Codebeispiel aus der XML-Encryption-Beschreibung des W3C
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Anzeige

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.


vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...

Kommentieren



Anzeige

  1. Systemadministrator (m/w)
    WEILER Werkzeugmaschinen GmbH, Emskirchen bei Erlangen / Nürnberg
  2. (Senior) Developer (m/w) Supply Chain Management (SAP APO)
    Camelot ITLab GmbH, Mannheim
  3. Anwendungsbetreuer (m/w) Customer Relationship Management (CRM)
    AGRAVIS Raiffeisen AG, Münster
  4. Trainee (m/w) Europa und Technik
    Deutsche Telekom AG, Bonn

 

Detailsuche


Hardware-Angebote
  1. MSI GeForce GTX 970 Gaming 4G
    369,90€ (günstigster Preis laut Preisvergleich)
  2. G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€
  3. Alle PCGH-PCs inkl. The Witcher 3

 

Weitere Angebote


Folgen Sie uns
       


  1. Ready Play 3.0

    Keine 4K-Filme ohne neues Hardware-DRM für Windows 10

  2. Konsolenhersteller

    Energiesparen ja, aber nicht beim Spielen

  3. RTL Disney Fernsehen

    Super RTL startet kostenpflichtige Streaming-Plattform

  4. Steam

    Gabe Newell über kostenpflichtige Mods

  5. Cross-Site-Scripting

    Offene Sicherheitslücke in Wordpress

  6. HTTPS

    Kaspersky ermöglicht Freak-Angriff

  7. Deep angespielt

    "Atme tief ein und tauche durch die virtuelle Welt"

  8. Federation Against Copyright Theft

    Mit Videoüberwachung im Kinosaal gegen Release Groups

  9. Razer Blade 2015 im Test

    Das bisher beste Gaming-Ultrabook

  10. Biomimetik

    Miniroboter zieht Vielfaches seines Eigengewichts nach oben



Haben wir etwas übersehen?

E-Mail an news@golem.de



Storytelling-Werkzeug: Linius und die Tücken von Open-Source
Storytelling-Werkzeug
Linius und die Tücken von Open-Source
  1. ARM-SoC Allwinner soll LGPL-Verletzungen verschleiern
  2. Linux Siri bekommt Open-Source-Konkurrenz
  3. Microsoft Windows Driver Frameworks werden Open Source

Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Hummingboard angetestet Heiß und anschlussfreudig
  2. Onion Omega Preiswertes Bastelboard für OpenWrt
  3. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster

  1. Re: Bald keine neuen Blockbuster mehr zuhause...

    InsaneNerd | 19:03

  2. Re: und die leute wundern sich

    T2345 | 19:02

  3. Re: Das diabolische Microsoft mal wieder...

    InsaneNerd | 19:01

  4. Re: Sehe das Problem nicht

    dEEkAy | 19:00

  5. Dann eben Torrent

    InsaneNerd | 19:00


  1. 18:28

  2. 17:26

  3. 17:13

  4. 16:24

  5. 14:46

  6. 14:34

  7. 14:00

  8. 13:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel