calendar
« Jun12345678910111213141516171819202122232425262728293031 Aug »

Interview: Wie man bei der Kryptographie am Ball bleibt

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Interview: Wie man bei der Kryptographie am Ball bleibt
CC-BY-NC-ND 2.0 Z33 Art centre

Wer Interesse an Kryptographie und Kryptoanalyse hat, sieht sich mit einem kaum mehr überschaubaren Feld konfrontiert. Wie soll man mit den neuesten Erkenntnissen, mit all den Forschungspapieren und niedergeschriebenen Gedanken noch mitkommen? Wissenschaftler, Entwickler, Journalisten, Leute aus dem Feld der IT-Sicherheit: Sehr viele Menschen schreiben über Kryptographie-bezogene Themen, veröffentlichen Artikel und Analysen in ihren Blogs. Doch Hilfe naht, um die Lust an Kryptographie zu wecken und die Neugier zu stillen! David Wong hat eine englischsprachige Liste zusammengestellt: Blogs about Cryptography/Security to follow, die man bequem in RSS-Reader übernehmen kann.

Wir sprachen mit David Wong, während er auf der gerade stattfindenden Black-Hat-Konferenz zusammen mit Kollegen Kryptographiekurse anbot. Er verwaltet seine Liste der Krypto-Blogs bereits seit Jahren und teilt sie mit jedem, der Interesse hat.

David Wong ist Sicherheitsberater in der Abteilung Cryptography Services für Kryptographie-Dienstleistungen des Unternehmens „NCC Group“. Er war Teil von mehreren öffentlich finanzierten Open-Source-Audits wie OpenSSL und Let’s Encrypt. Er hat in vielen Bereichen der Kryptographie geforscht, Whitepapers publiziert, Ergebnisse auf verschiedenen Konferenzen wie DEF CON und ToorCon vorgestellt und gibt einen wiederkehrenden Kryptographiekurs bei der Black-Hat-Konferenz. Er hat zu Standards wie TLS 1.3, Strobe und dem Noise Protocol Framework beigetragen. David hat einen Master in Kryptographie von der Universität Bordeaux und einen Bachelor in Mathematik von den Universitäten von Lyon und McMaster erhalten. David ist auch bei Twitter.

There is also an English version of this interview.

Warum eine Krypto-Sammlung?

David Wong. (Foto: privat.)

netzpolitik.org: Du hast eine lange Liste von Blogs über Kryptographie zusammengestellt und teilst sie auf Github mit allen, die sich dafür interessieren. Warum hast Du diese Sammlung gestartet?

David Wong: Ich habe vor drei Jahren für meinen Master in Kryptographie gelernt, bin etwas lustlos geworden. Also habe ich darüber nachgedacht, wie ich meine obsessive Persönlichkeit dafür nutzen kann, besser zu werden. Vor langer Zeit war ich süchtig nach RSS-Feeds geworden und hatte hunderte von News-Feeds abonniert. Ich habe dann alle fünf Minuten eine neue Benachrichtigung bekommen und musste alle lesen. Ich war davon besessen, Schlaf oder soziale Aktivitäten führten dazu, dass ich zu viele der Posts verpasste, was mich verrückt gemacht hat.

Ich bin irgendwann an einen Punkt gelangt, an dem ich einfach gesagt habe „Vergiss es!“ und meine Accounts bei Google Reader und der verschiedenen anderen Software, die ich damals nutzte, gelöscht habe. Und ich ließ die Sache hinter mir. Aber ich habe vielleicht sieben Jahre später wieder daran gedacht, als ich meinen Master machte und entschied mich, dass ich so etwas wieder in meinem Leben brauche.

Also habe ich eine Reihe von Blogs abonniert, die ich jeden Tag lesen würde, meistens während des Pendelns. Das hat für mich ganz gut hingehauen, ich lese auch heute noch eine große Menge an Posts. Eine Liste der interessanten Posts führe ich übrigens hier:

netzpolitik.org: Du fügst Blogs hinzu und löschst andere. Was sind Deine Kriterien?

David Wong: Ich füge Blogs hinzu, die ich interessant finde und von denen ich denke, dass sie zukünftig gute Posts abwerfen werden. Manchmal füge ich Blogs hinzu, von denen ich weiß, dass sie tot sind, aber ich will die Artikel an einem Ort speichern, meistens weil sie so gut waren. Das ist ein bisschen traurig, weil diese Blogs wahrscheinlich nie mehr etwas Neues haben werden, aber ich will nicht, dass sie im Nichts verloren gehen.

Was das Löschen angeht: Ich ziele nicht darauf ab, Blogs zu löschen. Ich entferne manchmal Duplikate oder Blogs, die sich im Nachhinein als nicht so gut herausgestellt haben…

netzpolitik.org: Wie findest Du lesenswerte Krypto-Blogs?

David Wong: Über Mailing-Listen, Blogeinträge, Links aus Blogs, die ich lese, Hacker-News und reddit. Das ist es eigentlich. Blogeinträge sind meistens der beste Weg, unterwegs zu lernen, weil sie keinen großen Zeitaufwand brauchen. Meistens sind sie besser als Bücher und zwar dadurch, dass sie weniger formal sind und mehr Diagramme oder pädagogische Eigenschaften haben.

„Was meiner Meinung nach ein gutes Blog ausmacht“

netzpolitik.org: Du hast also aus Neugierde damit angefangen. Aber warum hast Du begonnen, die Liste mit der Welt zu teilen?

Woran erkannt man einen Krypto-Nerd? Via Twitter.

David Wong: Naja, das habe ich in meinem Leben andauernd gemacht. Ich habe immer den Sinn darin erkannt, etwas zu teilen, das für andere wertvoll sein kann. Die einzigen Male, bei denen ich etwas nicht veröffentlicht habe, sind Lösungen für Wargames während Capture-The-Flag-Wettkämpfen oder Quellcode, bei dem ich zu viel Angst habe, dass er voller Fehler ist.

netzpolitik.org: Du arbeitest und lehrst in dem Feld. Hast Du Zeit, alle Blogs zu lesen?

David Wong: Leider nicht. Ich habe diese Liste von Pocket-Artikeln (Pocket ist ein Firefox-Plug-in für das Bookmarking von Artikeln), die über die Jahre exponentiell angewachsen ist. Ich versuche sie zu reduzieren, wenn ich eine Zeit lang ohne Internet bin, damit bin ich aber nicht so schnell, wie die Liste weiter anwächst.

Ich habe in der letzten Zeit auch versucht, mehr Bücher als Blogposts zu lesen, weil ich denke, es gibt einen Punkt, an dem Du auf Bücher umsteigen musst, wenn Du in einem Thema Tiefe statt Breite erlangen willst.

netzpolitik.org: Welches sind Deine Lieblingsblogs? Hast Du einen Insider-Tip für ein Krypto-Blog aus der Liste, das stark unterschätzt ist?

David Wong: Gute Frage. Ich habe darüber für das Jahr 2016 geschrieben, aber ich sollte konsequenter kennzeichnen, was ich wirklich mag. Hoffentlich habe ich bis Ende 2017 eine bessere Liste.

Dieser Blogpost beschreibt auch, was meiner Meinung nach ein gutes Blog ausmacht:

  • Interessant. Ich muss etwas aus dem Blog lernen, egal welches Thema. Wenn nur Ergebnisse präsentiert werden, bin ich meistens nicht interessiert.
  • Pädagogisch. Schütte mich nicht mit Deinem ungefilterten Wissen zu, ich bin dumm. Hilf mir mit Diagrammen und erklär es mir so, als wäre ich fünf.
  • Gut geschrieben. Ich kann nichts Langweiliges lesen. Bonuspunkte, wenn es lustig ist. :)

netzpolitik.org: Ich würde Dir gern ein paar allgemeinere Fragen stellen: Vor vier Jahren begannen die Snowden-Enthüllungen. Stellst Du Änderungen fest, wie Wissenschaftler, Entwickler oder Journalisten über Kryptographie oder IT-Sicherheitslücken schreiben?

