Cyber Shelf

// Comparaison

Cryptography Engineering vs Designing Secure Software : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52010
Cryptography Engineering

Principes de conception et applications pratiques

Niels Ferguson, Bruce Schneier, Tadayoshi Kohno

Une introduction à la cryptographie pour ingénieurs en exercice qui prend les pièges d'implémentation plus au sérieux que la plupart.

Intermédiaire
5/52021
Designing Secure Software

A Guide for Developers

Loren Kohnfelder

Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.

À lire si

Ingénieurs qui doivent évaluer des choix cryptographiques dans des systèmes réels et veulent l'intuition expliquant pourquoi les conseils standards existent.
Développeurs seniors et architectes qui écrivent déjà bien le code et veulent maintenant concevoir des systèmes qui n'expédient pas de CVE. Kohnfelder est l'auteur qui a littéralement écrit le papier X.509 ; le livre est la sagesse de design d'une carrière en 312 pages.

À éviter si

Chercheurs ayant besoin de rigueur, pour cela, lisez Boneh/Shoup ou Katz/Lindell. Daté également sur TLS 1.3, les normes AEAD modernes, et le post-quantique.
Débutants ou lecteurs voulant du tooling hands-on. Le livre est niveau design : principes, patterns et études de cas. À coupler avec des livres niveau implémentation pour la vue ligne de code.

Points clés

  • Presque toutes les catastrophes cryptographiques sont des échecs d'intégration, pas des échecs de primitive.
  • Ne réinventez pas la roue, mais comprenez assez pour reconnaître quand la bibliothèque que vous utilisez se trompe.
  • Les canaux auxiliaires ne sont pas exotiques ; ils sont le mode d'échec par défaut.
  • Secure-by-design est principalement éviter les pièges ; l'énumération du livre des erreurs communes-mais-fatales est la checklist mentale la plus nette qu'un concepteur puisse porter.
  • Les frontières de confiance sont le concept unique le plus utile en design sécurisé ; le livre vous apprend à les voir dans n'importe quelle architecture.
  • La plupart des débats sécurité dans les organisations d'ingénierie se résolvent en une poignée de compromis répétés (défense en profondeur vs simplicité, blocage vs logging, fail-open vs fail-closed) ; le livre les nomme et fournit le langage pour la conversation.

Comment ils se comparent

Nous notons Designing Secure Software plus haut (5/5 contre 4/5 pour Cryptography Engineering). Pour la plupart des lecteurs, Designing Secure Software est le choix principal et Cryptography Engineering un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Cryptography Engineering et Designing Secure Software couvrent tous les deux Defensive, AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Cryptography Engineering

Alternatives à Cryptography EngineeringQue lire après Cryptography Engineering

Designing Secure Software

Alternatives à Designing Secure SoftwareQue lire après Designing Secure Software

Thématiques liées

DefensiveAppSec