Kryptographie: Welche Themen sind in welcher Tiefe für welche Gruppe interessant?

#1
Hallo allerseits,
jeder verfügt über ein gewisses Maß an Erfahrungen mit verschiedenen Personengruppen, die ein Interesse an der IT-Sicherheit und damit verbundenen Kryptographie haben. Nun lassen sich diese Personengruppen gewiss nach Branche einteilen und ein Maß definieren, welches die notwendige Tiefe des vermittelten Wissens geht, um deren Interesse vollständig zu bedienen.

Mich würde mal interessieren: Welche Gruppen haben bisher überhaupt ein Interesse an den Mechanismen: DES, AES, RSA, ECC, LAT... gehabt? In welcher Tiefe wäre das Wissen noch sinnvoll vermittelt? Dass ich bei der ECC nicht mit der (mathematischen) Gruppenstruktur ankommen brauch, ist mir durchaus klar ;) Aber es gibt da durchaus verschiedene Ansätze, die die ECC so vielfältig machen (Beispiele: Weierstraß Normalform, Edwards Kurven, Twists, Isimorphismen auf Kurven, ..)

Würden Themen wie der "MOV-Algorithmus" interessieren? Oder ist das flächendeckende Interesse eher "Die Angriffe gibt es, das nutzen sie aus, so macht ihr euer System dicht." Ich kenne bislang nur das akademische Interesse und kann mir durchaus ein wirtschaftliches Interesse definieren. Aber wenn man z.B. einen Workshop zu sowas abhält kommen doch auch Personen, deren Interesse eine andere Basis hat. Dass ein Normalmensch die Mathematik nicht versteht und auch eher nicht in der Lage ist dies verstehen zu können, ist mir in den meisten Fällen ebenfalls klar. Aber ich bin mal auf eure Erfahrungen und eigene Meinungen gespannt.


Etwas mehr auf den Punkt:
Angenommen jemand schreibt ein Seminar oder Workshop zur Kryptographie aus. Welche Themen würden Euch reizen daran teil zu nehmen? Welche Gruppen, mit denen ihr bisher zu tun hattet, würden welche Themen bevorzugen?

Es ist natürlich das Eine ein "IT-Sec" Seminar abzuhalten, mit entsprechender Sensibilisierung (ggf. mit VR/AR) auf Sicherheitsprobleme oder kritische Stellen, und eine Aufklärung in die aktuelle Gesetzeslage zu geben. Aber welche Themen darüber hinaus wären für wen interessant?
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
#2
Im administrativen Umfeld stellt man sich diese Fragen nicht wirklich. Uns interessiert vielmehr, wie man wirksame Kryptografie in das echte Leben überführt. Sprich: Wie kriege ich das in die Infrastruktur eines Kunden (Unternehmen, Registrar, DNS Provider, etc.) und zwar mit einem realistischen Aufwand und einem Ergebnis, dass sich wirklich vom Durchschnittsanwender bedienen lässt (PKI, Mailverschlüsselung, DNSSEC usw..). Wir könnten sehr viel mehr Sicherheit im Netz haben aber die große Hürde für die Kollegen an der Front sind tatsächlich eher diese Fragen/Themen.

Dies dürfte die größte Gruppe sein.
 
#3
Ich kann Chromatin nur zustimmen. Daher gibt es auch immer mehr Unternehmen, die mittlerweile mit Unis zusammenarbeiten um Verschlüsselung für bestimmte Bereiche praktisch umzusetzen. Ein Beispiel dafür ist die Zusammenarbeit von mailbox.org mit dem DRLab, der Uni Kassel, dem Fraunhofer SIT und dem ULD S-H um Ende-zu-Ende-Verschlüsselung für Email-Transport zu verbessern und zu vereinfachen.
 
#4
Ich habe die Frage mal etwas mehr definiert.

Der administrative Bereich beschäftigt sich doch nahezu ausschließlich damit alles am Laufen zu halten und die bestmögliche Sicherheit für den noch so dümmsten Mitarbeiter zu etablieren. Die ansprechenden Lösungen sind daher eher aus der Kategorie "Welche Software leistet was, wie viel kostet sie mich, wie viel Zeit muss ich investieren, um sie zu integrieren, ..." Also alles eher recht wirtschaftlich.
Ich denke auch, dass die große Gruppe eher an einfachen Lösungen mit maximaler Effizienz interessiert ist. Aber wenn ich mal an Fortbildungen denke und in Richtung Quantencomputer abschweife.. was würde in diesem Zusammenhang jemanden (nicht vom Fach, d.h. kein Mathematiker/Kryptologe) interessieren?
 

Chromatin

Moderator
Mitarbeiter
#5
Etwas mehr auf den Punkt:Angenommen jemand schreibt ein Seminar oder Workshop zur Kryptographie aus. Welche Themen würden Euch reizen daran teil zu nehmen? Welche Gruppen, mit denen ihr bisher zu tun hattet, würden welche Themen bevorzugen?
Mich würde dann sowas wie DNSSEC dayli-business oder eben, wie man ne PKI in nem Domänennetzwerk aufbaut :D


Der administrative Bereich beschäftigt sich doch nahezu ausschließlich damit alles am Laufen zu halten und die bestmögliche Sicherheit für den noch so dümmsten Mitarbeiter zu etablieren.
Insofern hast du recht: Wir beschäftigen uns damit, die IT Infrastruktur am laufen zu halten. Das gilt für den Admin in geschlossenen Unternehmensnetzwerken ebenso, wie für BGP Admins bei Carriern oder den Kollegen, die root Instanzen betreuen.
Mit Dummheit hat das relativ wenig zu tun und es geht in Netzwerken auch nicht um die Sicherheit irgend eines Mitarbeiters - sondern eben um das Netzwerk und damit heute um zentrale Unternehmens-"Assets", Datenschutz, Reputation und auch
SLAs oder Vertragswerk mit Partnerunternehmen (A ist Zulieferer für B und bindet sich durch Policy an diverse Sicherheitsstandards) usw. usw.
Konnte man 1997 eine gehackte Linuxkiste noch sportlich nehmen und im IRC channel des rootkit Owners noch ne Runde plauschen (kein joke!), so hat das heute eine komplett andere Bedeutung - für alle Teilnehmer im Netz.


Aber wenn ich mal an Fortbildungen denke und in Richtung Quantencomputer abschweife.. was würde in diesem Zusammenhang jemanden (nicht vom Fach, d.h. kein Mathematiker/Kryptologe) interessieren?
In meiner Gruppe sind Quantencomputer so lange nicht interessant, bis man darauf irgendwelche Netzwerkdienste laufen lassen kann ;)
Dass sie die Sicherheitslage im Netz verändern können ist nicht neu - zu weiten Teilen war es schon immer eine Frage von Geschwindigkeit/Aufwand vs. Ertrag im Bereich der Kryptografie.
 
Oben