Codebeispiel aus der XML-Encryption-Beschreibung des W3C
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Anzeige

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.


vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...

Kommentieren



Anzeige

  1. IT System- und Anwendungsbetreuer (m/w)
    PETER HAHN GmbH, Winterbach bei Stuttgart
  2. IT-Service Mitarbeiter (m/w) für den Anwender-Support
    DATAGROUP Köln GmbH, München
  3. IT-Manager im Bereich PMO (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  4. Verfahrensentwickler (m/w)
    kubus IT GbR, Dresden, Bayreuth

 

Detailsuche


Top-Angebote
  1. NUR NOCH HEUTE: Xbox One + 2 Controller + Forza 5 D1 Edition + Project CARS
    399,00€
  2. NUR HEUTE: Transcend SSD370S SSD 256GB (2,5", SATA III, MLC) Aluminium-Gehäuse silber
    84,90€
  3. NUR HEUTE: Transcend TS2TSJM100 externe Festplatte 2 TB (2,5", 5400rpm, 32MB) grau
    99,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. Projekt Astoria

    Algorithmen gegen Schnüffler im Tor-Netzwerk

  2. Raumfahrt

    Marsrover Curiosity sieht wieder scharf

  3. Server-Prozessor

    Intels Skylake-EX bietet 28 Kerne und sechs Speicherkanäle

  4. Berlin E-Prix

    Motoren, die nach Star Wars klingen

  5. Licht

    Indoor-Navigationssystem führt zu Sonderangeboten im Supermarkt

  6. Handmade

    Amazon bereitet Marktplatz für Handgefertigtes vor

  7. BND-Skandal

    EU-Kommissar Oettinger testet Kryptohandy

  8. BND-Affäre

    Keine Frage der Ehre

  9. Sensor ausgetrickst

    So klaut man eine Apple Watch

  10. CD Projekt Red

    The Witcher 3 hat Speicherproblem auf Xbox One



Haben wir etwas übersehen?

E-Mail an news@golem.de



Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

Parrot Bebop im Test: Die Einstiegsdrohne
Parrot Bebop im Test
Die Einstiegsdrohne
  1. Hycopter Wasserstoffdrohne soll vier Stunden fliegen
  2. Drohne Der Origami-Copter aus der Schweiz
  3. Filmindustrie James Cameron unterstützt Drohnenwettbewerb

  1. Re: Shuttleworth macht den Exit

    hxhjx | 11:29

  2. Re: Nach Multicore kommt Manycore

    SchmuseTigger | 11:25

  3. Normaler Skylake-Xeon E3?

    SchmuseTigger | 11:24

  4. Re: Besatzungsrecht

    Cerdo | 11:23

  5. Re: das ist doch Vatetlandsverat

    Buttermilch | 11:23


  1. 11:28

  2. 11:11

  3. 10:25

  4. 21:43

  5. 14:05

  6. 12:45

  7. 10:53

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel