Vom Ersteller des Tarsnap-Kryptodienstes zur Sicherung

In einer kürzlich in den Hacker News geführten Diskussion stellte ein Kommentator die Frage:

Was halten wir von Tarsnap? Der Autor ist eindeutig ein Genie, das Zeit mit Backups verbringt, anstatt Millenniumsprobleme zu lösen. Ich sage das mit größtem Respekt. Ist die Versuchung des Unternehmertums eine Falle?

Zuerst wollte ich im Thread selbst antworten, dachte aber, dass das Thema eine tiefe Antwort verdient, die mehr Leute lesen werden als mitten in einer HN-Diskussion mit mehr als hundert Kommentaren.



Lassen Sie uns zunächst die philosophische Seite der Frage behandeln: Ja, das ist mein Leben, und ja, ich kann es verwenden - oder ausgeben -, wie ich möchte. Aber es ist nichts Falsches daran zu fragen, wie Sie Ihre Zeit am besten verbringen können. Dies gilt in zweifacher Hinsicht nicht nur für meine persönliche Entscheidung, sondern auch für die umfassendere Frage: Ist unsere Gesellschaft wirklich so strukturiert, dass die Menschen dazu ermutigt werden, weniger Gutes zu tun, als sie könnten?



Obwohl ich die Prämisse dieser Frage etwas ablehne - insbesondere die Aussage, dass ich "[meine] Zeit mit Backups verschwendet habe".



Einerseits ist es wahr: Tarsnap ist seit 2006 mein Job. Ich berate - in letzter Zeit nicht so oft -, aber finanziell war es Tarsnap, der alle Rechnungen bezahlte (einschließlich des Kaufs des Hauses, in das ich nächste Woche einziehe). Andererseits hat sich meine Arbeit an Tarsnap ernsthaft auf verwandte Bereiche ausgeweitet.



Im Jahr 2009 fragten viele Tarsnap-Benutzer nach einer Funktion zum Schutz von Passphrasenschlüsseln, aber ich fand den völlig katastrophalen Stand der Technik für die passwortbasierte Schlüsselgenerierung. Dann habe ich mir das Verschlüsselungswerkzeug ausgedacht- und eröffnete damit ein ganz neues Feld der Kryptographie. Natürlich habe ich dies getan, um die Sicherheit von Tarsnap zu verbessern. Aber es ist nicht ganz fair zu sagen, dass ich "meine Zeit mit Backups verschwendet habe".



Im Jahr 2011 schrieb ich spiped , weil ich Daemons auf verschiedenen Hosts sicher verbinden wollte und nicht mit den vorhandenen TLS-basierten Optionen zufrieden war . Obwohl es im Allgemeinen nicht weit verbreitet ist, halte ich es dennoch für einen bedeutenden Beitrag zur Computersicherheit - wie das Verschlüsseln - habe ich es erstellt, um die Anforderungen von Tarsnap zu erfüllen, aber es wäre eine Strecke, ein so vielseitiges Open-Source-Tool in die enge Definition von „Arbeiten mit Backups ".



Etwa zur gleichen Zeit begann ich an Kivaloo zu arbeiten, ein leistungsstarker Schlüsselwert-Datenspeicher. Vielleicht ist es das am wenigsten verwendete meiner Programme, ich weiß nicht, wer es derzeit verwendet, außer mir (obwohl diese Möglichkeit für ein Open-Source-Programm nicht ausgeschlossen ist) - aber ich denke, dass dies eines der besten Beispiele für meinen Code ist, und in Es könnte in Zukunft mehr Verwendung finden als Tarsnap selbst.



Seit 2006 und insbesondere seit Amazon 2012 die M3-fähige EC2-Familie von HVM-Instanzen auf den Markt gebracht hat, baue und pflege ich die FreeBSD / EC2-Plattform . Obwohl ich keine genauen Statistiken über seine Verwendung habe, ergab die Umfrage vom letzten Jahr, dass 44% der Leute, die FreeBSD in der Cloud ausführen , Amazon EC2 verwenden . daher - trotz der Tatsache, dass es derzeit nur 22 Personen gibtunterstützen meine Bemühungen - es ist klar, dass meine Arbeit hier produktiv war. Wieder war meine Hauptabsicht, FreeBSD auf EC2 für Tarsnap zum Laufen zu bringen, aber es ist unwahrscheinlich, dass diese Arbeit vollständig als "Arbeiten mit Backups" eingestuft wird.



