W3C-Standard: XML-Encryption geknackt
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Anzeige

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.


vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...

Kommentieren



Anzeige

  1. IT-Demand- und -Projektmanger für Business Units mit Fokus Logistik / SCM (m/w)
    SCHOTT AG, Mainz
  2. Softwarearchitekt (m/w) - Portale und Internetanwendungen
    Deutscher Genossenschafts-Verlag eG, Wiesbaden
  3. Softwareentwickler GUI, HMI (m/w)
    GS Elektromedizinische Geräte G. Stemple GmbH, Kaufering (Raum München)
  4. SharePoint Inhouse Consultant (m/w)
    BEUMER Group GmbH & Co. KG, Beckum (Raum Münster, Dortmund, Bielefeld)

 

Detailsuche


Folgen Sie uns
       


  1. Ridesharing

    Taxidienst Uber in 200 Städten verfügbar

  2. Telefónica und E-Plus

    "Haben endgültige Freigabe von EU-Kommission bekommen"

  3. Intel Core i7-5960X im Test

    Die PC-Revolution beginnt mit Octacore und DDR4

  4. Nintendo

    Neuer 3DS mit NFC und zweitem Analogstick

  5. Onlinereiseplattform

    Opodo darf Nutzern keine Versicherungen unterschieben

  6. Galileo-Debakel

    Russischer Software-Fehler soll schuld sein

  7. Programmiersprache

    PHP 5.6 bringt interaktiven Debugger

  8. GTA 5

    Spekulationen über eingestellte PC-Version

  9. Test Assassin's Creed Memories

    Kartenspiel für Meuchelmörder

  10. Mozilla

    Werbe-Tiles in Firefox-Nightly verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de



Test Star Wars Commander: Die dunkle Seite der Monetarisierung
Test Star Wars Commander
Die dunkle Seite der Monetarisierung

Alienware Alpha ausprobiert: Fast lautlose Steam-Machine mit eigenem Windows-UI
Alienware Alpha ausprobiert
Fast lautlose Steam-Machine mit eigenem Windows-UI
  1. Deutschland E-Sport ist mehr als eine Randerscheinung
  2. Crytek Ryse für PC mit 4K-Videos belegt über 120 GByte
  3. Wirtschaftssimulation Golem Labs entwickelt die Gilde 3

Digitale Agenda: Ein Papier, das alle enttäuscht
Digitale Agenda
Ein Papier, das alle enttäuscht
  1. Breitbandausbau Telekom will zehn Milliarden Euro vom Staat für DSL-Ausbau
  2. Zwiespältig Gesetz gegen WLAN-Störerhaftung von Cafés und Hotels fertig
  3. Digitale Agenda Bund will finanzielle Breitbandförderung festschreiben

    •  / 
    Zum Artikel