Поскольку SSL является основой безопасного Интернета (теперь технически называется TLS), какие хорошие книги я должен прочитать, чтобы понять все его аспекты?
Полагаю, мне нужно будет изучить математику, некоторые книги PKI, криптографию и книги Sysadmin. Поскольку это не полный список, мне интересно услышать то, что вы считаете разумным, чтобы учиться.
Вот список из четырех хороших книг по теме (SSL/TLS):
SSL и TLS: теория и практика
SSL и TLS: проектирование и создание безопасных систем
SSL и TLS: Essentials Обеспечение безопасности в Интернете
Сетевая безопасность с OpenSSL
Вот несколько хороших книг по PKI:
Понимание PKI: концепции, стандарты и соображения развертывания
Планирование PKI: руководство по лучшей практике для развертывания инфраструктуры открытых ключей
Инфраструктура открытого ключа: создание надежных приложений и веб-сервисов
PKI: Внедрение и управление электронной безопасностью
И когда дело доходит до криптографии, вы не можете сделать намного лучше, чем:
Введение в современную криптографию: принципы и протоколы
Прикладная криптография: протоколы, алгоритмы и исходный код в C
Кодовая книга: наука о секретности от древнего Египта до квантовой криптографии
Криптографическая инженерия: принципы проектирования и практические приложения
Что касается криптографии, это лучшее, что есть:
Прикладная криптография: протоколы, алгоритмы и исходный код в C
Вы узнаете все, что есть из основных строительных блоков вверх.
SSL и TLS: проектирование и создание безопасных систем, Addison-Wesley, 2001 ISBN 0-201-61598-3: очень подробно.
Помимо книг, в зависимости от того, как вам нравится учиться, если вам нравится практический опыт, вы можете ознакомиться с Справочным руководством JSSE (онлайн, часть документации Java) и попробовать несколько руководств, основанных на этом. Проводить документацию по другим библиотекам тоже стоит (например, Mozilla NSS или OpenSSL).
Если вы хотите узнать, какие темы имеют передний край, просмотрите архивы списков рассылки IETF TLS (или подписайтесь на него, конечно) и следуйте обсуждениям.
Прохождение примеров или модульных тестов BouncyCastle (в Java или С#) также может быть интересным.
Вы также можете комбинировать это с рассмотрением того, что происходит с существующими приложениями с использованием Wireshark (вы не всегда сможете расшифровать сообщение, даже если у вас есть закрытый ключ сервера, поскольку он также зависит от набора шифров).