hitforum.deErfahrungsaustausch für IT-Professionals
Bücherecke
Aktuelles
Termine
Themen
FAQs
Rückblick
Regionales
Kontakt
Sitemap
Impressum

Kryptographie

Im Januar und September des Jahres 2001 hielt Herr Klaus Schmeh beim HITFORUM Rhein/Ruhr Vorträge über Kryptographie und im Juni 2002 einen Vortrag speziell über die Enigma.

Aus diesem Anlass stellen wir hier zur Vertiefung des Themas einige Buchtitel vor und verweisen auf interessante Webseiten.

Freeware-Programm CrypTool

CrypTool ist ein Freeware-Programm zur Einführung in das Thema Kryptographie. Sie können damit kryptographische Verfahren anwenden und analysieren.

Hervorzuheben ist die ausführliche Online-Hilfe, die auch ohne tiefes Kryptowissen verstanden werden kann.

CrypTool enthält fast alle State-of-the-art-Kryptofunktionen und ermöglicht einen "spielerischen" Einstieg in die moderne und klassische Kryptographie.

Infos und Download unter: http://www.cryptool.de


Kryptographie-Bücher (in deutsch)

Folgende Bücher zum Thema seien allen Interessenten empfohlen:

Klaus Schmeh: Kryptografie und Public-Key-Infrastrukturen im Internet

Dieser Titel stammt aus der Feder unseres Referenten Klaus Schmeh. Es ist bereits die zweite Auflage des Werkes, die erste Auflage erschien unter dem Titel "Safer Net - Kryptografie im Internet und Intranet".
Das Buch führt kompetent und unterhaltsam in die wichtigsten Themen der Kryptographie im Internet-Zeitalter ein.
Klaus Schmeh schafft es, auch schwierige Themen interessant und verständlich darzustellen, was bei einem stark durch Mathematik geprägten Stoff an sich nicht so einfach ist. Das Buch ist aber auch ohne vertiefte Mathe-Kenntnisse durchaus verständlich. Wichtig ist, dass sich die Darstellung nicht unnötig in technischen Tiefen verliert, sondern immer den Bezug zur Praxis beibehält.
So wird zu Beginn auch erstmal erläutert, was Kryptografie ist und wozu sie dient. Anschliessend werden die Grundlagen gelegt: Symmetrische und Asymmetrische Verschlüsselung, Digitale Signaturen, Kryptografische Hashfunktionen und Kryptografische Zufallszahlengeneratoren.
Im nächsten Teil des Buches "Kryptografie für Fortgeschrittene" geht es Standards, Betriebsarten, Protokolle und Implementierungen. Das Thema Authentifizierung wird behandelt und kurz die Kryptografie mit Elliptischen Kurven erklärt.
Dann geht es weiter mit Public-Key-Infrastrukturen (PKI) und man merkt, das der Autor in diesem Thema zuhause ist.
Es würde zu weit führen, hier auch noch auf alle weiteren Themen einzugehen, es sei daher nur noch erwähnt, dass auch Themen wie IPsec, SSL, PGP, S/MIME, SSH behandelt werden.
Fazit: Gut, dass die lang erwartete Neuauflage nun endlich erscheinen ist, das Buch ist gegenüber der ersten Auflage nicht nur aktualisiert worden, sondern tatsächlich auch noch besser geworden. Unbedingt empfehlenswert!
ISBN: 3-932588-90-8, DPUNKT 2001, DM 99,-

Selke, Gisbert W.: Kryptographie
Verfahren, Ziele, Einsatzmöglichkeiten

Denjenigen die kurz und bündig informiert sein wollen oder nur mal kurz in das Thema hineinschnuppern möchten, sei dieser Titel aus der Reihe O'Reilly Essentials empfohlen. Er hat nur 225 Seiten und kostet lediglich DM 29,-, vermittelt aber einen kompakten Überblick über die Grundideen und Methoden.
ISBN: 3-89721-155-6, O'REILLY 2000, DM 29,-

Simon Singh: Geheime Botschaften

Dieses Buch stellt im Gegensatz zu den bisher empfohlenen Titeln nicht die technischen Aspekte der Kryptographie in den Vordergrund. Vielmehr wird die Entwicklung "der Kunst der Verschlüsselung von der Antike bis in die Zeiten des Internets" kompetent, aber spannend geschildert. So lernt man auch viel über all die Menschen, die man bisher nur als blasse Namen aus irgendwelchen Fachbüchern kannte. So ist allen Informatikern beispielsweise der Name Alan Turing bestens bekannt. Aber wer weiss schon, welche Rolle Turing bei der Entschlüsselung der ENIGMA gespielt hat und wieso sein Leben so tragisch endete!? Dieses Buch ist absolut zu empfehlen! Der Autor ist jener Simon Singh, der uns auch schon mit seinem hervorragend recherchierten und excellent geschriebenen Titel über die Lösung des Fermatschen Problems ganz neue Einblicke in die Geschichte der Mathematik der letzten 350 Jahre verschafft hat!
ISBN: 3-446-19873-3, HANSER 2000, DM 45,-

R.Kippenhahn: Verschlüsselte Botschaften

Rudolf Kippenhahn, Mathematiker, Phyiker und Astronom ist ein bekannter Wissenschaftsautor. Mit seinem 1997 (als Hardcover) erschienenen Titel "Verschlüsselte Botschaften - Geheimschrift, Enigma und Chipkarte" hat er eine lesenswerte Mischung aus Fachinformationen über die Methoden und Algorithmen der Verschlüsselung und der Entschlüsselung mit interessanten Ereignissen aus der Geschichte der Geheimschriften verbunden. Ein empfehlenswertes Buch und dazu noch ein preiswerter Einstieg in das Thema.

ISBN:3-499-60807-3, RORORO 1997/1999, DM 18,90

F.L.Bauer: Entzifferte Geheimnisse
Methoden und Maximen der Kryptologie

Dieses Buch liegt mittlerweile in der dritten Auflage vor (frisch überarbeitet und erweitert). Es stellt auf über 500 Seiten die verschiedenen Methoden und Verfahren der Kryptographie und der Kryptoanalyse vor. Der geneigte Leser erfährt recht detailliert, wie mit den verschiedensten Verfahren verschlüsselt wird, aber auch und wo die Schwachstellen liegen, wie also mit kryptoanalytischen Mitteln die Verschlüsselungen gebrochen werden können.
Von den bisher vorgestellten Werken geht dieses am weitesten auf die Verfahren ein und wird zum Teil auch recht mathematisch (was dabei nicht ausbleiben kann). Trotzdem aber lesenswert und verständlich.
Auf 16 Farbtafeln werden verschiedene Chiffriergeräte gezeigt.
ISBN: 3-540-67931-6, SPRINGER 2000, DM 64,-

PGP - Pretty Good Privacy
Das Verschlüsselungsprogramm für Ihre private elektronische Post

Der Herausgeber dieses Werkes über das bekannte Verschlüsselungsrogramm PGP ist der "Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e.V" kurz FoeBuD e.V.. Das Buch führt in das Thema E-Mail-Verschlüsselung ein und stellt die verschiedenen Versionen von PGP und deren Handhabung vor. Auf der beiliegenden CD finden sich verschiedene PGP-Versionen bis zur 6.5.1i, aber auch GPG (Gnu Privacy Guard).
ISBN: 3-9802182-9-5, VERLAG ART D'AMEUBLEMENT 1999,
305 Seiten, 1 CD, DM 39,80

