Abo
  • Services:
Anzeige
Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen.
Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen. (Bild: Juraj Somorovsky)

Sicherheitslücken: XML-Verschlüsselung mit vielen Fallstricken

Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen.
Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen. (Bild: Juraj Somorovsky)

Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.

Einen Überblick über Sicherheitsprobleme in XML-Standards hat Juraj Somorovsky von der Ruhr-Universität Bochum auf der Black Hat Amsterdam präsentiert. Mit einem automatisierten Tool hat Somorovsky zusammen mit seinen Kollegen diverse Server-Implementierungen auf bekannte Sicherheitslücken getestet.

Anzeige

Signature Wrapping

Das W3C hat für die Verschlüsselung und für digitale Signaturen in XML-Dateien jeweils separate Standards. Bereits 2005 wurde ein Angriff auf die digitalen Signaturen in zahlreichen Implementierungen entdeckt, der als Signature Wrapping bezeichnet wird.

Der XML-Signatur-Standard sieht vor, dass man nicht nur ganze Dokumente signieren kann, sondern auch einzelne Teile eines Dokuments. Beim Signature-Wrapping-Angriff manipuliert ein Angreifer ein existierendes Dokument mit gültigen, signierten Daten. Die signierten Daten werden in einen Teil des Dokuments verschoben, in dem sie keinen Effekt mehr haben. So kann man beispielsweise die signierten Daten in den Header verschieben. Anschließend werden unsignierte Daten in das Dokument eingefügt.

Wie sich herausstellte, prüfen zahlreiche Implementierungen zunächst die Signatur und parsen anschließend die Daten unabhängig davon, ohne zu prüfen, ob die entsprechenden Daten auch von der Signatur erfasst wurden. Dadurch können von einem Angreifer komplett unsignierte Daten eingeschleust werden. Dass dieser Angriff praktische Relevanz hatte, konnte Somorovsky zusammen mit anderen Sicherheitsforschern 2011 zeigen, ein Angriff erlaubte die Kontrolle von Amazon-EC2-Instanzen fremder Nutzer.

Symmetrische und asymmetrische XML-Verschlüsselung unsicher

Die Verschlüsselung in XML-Dateien hat gleich mehrere Probleme, die Somorovsky bereits 2011 zusammen mit anderen Sicherheitsforschern publiziert hatte. Die asymmetrische Verschlüsselung erfolgt nach dem alten Standard PKCS #1 1.5. Dieser ist anfällig für den sogenannten Bleichenbacher-Angriff, den der Kryptograph Daniel Bleichenbacher 1998 entdeckt hat. Der Angriff ist jedoch vergleichsweise aufwendig.

Noch kritischer ist ein Angriff auf die symmetrische Verschlüsselung. Der ursprüngliche XML-Encryption-Standard sah nur eine Verschlüsselung mit dem AES-CBC-Verfahren vor. Bei AES-CBC lassen sich von einem Angreifer einzelne Bits manipulieren. Da die verschlüsselten Daten gültige XML-Tags enthalten müssen, ist die Zahl der gültigen Zeichen auf den ASCII-Zeichensatz beschränkt. Somit kann ein Angreifer gezielt Bits manipulieren und anhand der Fehlermeldungen eines Servers, der mittels XML-Verschlüsselung kommuniziert, Rückschlüsse auf die Daten erhalten. Für die Entschlüsselung eines Bytes genügen hierfür 14 manipulierte Datenpakete.

Dieser Angriff hat große Ähnlichkeit mit den Padding-Oracle-Angriffen, die vor allem bei TLS immer wieder zu Problemen geführt haben. Grundsätzlich sollten Verschlüsselungsprotokolle nie Daten entschlüsseln, ohne deren Echtheit vorher zu prüfen.

Alte Angriffe, nach wie vor verwundbare Server

Mit einem automatisierten Tool hat Somorovsky zahlreiche Serveranwendungen, die die XML-Verschlüsselung nutzen, geprüft. Das Tool wurde auf Github veröffentlicht. Von fünf getesteten Produkten waren vier in der Standardkonfiguration für den CBC-Angriff verwundbar (Apache Axis2, Apache CXF, Axway Gateway, IBM Datapower). Lediglich Microsofts WCF-Server hatte gegen alle Angriffe wirksame Gegenmaßnahmen implementiert.

Vermeiden lässt sich dieser Angriff auf die CBC-Verschlüsselung, wenn eine Implementierung die verschlüsselten Daten nur innerhalb eines signierten Datenblocks akzeptiert. Wichtig ist hierbei, den oben erwähnten Signature-Wrapping-Angriff ebenfalls zu berücksichtigen und sicherzustellen, dass keine unsignierten Daten entschlüsselt werden. Auch die Angriffe auf die RSA-Verschlüsselung mit PKCS #1 1.5 lassen sich vermeiden.

Besser ist es allerdings, auf die alten Standards zu verzichten. Der XML-Encryption-Standard 1.1 erlaubt die XML-Verschlüsselung mit dem RSA-OAEP-Verfahren, das den Bleichenbacher-Angriff verhindert. Statt der unauthentifizierten CBC-Verschlüsselung steht außerdem das GCM-Verfahren (Galois/Counter-Mode) als Möglichkeit für symmetrische Verschlüsselungsoperationen zur Verfügung.

Apache CXF hat ein Update herausgegeben, das die Probleme behebt. Von IBM gab es als Reaktion Empfehlungen, wie man XML-Verschlüsselung sicher nutzt und die Konfiguration entsprechend anpasst.


eye home zur Startseite
1nformatik 17. Nov 2015

SOAP und damit all die XML Verschlüsselung wird bei Banken und Versicherungen immer noch...



Anzeige

Stellenmarkt
  1. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  2. Bertrandt Services GmbH, Hannover
  3. Strautmann, Bad Laer
  4. BRZ Deutschland GmbH, Nürnberg


Anzeige
Spiele-Angebote
  1. (-80%) 4,99€
  2. (-80%) 3,99€

Folgen Sie uns
       


  1. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips

  2. Homepod im Test

    Smarter Lautsprecher für den Apple-affinen Popfan

  3. Microsoft

    Xbox One bekommt native Unterstützung für 1440p-Auflösung

  4. Google

    Pixel 2 XL lädt langsamer unterhalb von 20 Grad

  5. Wikipedia Zero

    Wikimedia-Foundation will Zero-Rating noch 2018 beenden

  6. Konami

    Metal Gear Survive und Bildraten für Überlebenskünstler

  7. Markenrecht

    Microsoft entfernt App von Windows Area aus Store

  8. Arbeitsrecht

    Google durfte Entwickler wegen sexistischer Memos entlassen

  9. Spielzeug

    Laser Tag mit Harry-Potter-Zauberstäben

  10. Age of Empires Definitive Edition Test

    Trotz neuem Look zu rückständig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Raven Ridge AMD verschickt CPUs für UEFI-Update
  2. Krypto-Mining AMDs Threadripper schürft effizient Monero
  3. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet

  1. Was soll "Elektronenmigration"

    NilsP | 12:50

  2. Re: Emulation ist Käse, Android-Layer wäre wichtig

    nille02 | 12:50

  3. Re: Soso ...

    Jominator | 12:50

  4. Re: Kobalt?

    Sharra | 12:48

  5. Re: Das Problem der Presse ist nicht Google,

    rldml | 12:48


  1. 12:20

  2. 12:01

  3. 11:52

  4. 11:49

  5. 11:39

  6. 10:58

  7. 10:28

  8. 10:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel