Abo
  • Services:

W3C-Standard

XML-Encryption geknackt

Der XML-Encryption-Standard des W3C ist unsicher. Forscher der Ruhr-Universität Bochum haben das herausgefunden und empfehlen dringend, den Standard anzupassen.

Artikel veröffentlicht am ,
Codebeispiel aus der XML-Encryption-Beschreibung des W3C
Codebeispiel aus der XML-Encryption-Beschreibung des W3C (Bild: W3C/Screenshot von Golem.de)

Forscher vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum (RUB) haben den XML-Encryption-Standard des W3C aus dem Jahre 2002 analysiert und für unsicher befunden. Die XML Encryption soll eigentlich die Vertraulichkeit von äußerst sensiblen XML-Datenströmen (Extensible Markup Language) von Webservices in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Aus Bochum heißt es nun: "alles unsicher".

Stellenmarkt
  1. Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Stuttgart
  2. Schaeffler AG, Herzogenaurach

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. Die Forscher dazu: "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen."

Die Bochumer Forscher testeten das Verfahren laut einer Mitteilung der RUB selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen soll der Angriff funktioniert haben, so dass der weit verbreitete Standard als definitiv nicht sicher eingestuft werden muss. Details wollen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vorstellen.

Eine einfache Gegenmaßnahme gibt es laut Somorovsky nicht. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren", sagte der Forscher weiter.

Die Wissenschaftler haben alle Anbieter über die Mailingliste des W3C informiert. Gemeinsam mit einigen interessierten Entwicklern sollen sie speziell angepasste Sicherheitslösungen entwickelt haben.



Anzeige
Top-Angebote
  1. (Anime-Blu-rays, Anime-Boxen, DVDs, Limited Edition)
  2. (u. a. WD My Book 3 TB 87,99€, WD My Book Duo 16 TB 424,99€, Sandisk 128 GB microSDXC-Karte 31...
  3. (u. a. Canon Pixma iP7250 42,99€)

vlad_tepesch 20. Okt 2011

Du hast mein Argument nicht verstanden, oder?

whamster 20. Okt 2011

Blödsinn. Bei einer Konferenz wie der ACM CCS reicht man nicht mal heute ein Paper ein...

Agorath 19. Okt 2011

HBCI ist von dem Problem nicht betroffen, da die Kommunikation keine XML-Strukturen...


Folgen Sie uns
       


Nike Adapt BB ausprobiert

Nikes neue Basketballschuhe Adapt BB schnüren sich automatisch zu, was in unserem Praxistest sehr gut funktioniert.

Nike Adapt BB ausprobiert Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
Karma-Spyware
Wie US-Auftragsspione beliebige iPhones hackten

Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
Ein Bericht von Friedhelm Greis

  1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
  2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
  3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
Android-Smartphone
10 Jahre in die Vergangenheit in 5 Tagen

Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
Ein Erfahrungsbericht von Martin Wolf

  1. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
  2. Google Auf dem Weg zu reinen 64-Bit-Android-Apps
  3. Sicherheitslücke Mit Skype Android-PIN umgehen

    •  /