Interview: Wie man bei der Kryptographie am Ball bleibt

Wir sprachen in einem Interview mit dem Krypto-Forscher David Wong, der einst aus Neugierde eine Liste mit Krypto-Blogs erstellte. Seine in vielen Monaten gewachsene Liste teilt er mit allen, die Lust auf Kryptographie haben. Wir sprachen auch darüber, was man aus den Artikeln und Analysen über die Veränderungen in der Krypto-Welt lernen kann.

CC-BY-NC-ND 2.0 Z33 Art centre

Wer Interesse an Kryptographie und Kryptoanalyse hat, sieht sich mit einem kaum mehr überschaubaren Feld konfrontiert. Wie soll man mit den neuesten Erkenntnissen, mit all den Forschungspapieren und niedergeschriebenen Gedanken noch mitkommen? Wissenschaftler, Entwickler, Journalisten, Leute aus dem Feld der IT-Sicherheit: Sehr viele Menschen schreiben über Kryptographie-bezogene Themen, veröffentlichen Artikel und Analysen in ihren Blogs. Doch Hilfe naht, um die Lust an Kryptographie zu wecken und die Neugier zu stillen! David Wong hat eine englischsprachige Liste zusammengestellt: Blogs about Cryptography/Security to follow, die man bequem in RSS-Reader übernehmen kann.

Wir sprachen mit David Wong, während er auf der gerade stattfindenden Black-Hat-Konferenz zusammen mit Kollegen Kryptographiekurse anbot. Er verwaltet seine Liste der Krypto-Blogs bereits seit Jahren und teilt sie mit jedem, der Interesse hat.

David Wong ist Sicherheitsberater in der Abteilung Cryptography Services für Kryptographie-Dienstleistungen des Unternehmens „NCC Group“. Er war Teil von mehreren öffentlich finanzierten Open-Source-Audits wie OpenSSL und Let’s Encrypt. Er hat in vielen Bereichen der Kryptographie geforscht, Whitepapers publiziert, Ergebnisse auf verschiedenen Konferenzen wie DEF CON und ToorCon vorgestellt und gibt einen wiederkehrenden Kryptographiekurs bei der Black-Hat-Konferenz. Er hat zu Standards wie TLS 1.3, Strobe und dem Noise Protocol Framework beigetragen. David hat einen Master in Kryptographie von der Universität Bordeaux und einen Bachelor in Mathematik von den Universitäten von Lyon und McMaster erhalten. David ist auch bei Twitter.

There is also an English version of this interview.

Warum eine Krypto-Sammlung?

David Wong
David Wong. (Foto: privat.)

netzpolitik.org: Du hast eine lange Liste von Blogs über Kryptographie zusammengestellt und teilst sie auf Github mit allen, die sich dafür interessieren. Warum hast Du diese Sammlung gestartet?

David Wong: Ich habe vor drei Jahren für meinen Master in Kryptographie gelernt, bin etwas lustlos geworden. Also habe ich darüber nachgedacht, wie ich meine obsessive Persönlichkeit dafür nutzen kann, besser zu werden. Vor langer Zeit war ich süchtig nach RSS-Feeds geworden und hatte hunderte von News-Feeds abonniert. Ich habe dann alle fünf Minuten eine neue Benachrichtigung bekommen und musste alle lesen. Ich war davon besessen, Schlaf oder soziale Aktivitäten führten dazu, dass ich zu viele der Posts verpasste, was mich verrückt gemacht hat.

Ich bin irgendwann an einen Punkt gelangt, an dem ich einfach gesagt habe „Vergiss es!“ und meine Accounts bei Google Reader und der verschiedenen anderen Software, die ich damals nutzte, gelöscht habe. Und ich ließ die Sache hinter mir. Aber ich habe vielleicht sieben Jahre später wieder daran gedacht, als ich meinen Master machte und entschied mich, dass ich so etwas wieder in meinem Leben brauche.

Also habe ich eine Reihe von Blogs abonniert, die ich jeden Tag lesen würde, meistens während des Pendelns. Das hat für mich ganz gut hingehauen, ich lese auch heute noch eine große Menge an Posts. Eine Liste der interessanten Posts führe ich übrigens hier: https://www.cryptologie.net/links.

netzpolitik.org: Du fügst Blogs hinzu und löschst andere. Was sind Deine Kriterien?

David Wong: Ich füge Blogs hinzu, die ich interessant finde und von denen ich denke, dass sie zukünftig gute Posts abwerfen werden. Manchmal füge ich Blogs hinzu, von denen ich weiß, dass sie tot sind, aber ich will die Artikel an einem Ort speichern, meistens weil sie so gut waren. Das ist ein bisschen traurig, weil diese Blogs wahrscheinlich nie mehr etwas Neues haben werden, aber ich will nicht, dass sie im Nichts verloren gehen.

Was das Löschen angeht: Ich ziele nicht darauf ab, Blogs zu löschen. Ich entferne manchmal Duplikate oder Blogs, die sich im Nachhinein als nicht so gut herausgestellt haben…

netzpolitik.org: Wie findest Du lesenswerte Krypto-Blogs?

David Wong: Über Mailing-Listen, Blogeinträge, Links aus Blogs, die ich lese, Hacker-News und reddit. Das ist es eigentlich. Blogeinträge sind meistens der beste Weg, unterwegs zu lernen, weil sie keinen großen Zeitaufwand brauchen. Meistens sind sie besser als Bücher und zwar dadurch, dass sie weniger formal sind und mehr Diagramme oder pädagogische Eigenschaften haben.

„Was meiner Meinung nach ein gutes Blog ausmacht“

netzpolitik.org: Du hast also aus Neugierde damit angefangen. Aber warum hast Du begonnen, die Liste mit der Welt zu teilen?

crypto nerd
Woran erkennt man einen Krypto-Nerd? Via Twitter.

David Wong: Naja, das habe ich in meinem Leben andauernd gemacht. Ich habe immer den Sinn darin erkannt, etwas zu teilen, das für andere wertvoll sein kann. Die einzigen Male, bei denen ich etwas nicht veröffentlicht habe, sind Lösungen für Wargames während Capture-The-Flag-Wettkämpfen oder Quellcode, bei dem ich zu viel Angst habe, dass er voller Fehler ist.

netzpolitik.org: Du arbeitest und lehrst in dem Feld. Hast Du Zeit, alle Blogs zu lesen?

David Wong: Leider nicht. Ich habe diese Liste von Pocket-Artikeln (Pocket ist ein Firefox-Plug-in für das Bookmarking von Artikeln), die über die Jahre exponentiell angewachsen ist. Ich versuche sie zu reduzieren, wenn ich eine Zeit lang ohne Internet bin, damit bin ich aber nicht so schnell, wie die Liste weiter anwächst.

Ich habe in der letzten Zeit auch versucht, mehr Bücher als Blogposts zu lesen, weil ich denke, es gibt einen Punkt, an dem Du auf Bücher umsteigen musst, wenn Du in einem Thema Tiefe statt Breite erlangen willst.

netzpolitik.org: Welches sind Deine Lieblingsblogs? Hast Du einen Insider-Tip für ein Krypto-Blog aus der Liste, das stark unterschätzt ist?

David Wong: Gute Frage. Ich habe darüber für das Jahr 2016 geschrieben, aber ich sollte konsequenter kennzeichnen, was ich wirklich mag. Hoffentlich habe ich bis Ende 2017 eine bessere Liste.

Dieser Blogpost beschreibt auch, was meiner Meinung nach ein gutes Blog ausmacht:

  • Interessant. Ich muss etwas aus dem Blog lernen, egal welches Thema. Wenn nur Ergebnisse präsentiert werden, bin ich meistens nicht interessiert.
  • Pädagogisch. Schütte mich nicht mit Deinem ungefilterten Wissen zu, ich bin dumm. Hilf mir mit Diagrammen und erklär es mir so, als wäre ich fünf.
  • Gut geschrieben. Ich kann nichts Langweiliges lesen. Bonuspunkte, wenn es lustig ist. :)

netzpolitik.org: Ich würde Dir gern ein paar allgemeinere Fragen stellen: Vor vier Jahren begannen die Snowden-Enthüllungen. Stellst Du Änderungen fest, wie Wissenschaftler, Entwickler oder Journalisten über Kryptographie oder IT-Sicherheitslücken schreiben?

David Wong: Auf jeden Fall. Die Leute sind sich generell bewusster über IT-Sicherheitsfragen. Auch Unternehmen sind sich bewusster über IT-Sicherheit, auch wenn viele von ihnen das eher als einen Marketingvorteil nutzen, hilft es ihnen im Ganzen, doch sicherer zu werden. In der NCC Group, wo ich arbeite, kommen vielmehr Kunden zu uns, damit wir ihnen helfen, damit anzufangen, eine Anwendung zu schützen. „Anfangen“ hier ist das Schlüsselwort. Sie haben dank des gegenwärtigen Klimas verstanden, dass Sicherheit nicht optional ist, und haben sich entschieden, etwas Hilfe von außen zu holen. Jetzt ist ein weiteres Problem, ihnen verständlich zu machen, dass Sicherheit ein kontinuierlicher Prozess und keine einmalige Sache ist.

Was Wissenschaftler betrifft, hat Phillip Rogaway einen Artikel mit dem Titel „The Moral Character of Cryptographic Work“ (pdf) veröffentlicht, und ein großer Teil der Forschung hat sich in Richtung Sicherung des Internets, Messaging usw. verschoben. Insbesondere Google Chrome hat sich stark dafür eingesetzt, dass in den letzten Jahren Websites massenweise auf HTTPS umgestiegen sind. Siehe auch Let’s Encrypt, ich zitiere:

„Als Let’s Encrypts Dienst zum ersten Mal verfügbar wurde, nutzten weniger als vierzig Prozent der Webseitenanfragen HTTPS. Das Internet hat zwanzig Jahre gebraucht, um an diesem Punkt anzukommen. In den neunzehn Monaten seit unserem Launch haben verschlüsselte Seitenaufrufe um achtzehn Prozent auf beinahe 58 Prozent zugelegt. Das ist eine unglaubliche Quote für das Internet. Zu diesem Trend beizutragen ist das, worauf wir am meisten stolz sind.“

Gute kryptographische Verfahren

netzpolitik.org: In Deiner Twitter-Beschreibung steht: „Mein Job ist das Brechen von Verschlüsselung.“ Sind Dir in der letzten Zeit kryptographische Protokolle untergekommen, die Du nicht brechen konntest?

David Wong: Jeden Tag. Ich sehe AES-GCM, SHA-3, HMAC, ECDH und andere grundlegende kryptographische Verfahren, die gut implementiert zu sein scheinen. Aber werden sie in den Anwendungen auch richtig angewandt? Das ist eine ganz andere Frage, und die Antwort darauf ist nicht immer positiv. Wenn ich ein oder zwei Dinge, die mich in der Vergangenheit beeindruckt haben, nennen sollte, würde ich mich für Noise, SHA-3 und BearSSL entscheiden. Das erste ist die Lösung für Leute, die TLS brauchen, aber nicht direkt TLS benutzen wollen. Ich sehe viele proprietäre individualisierte TLS-Protokolle, die mich traurig machen. Projekte wie Noise bringen mich jedoch zum Lächeln. SHA-3 ist ein Wunder, das Design ist einfach logisch in vielen Aspekten, und SHA-3 hat uns einiges gebracht (SHAKE, Tuplehash, KMAC, KangarooTwelve, Strobe, …), das die Landschaft in der Anwendungswelt verändert. BearSSL ist die am besten geschriebene TLS-Library da draußen, sie verwendet keine mallocs und ist die Bibliothek, an die ich mich wende, wenn ich TLS verstehen will.

