W3C-Standard: XML-Encryption geknackt
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Anzeige

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.


vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...

Kommentieren



Anzeige

  1. Produktsoftware-Entwickler/-- in
    Robert Bosch GmbH, Schwieberdingen
  2. Referent Servicemanagement Telefonie (m/w)
    CosmosDirekt, Saarbrücken
  3. Entwicklungsingenieur/-in Software für elektrischen Antrieb
    ZF Friedrichshafen AG, Friedrichshafen
  4. Leiter Delivery IT Services (m/w)
    über HRM CONSULTING GmbH, München, Frankfurt/Main, Hamburg oder Berlin

 

Detailsuche


Folgen Sie uns
       


  1. Weiche Landung

    Automatik-Fallschirm für Drohnen

  2. Google Apps for Business

    Sprint steigt bei Googles App-Programm ein

  3. Verkehrsbehörde

    Mitfahrdienst Uber in Hamburg gestoppt

  4. Cyberattacke

    Hacker stiehlt Nutzerdaten von Wall Street Journal und Vice

  5. Quartalsbericht

    Facebook mit hohem Gewinn und starkem Nutzerwachstum

  6. Ofcom

    Briten schalten den Pornofilter ab

  7. Erstmal keine Integration

    iOS 8 und OS X Yosemite sollen nicht parallel erscheinen

  8. Privacy

    Unsichtbares Tracking mit Bildern statt Cookies

  9. Oberster Gerichtshof

    Österreichs Provider gegen Internetsperren zu Kino.to

  10. Eigene Cloud

    Owncloud 7 mit Server-to-Server-Sharing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oneplus One im Test: Unerreichbar gut
Oneplus One im Test
Unerreichbar gut
  1. Oneplus One-Update macht verkürzte Akkulaufzeit rückgängig
  2. Oneplus One könnte ab dem dritten Quartal vorbestellbar sein
  3. Cyanogenmod-Smartphone Weitere Käufer erhalten das Oneplus One

Android Wear: Pimp my watch
Android Wear
Pimp my watch
  1. Android Wear API für Watch Faces soll bald kommen
  2. Google Camera App Kamera-Fernbedienung für Android Wear
  3. Android Wear Erstes Custom-ROM für LGs G Watch erschienen

Test Shovel Knight: Hochklassige Schaufelschlacht in 58 Farben
Test Shovel Knight
Hochklassige Schaufelschlacht in 58 Farben
  1. Shooter-Projekt Areal Putin-Brief und abruptes Ende der Kickstarter-Kampagne
  2. Cabin Magnetisches Ladekabel fürs iPhone
  3. Tango Super PC Der Computer im Smartphone-Format

    •  / 
    Zum Artikel