Een minder gangbare, maar nog steeds geldige, aanpak voor het gebruik van certificaten is het zogenaamde “Web of Trust”. Deze benadering voor de distributie en vertrouwensopbouw van certificaten is een uitbreiding van de eerder besproken methode waarbij je handmatig aangeeft wie je vertrouwt en certificaten handmatig toevoegt.
In essentie is een “Web of Trust” te vergelijken met mond-tot-mondreclame. Met andere woorden, als zowel Alice als Bob mij vertellen dat ik Carol kan vertrouwen, dan ben ik geneigd dat te geloven. In een “Web of Trust” kunnen certificaten door meerdere personen worden ondertekend. Als jij een van de personen op het certificaat herkent en vertrouwt, kun je besluiten het certificaat te vertrouwen. In dat geval fungeert die persoon als de Vertrouwde Derde Partij. Dus, een “Web of Trust” is in feite een netwerk van onderling vertrouwen.
PGP staat voor Pretty Good Privacy en is een programma dat het mogelijk maakt om door middel van digitale certificaten:
• asymmetrische versleuteling te realiseren
• de identiteit van de certificaathouder vast te stellen met behulp van de digitale handtekening
Net als het “Web of Trust”-principe is PGP een creatie van Philip Zimmerman, die dit programma schreef in 1991. Hiermee kregen gebruikers de mogelijkheid om versleutelde gegevens uit te wisselen. De oorspronkelijke versie van PGP maakte gebruik van een symmetrische sleutel, maar de huidige versies maken, zoals eerder vermeld, gebruik van asymmetrische sleutels.
De nieuwste versie van PGP is nu in handen van een commercieel bedrijf genaamd PGP Corporation, dat verschillende betaalde producten aanbiedt om gegevens te versleutelen. Maar weet je, te midden van deze commerciële drukte, bleef er een soort ‘vrije geest’ bestaan genaamd OpenPGP. Dit softwarealgoritme kan je helemaal gratis aanpassen, en je mag zelfs je eigen software bouwen die het OpenPGP-protocol gebruikt. Als je zin hebt om dit protocol te omarmen, kan je bijvoorbeeld een softwaregenaamd GnuPG, afgekort als GPG, inzetten. Het is een van de populairste stukjes software voor het veilig versleutelen van dingen en het creëren van die mysterieuze privé- en publieke sleutels.
Een veelgebruikte implementatie van GPG voor Windows-systemen is Gpg4win.
Philip Zimmerman
PGP, ontwikkeld door Philip Zimmerman, werd snel populair onder gebruikers van Bulletin Board Systems (de voorlopers van moderne forums). Omdat Zimmerman zijn software gratis beschikbaar stelde, begonnen mensen buiten de Verenigde Staten zijn software te gebruiken. In 1993 werd Zimmerman echter aangeklaagd door de Amerikaanse overheid wegens “het exporteren van munitie zonder licentie.” Dit kwam doordat de wet bepaalde dat cryptografische systemen met meer dan 40 bits als oorlogsmunitie werden beschouwd. Uiteindelijk werd Zimmerman nooit definitief vervolgd.
Om verdere vervolging te voorkomen, nam Zimmerman een opmerkelijke stap. Hij publiceerde een boek met de volledige broncode van zijn programma. Als je het programma wilde gebruiken, moest je eerst alle relevante pagina’s scannen met tekstherkenning. De gescande tekst kon vervolgens worden gecompileerd tot een werkend programma. De verkoop van boeken is beschermd als een vorm van vrijheid in de Amerikaanse grondwet, waardoor Zimmerman op deze manier niet vervolgd kon worden voor de verspreiding van zijn software.