¿Buenos recursos para aprender criptografía y OpenSSL? [cerrado]

8

Soy programador y estoy trabajando en un proyecto de inicio de sesión único utilizando SAML. Quiero hacer todo lo posible para que esto sea lo más seguro posible. Ya que hacer una solución segura de inicio de sesión único / SAML requiere firmar mensajes xml a través de https y crear varias claves / certificados, etc. ¡Creo que es mejor que conozca esto! No quiero aprender a ser criptógrafo, solo saber cómo seleccionar correctamente el método de criptografía correcto para este proyecto y proyectos futuros.

Tiendo a que me guste encontrar algunos BUENOS libros y luego ver algunas conferencias / charlas sobre un tema para poder realmente sumergirme en lo que estoy aprendiendo, así que puedo entender todo el nuevo idioma vernáculo.

Hasta ahora compré "Network Security with OpenSSL" y lo estoy leyendo, pero debo admitir que algunas de las cosas están pasando por alto mi cabeza.

Si es un gurú de la creación de claves públicas / privadas, ¿qué le ayudó a llegar a ese nivel? : D

Gracias! Jason

    
pregunta programmer 13.10.2011 - 05:05
fuente

4 respuestas

10

Es probable que no desee trabajar en el nivel de selección de entre varios algoritmos de cifrado, primitivas de firma digital, etc. Es un nivel demasiado bajo y requiere demasiado conocimiento criptográfico para que todo funcione correctamente.

En su lugar, desea seleccionar de los protocolos completos que otros han investigado: p. ej., TLS, OpenPGP, OpenID, OAuth, etc. Allí los autores de los protocolos ya han hecho el trabajo de averiguar cómo armar el cifrado / firma algoritmos en un protocolo completo, y esos protocolos han sido revisados cuidadosamente por criptógrafos expertos. Por lo tanto, si es posible que puedas usar algún esquema vetado existente como este, estarás mucho mejor (y será mucho menos probable que tengas defectos sutiles en tu criptografía).

Si tuviera que recomendar un libro para el programador practicante, recomendaría Ingeniería de criptografía: Principios de diseño y aplicaciones prácticas por Ferguson, SChneier, y Kohno. Es fantástico. Pero también describe el diseño de esquemas criptográficos a un nivel más bajo del que probablemente quiera trabajar, si es posible.

    
respondido por el D.W. 13.10.2011 - 09:14
fuente
7

La recomendación habitual: el Manual de criptografía aplicada . Muy buena y seria lectura, y descargable de forma gratuita. Es relativamente pesado en contenido matemático, pero, seamos realistas, la criptografía es un tema altamente técnico que carece de comprobabilidad (no se puede probar fácilmente si un algoritmo o protocolo dado es seguro), por lo que no puede tomar decisiones razonables sobre el tema. sin comprender al menos parte de las matemáticas implícitas (especialmente las cuestiones de complejidad).

    
respondido por el Thomas Pornin 13.10.2011 - 06:11
fuente
0

Este libro: enlace por Ivan Ristić es el mejor en el mercado para responder a su pregunta. . He leído los dos libros mencionados aquí. Pero, este libro es una joya. Te enseñará todo lo básico con matemáticas insignificantes. Le recomendará correctamente cómo implementar correctamente el servidor ssl / tls usando openssl. Hay muchos ataques mencionados aquí en ssl / tls y formas de contrarrestarlos. Esta es la mejor guía para propósitos prácticos.

    
respondido por el prakharjain 14.05.2016 - 06:45
fuente
0

Simplemente entienda los siguientes términos:

  1. autenticidad de los datos
  2. integridad de los datos
  3. cifrado de datos

Común en todos los protocolos de seguridad ipsec, SSL, cualquier tipo de seguridad. Cómo proporcionar estos usando openssl:

  1. palabras relacionadas con la autenticación e integridad de datos, cifrado.

    a. hashing, codificación, suma de comprobación, resumen de mensaje.

    b. Criptografía de clave simétrica y criptografía de clave pública

    c. ¿Por qué necesita criptografía de clave pública?

    d. A continuación, vaya para las firmas digitales y el certificado.

Si puede relacionar todo esto, obtendrá una comprensión básica de ipsec, SSL, autenticación de pclogin, todo tipo de mecanismo de seguridad.

Explora más .... Y aplique usando openssl directamente, eso es fácil después de lo anterior.

    
respondido por el sourav punoriyar 14.05.2016 - 07:14
fuente

Lea otras preguntas en las etiquetas