Wissenschaftliche Paper in der IT-Sicherheit

CypherL0rd

Member
Hey Leute alles klar?

Da ich privat nicht die Zeit habe ganze 500 seitige Security Bücher durchzuarbeiten,
habe ich in letzter Zeit mal das ein oder andere wissenschaftliche Paper zu interessanten Themen gelesen.
Die Ergebnisse sind oftmals nicht gerade leicht zu verstehen und auch eher abstrakt beschrieben,
es wird also nicht der Source Code von erfolgreichen Attacken veröffentlicht, sondern wichtige Bestandteile des Algorithmus, die Laufzeit und ähnliches.
Aber da ein Paper meist nur aus zwanzig Seiten besteht, wovon die ersten paar Seiten Grundlagen beschreiben,
lese ich die Paper ohne Probleme durch und habe auch das Gefühl etwas daraus zu lernen.
Nun werden in wissenschaftlichen Papern naturgemäß eher Themen abgehandelt die von wissenschaftlichem Interesse sind,
wobei die Grundlagen die selben wie bei einfachen Hacks sind, mir fällt es aber schwer einzuschätzen inwiefern diese Themen praxisrelevanz (auf der Straße sozusagen :p) besitzen?
Nicht zu vergessen dass Paper kostenlos sind und man so hervorragend sein Englisch auf Vordermann bringen kann.

Was haltet ihr von dieser Lernmethode?
 
Zuletzt bearbeitet:

Shalec

Stammuser
Die Paper sind adressiert an Menschen, die die Grundlagen alle vollständig drauf haben. Das Background-Topic in solch einem Paper, z.B. von Produkte oder dblp: computer science bibliography , liefert nur eine Deklaration der Variablen und bietet eine sehr kurze, ohne Anspruch auf die formale Vollständigkeit und Korrektheit, Übersicht der notwendigen Hintergrundinformationen.

Empfehlenswert ist das Vorgehen erst, wenn du die angerissenen Grundlagen bereits vollständig kennst und sie absolut einordnen kannst.

Die meisten Angriffe basieren auf mathematischen Tricks und Techniken, die aus der abstrakten Algebra abgeleitet wurden. Es ist teilweise echt schwer diese nachzuvollziehen, zumal die Paper auf eprint nicht unbedingt korrekt sind. (Mir selbst sind bei drei Arbeiten einige Fehler aufgefallen, die an der Aussage zwar nichts zerstören, aber die Nachvollziehbarkeit sabotieren.) Ich empfehle: Baue dir erst ein solides Grundgerüst auf, mit einem guten Background, dann bearbeite die Paper, die zu dieser Richtung gehören. Jede Wissenschaft ist in Forschungsgebiete unterteilt. Stütze dich erstmal auf eines. (Diesmal nicht das MSB [most significant bit], sondern das MIO ;) [most interest one])

Auch ein 500-seitiges Buch bedarf keiner detaillierten Durcharbeitung. Wichtig ist hier erstmal eine Guideline und der Background zu den einzelnen Vertiefungen. Ein Aufbau sieht immer so aus: Ganz viel Background zu allen Vertiefungen (Kapitel 1-x) und dann die Vertiefungen 1-y mit Teilvertiefungen, die dann als gesonderte Kapitel da stehen. Du hast also eine Partitionierung von Werken in [Background], [Vertiefung 1] ... [Vertiefung n], wobei die Vertiefung i von der Vertiefung j abhängig sein kann und nicht notwendiger Weise alles aus dem Background braucht. Eine Guideline führt dich durch das Kapitelgewulzt.
 

Chromatin

Moderator
Mitarbeiter
Die meisten Angriffe basieren auf mathematischen Tricks und Techniken, die aus der abstrakten Algebra abgeleitet wurden.
Den Zusammenhang zwischen SQL injection, Stack/Heap Overflow, mangelhafter Implementierung und "mathematischen Tricks" musst du mal erklären. ...
 

CypherL0rd

Member
Ich denke Shalec bezieht sich damit auf Paper aus dem Bereich der Kryptographie.
Dort trifft dies wohl zu.

Gibt es hier jemandem der seine "Lieblings-"Paper über nicht mathematische Angriffstechniken hier gerne nennen möchte?
 

SchwarzeBeere

Moderator
Mitarbeiter
Es müssen ja nicht ausschließlich akademische Paper sein. Arbeiten, die auf den einschlägigen Konferenzen (Blackhat, Usenix, ...) veröffentlich werden, sind durchaus auch qualitativ hochwertig und in der Regel näher an der Praxis, als viele wissenschaftlichen Arbeiten über irgendwelche exotischen Probleme. Genauso die szenetypischen Magazine (poc||gtfo, phrack, 2600, ...). Wer erinnert sich nicht gerne an „Smashing the Stack for Fun and Profit“ ;)

Grundsätzlich ist die Masse an Papern jedoch nicht zu bewältigen. Gerade bei geringem Vorwissen macht die Aneignung mit Hilfe wissenschaftlicher Arbeiten nur dann Sinn, wenn du zu einem spezifischen Thema recherchierst. Und auch dann musst du sehr viele Paper aussortieren, denn viel ist auch einfach nur Mist, der nur als Mittel zum Zweck veröffentlicht wird, nicht aber um ein Thema voranzutreiben.
 

CypherL0rd

Member
L0rd Cypher antwortet

Vermutlich hast du recht damit.
Mit wissenschaftlichern Papern werde ich mich in meiner Bachelor-, Master- und Doktorarbeit noch genug rumschlagen :)
Gilt eine Bachelor- oder Masterarbeit eigentlich schon als wissenschaftliches Paper oder wird im Nachhinein vom Betreuer als solches veröffentlicht?
Das würde mich jetzt auch noch interessieren.

ps:

...Genauso die szenetypischen Magazine (poc||gtfo, phrack, 2600, ...).
Das spricht mich natürlich besonders an :D #siehe Signatur
 

SchwarzeBeere

Moderator
Mitarbeiter
Gilt eine Bachelor- oder Masterarbeit eigentlich schon als wissenschaftliches Paper oder wird im Nachhinein vom Betreuer als solches veröffentlicht?
Eine Bachelor- oder Masterarbeit ist, im Gegensatz zu einem wissenschaftlichen Paper oder einer Doktorarbeit, grundsätzlich nicht oder nur sehr eingeschränkt zitierfähig, was nicht nur mit dem Inhalt zu tun hat, sondern z.B. auch mit der meist nicht vorhandenen Reputation sowie der unbekannten Intention des Autors oder der Autorin sowie mit der geringen Erfahrung beim Verfassen wissenschaftlicher Arbeiten.
Oftmals arbeitest du an einer Aufgabenstellung, die die Arbeit deines Betreuers unterstützt. Ist deine Arbeit gut und das Ergebnis verwertbar, so besteht oft auch die Möglichkeit Teile der Arbeit zusammen mit dem Betreuer und dem Prof. als Paper oder als Teil der Doktorarbeit zu veröffentlichen. Zu viel erwarten sollte man hier in aller Regel jedoch nicht.
 

Shalec

Stammuser
Viele Abschlussarbeiten werden von den Betreuern auf den Seiten des Erstgutachters veröffentlicht. Damit bist du wenigstens schonmal irgendwo und irgendwie namentlich hinterlegt.

Du darfst natürlich jederzeit selber Forschung betreiben und deinen Fortschritt veröffentlichen. Finden deine Arbeiten anerkennung, ist es auch leichter in eine Ausgabe von Springer zu kommen oder auf großen Konferenzen vorzutragen. ;)
 

CypherL0rd

Member
Viele Abschlussarbeiten werden von den Betreuern auf den Seiten des Erstgutachters veröffentlicht. Damit bist du wenigstens schonmal irgendwo und irgendwie namentlich hinterlegt.

Du darfst natürlich jederzeit selber Forschung betreiben und deinen Fortschritt veröffentlichen. Finden deine Arbeiten anerkennung, ist es auch leichter in eine Ausgabe von Springer zu kommen oder auf großen Konferenzen vorzutragen. ;)
Verstehe ich dich damit jetzt richtig dass man quasi auch privat irgendeinen Verschlüsselungsalgorithmus entwerfen könnte, diesen implementiert und testet, alles genau dokumentiert und anschließend ein Paper darüber schreibt,
welches man danach dann in wissenschaftlichen Journalien veröffentlichen kann, falls dies angenommen wird?
Also rein theoretisch, ich habe das nicht vor und weiß dass das nur eine absolute Ausnahme wäre.

Edit: Shalec, soweit ich weiß bist du doch Kryptologe und schreibst deine MA über ein entsprechendes Thema.
Daher noch folgende Frage: Kann man als reiner Informatiker generell noch etwas in der Kryptographie bewegen?
Dass es Gebiete gibt die rein mathematisch sind ist klar, aber gerade bei hardwarelastigeren Angelegenheiten stelle ich mir vor dass die Mathematikkenntnisse eines Informatik Studiums mit Kryptographie-Vorlesung doch ausreichen müssten.
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
Verstehe ich dich damit jetzt richtig dass man quasi auch privat irgendeinen Verschlüsselungsalgorithmus selbst entwerfen könnte, diesen implementiert und testet, alles genau dokumentiert und anschließend ein Paper darüber schreibt, welches man danach dann in wissenschaftlichen Journalen veröffentlichen kann, falls dies angenommen wird?
Also rein theoretisch, ich habe das nicht vor und weiß dass das, wenn überhaupt, nur eine absolute Ausnahme wäre.
Man braucht kein Diplom fürs Denken - auch wenn das manchmal den Anschein hat..

(entlehnt von Erwin Chargaff)
 

Shalec

Stammuser
Ja, du darfst zu jeder Zeit was veröffentlichen. Je mehr Reputation du selbst hast, umso leichter.

Du darfst auch nie vergessen, dass jeder Informatiker in seinen Wurzeln ein Mathematiker ist. Informatik wäre ohne die Mathematik nur halb so logisch ;) (und würde vermutlich gar nicht existieren..)

Du kannst immer was bewegen. Aber es ist schwer, da die meisten Bereiche echt ausgereizt sind. Da muss man schon eine super geniale Idee haben, um einen Fortschritt zu erzielen. Es gibt auch Verschlüsselungstechniken, die aus der Informatik kommen: CODE-Basierte Kryptographie z.B.
 

Shalec

Stammuser
Man kann sich natürlich auch mit der juristischen Seite der IT-Sicherheit beschäftigen. Das neue Grundschutz-Kompendium zum Beispiel. Aber für einen Mathematiker ist jede Folgerung aus der Durchsicht irgendwie eine Tautologie. Interessant wären natürlich kritische Stellen, die nicht berücksichtigt wurden oder sogar im wesentlichen eine falsche Empfehlung ausgesprochen wird.

Ansonsten kannst du dir natürlich auch mit Hardware ein Konzept ausdenken und Angriffe mit Low-Budget-Modellen (ala TEMPEST z.B.) ausdenken. Realitätsnähe ist immer gut ;)
 

SchwarzeBeere

Moderator
Mitarbeiter
Daher noch folgende Frage: Kann man als reiner Informatiker generell noch etwas in der Kryptographie bewegen?
Dein Abschluss sagt dir nicht, welche Ergebnisse deine Arbeit irgendwann mal haben wird. Ob du "etwas bewegen" kannst oder nicht, hängt ausschliesslich von dir selbst und deiner Fähigkeit, dich mit Unbekanntem auseinanderzusetzen, ab. Letzteres lernst du im Studium, die Anwendung kommt dann in der Promotion. Und die kann bis zu 5 Jahre dauern. Genug Zeit, um fehlende Wissenslücken zu schliessen.

Die Kryptographie ist ein riesiges Feld. Es gibt unzählige Gebiete, die noch unerforscht sind. Das muss nicht unbedingt die theoretische Mathematik selbst sein, sondern kann auch mit Code(-qualität) und Software-Engineering zu tun haben, mit der Hardware-Implementierung und Sidechannel-Angriffen, mit Netzwerktechnik und kryptographischen Protokollen, mit Usability von Crypto-Libraries oder der praktischen Anwendung (Visual Cryptography, Sicherheitsanzeige in Web-Browsern), mit juristischen und politischen Einflüssen (hat da jemand ZITIS gesagt?), mit Geld (Bitcoin, anyone?), mit theoretischer und praktischer Physik (Quantencomputer und -kryptographie), mit ganz und gar täglichen Problemen, für die man bis heute keine Lösungen gefunden hat (z.B. WebPKI, Cryptographie in Big Data oder der Medizintechnik), uvm.

Viele Themen sind nicht der Mathematik zuzuschreiben, sondern der Informatik, der Physik, den Gesellschaftswissensschaften oder der Psychologie und Medizin. Dein Studium wird viele dieser Themen behandeln, mal mehr, mal weniger ausführlich. Vieles wird dir auch dein Studium nicht sagen können. Zu denken, man wüsste heute bereits alles und könnte nichts erreichen, liegt nur daran, dass man eigentlich nichts weiss.
 
Zuletzt bearbeitet:

CypherL0rd

Member
Ok, das "etwas bewegen" war zu stark formuliert und war eigentlich auch nicht auf mich selbst bezogen.
Es wäre schon vermessen so etwas als Bachelorstudent zu planen.
Wie ihr merkt kenne ich mich in der akademischen Welt noch gar nicht aus und weiß auch noch nicht so recht wie die Forschung überhaupt funktioniert,
es war halt einfach von Interesse für mich, inwiefern die Kryptographie ein privater Spielplatz für Mathematiker ist, wenn man so will :)
Aber was ihr schreibt macht schon Sinn, auch die Kryptographie ist ein riesiges Feld und nicht alles darin ist höhere Mathematik, wobei man als Informatiker ja auch etwas höhere Mathematik kann, wie Shalec anmerkte.
Faszinierend ist die akademische Forschung von meinem jetzigen Standpunkt aus gesehen allerdings schon, wobei in der IT-Sicherheit, oder generell in der IT, auch vieles ausserhalb der akademischen Welt erfolgreich entwickelt wird.
Also entweder ich werde Forscher und promoviere oder ich breche mein Studium ab und werde selbstständiger Founder-Tech-Millionär :p
Mal sehen wo es einen so hinzieht...
 
Oben