Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

W3C-Standard: XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.
/ Christian Klaß
13 Kommentare News folgen (öffnet im neuen Fenster)
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)
Codebeispiel aus der XML-Encryption-Beschreibung des W3C Bild: W3C/Screenshot von Golem.de

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB)(öffnet im neuen Fenster) haben den XML-Encryption-Standard des W3C(öffnet im neuen Fenster) aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher" .

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Administrator/in mit Schwerpunkt Groupware und Softwareverteilung Bundesverfassungsgericht, Karlsruhe (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Geförderte Weiterbildung Trainer in der Erwachsenenbildung mit systemischer Coachingkompetenz (m/w/d) GIS-Akademie GmbH, Berlin (öffnet im neuen Fenster)
Softwareentwickler (w/m/d) Embedded Software Bernstein AG, Porta Westfalica (öffnet im neuen Fenster)
Bereichsleitung IT-Services (m/w/d) Stadt Hildesheim, Hildesheim (öffnet im neuen Fenster)
Informatiker / Wirtschaftsinformatiker (m/w/d) als IT Security Experte Cloud-Anwendungen Scheidt & Bachmann Fare Collection Systems GmbH, Mönchengladbach bei Düsseldorf (öffnet im neuen Fenster)
(Senior) CRM Analyst (m/w/d) Willy Bogner GmbH, München (öffnet im neuen Fenster)
Studentische Hilfskraft (m/w/d) im Steuerungsdienst Personal, Organisation und IT Landschaftsverband Rheinland, Köln (öffnet im neuen Fenster)

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren" , sagte der Forscher weiter.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.

Zur Startseite 13 Kommentare

Relevante Themen

VerschlüsselungSecurityWirtschaftOnlinehandelDatensicherheitE-CommerceServer