Weblabor

Szerzők:

Niels Ferguson, Bruce Schneier, Tadayoshi Kohno

Kiadó:

Wiley

Kiadás éve:

2010

ISBN:

978-0-470-47424-2

Oldalak száma:

384

Értékelés:

10

Linkek

• A szerző weboldala

A könyv lényegében a szerzők Practical Cryptography című bestsellerének frissített kiadása. Aki jártas a kriptográfiai rendszerek tervezésében, annak talán nem is kell többet mondani a könyvről. Azoknak pedig, akik most ismerkednek a témával: a Ferguson–Schneier szerzőpáros a téma elismert szakemberei, tudásuk és tapasztalataik legjavát jelen könyvben adják át.

A szerzők a könyv célkitűzését néhány fontos figyelmeztetéssel kezdik:

• a könyv elolvasása senkit nem tesz kriptográfiai szakértővé
• a biztonság nem állapot, hanem folyamat
• egyedül soha ne kezdjünk saját kriptográfiai rendszer tervezésébe

Ezzel az útravalóval kezdhetünk neki a 23 fejezetnyi tömény ismeretanyagnak. A könyv szerkezete Tadayoshi Kohno professzor jóvoltából „felsőoktatás kompatibilis”, több észak-amerikai egyetemen tankönyvként is használják. Egy-egy fejezet végén ellenőrző kérdéseket, feladatokat és témaindító gondolatokat is találunk.

A tartalmat három nagy témakörbe csoportosítva kapjuk: Message Security (üzenetbiztonság), Key Negotiation (kulcsegyeztetés) és Key Management (kulcsmenedzsment).

Az egyes fejezetek tartalma a teljesség igénye nélkül:

Message Security

A Message Security témakörben a legfontosabb kriptográfiai alapfogalmakkal ismerkedhetünk meg: blokk titkosítás, hasító függvények, üzenethitelesítő kódok (MAC) stb.

Key Negotiation

A Key Negotiation témakör a biztonságos kommunikációs módszerek alapvető elemeit és lehetőségeit mutatja be. Külön kitér a jó véletlengenerátor fontosságára, bemutatja a prímszámok fontos tulajdonságait, és bevezet a kínai maradéktétel, a Diffie–Hellman és az RSA kulcscsere protokollokba.

Key Management

A Key Management rész már a létező kulcs alapú kriptográfiai rendszerek egyes pilléreinek tervezését, használatát és helyes felépítését tárgyalja. Megismerkedhetünk a pontos idő és véletenszerűség fontosságának néhány nem egyértelmű vetületével és a kulcstárolás rémálmával is. A témakör törzsét a kulcsszerverek és a PKI által kínált lehetőségek és korlátok bemutatása adja.

A szerzők zárszóként megfogalmazzák, hogy ha az olvasó felidézi a könyvben olvasottakat, és nem követi el a kiemelt hibákat, akkor elérték céljukat.

A könyv a vele szemben előzetesen támasztott elvárásaimat maximálisan teljesítette. Egy nagyszerű bevezető a kriptográfiára alapozó rendszerek világába. Ráébreszti az olvasót a biztonságtechnika fontosságára, annak fontosabb ismérveire, és elülteti benne a szakmai paranoia (professional paranoia) vagyis a biztonsági szemlélet magját. Ahogy azt a szerzők is megfogalmazzák, ha az olvasó semmit nem is tanul a könyvből, de sajátjává válik a biztonság-tudatosság (security mindset), akkor a könyv már elérte célját.

Véleményem szerint minden éles rendszert fejlesztőnek el kellene olvasni ezt a könyvet. Persze ez lehetetlen követelmény, hiszen kifejezetten nehéz olvasmány, és a legtöbb olvasó számára közvetlen hasznossággal nem bír, de hosszú távon olyan gondolkodásmódot alakít ki, ami előbb vagy utóbb minden fejlesztővel szemben alapkövetelmény lehet. Különösebb előkövetelménye nincs a könyvnek, de a titkosítással és a szteganográfiával foglalkozó fejezeteknél nem árt, ha valaki foglalkozott már szám- és/vagy gyűrűelmélettel.

Tízből tízes, mindenkinek ajánlom.