Cyber Shelf

// Comparaison

Cryptography Engineering vs Security Engineering : lequel lire ?

Deux livres de cybersécurité sur Cryptography, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52010
Cryptography Engineering

Principes de conception et applications pratiques

Niels Ferguson, Bruce Schneier, Tadayoshi Kohno

Une introduction à la cryptographie pour ingénieurs en exercice qui prend les pièges d'implémentation plus au sérieux que la plupart.

Avancé
5/52020
Security Engineering

A Guide to Building Dependable Distributed Systems

Ross Anderson

Le manuel de référence de Ross Anderson sur la conception de systèmes sûrs : protocoles, contrôle d'accès, canaux auxiliaires, économie de la sécurité, politique publique.

À lire si

Ingénieurs qui doivent évaluer des choix cryptographiques dans des systèmes réels et veulent l'intuition expliquant pourquoi les conseils standards existent.
Quiconque conçoit, audite ou gouverne des systèmes dont les défaillances ont des conséquences réelles : banque, santé, vote, télécoms, défense. Le livre de sécurité le plus important jamais écrit, et le rare manuel qui s'améliore à chaque édition.

À éviter si

Chercheurs ayant besoin de rigueur, pour cela, lisez Boneh/Shoup ou Katz/Lindell. Daté également sur TLS 1.3, les normes AEAD modernes, et le post-quantique.
Lecteurs cherchant un guide d'outils ou un primer rapide pour une certification. Anderson travaille au niveau systèmes et politique ; pour apprendre Burp, ce n'est pas ici. Les 1 200 pages récompensent la lecture patiente, pas le survol.

Points clés

  • Presque toutes les catastrophes cryptographiques sont des échecs d'intégration, pas des échecs de primitive.
  • Ne réinventez pas la roue, mais comprenez assez pour reconnaître quand la bibliothèque que vous utilisez se trompe.
  • Les canaux auxiliaires ne sont pas exotiques ; ils sont le mode d'échec par défaut.
  • La plupart des défaillances en production sont économiques et organisationnelles, pas cryptographiques : les incitations façonnent les résultats bien plus que les primitives.
  • Les modèles de menace d'un domaine (banque, télécoms, militaire) se généralisent à un autre quand on sait quoi regarder, et Anderson est le meilleur du domaine pour vous le montrer.
  • Canaux auxiliaires, supply chain et politique publique sont des préoccupations d'ingénierie de premier rang, pas des notes de bas de page.

Comment ils se comparent

Nous notons Security Engineering plus haut (5/5 contre 4/5 pour Cryptography Engineering). Pour la plupart des lecteurs, Security Engineering est le choix principal et Cryptography Engineering un complément utile.

Cryptography Engineering vise le niveau intermédiaire. Security Engineering vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Cryptography Engineering et Security Engineering couvrent tous les deux Cryptography, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Cryptography Engineering

Alternatives à Cryptography EngineeringQue lire après Cryptography Engineering

Security Engineering

Alternatives à Security EngineeringQue lire après Security Engineering

Thématiques liées

CryptographyDefensive