Codebeispiel aus der XML-Encryption-Beschreibung des W3C
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Anzeige

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.


vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...

Kommentieren



Anzeige

  1. Professur (m/w) Energy Informatics - Fakultät für Informatik / Kommunikation / Medien
    FH OÖ Studienbetriebs GmbH, Hagenberg (Österreich)
  2. Softwareentwickler/in
    Landeshauptstadt München, München
  3. Teilprojektleiter (m/w) Digitale Innovation
    Media-Saturn-Holding GmbH, Ingolstadt
  4. Prozess- und Projektreferent (m/w) in der Abteilung Vertriebssysteme
    DEKRA SE, Stuttgart

Detailsuche


Blu-ray-Angebote
  1. NEU: Blu-rays je 8,97 EUR oder günstiger
    (u. a. Who am I, The Amazing Spider-Man, Frankenweenie, Larry Flynt)
  2. NEU: Fast & Furious 7 - Extended Version (inkl. Digital Ultraviolet) [Blu-ray]
    14,99€
  3. VORBESTELLBAR: The Expendables Trilogy - Steelbook/Uncut [Blu-ray] [Limited Edition] FSK 18
    32,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Samsung Gear S2 im Hands on

    Drehbarer Ring schlägt Touchscreen

  2. Mobiles Internet

    Vodafone überbrückt Warten auf DSL-Anschluss mit Surfstick

  3. Alienware X51 R3

    Mini-PC setzt auf interne WaKü und externe Grafikkarten-Box

  4. Cross-Site-Scripting

    Netflix stellt Tool zum Auffinden von Sicherheitslücken vor

  5. Asynchronous Shader

    Nvidias Grafikkarten soll eine wichtige DX12-Funktion fehlen

  6. Huawei G8

    Neues Smartphone mit Fingerabdrucksensor für 400 Euro

  7. Pioneer XDP-100R

    Android-basierter Hi-Res-Audio-Player

  8. Verbraucherschützer

    Nicht über neue Hardware bei All-IP-Umstellung informiert

  9. Let's Play

    Machinima muss bezahlte Youtube-Videos kennzeichnen

  10. Not so smart

    Aktuelle Fernseher im Sicherheitscheck



Haben wir etwas übersehen?

E-Mail an news@golem.de



Autonomes Fahren: Wer hat die besten Karten?
Autonomes Fahren
Wer hat die besten Karten?
  1. Nokia Ozo nimmt 360-Grad-Videos in Echtzeit auf
  2. Nokia Here Daimler will eigene Karten aus Angst vor Hackerattacken
  3. Kartendienst Nokia Here geht für 2,5 Milliarden an deutsche Autobauer

In eigener Sache: Golem pur jetzt auch im Gruppenabo
In eigener Sache
Golem pur jetzt auch im Gruppenabo
  1. In eigener Sache Golem.de-Artikel mit Whatsapp-Kontakten teilen
  2. In eigener Sache Preisvergleich bei Golem.de
  3. In eigener Sache News von Golem.de bei Xing lesen

Ideapad Miix 700 im Hands On: Lenovo baut ein Surface
Ideapad Miix 700 im Hands On
Lenovo baut ein Surface
  1. Smartphones, Tablets und eine Smartwatch Asus' Zen-Armada
  2. Smartwatches Motorola stellt neue Moto 360 und Moto 360 Sport vor
  3. Notebooks mit neuem Intel-Prozessor Mit Skylake kommt meist USB-Typ-C

  1. Re: VoIP-Umstellung gestaltet sich meist als Drop...

    zu Gast | 19:04

  2. Re: Nvidia wirds schon richten

    Buttermilch | 19:02

  3. Re: Faxproblem wird auch komplett verschwiegen

    Raulsinropa | 18:59

  4. können Sie gleich wieder aufhören, das wird...

    McFly | 18:58

  5. Re: suche Touch Player für Partys

    Legacyleader | 18:57


  1. 19:00

  2. 18:14

  3. 18:09

  4. 17:34

  5. 16:42

  6. 16:33

  7. 16:04

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel