Wer prüft eigentlich die Krypto?

Hallo,

wer prüft eigentlich die korrekte Umsetzung der eingesetzten und hoffentlich auch gut abgehangenen Verschlüsselungsverfahren in Projekten mit privaten Daten wie z.B. bei MAM von IOTA oder Sia? Weil wie man am Beispiel Crypto-AG (https://youtu.be/VWImO1Qz4Zo) sieht, kann einem alles als „sicher“ verkauft werden und trotzdem Wirtschaftsspionage Tür und Tor öffnen für einen kleinen Kreis an Mitwissern.
Oder anders: Gibt es mathematische Beweise, die gegen ein Brechen von z.B. AES-256 sprechen?

Don’t roll your own crypto heißt ja im Umkehrschluss nur, nimm das was da ist und entwickelt bloß nichts unabgenicktes.

Grüße

Hallo,

ein großartiges Thema, welches immer greifbarer wird, je mehr Sicherheitsprobleme in Projekten auftauchen. Denn niemand „prüft die Krypto“, wie du so schon in der Überschrift geschrieben hast, falls nicht die Projekte selbst Wert darauf legen.

Und „Wert darauf legen“ bedeutet im Bereich der Softwareentwicklung: bevor man etwas programmiert müssen Spezifikationen gemacht werden, die mathematisch bewiesen sind. Solche Spezifikationen schreibt man aber auch nicht einfach so dahin, sondern sie sind das Ergebnis seriöser Forschung und Peer Review.

Bei der Implementierung muss dann, anhand einer Prüfung bewiesen werden, dass bei der Übersetzung der Spezifikation in die Software nichts verloren gegangen ist. (Formal Verification)

Und selbstverständlich sollte es 3rd Party Sicherheitsaudits geben.

1 Like