Die Frage ist natürlich nicht, ob ich etwas Nützliches getan habe, sondern ob ich diese Jahre mit maximalem Nutzen verbracht habe. Aufgrund des Verweises auf die Millennium-Herausforderungen glaube ich, dass sich die Person auf eine Alternative in Form einer Forschungskarriere bezog. Wenn das Leben anders verlaufen wäre, könnte ich zwischen meinem Studium der Zahlentheorie unter der Leitung des verstorbenen Peter Borwijn und meinem Doktorat in Oxford ernsthaft über die Birch-Swinnerton-Dyer-Hypothese nachdenken .(BSD, eine der Millennium-Herausforderungen - ca. Lane), und dieses BSD unterscheidet sich sehr von dem, an dem ich derzeit beteiligt bin!



Warum habe ich mich nicht für eine akademische Karriere entschieden? Dafür gibt es viele Gründe, und der Start von Tarsnap ist sicherlich einer davon, aber die meisten Gründe laufen darauf hinaus: "Die Universitätswissenschaft ist ein mieser Ort für innovative Forschung." 2005 habe ich den ersten Artikel über die Verwendung von gemeinsam genutzten Caches in Multithread-Prozessoren als Seitenkanal für Kryptoangriffe vorbereitet und 2006 gehofft, diese Arbeit fortzusetzen. Nachdem ich an der Universität Oxford promoviert und nach Kanada zurückgekehrt war, konnte ich mich für ein Postdoktorandenstipendium des National Council of Science and Engineering Research Canada qualifizieren, also habe ich mich beworben und ... wurde nicht genehmigt. Mein Vorgesetzter warnte vor dem Risiko einer Forschung, die für einen jungen Wissenschaftler „zu innovativ“ ist: Die Komitees wissen nicht, was sie mit Ihnen anfangen sollen, sie sehen keinen Ruf, auf den Sie sich verlassen können. In der Tat bin ich auf dieses Problem gestoßen: Die Prüfer im Journal of Cryptology haben nicht verstanden, warum ihnen ein Artikel zum Prozessordesign gesendet wurde, während die Prüfer im Journal of Computer Hardware nicht verstanden haben, warum ihnen ein Artikel zum Thema Cryptography gesendet wurde. Sowohl aus meiner eigenen Erfahrung als auch aus den Ratschlägen, die ich erhalten habe, wurde mir klar, dass ich jedes Jahr zusätzliche Artikel veröffentlichen muss, wenn ich im akademischen Bereich erfolgreich sein will - zumindest bis ich eine Stelle an der Universität bekomme.



In vielerlei Hinsicht gab mir die Gründung eines eigenen Unternehmens die Freiheit, die Wissenschaftler anstreben. Natürlich habe ich Kunden zu helfen, Server zu verwalten (nicht, dass sie eine spezielle Verwaltung benötigen) und Geschäftsbuchhaltung, aber Professoren haben auch Klassen zu unterrichten, Studenten zu beaufsichtigen und Ausschüsse zu besuchen. Wenn es um Forschung geht, kann ich meinen Interessen folgen, die Launen von Zuschussagenturen, Rekrutierungs- und Beförderungsausschüssen ignorieren: Ich kann Projekte wie Scrypt durchführen, das mittlerweile weithin bekannt ist, aber einige Jahre später im Dunkeln liegt. wie ich es gepostet habe. Und auf die gleiche Weise kann ich einen Job wie Kivaloo machen, der seit fast zehn Jahren im Wesentlichen ignoriert wird.ohne Anzeichen einer Veränderung in der Zukunft.



Ist es möglich, dass ich jetzt Wissenschaftler werde und an der Lösung der Birch-Swinnerton-Dyer-Hypothese arbeite? Sicher. Die vielleicht talentiertesten Studenten der Welt erhalten nach ihrem Abschluss eine Art "Mini-Genie-Stipendium". Wenn ich ein fünfjähriges Stipendium in Höhe von 62.500 USD pro Jahr mit der alleinigen Bedingung „Forschung betreiben“ erhalten hätte, würde ich mit ziemlicher Sicherheit weiterhin im akademischen Bereich arbeiten und - trotz interessanterer, aber längerfristiger Probleme - genügend Veröffentlichungen veröffentlichen, um eine dauerhafte Forschungsstelle zu sichern. ... Aber so funktionieren Zuschussagenturen nicht. Sie gewähren Zuschüsse für ein bis zwei Jahre mit der Erwartung, dass erfolgreiche Studien später zusätzliche Mittel beantragen.



Kurz gesagt, akademische Einrichtungen fördern systematisch genau die Art der kurzfristigen Optimierung, die seltsamerweise häufig dem privaten Sektor angelastet wird. Also nein, Unternehmertum ist keine Falle. Dies ist der einzige Weg, um die Falle jetzt zu umgehen.