[Home]MétriqueDeConfiance

MeatballWiki | RecentChanges | Random Page | Indices | Categories

Cette page a démarré sur TrustMetric

Un système pour évaluer les individus au sein d’une communauté en ligne, basé sur le niveau de confiance que la communauté dans son ensemble accorde à chaque individu.

Une métrique de confiance affecte un montant précis de confiance à chaque identité. Par conséquent, elle mesure généralement combien la communauté dans son ensemble accorde de confiance à cette identité. (A l'inverse, un système WebOfTrust détermine "pour chaque utilisateur" le montant de confiance qu'il peut placer dans quelqu’un).

SécuritéDure DossierSystèmeNotation DossierSécuritéDure DossierSystèmeNotation


Qu’est ce que la confiance? Quand on parle de métrique de confiance, la "confiance" pourrait être quelque chose d'aussi simple que de savoir qui est un individu, ou pourrait inclure d'autres facteurs, comme son aptitude dans certains domaines techniques. Au sein de n'importe quel système d'authentification basé sur la confiance, la "confiance" a une signification technique spécifique, qui peut différer de son usage commun.

Une des propriétés importantes de beaucoup de métriques de confiance est leur degré de transitivité. C'est-à-dire, que si vous faites confiance à une personne, alors vous accordez implicitement un peu de confiance à tous ceux à qui cette personne fait confiance (le niveau de confiance pouvant baisser au fur et à mesure que la distance s'accroît). Par conséquent, quelle que soit la notion de confiance que l'on inclut dans cette métrique, elle doit accorder du crédit à la capacité d'un individu à évaluer d'autres individus.


Qu'est ce qu'une métrique? Le terme "métrique" fait référence à un système de mesure qui opère au sein d'un [espace métrique](même si, malheureusement, certaines méthodes de comparaisons quantitatives ne remplissent pas tous les pré-requis d’un espace métrique).

La possibilité de quantifier (c'est-à-dire de réduire la mesure à un chiffre) est la propriété la plus évidente à observer ou à mettre en place au sein d'un espace métrique. Cependant, toutes les propriétés d'un espace métrique doivent pouvoir faire l'objet d’une mesure. L'absence de mesure frustrerait les attentes des observateurs compte tenu de leur intuition et de leur expérience quotidienne en matière de métriques : ils sont, par exemple, très habitués à la distance.

De façon formelle, une métrique correspond à la mesure d'une distance entre deux points. Une courte distance correspondrait ainsi à une bonne confiance entre deux individus, de telle sorte que leur point de vue (leur distance par rapport à un autre point) soit en accord. Mais contrairement à la distance, la confiance n'est pas symétrique. Si l'on considère la confiance en se référant à cette fonction à 2 variables, on peut dire que l'on a une mesure subjective de la confiance, comme dans le concept du WebOfTrust. Au contraire, la confiance qui provient du monde des infrastructures à clé publique PublicKeyInfrastructure représente plutôt une mesure absolue obtenue par rapport à l’établissement d’un groupe de référence.


La MétriqueDeConfiance retenue par AdvoGato est décrite (y compris les détails techniques) ici :

http://advogato.org/trust-metric.html

En résumé : AdvoGatoFr est une source pour les développeurs de logiciels libres. Sa notion de confiance est basée sur l'expérience d'un utilisateur et ses contributions à la communauté du logiciel libre. Chaque utilisateur peut certifier n'importe quel autre utilisateur à travers 3 niveaux de confiance, créant ainsi une représentation graphique orientée et pondérée de l'ensemble de ces certifications. La confiance circule à travers ce graphe d'un utilisateur à un autre, à partir de "graines" correspondant aux individus connus comme étant les plus réputés au sein de cette communauté.

Voir aussi le système de "karma" de SlashDot


Une des propriétés importantes de beaucoup de métriques de confiance est leur degré de transitivité.

Exact mais l'amitié n'est « pas » transitive. Il y a une distinction importante qui n'est pas toujours bien comprise par ceux qui mettent en place des métriques de confiance.

Certainement. Mais l'objectif d'une métrique de confiance n'est pas de mesurer l'amitié. Son objectif est de créer un système d'authentification sécurisée basée sur la confiance entre individus. Une métrique basée sur un modèle de flux graphiques permet au travail de certification des individus d'être distribué à travers la communauté. Souvenons nous que la notion de « confiance » dans un tel système veut dire que l'on accorde du crédit à la capacité d’un individu à évaluer d'autres individus. Distribuez votre propre confiance en conséquence.

Dans certaines situations la confiance n'est pas du tout transitive. Par exemple, supposons que j'authentifie comme valide toute signature qui passe à portée, même si elle est fausse. Alors vous pourrez avoir l'assurance que c'est bien moi mais pas que les autres personnes sont celles que je prétends qu'elles sont. Les deux notions sont bien séparées et il est certainement erroné de les confondre.

La même chose s'applique à la dérivée seconde. Quelqu'un peut être excellent pour authentifier les autres mais peu efficace pour juger si ces même autres sont bons dans l'authentification. – DaveHarris

Il est possible de séparer la confiance dans l'identité et la compétence. Je pense que le système utilisé dans PrettyGoodPrivacy possède un niveau de confiance qui permet à quelqu’un de faire confiance à une clé sans faire confiance aux autres clés qu'il a signé.


De même, la confiance n’est pas uni-dimensionnelle. Je fais confiance à mon garagiste pour réparer ma voiture mais pas pour soigner mes dents. Je fais confiance à certains individus pour ne pas voler ma voiture mais pas à toute la société (être innocent jusqu’à ce que l'on soit jugée coupable). Vous connaissez l'expression : crois en Dieu, mais ferme la porte de ta voiture. -- SunirShah

Cependant, il est important de se souvenir que dans ce contexte, la "confiance" devient un terme technique avec une signification spécifique. Pour chaque MétriqueDeConfiance, on doit se demander : qu'est ce que veut dire "confiance" dans ce système ? Cela peut avoir une signification différente que dans la LangueFrançaise de tous les jours, de la même façon qu’un statisticien accorde un sens différent au mot "confiance" selon qu'il l’emploie avec ses collègues au travail ou lorsqu’il l’utilise le mot dans un bar avec ses amis.


La signification initiale de l'expression "métrique de confiance" provient du monde des infrastructures à clé publique PublicKeyInfrastructure. La littérature est remplie de papiers proposant une métrique de confiance ou une autre. Aucune d’entres elles ne fonctionne très bien. En fait, créer une infrastructures à clé publique qui ait un tant soit peu de solidité ou de fiabilité est une question difficile, peut-être même un rêve impossible (FailedDream).

Deux concepts de "métrique de confiance" (au sein classique) semblent pertinents : le système Policy Maker de Matt Blaze pour évaluer les assertions en matière de confiance et le système WebOfTrust de PrettyGoodPrivacy. Ce dernier n'est "pas" fait pour délivrer des evaluations automatiques, ce qui crée de la confusion, car la plupart des autres systèmes le propose.

Quand j'ai créé AdvoGatoFr (en partie pour tester les nouvelles métriques de confiance que j'avais conçues en poursuivant mon objectif de construire une meilleure PKI - clé à infrastructure publique), j'ai adopté telle quelle l'expression « métrique de confiance » , même si ce qu'AdvoGato mesure est en fait assez différent. Dans le cas d'AdvoGato, elle est simplement utilisée pour déterminer l'appartenance à une communauté, en l'occurrence la communauté du LogicielLibre et de ses développeurs.

Le fait de voir cette appellation s’appliquer également à d’autres secteurs comme la modération sur SlashDot est plutôt intéressant d’un point de vue mémétique :)

-- RaphLevien?


J'ai une idée que je vais appeller FunctionalAccessTrustMetric. -- SunirShah


Attaques

Il y a peu d'attaques sur une MétriqueDeConfiance :

Utilisateurs malveillants

Dans ce cas, les noeuds du graphe --les gens-- font preuve de mauvaise foi. En fait, une MétriqueDeConfiance est conçue pour gérer ce type d'attaque. Pour être à l'épreuve de ce type d'attaque, le système doit gérer trois types de nœuds :

Une racine peut être soit bonne, soit perplexe mais pas mauvaise. Par essence, on doit montrer qu'il ne faut pas faire confiance aux mauvais nœuds. On doit aussi tenir compte du facteur temps, car les bons utilisateurs peuvent devenir de mauvais utilisateurs au cours du temps. C'est pourquoi la confiance doit être une ValeurDynamique.

Mauvais web local

Une autre attaque provient des liens créés de mauvaise foi (ou avec peu de loyauté). Nous ne voulons pas que les utilisateurs qui sont mauvais d’une certaine façon créent de la confiance en créant un réseau dense de liens de confiance. Peu importe la largeur du groupe des attaquants et peu importe combien ils se font confiance mutuellement, ils doivent uniquement acquérir de la confiance à partir des bon nœuds.

Considérons maintenant le cas du nœud miroir. Quelle soit la notation que vous accordez à ce nœud, le nœud miroir vous note à son tour. L'argument étant : "bien sûr que l'on peut me faire parfaitement confiance. Comme vous le voyez, je vous fais confiance. Si vous ne pouvez pas me faire confiance, je ne vous fais pas confiance". Pour le dire autrement, si les utilisateurs réputés accordent de la confiance au nœud miroir, le nœud miroir peut relayer cette confiance aux mauvais nœuds. Par conséquent, un nœud miroir est perplexe.

D'autres comportements intéressants pourraient être étudiés : le noteur aléatoire, le noteur soupçonneux ou encore le noteur béni oui-oui.

Noeuds de confiance compromis

Les bons noeuds au sein d'une métrique de confiance peuvent être compromis par des attaquants. Par [exemple], quelques utilisateurs réputés sur AdvoGatoFr ont des mots de passe faciles à trouver, qui ont été piratés par des spammers. Les spammers utilisent ensuite la réputation de ces bons utilisateurs pour attribuer de la confiance au mauvais web local qu'ils viennent de créer par usurpation.


Si nous faisons l'hypothèse que le degré de confiance d'un noeud est quelque part dépendant de sa capacité à déterminer précisément la confiance des autres nœuds, et que l’on introduise la notion de confiance négative, alors nous pouvons faire circuler la confiance négative en remontant des mauvais nœuds vers les nœuds perplexes en utilisant le même algorithme que celui qui nous a permis de transmettre de la réputation positive des nœuds perplexes vers les mauvais nœuds. De cette façon, la confiance négative apparaît comme une sorte d'anti-confiance, comme il y a l’anti-matière. Par conséquent, si beaucoup de personnes considère conjointement que quelqu’un est un attaquant, nous diminuerons la confiance de tous les nœuds qui font confiance à cet attaquant. Cependant, si nous continuons à propager l’anti-confiance à travers le système, puisqu'un nœud perplexe est in fine relié aux racines, la racine peut se retrouver bizarrement avec une confiance inférieure à 1.


Si la racine...

  1. Croit que d'autres personnes peuvent évaluer le degré de confiance de tierces personnes.
  2. Croit que d'autres personnes peuvent reconnaitre que quelqu'un est un attaquant (et par là même n'est pas digne de confiance).

Alors si une tierce personne, appelons là "X", est dite digne de confiance par quelqu'un situé 1 niveau au-dessus et est dites non digne de confiance par quelqu'un situé 2 niveaux au dessus, alors quelqu'un est certainement Perplexe. Il peut arriver que la racine soit Perplexe.

La racine sait que soit quelqu’un ment en disant que "X" est un attaquant ou que quelqu'un ment en disant que "X" n'attaque pas. La constatation positive d’une attaque l’emporte, alors vous faites l'hypothèse que tous ceux qui disent que "X" n'attaquent pas doivent se tromper…Alors, par conséquent, tous ceux qui disent que ces personnes sont des bons juges de la volonté des autres d’attaquer doivent se tromper… ce qui, bien sur, se propage à rebours jusqu'à la racine.


La seconde forme d’attaque, qui n'a pas été débattue ci-dessus, concerne les identités numériques usurpées.

Une partie de la définition de "digne de confiance" devrait être que la personne qui possède un jeton permettant de l'identifier s'assure de l'impossibilité que l'on le lui vole/le lui copie.


Il y a un wiki plus complet, spécialisé dans la métrique de confiance ici : http://moloko.itc.it/trustmetricswiki/moin.cgi/FrontPage

Il s'attache à lister toutes les possibilités de métriques de confiance, avant de les analyser : http://moloko.itc.it/trustmetricswiki/moin.cgi/AnalyzedTrustMetrics


Y-a-t-il un moyen de créer un système similaire de métrique de confiance sans la notion de "racine" fixe ? Par exemple, disons que vous avez un réseau d’échanges par système de troc et vous faites "confiance" aux gens pour ne pas s'entourlouper. Et si la racine, ou les "graines" de racine en viennent à se complaire de leur puissance et deviennent peu dignes de confiance ? Comment créeriez-vous un système qui permettrait de se défendre des bons nœuds devenus des mauvais nœuds ? Je pense par analogie aux cellules du corps humain -- le système immunitaire attaque celles qui deviennent cancérigènes...


PageTranslation LangueFrançaise TrustMetric


Discussion

MeatballWiki | RecentChanges | Random Page | Indices | Categories
Edit text of this page | View other revisions | Search MetaWiki
Search: