Codebeispiel aus der XML-Encryption-Beschreibung des W3C
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Anzeige

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.


vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...

Kommentieren



Anzeige

  1. Produktmanager SEO (m/w)
    Computec Media GmbH, Fürth
  2. SAP - HR Key User (m/w)
    Porsche Holding Salzburg über NP Neumann & Partners, Salzburg (Österreich)
  3. Netzwerk- und IT-Spezialist (m/w)
    skytron® energy über dispenso HR Solutions + Services GmbH, Berlin-Adlershof
  4. Softwareentwickler ADTF (m/w)
    MBtech Group GmbH & Co. KGaA, Magstadt

 

Detailsuche


Blu-ray-Angebote
  1. Fast & Furious 7 [Blu-ray]
    21,99€ mit Vorbesteller-Preisgarantie
  2. Die Hobbit Trilogie (3 Steelbooks + Bilbo's Journal) [Blu-ray] [Limited Edition]
    46,99€ - Release 23.04.
  3. 3 Blu-rays für 20 EUR
    (u. a. Man of Steel, Der große Gatsby, Ohne Limit, Inception)

 

Weitere Angebote


Folgen Sie uns
       


  1. Orbit

    Bioware veröffentlicht quelloffenes Online-Framework

  2. Suchranking

    Googles neue Suchformel kann den Markt verändern

  3. Streaming

    Amazon-Streik auf Prime Instant Video ausgeweitet

  4. Netzwerk und Smartphone

    Huawei verdient 4,5 Milliarden US-Dollar

  5. Home Services

    Amazon vermittelt Handwerker

  6. E-Mail-App

    Gmail für Android mit gemeinsamer Inbox

  7. Windows 10

    Project Spartan kann ab sofort ausprobiert werden

  8. Phase One iXU 180

    80 Megapixel für die Drohnenfotografie

  9. Metashop

    Zalando will innerhalb von 30 Minuten liefern

  10. Mathias Döpfner

    Axel-Springer-Chef wird Vodafone-Aufsichtsrat



Haben wir etwas übersehen?

E-Mail an news@golem.de



Mini-Business-Rechner im Test: Erweiterbar, sparsam und trotzdem schön klein
Mini-Business-Rechner im Test
Erweiterbar, sparsam und trotzdem schön klein
  1. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports
  2. Broadwell-Mini-PC Gigabytes Brix ist noch kompakter als Intels NUC
  3. Mouse Box Ein Mini-PC in der Maus

Bloodborne im Test: Das Festival der tausend Tode
Bloodborne im Test
Das Festival der tausend Tode
  1. Bloodborne Patch und PC-Petition
  2. Bloodborne angespielt Angsthase oder Nichtsnutz

Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. Nuclide Facebook stellt quelloffene IDE vor
  2. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  3. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück

  1. Re: Kundinnen und Kunden schaden

    Anonymouse | 10:30

  2. ThinApp oder CameyoApp?

    %username% | 10:28

  3. Re: Billig ist das Problem...

    Lemo | 10:27

  4. Das bringt quasi Licht in den Darkroom

    maieutike | 10:27

  5. Re: Und wie isser so?

    mark987 | 10:25


  1. 09:54

  2. 09:30

  3. 09:05

  4. 08:32

  5. 07:36

  6. 07:25

  7. 07:17

  8. 22:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel