Real-World Cryptography
Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- David Wong
- Publié
- 2021
- Éditeur
- Manning
- Pages
- 400
- Langue
- English
À lire si
Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.
À éviter si
Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.
Points clés
- La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
- TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
- La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.
Notes
Le livebook Manning est excellent et fonctionne très bien en complément de la version imprimée. À lire avec Serious Cryptography d'Aumasson (plus profond sur les primitives) et Cryptography Engineering (meilleur sur les protocoles et les défaillances système). Le blog de Wong et son travail sur Tamarin / cryptanalysis sont de bons prolongements. Si vous ne lisez qu'un seul livre de cryptographie, c'est celui-ci.
Que lire avant
Que lire avant Real-World Cryptography →Intermédiaire · 2024
Serious Cryptography
L'introduction de Jean-Philippe Aumasson à la cryptographie moderne, pensée pour les ingénieurs qui ont besoin à la fois d'intuition et d'assez de fondations mathématiques pour évaluer les choix d'une bibliothèque.
Intermédiaire · 2010
Cryptography Engineering
Une introduction à la cryptographie pour ingénieurs en exercice qui prend les pièges d'implémentation plus au sérieux que la plupart.
Débutant · 2020
Alice and Bob Learn Application Security
Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.
Que lire ensuite
Que lire après Real-World Cryptography →Intermédiaire · 2024
Serious Cryptography
L'introduction de Jean-Philippe Aumasson à la cryptographie moderne, pensée pour les ingénieurs qui ont besoin à la fois d'intuition et d'assez de fondations mathématiques pour évaluer les choix d'une bibliothèque.
Intermédiaire · 2010
Cryptography Engineering
Une introduction à la cryptographie pour ingénieurs en exercice qui prend les pièges d'implémentation plus au sérieux que la plupart.
Avancé · 2020
Security Engineering
Le manuel de référence de Ross Anderson sur la conception de systèmes sûrs : protocoles, contrôle d'accès, canaux auxiliaires, économie de la sécurité, politique publique.
Explorer des livres similaires
Alternatives à Real-World Cryptography →Intermédiaire · 2024
Serious Cryptography
L'introduction de Jean-Philippe Aumasson à la cryptographie moderne, pensée pour les ingénieurs qui ont besoin à la fois d'intuition et d'assez de fondations mathématiques pour évaluer les choix d'une bibliothèque.
Intermédiaire · 2010
Cryptography Engineering
Une introduction à la cryptographie pour ingénieurs en exercice qui prend les pièges d'implémentation plus au sérieux que la plupart.
Intermédiaire · 2021
Designing Secure Software
Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.