Gibt es seriöse Informationen(Zeitschriften, Webseiten, Foren, Bücher) wo ich mich über Verschlüsselung erkundigen kann?

... komplette Frage anzeigen

4 Antworten

Wenn du schon so paranoid bist (nicht negativ gemeint, eher positiv!) dann stell deine Kiste noch zusätzlich in ein Tempest-Zelt.

Wenn du nicht weißt, was das ist, google mal nach Tempest-Strahlung. Der CCC hat zu dem Thema auch interessante Vorträge.

Ansonsten ist dieses Buch hier ganz akzeptabel und für Einsteiger sehr leicht verständlich:

https://www.amazon.de/Kryptografie-Verfahren-Protokolle-Infrastrukturen-iX-/dp/3864903564/

Allerdings sei dir im Klaren darüber, dass die Entwicklung an sich einen sehr großen Angriffsvektor darstellt, und Seitenkanalangriffe sogar ein One-Time-Pad aushebeln werden.

Du kommst also nicht drum herum, dich intensivst mit deiner Lieblingsprogrammiersprache auseinander zu setzen, und dich eingänglich mit "defensiver Programmierung" und "Computer Sicherheit" zu beschäftigen.

Für Java kann ich dir das hier empfehlen:

https://www.amazon.de/Oracle-Secure-Standard-Software-Engineering-ebook/dp/B005LVNX5W/

Das gleiche gibt es auch für C-Programmierer.

Als C++ler sollte man sich ebenfalls die MISRA-Richtlinien ansehen.

Wer solche Bücher, Paper und Guides nicht allesamt inhaliert hat und auch regelmäßig anwendet, ist kaum in der Lage wirklich kryptografisch sichere Software zu schreiben.

Beispiel in C++:

Foo *ptr = new Foo;

... so etwas darf man auf gar keinen Fall machen! Wem nicht klar ist warum: Bitte alle (ALLE!) GotW-Artikel lesen:

https://herbsutter.com/gotw/

Überhaupt sollte man alle Bücher und Veröffentlichungen von Herb Sutter, Martin Fowler, Andrei Alexandrescu, und den üblichen Verdächtigen lesen.

Um C++ halbwegs zu können reichen ein paar Wochen. Um C++ effizient, elegant und clever einsetzen zu können reichen ein paar Jahre. Um mit C++ kryptografisch sichere Software entwickeln zu können, reichen ein paar Jahrzehnte. :)

Wie gesagt, Seitenkanalangriffen kann man nur mit extremer Erfahrung begegnen. Die beste Verschlüsselung nutzt nichts, wenn der Schlüssel dem Spion auf dem Silbertablett präsentiert wird.

Ich programmiere seit Anfang der 90er in diversen Programmiersprachen, und ich habe eine Firma, die sich unter anderem mit Reversing, Sicherheitskram, Pentesting, Codeaudits und solchem Kram beschäftigt, aber ich würde mir persönlich NICHT zutrauen, eine TLS-Bibliothek zu entwickeln, einfach weil ich (leider) weiß, WIEVIEL man dabei falsch machen kann.

Ich weiß zwar ziemlich genau, was dafür notwendig ist, aber insgesamt spüre ich, dass es mir dafür (noch) an Erfahrung mangelt. (Das große Problem ist, dass ich oftmals erschrocken umfalle, wenn ich sehe, was andere für sicherheitskritischen Code fabrizieren, die offensichtlich noch viel weniger Ahnung / Erfahrung haben als ich, aber ungefähr 10 mal soviel Vertrauen in die eigenen Fähigkeiten!)

Allein schon die Speicherverwaltung! Einen Schlüssel einfach mal so in einen Puffer zu packen ist ein absoluten NoGo. Zum Beispiel OpenSSL macht da nicht umsonst exorbitante Kopfstände mit seiner eigenen Speicherverwaltung, also denke bitte nicht, dass den Entwicklern einfach nur langweilig war. :)

Sogar eine "triviale" Sache wie ein One-Time-Pad ist DEUTLICH mehr, als Puffer A mit Puffer B zu XORen. :)

Trotzdem viel Erfolg! Aber unterschätze das nötige Wissen nicht! Und informier dich auf jeden Fall mal über Tempest-Strahlung ... dabei wird man dann so richtig paranoid!

(Es geht zwar oft "nur" um Monitore, aber es betrifft so ziemlich alles was ein Kabel hat ... von Peripherie mit billiger Nicht-Blue-Tooth Funktechnik mal ganz zu schweigen.) ;)

Schönen Tag noch! :)

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von Wupbanz
24.09.2016, 16:22

herzlichen Dank!!!!

Das sind viele und gute Informationen. Genau sowas hab ich gesucht. Ja, ich bin ein ziemlicher Anfänger ;) Also in C++ mal im Studium was kleines gehabt, studiere aber ETechnik. Dennoch wird C++ der langfristige Fokus vermutlich sein.

Da ist ein großer Berg arbeit vor mir ;)

Ganz vielen Dank, von der TEMPEST Sache hab ich auch mal gehört. Wie hat mal jemand so schön gesagt: Wenn es um Datensicherheit geht, kann man nicht paranoid genug sein....

1

Da denkst du zu kompliziert.

Du kannst mit einfachen Mitteln sehr effektiv verschlüsseln. Die Daten auf dem Rechner z.B. mit VeraCrypt, deine E-Mails mit GnuPG. Messenger auf dem Rechner mit OTR. Auf dem Handy gibt es verschlüsselte Messenger wie Signal oder Whatsapp.

Schwieriger ist es die Metadaten zu verschleiern. Also mit wem du in Kontakt stehst. Das reicht den meisten Behörden schon.

Selbst etwas zu implementieren oder zu basteln, wenn man noch nicht viel Ahnung hat ist sehr gut um sich selbst zu bilden, es aber produktiv einzusetzen und zu glauben, das wäre dann sicher, ist immer ein Fehlschluss.

Antwort bewerten Vielen Dank für Deine Bewertung

Ein Informatikstudium würde da ganz gut passen.

Antwort bewerten Vielen Dank für Deine Bewertung

Computerzeitschriften wie C't, Chip Computerbild etc bringen gelegentlich auch größere Reportagen über IT-Sicherheit in ihren Magazinen, kannst ja mal googlen, gibt's bestimmt auch online.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von TeeTier
24.09.2016, 16:15

Computerbild? Beim Thema Kryptografie? Einige Leute haben echt interessante Ansprüche. :)

0
Kommentar von LienusMan
24.09.2016, 16:55

Da hast du recht, wollte die Computerbild nur als Beispiel für eine Computerzeitschrift anbringen ;)

1

Was möchtest Du wissen?