Cyber Shelf

// Comparaison

Silence on the Wire vs Understanding Cryptography : lequel lire ?

Deux livres de cybersécurité sur Foundations, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52005
Silence on the Wire

A Field Guide to Passive Reconnaissance and Indirect Attacks

Michal Zalewski

Le classique de Michal Zalewski sur la surface d'attaque indirecte : canaux temporels, fingerprinting de stack protocolaire et les données side-leaked souvent négligées par chaque couche d'un stack.

Intermédiaire
4/52010
Understanding Cryptography

Un manuel pour étudiants et praticiens

Christof Paar, Jan Pelzl

Une vraie introduction pédagogique à la cryptographie moderne qui démontre les maths au lieu de les éluder, couvrant les primitives symétriques et à clé publique sans vous noyer sous les preuves.

À lire si

Défenseurs curieux, reverse engineers et auditeurs de protocoles qui veulent penser aux données side que chaque couche fuit. Zalewski est le penseur networking le plus original du champ, et le livre a vingt ans et est pourtant encore en avance sur les modèles de la plupart des gens.
Ingénieurs et étudiants qui veulent vraiment comprendre AES, RSA et ECC plutôt que d'appeler une bibliothèque, et qui apprennent mieux par exemples résolus que par théorème-démonstration.

À éviter si

Lecteurs voulant des recettes ou playbooks. Le livre est constitué d'essais conceptuels sur side channels, métadonnées réseau et inférence indirecte ; chaque chapitre est une expérience de pensée avec des implications pratiques, pas un guide pas-à-pas.
Passez votre chemin si vous cherchez un guide pratique d'ingénierie de sécurité. Le livre enseigne les primitives, pas la conception de protocoles, la gestion des clés ou comment les choses cassent en production.

Points clés

  • Chaque couche protocolaire fuit de l'information qui n'était pas dans le payload (fingerprinting TCP/IP, hints cache DNS, timing navigateur, écho terminal) ; la prémisse du livre est que les adversaires peuvent tout lire.
  • La reconnaissance passive est dramatiquement sous-estimée à la fois comme menace et comme outil de recherche ; Zalewski défend mieux le dossier que quiconque avant ou depuis.
  • Les chapitres sur la fuite de phantom-data (idle scanning, oracles temporels, side channels aveugles) sont la racine conceptuelle de classes d'attaques qui continuent d'être redécouvertes tous les quelques années.
  • Le problème du logarithme discret et la factorisation des entiers sont les deux piliers sous la majeure partie de la crypto à clé publique déployée, et le livre vous fait calculer avec les deux.
  • AES est présenté comme une arithmétique compréhensible dans les corps finis, pas comme de la magie, ce qui démystifie le chiffrement le plus utilisé au monde.
  • La sécurité cryptographique consiste à quantifier l'effort de l'attaquant, pas à garder l'algorithme secret.

Comment ils se comparent

Nous notons Silence on the Wire plus haut (5/5 contre 4/5 pour Understanding Cryptography). Pour la plupart des lecteurs, Silence on the Wire est le choix principal et Understanding Cryptography un complément utile.

Silence on the Wire vise le niveau avancé. Understanding Cryptography vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Silence on the Wire et Understanding Cryptography couvrent tous les deux Foundations : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Silence on the Wire

Alternatives à Silence on the WireQue lire après Silence on the Wire

Understanding Cryptography

Alternatives à Understanding CryptographyQue lire après Understanding Cryptography

Thématiques liées

Foundations