Tech

Pourquoi devriez-vous totalement rouler votre propre cryptographie AES

On dit généralement aux développeurs de logiciels de “ne jamais écrire leur propre cryptographie”, et il y a certainement suffisamment d’exemples à trouver au cours des dernières décennies de cas où les routines de crypto bricolage ont causé de réels dommages. C’est aussi l’introduction à [Francis Stokes]l’article sur rouler votre propre système de cryptographie. Même si vous comprenez les mathématiques derrière un système cryptographique comme AES (chiffrement symétrique), les hypothèses faites par votre code, ainsi que le canal latéral et de nombreux autres types d’attaques, peuvent annuler vos efforts.

Alors pourquoi écrire un article sur faire exactement ce qu’on vous dit de ne pas faire ? Ceci est contenu dans l’addendum souvent oublié pour “ne lancez pas votre propre crypto”, qui est “pour tout ce qui est important”. [Francis]Le didacticiel de sur la façon d’implémenter AES est incroyablement instructif en tant qu’introduction à la cryptographie à clé symétrique pour les développeurs de logiciels, et démontre un certain nombre de faiblesses évidentes dont les utilisateurs d’une bibliothèque AES peuvent ne pas être conscients.

Cela montre alors la raison pour laquelle tout développeur qui utilise la cryptographie d’une manière ou d’une autre pour quoi que ce soit devrait absolument rouler sa propre crypto : pour jeter un coup d’œil à l’intérieur de ce qui est généralement la boîte noire d’une bibliothèque, et pour mieux comprendre comment les principes mathématiques derrière AES sont traduits en un système du monde réel. De plus, cela peut être très instructif si votre objectif est de devenir un chercheur en sécurité dont le travail quotidien consiste à trouver les failles de ces systèmes.

Essentiellement : essayez certainement cela à la maison, gardez simplement votre crypto DIY loin des serveurs de production 🙂


Source link

Articles similaires