Boktipset 2: Cryptography Engineering

av Stefan Pettersson

Cryptography Engineering (CE) är bättre Applied Cryptography i mer eller mindre alla avseenden, för de flesta. Huvudanledningen är att den är praktiskt inriktad vilket är vad de flesta av oss behöver. Den fokuserar mer på hur man ska använda kryptografi snarare än hur det fungerar.

Kryptering som implementeras fel är nästan alltid ett högaktuellt ämne; nyligen presenterades till exempel Padding Oracle-attacken som utnyttjade bristen på autentisering av kryptotext i bl a ASP.NET-cookies. Ännu mer nyligen gick ElcomSoft ut med att de hittat en sårbarhet i BlackBerrys sätt att generera kryptonycklar från lösenord vilket ledde till att bruteforce-attacker blev avsevärt mer effektiva än vad de borde vara.

Oftast är det inte problem i algoritmerna som utnyttjas, det är problem i implementeringen av dem. Det är därför den här boken är viktig.

Två aspekter som jag tycker gör boken särskilt läsvärd är den uppfräschande diskussionen om en adversial setting och orädslan för att tydligt rekommendera vissa algoritmer och tekniker samt motiveringar för detta.

Jag skulle argumentera för att en god orientering inom kryptografi nästan är att betrakta som obligatoriskt om man arbetar med säkerhet eftersom det är en sådan fundamental teknologi i de flesta säkerhetssystem.

Kolla in bokens hemsida eller köp den på t ex Adlibris för 263 spänn.

(Jag är inte sponsrad av Adlibris btw, jag bara köper böcker där…)


Stefan Pettersson

Annonser