Abo
  • Services:

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Artikel veröffentlicht am ,
Codebeispiel aus der XML-Encryption-Beschreibung des W3C
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Stellenmarkt
  1. Bosch Gruppe, Hildesheim
  2. Universität Passau, Passau

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.



Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  2. ab 499€
  3. 119,90€

vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...


Folgen Sie uns
       


Galaxy Note 9 - Test

Das Galaxy Note 9 von Samsung bietet neben dem S Pen nur sehr wenige Unterschiede zum Galaxy S9+. Samsung sollte sich überlegen, wie sich die Note-Reihe in Zukunft wieder etwas interessanter gestalten lässt.

Galaxy Note 9 - Test Video aufrufen
Foam: Geodaten auf der Blockchain
Foam
Geodaten auf der Blockchain

Sinnvolle Blockchain-Anwendungen sind noch immer rar. Das Unternehmen Foam aus Brooklyn will Location Services auf die Blockchain bringen und setzt dabei auf ein Lora-Netzwerk statt auf GPS.
Von Dirk Koller


    Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
    Threadripper 2990WX und 2950X im Test
    Viel hilft nicht immer viel

    Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
    Ein Test von Marc Sauter

    1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
    2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
    3. Raven Ridge AMDs Athlon kehrt zurück

    IT-Jobs: Achtung! Agiler Coach gesucht?
    IT-Jobs
    Achtung! Agiler Coach gesucht?

    Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
    Von Marvin Engel

    1. Wework Die Kaffeeautomatisierung des Lebens
    2. IT-Jobs Fünf neue Mitarbeiter in fünf Wochen?
    3. Frauen in IT-Berufen Programmierte Klischees

      •  /