In der 3. Ausgabe dieser Einführung in die Kryptografie wird dem Leser ein aktueller Überblick über Datenverschlüsselung und Kryptoanalyse geboten, der in seiner Art – fokussiert, anschaulich und verständlich geschrieben – nicht oft zu finden sein wird. Die Auswahl der Themen berücksichtigt bestehende Verschlüsselungsverfahren und kommunikationsbezogene Schutzobjekte sowie kryptografische Implementierungen und Protokolle, deren Systemschwachstellen Angriffen ausgesetzt sein können. Auf die Beschreibung konkreter Absicherungsmaßnahmen wird allerdings nicht durchgehend eingegangen. Obwohl nicht der Anspruch erhoben wird, das gesamte Spektrum der Kryptografie mit diesem Buch abzudecken, wird das Thema in großem Umfang überblicksweise vorgestellt: In sechs Teilen – oder 40 Kapiteln – werden dem Leser neben der Bedeutung der Kryptografie im Gestern und Heute, einer Gegenüberstellung symmetrischer und asymmetrischer Verfahren, aktuelle Verschlüsselungstechnologien sowie Implementierungsansätze verdeutlicht. So werden in den ersten zwei Teilen des Buchs Verschlüsselungsmaschinen aus dem Zweiten Weltkrieg wie auch eine Reihe von bekannten Chiffren wie DES, Rivest-Cipher (RC1 bis 6), Blow-/Twofish, AES und RSA genauer unter die Lupe genommen und bewertet, ohne die Theorie überhand nehmen zu lassen. Dabei werden Angriffsszenarien auf Chiffren über alle Kapitel jeweils kurz – manchmal leider auch etwas zu kurz – umrissen. Weiterhin werden die Absicherung von Datenkommunikation mithilfe kryptografischer Hashfunktionen (wie MD4/5, SHA-1 bei Netzwerkprotokollen wie SSL und S/MIME etc.) und daraus resultierende Schwächen und Risiken diskutiert. Im dritten Teil des Buchs werden Angriffe aus der Praxis beschrieben, das Thema Authentifizierung (Single Sign-on, Kerberos, RADIUS und SAML) und die Rolle von Hard- und Software in der Kryptografie sowie des Schlüsselmanagements und der Evaluierung/Zertifizierung gemäß ITSEC/Common Criteria/FIPS angegangen. Im vierten Teil erläutert der Autor Public-Key-Infrastrukturen (PKI) als Voraussetzung für einen wirkungsvollen Einsatz asymmetrischer Verschlüsselungsverfahren innerhalb großer Organisationen en detail, wobei die Bedeutung von digitalen Zertifikaten, von Hierarchiemodellen und PKI-Standards/-Instanzen/-Prozessen schwerpunktmäßig thematisiert werden. Die Kommunikationsabsicherung bei Netzwerkprotokollen durch Verschlüsselung innerhalb der verschiedenen Schichten im ISO/OSI-Modell ist Thema des fünften Teils des Buchs. In den folgenden Kapiteln werden hierzu Besonderheiten der Verschlüsselung in der Mobiltelefonie (GSM/UMTS, jeweils Schicht 1), in WLAN und PPP (über Schicht 2, mittels WEP/WPA bzw. CHAP/EAP/ECP) wie auch für virtuelle private Netzwerke (VPN, über Schichten 2-4, mittels PPTP/L2TP) und für Bluetooth aufgeführt. Eine kritische Würdigung zu IPsec (Schicht 3), zum "kryptografischen" Netzwerkprotokoll Secure Socket Layer (SSL, über Schicht 4) sowie Erläuterungen zu weiteren Kryptoverfahren über Schicht 7 (mittels Secure Shell, über HBCI etc.) runden diesen Teil ab. Im sechsten und letzten Teil kann in Besonderheiten aus der Krypto-Welt „geschmökert“ werden: Die zehn größten Krypto-Flops sind darin genauso zu finden wie Hinweise auf die zehn wichtigsten Webseiten, Bücher, Personen und Unternehmen zum Thema Kryptografie. Der Autor, Fachjournalist mit Schwerpunkt in der Informatik und geübt im Verdeutlichen komplexer Verfahren, richtet sein Buch nach den Bedürfnissen von Lesern aus, die sich Grundlagen zur Verschlüsselung erst noch anlesen müssen. Eine wissenschaftliche Vertiefung ist trotz des Verzichts auf mathematische Tiefe mithilfe der sehr umfangreichen Literaturliste – mehr als 300 gut ausgewählte Quellen – jederzeit möglich. Es handelt sich um ein gut strukturiertes Buch, aufmerksam redigiert und insgesamt sehr angenehm zu lesen. Als Einführung in die Verschlüsselung und Analyse ist es somit für allgemein am Thema Interessierte sowie Studierende geeignet, denen ein Nachschlagen in Wikipedia-Artikeln nicht mehr ausreicht. Auf dem Weg geben möchte man dem Autor für seine zukünftige 4. Ausgabe lediglich, er möge doch ein Glossar oder zumindest eine Auflistung der Akronyme anhängen.
entwickler.com
