Cyber Shelf

// Comparaison

Designing Secure Software vs Real-World Cryptography : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Designing Secure Software

A Guide for Developers

Loren Kohnfelder

Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

À lire si

Développeurs seniors et architectes qui écrivent déjà bien le code et veulent maintenant concevoir des systèmes qui n'expédient pas de CVE. Kohnfelder est l'auteur qui a littéralement écrit le papier X.509 ; le livre est la sagesse de design d'une carrière en 312 pages.
Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.

À éviter si

Débutants ou lecteurs voulant du tooling hands-on. Le livre est niveau design : principes, patterns et études de cas. À coupler avec des livres niveau implémentation pour la vue ligne de code.
Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.

Points clés

  • Secure-by-design est principalement éviter les pièges ; l'énumération du livre des erreurs communes-mais-fatales est la checklist mentale la plus nette qu'un concepteur puisse porter.
  • Les frontières de confiance sont le concept unique le plus utile en design sécurisé ; le livre vous apprend à les voir dans n'importe quelle architecture.
  • La plupart des débats sécurité dans les organisations d'ingénierie se résolvent en une poignée de compromis répétés (défense en profondeur vs simplicité, blocage vs logging, fail-open vs fail-closed) ; le livre les nomme et fournit le langage pour la conversation.
  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.

Comment ils se comparent

Designing Secure Software et Real-World Cryptography sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Designing Secure Software et Real-World Cryptography couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Designing Secure Software

Alternatives à Designing Secure SoftwareQue lire après Designing Secure Software

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

Thématiques liées

AppSec