più autorità centrali rilasciano certificati digitali.

Web of Trust invece è un sistema peer-to-peer, dove la fiducia è distribuita orizzontalmente.

Caratteristica	Web of Trust	PKI (Public Key Infrastructure)
Modello	Decentralizzato	Gerarchico
Attori principali	Utenti che si firmano tra loro	Autorità di Certificazione (CA)
Scalabilità	Limitata, non automatica	Elevata, automatizzata
Controllo della fiducia	Individuale	Centralizzato
Revoca delle chiavi	Manuale	Automatizzata tramite CRL o OCSP

Approfondimento: Vantaggi e svantaggi del Web of Trust

Il Web of Trust (WoT) si distingue per il suo approccio radicalmente decentralizzato alla gestione della fiducia tra utenti.

A differenza dei sistemi PKI, che si basano su autorità centrali di certificazione, nel WoT ogni utente è sia nodo che validatore della rete. Questo modello offre numerosi vantaggi, ma anche importanti criticità che ne limitano l’adozione su larga scala.

Vantaggi del Web of Trust

1. Decentralizzazione

Il vantaggio forse più noto del Web of Trust è la totale assenza di autorità centrali. Non è necessario fidarsi di un’entità superiore (come una CA) per garantire la validità di una chiave: la fiducia si costruisce dal basso, tra gli utenti.

Esempio
Se Alice firma la chiave di Bob, è un atto diretto tra pari, senza passare per autorità esterne. Nessuno può compromettere la rete intera corrompendo una CA.

2. Autonomia individuale

Ogni utente è libero di scegliere chi fidare, e con quale livello di fiducia. Si possono assegnare livelli di trust alle firme ricevute (marginale, completa, ecc.) e decidere di fidarsi solo di chi si conosce personalmente.

Con GnuPG:
gpg --edit-key <ID_CHIAVE>
trust
# Scegli: 1 = Nessuna fiducia, 5 = Fiducia totale

3. Trasparenza

Ogni firma è visibile, ispezionabile e verificabile. Questo consente di analizzare le catene di fiducia e comprendere da dove proviene la validazione di una chiave.

Esempio pratico:

gpg --list-sigs <ID_CHIAVE>

Con questo comando puoi vedere chi ha firmato una chiave, e valutare se la fiducia è giustificata.

Svantaggi del Web of Trust

1. Curva di apprendimento elevata

Il WoT non è pensato per utenti non tecnici. Per utilizzarlo efficacemente, è necessario conoscere:

• il funzionamento della crittografia a chiave pubblica;
• la gestione dei keyring;
• la differenza tra firma e cifratura;
• come validare un fingerprint.

Serve formazione per rendere il Web of Trust accessibile anche a utenti non esperti.

2. Gestione manuale

Costruire e mantenere una rete di fiducia richiede tempo e interazione umana. Le firme non possono essere automatizzate in modo sicuro. È necessario verificare documenti, identità e impronte digitali, spesso di persona.

Esempio: firmare una chiave richiede più tempo rispetto a ottenere un certificato SSL gratuito da Let’s Encrypt.

3. Supporto limitato nei sistemi mainstream

Il Web of Trust non è integrato nei sistemi operativi principali né nei browser. Questi si basano su certificati emessi da CA centralizzate.

Conseguenza: le applicazioni devono implementare il supporto al WoT manualmente, tramite plugin o software di terze parti (es. GnuPG, Mailvelope, OpenKeychain).

Web of Trust oggi: una nicchia per esperti?

Nonostante i suoi vantaggi teorici, il Web of Trust (WoT) non è mai riuscito a imporsi nel grande pubblico. La sua adozione è rimasta confinata a nicchie tecniche, come la comunità hacker, gli attivisti della privacy e alcuni professionisti della sicurezza informatica.

Le ragioni sono molteplici, ma si possono ricondurre principalmente a tre fattori.

Perché il Web of Trust non si è diffuso

• Elevata complessità tecnica
  • Comprendere e utilizzare il WoT richiede conoscenze avanzate: gestione delle chiavi, verifica delle firme, utilizzo di software come GnuPG, interpretazione delle catene di fiducia.
  • Per l’utente medio, tutto questo è spesso troppo macchinoso rispetto a cliccare su un “lucchetto verde” nel browser.
• La concorrenza delle PKI moderne
  • Con l’arrivo di servizi come Let’s Encrypt, ottenere un certificato SSL/TLS per un sito web è diventato semplice, gratuito e automatizzato.
  • Questo ha abbattuto le barriere che prima limitavano la diffusione delle PKI, rendendole di fatto lo standard de facto per la sicurezza online.
• Assenza di supporto nei software mainstream
  • Browser, sistemi operativi e app mobili non implementano il Web of Trust nativamente. Questo limita la visibilità e l’accessibilità della tecnologia.

Ma il Web of Trust non è morto

Nelle comunità tecniche, però, il WoT continua a vivere e ad evolversi. Tra i criptografi, ricercatori di sicurezza, attivisti e sviluppatori di software libero, il Web of Trust rappresenta ancora un’alternativa etica e coerente con l’ideale della decentralizzazione.

Una scelta consapevole

Usare il Web of Trust oggi è una dichiarazione di principio: significa voler mantenere il controllo sulle proprie relazioni digitali, senza delegare la fiducia a terzi. È una scelta consapevole, non un’impostazione predefinita.

“Fidati, ma verifica… personalmente.”

In un’epoca in cui la fiducia digitale viene sempre più automatizzata, il Web of Trust è un ritorno alla fiducia come relazione umana, basata sulla verifica individuale.

---

Domande e risposte

1. Cos’è il Web of Trust?
   Un modello decentralizzato di fiducia in cui gli utenti si firmano reciprocamente le chiavi crittografiche.
2. Qual è la differenza con una PKI?
   Le PKI sono gerarchiche e centralizzate; il Web of Trust è orizzontale e distribuito.
3. È sicuro usare il Web of Trust?
   Sì, se gestito correttamente e con attenzione alle firme.
4. Posso usarlo su Android?
   Sì, con app come OpenKeychain o client email compatibili.
5. Esiste una versione per Chrome?
   Non nativamente, ma puoi usare estensioni come Mailvelope.
6. Il Web of Trust è ancora usato oggi?
   Sì, soprattutto da utenti esperti e appassionati di privacy.
7. Come funziona una firma in WoT?
   Un utente firma la chiave pubblica di un altro per attestare la sua autenticità.
8. Posso revocare una chiave nel WoT?
   Sì, ma il processo è manuale e richiede attenzione.
9. Il WoT è adatto alle aziende?
   Difficilmente, a causa della scalabilità limitata e della gestione complessa.
10. Quali strumenti posso usare per iniziare?
    GnuPG, OpenKeychain, Mailvelope e Thunderbird sono ottimi punti di partenza.