David Wong: Auf jeden Fall. Die Leute sind sich generell bewusster über IT-Sicherheitsfragen. Auch Unternehmen sind sich bewusster über IT-Sicherheit, auch wenn viele von ihnen das eher als einen Marketingvorteil nutzen, hilft es ihnen im Ganzen, doch sicherer zu werden. In der NCC Group, wo ich arbeite, kommen vielmehr Kunden zu uns, damit wir ihnen helfen, damit anzufangen, eine Anwendung zu schützen. „Anfangen“ hier ist das Schlüsselwort. Sie haben dank des gegenwärtigen Klimas verstanden, dass Sicherheit nicht optional ist, und haben sich entschieden, etwas Hilfe von außen zu holen. Jetzt ist ein weiteres Problem, ihnen verständlich zu machen, dass Sicherheit ein kontinuierlicher Prozess und keine einmalige Sache ist.

Was Wissenschaftler betrifft, hat Phillip Rogaway einen Artikel mit dem Titel „The Moral Character of Cryptographic Work“ (pdf) veröffentlicht, und ein großer Teil der Forschung hat sich in Richtung Sicherung des Internets, Messaging usw. verschoben. Insbesondere Google Chrome hat sich stark dafür eingesetzt, dass in den letzten Jahren Websites massenweise auf HTTPS umgestiegen sind. Siehe auch Let’s Encrypt, ich zitiere:

„Als Let’s Encrypts Dienst zum ersten Mal verfügbar wurde, nutzten weniger als vierzig Prozent der Webseitenanfragen HTTPS. Das Internet hat zwanzig Jahre gebraucht, um an diesem Punkt anzukommen. In den neunzehn Monaten seit unserem Launch haben verschlüsselte Seitenaufrufe um achtzehn Prozent auf beinahe 58 Prozent zugelegt. Das ist eine unglaubliche Quote für das Internet. Zu diesem Trend beizutragen ist das, worauf wir am meisten stolz sind.“

Gute kryptographische Verfahren

netzpolitik.org: In Deiner Twitter-Beschreibung steht: „Mein Job ist das Brechen von Verschlüsselung.“ Sind Dir in der letzten Zeit kryptographische Protokolle untergekommen, die Du nicht brechen konntest?

David Wong: Jeden Tag. Ich sehe AES-GCM, SHA-3, HMAC, ECDH und andere grundlegende kryptographische Verfahren, die gut implementiert zu sein scheinen. Aber werden sie in den Anwendungen auch richtig angewandt? Das ist eine ganz andere Frage, und die Antwort darauf ist nicht immer positiv. Wenn ich ein oder zwei Dinge, die mich in der Vergangenheit beeindruckt haben, nennen sollte, würde ich mich für Noise, SHA-3 und BearSSL entscheiden. Das erste ist die Lösung für Leute, die TLS brauchen, aber nicht direkt TLS benutzen wollen. Ich sehe viele proprietäre individualisierte TLS-Protokolle, die mich traurig machen. Projekte wie Noise bringen mich jedoch zum Lächeln. SHA-3 ist ein Wunder, das Design ist einfach logisch in vielen Aspekten, und SHA-3 hat uns einiges gebracht (SHAKE, Tuplehash, KMAC, KangarooTwelve, Strobe, …), das die Landschaft in der Anwendungswelt verändert. BearSSL ist die am besten geschriebene TLS-Library da draußen, sie verwendet keine mallocs und ist die Bibliothek, an die ich mich wende, wenn ich TLS verstehen will.

netzpolitik.org: David, vielen Dank für das Interview!


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Montag, 24. Juli 2017 um 17:37
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: