Bu Help Net Security röportajında Jean-Philippe Aumasson, son kitabı Serious Cryptography için yazma ve araştırma sürecini ele alıyor. Araştırma ve pratik kriptografiyle dolu bir kariyere sahip olan Aumasson, karmaşık kavramları geniş bir kitle için erişilebilir bilgiye dönüştürmek için gereken çabalara dair nadir bir bakış açısı sunuyor.
Bu projeye giren araştırmanın derinliğini paylaşabilir misiniz? Gerçek yazmaya başlamadan önce araştırmaya ne kadar zaman ayırdınız?
2017’de yayınlanan ilk baskının tamamlanması yaklaşık iki buçuk yıl sürdü. Editörüm No Starch Press’in çalışmaları hariç, her sayfaya ortalama beş saat harcadım.
Metnin ilk satırını yazmadan önce bir bölüm hakkında araştırma yapmak çok önemliydi. Konuları özüne indirgeyip okuyuculara olabildiğince açık bir şekilde anlatmamı sağladı. Ayrıca bilgimi tazelemek ve en alakalı makaleleri ve kitapları alıntılamak için en doğru ve güncel kaynakları bulmam gerekiyordu. Bu çok fazla okumaydı!
2024’te yayınlanan ikinci baskı, her bölümü en son bilimsel araştırma ve mühendislik gelişmelerini yansıtacak şekilde güncellediğimden beklediğimden daha zordu. Blockchain teknolojilerinde kullanılan gelişmiş teknikler hakkında yeni bir bölüm ekledim, örneğin iş kanıtı, çok taraflı imzalar ve sıfır bilgi kanıtları. Bu, açık ara en fazla araştırma ve okuma gerektiren bölümdü. Ayrıca, bir arkadaşımın “son patron” dediği kitabın en teknik bölümüydü.
Yazma sürecinizde bize yol gösterebilir misiniz? Hangi içeriğin dahil edilmesi gerektiğine ve hangilerinin hariç tutulacağına nasıl karar verdiniz?
Teknik kitaplarla ilgili bir zorluk, yayımlanmasından itibaren altı ay içinde geçerliliğini yitirebilecek içeriklerden kaçınmaktır. Bu, özellikle yeni sürümlerle uyumsuz hale gelebilecek yazılım uygulamaları veya kitaplıkları kullanma konusunda nasıl yapılır kılavuzları eklerseniz geçerlidir. Kitap, çevrimiçi olarak veya GPT gibi araçlar aracılığıyla kolayca bulunabilen kriptografik yazılım yardımcı programlarını kullanma konusunda izlenecek yolları içermez. Ancak, bu kılavuzlar, kriptografik olarak perde arkasında neler olduğunu açıklamaz; bunlar yalnızca insanların kendi riskleri altında kopyalayıp yapıştırdıkları tariflerdir.
Bunun yerine, güvenli şifreleme, rastgelelik, hesaplama zorluğu ve sıfır bilgi kanıtlarına uygulanabilir güvenlik kavramları gibi temel ve zamansız kavramlara odaklandım. Şifreler ve protokoller için yerleşik standartları ele aldım ancak DES veya MD5 karma işlevi gibi eski algoritmaları ele almadım. Ed25519 imza şeması, BLAKE3 karma işlevi ve NIST tarafından 2024’te standartlaştırılan post-kuantum şemaları gibi son teknoloji tasarımları tartışmayı tercih ettim.
Yazma sürecine gelince, bu gerçekten bir ekip çalışması. Editörüme bir taslak göndererek başlıyorum, o da geri bildirim sağlıyor, değişiklikler öneriyor ve bazı cümleleri yeniden yazıyor. Birkaç yinelemeden sonra, kitap titiz teknik inceleme, düzeltme ve kalite kontrollerinden geçiyor. Kitap boyunca terminoloji ve notasyonda tutarlılık, net şekiller ve tüm köprülerin doğru şekilde çalışmasını sağlıyoruz.
Yazma sürecinde beklenmedik zorluklar veya sürprizler yaşandı mı?
Yazma süreci disiplin ve bağlılık gerektirdi, ancak genel olarak sorunsuz ilerledi. No Starch Press’teki mükemmel düzenlemeden faydalanacak kadar şanslıydım, ekip bazen metnimin stilini, teknik derinliğini ve yapısını sorguladı. Tek hafif can sıkıcı şey, çok fazla izlenen değişiklik ve kırmızı mürekkep olduğunda zorlanan kelime işlem yazılımı seçimimdi.
Okuyucuların bu kitaptan hangi temel fikirleri almasını umuyorsunuz?
Kriptografinin temel prensiplerini en geniş kitleye ulaştırmak için asgari jargon ve matematiksel formalizmle iletmek istiyorum. Örneğin, bir şifrenin güvenli olması ne anlama gelir? Güvenli rastgelelik neyi oluşturur? Protokol güvenliği nasıl tanımlanır?
Ayrıca kriptografi kullanımı ve uygulamasının tuzakları hakkında farkındalık yaratmak istiyorum. Birçok kriptografi kod denetimi ve tasarım incelemesi yaptıktan sonra, en yaygın güvenlik açıkları ve tasarım kusurlarıyla tanıştım. Bu deneyimi kitapta paylaşıyorum ve bu amaçla her bölüm, gerçek kriptografik güvenlik açıklarına örnekler sağlayan “Ne yanlış gidebilir?” başlıklı bir son bölüm içeriyor.
Güncel okuma listenizi, özellikle de teknik kitapları merak ediyoruz. Geçtiğimiz yıl sizin için öne çıkan okumalar nelerdi?
Genellikle belirli soruları yanıtlamak için göz attığım veya danıştığım kitaplardan daha çok teknik makaleler okuma eğilimindeyim. En son kriptografi ön baskı makalelerine düzenli olarak danışırım. Ayrıca kuantum hesaplama mühendisliği, yazılım istismarı, güvenilir yürütme ortamları ve bilgi güvenliğiyle ilgili diğer konular gibi konulardaki araştırmaları da takip ederim.
Son zamanlarda okuduklarım kriptografi veya bilgisayarlarla pek ilgili değil; merhum Cormac McCarthy’nin Cities of the Plain ve Outer Dark adlı romanları.