Bruce Schneier: Angewandte Kryptographie

Diese Bücherliste wäre unvollständig, wenn nicht auch der "Papst" der Kryptographie mit seinem Standardwerk vorgestellt würde. Zwar ist der Titel schon ein paar Jahre alt, aber trotzdem so aktuell wie eh' und je. Bruce Schneier (wirklich ohne "d"!) ist nicht nur Autor diverser Bücher und Artikel über Kryptographie, sondern auch Entwickler von weltweit anerkannten kryptographischen Verfahren. In "Angewandte Kryptographie" stellt er auf 844 Seiten kryptographische Theorie, Protokolle, Algorithmen und Sourcecode in C vor. Kurz gesagt: ein Standardwerk der Kryptographie!
ISBN: 3-8931-9854-7, ADDISON-WESLEY, DM 119,90

Bruce Schneier: Secrets and Lies

http://www.dpunkt.de/buecher/3-89864-113-9.html

Das neueste Buch von Bruce Schneier ist mittlerweile auch in einer (gelungenen) deutschen Übersetzung erhältlich. Dieses Buch ist quasi das Gegenstück zu "Angewandte Kryptographie". Ging es dort um Technik, Protokolle und Algorithmen, also eigentlich mehr oder minder um Mathematik, so legt Bruce Schneier nun den Schwerpunkt ganz anders. Er will aufzeigen, dass die besten kryptografischen Verfahren immer noch keine sichere Verschlüsselung garantieren, weil auch das organisatorische und technische Umfeld ihres Einsatzes betrachtet werden muss. Eine Kette ist nur so stark wie das schwächste Glied und der beste Krypto-Algorithmus ist wertlos, wenn er fehlerhaft implementiert wird, die Schlüsselerzeugung Schwachstellen hat, der Rechner mit Trojanern verseucht ist oder der Anwender zu nachlässig ist. Gesamturteil: "Muss man gelesen haben!"

http://www.counterpane.com/sandl.html

Reinhard Wobst: Abenteuer Kryptologie

Methoden, Risiken und Nutzen der Datenverschlüsselung (mit CD)
Dieses mittlerweile bereits in der 3. Auflage erschiene Werk führt auf 456 Seiten umfassend und verständlich in das Thema Kryptografie ein. Neben historischen Anekdoten und detaillierten technischen Beschreibungen der Algorithmen und Protokolle wird auch noch die Kryptoanalyse behandelt und gezeigt, wie Codes geknackt werden können.
ISBN: 3-8273-1815-7, ADDISON-WESLEY, DM 79,90


Links zu Kryptographie-Websites

Bruce Schneier: Security Pitfalls in Cryptography

http://www.counterpane.com/pitfalls.html

Kryptographie darf niemals nur als rein technisches Problem gesehen werden. Der beste Krypto-Algorithmus bringt nichts, wenn Fehler bei der praktischen Anwendung gemacht werden. Entsprechend dieser Erkenntnis hat Bruce Schneier seinen Focus von der technischen Seite auf die Rahmenbedingungen der Anwendung von Kryptographie verlegt. In diesem Text weist er auf einige Fallen bei der Anwendung hin. Lesenswert!

  • Attacks Against Cryptographic Designs
  • Attacks Against Implementations
  • Attacks Against Passwords
  • Attacks Against Hardware
  • Attacks Against Trust Models
  • Attacks on the Users
  • Attacks Against Failure Recovery
  • Attacks Against the Cryptography
  • Attack Prevention vs. Attack Detection
  • Building Secure Cryptographic Systems

Bruce Schneier: Crypto-Gram Newsletter

http://www.counterpane.com/crypto-gram.html

Bruce Schneier ist der Herausgeber eines kostenlosen, monatlichen Newsletters zum Thema Kryptographie. Unbedingt abonnieren, empfehlenswert! Auf der Website findet sich auch ein Archiv mit älteren Ausgaben des Newsletters.

Bruce Schneier: PKI RISKS

http://www.counterpane.com/pki-risks-ft.txt

PKI steht für "Public Key Infrastructure" und Bruce Schneier warnt vor zu leichtgläubigem Vertrauen auf Sicherheit durch Technik. Ein wichtiges Thema.

  • Risk #1: "Who do we trust, and for what?"
  • Risk #2: "Who is using my key?"
  • Risk #3: "How secure is the verifying computer?"
  • Risk #4: "Which John Robinson is he?"
  • Risk #5: "Is the CA an authority?"
  • Risk #6: "Is the user part of the security design?"
  • Risk #7: "Was it one CA or a CA plus a Registration Authority?"
  • Risk #8: "How did the CA identify the certificate holder?"
  • Risk #9: "How secure are the certificate practices?"
  • Risk #10: "Why are we using the CA process, anyway?"

Ein Bug in PGP

http://senderek.de/security/key-experiments.html

Ist eine E-Mail erst einmal verschlüsselt, kann sie (hoffentlich) kein Fremder mehr lesen. Was ist aber, wenn wichtige Informationen in Firmen verschlüsselt sind und der entsprechende Mitarbeiter ist just länger in Urlaub, ausgeschieden oder einfach unwillig, seinen Schlüssel herauszurücken? Muss die Firma dann ihren Geschäftsbetrieb einstellen?

Seit geraumer Zeit ist PGP "kommerziell" geworden und wird nun als Produkt der Firma NAI herausgebracht. Damit ändern sich aber auch zugrundliegende Denkweisen und so war es wohl nur eine Frage der Zeit, dass NAI das soeben angesprochenen Problem angeht.

Hierzu wurden von NAI sogenante ADKs in PGP eingeführt, "Additional Decryption Keys". Hiermit sollte es möglich sein, unter bestimmten, durch die Security-Policy geregelten Fällen auch ohne den Originalempfänger an die E-Mail-Inhalte zu gelangen.

Gab diese Tatsache allein schon einen Aufschrei in der aktiven PGP-Gemeinde ("Hintertür eingebaut"), so war es noch um so schlimmer, dass NAI bei der Einführung der ADK wohl einen Fehler gemacht hat. Dadurch war es nämlich praktisch jedem möglich, zusätzliche Schlüssel einzuschmuggeln und sich somit die E-Mail seines Opfers zugänglich zu machen.

Entdeckt und im Web publiziert hat diesen Bug Ralf Senderek.

IBM Red Books: Deploying a Public Key Infrastructure

http://www.redbooks.ibm.com/pubs/pdfs/redbooks/sg245512.pdf

Von IBM gibt es ein sogenanntes Red Book zum Thema PKI.

  • Table of Contents
  • Chapter 1. Introduction to security systems
  • Chapter 2. PKI overview
  • Chapter 3. Principles of operation
  • Chapter 4. PKI deployment
  • Chapter 5. PKI-related standards
  • Chapter 6. IBM SecureWay Trust Authority
  • Chapter 7. Deployment scenarios for Trust Authority

Cryptography FAQ

http://www.landfield.com/faqs/cryptography-faq/

Hier ein Verweis auf die "Frequently Asked Questions" zum Thema "Kryptographie". Wie üblich sind trotz des Namens FA"Q" auch die Antworten aufgelistet :-) .

Snake Oil Warning Signs: Encryption Software to Avoid

http://www.interhack.net/people/cmcurtin/snake-oil-faq.html

Wer den Vortrag gehört hat, weiss, was "Snake Oil" ist. Den anderen sei verraten, der Name stammt von der vielgepriesenen Wundermedizin reisender amerikanischer Quacksalber, mit denen jedes Leiden und jedes Weh-Weh zu heilen sein sollte. Und wenn es nicht stimmte, war der Quacksalber schon weg.
In der Kryptographie bezeichnet man damit untaugliche oder völlig überschätzte neue Erfindungen, Ideen, Methoden, Algorithmen etc.
BUCHTIPPS
Rezensionen unserer Leser