netzpolitik.org: David, vielen Dank für das Interview!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Es ist sehr schade, dass die Diskussion um Kryptographie aktuell in einer äußerst miesen gesellschaftspolitischen Umgebung stattfindet. Dabei ist Kryptographie fast so alt wie die erste schriftliche Nachricht überhaupt. Seit Schrift existiert ging es auch immer darum Information vor Verfälschung zu schützen und den Kreis der Adressaten einzugrenzen. Auch ist es keinesfalls ein Zufall, dass die Entwicklung des Computers (Turing) sehr nahe mit der Bewältigung von kryptographischen Problemen ein herging. Das „Internet“ ich hätte fast gesagt das „Darknet“, weil im Grunde, dass so genannte Darknet das eigentliche Internet ist, während der Raum des so genannten „Internets“ lediglich die veröffentlichten Webseiten repräsentiert. Dieses Internet schafft also die Möglichkeit eines Informationsaustausches von einem Jedem zu allen Anderen und genau hier wird Kryptographie existenziell wichtig, weil dieses Medium von allein wenig physische Ausgrenzung der Adressaten zulässt, wie es einmal der berittene Boote oder der versiegelte Brief darstellte.

    Spätestens seit Heinrich dem VIII sind die Interessen Englands mit Geheimdiensten und Kryptographie eng verbunden. Der GCHQ kann also auf eine lange Geschichte zurückblicken.
    In jeder Nation gibt es diese enge Verwobenheit von Diplomatie, Geheimdiensten und Politik. Diese Jahrhunderte alte Wissen um Macht und Intrigen und lancierten Falschmeldungen prallt nun auf eine Gesellschaft die sich als demokratisch versteht und per Internet den ungehemmten Informationsfluss eines Jedem erlaubt.
    Nach einer kurzen Periode der Freiheit, haben aber die Mächtigen erkannt, wie die Digitalisierung und das Internet zur allgemeinen Überwachung und Unterdrückung nutzbar gemacht werden können.
    Kryptographie steht technisch gesehen im Zentrum dieses Machtkampfes.
    Wer kann wen von Informationsaustausch ausschließen. Wer kann wen belauschen, und wer kann sicher miteinander kommunizieren.
    Das Lied „Die Gedanken sind frei“ stammte aus einer Zeit in der man belauscht, denunziert und verhaftet wurde wenn man sich nicht konform geäußert hatte.
    In vielen Ländern dieser Welt sitzen inzwischen Menschen im Gefängnis die nicht anderes getan haben als das vermeidlich falsche im Internet kund zu tun.
    Die neuerliche deutsche Gesetzgebung, wie z.B.: Staatstrojaner, Netzdurchsetzung in Kombination mit Gefärdergesetzen zeigen wie nahe auch wir in Deutschland schon an der Grenze eines totalitären System angelangt sind. Zumal man der Meinung ist die Wahrheit mittels sogenannter Fakenfinder festschreiben zu können.
    Dabei ist Wahrheit kein Ding, sondern unterliegt immer einem dynamischen Prozess mit dem Ziel einen gemeinsamen Deutungs- und Handlungsrahmen zu bestimmen.
    Politiker sind sich darüber sehr bewusst, das ist ihr alltägliches Geschäft, aber um so mehr fürchten sie die Teilhabe der Allgemeinheit daran.
    Ein Staat der sich als demokratisch versteht muss das Mittel der Verschlüsselung auch für seine Bürger ohne Einschränkung zulassen. Es ist ein selbstverständliches Mittel seit Anbeginn der Schrift. Kryptographie zu unterbinden oder frei sämtlicher gebotener Hürden und enger Grenzen zu unterlaufen, heißt automatisch in eine totalitäre Staatsform abzurutschen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.