Breit eingesetzte XML-Verschlüsselung ist unsicher
Das Gütesiegel vom World Wide Web Consortium (W3C), bei dem alle Web-Standards über einen langen Zeitraum ausgearbeitet werden, halte nicht immer, was es verspricht. "Alles unsicher" lautet die wenig beruhigende Botschaft aus Bochum hinsichtlich der XML Encryption.
XML ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Red Hat setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten.
Grund genug für die Forscher, um ihn professionell unter die Lupe zu nehmen. Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen", teilten die Informatiker mit.
Die Bochumer Forscher testeten das Verfahren selbst oder wurden auch von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen sei das Resultat eindeutig gewesen: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.
Obwohl die Details der Schwachstelle bekannt sind, ist jedoch kein Allheilmittel in Sicht: "Eine universelle Gegenmaßnahme gibt es erst mal nicht", so Somorovsky. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren." Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man bereits gemeinsam individuell zugeschnittene Sicherheits-Lösungen entwickeln können.
XML ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Red Hat setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten.
Grund genug für die Forscher, um ihn professionell unter die Lupe zu nehmen. Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen", teilten die Informatiker mit.
Die Bochumer Forscher testeten das Verfahren selbst oder wurden auch von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen sei das Resultat eindeutig gewesen: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.
Obwohl die Details der Schwachstelle bekannt sind, ist jedoch kein Allheilmittel in Sicht: "Eine universelle Gegenmaßnahme gibt es erst mal nicht", so Somorovsky. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren." Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man bereits gemeinsam individuell zugeschnittene Sicherheits-Lösungen entwickeln können.
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 02:10 Uhr 
Willful Smartwatch,1.3-Zoll Touch-Farbdisplay Fitness Armbanduhr mit Pulsuhr Fitness Tracker IP68 Wasserdicht Sportuhr Smart Watch mit Schrittzähler,Schlafmonitor,Stoppuhr für Damen Herren
Willful Smartwatch,1.3-Zoll Touch-Farbdisplay Fitness Armbanduhr mit Pulsuhr Fitness Tracker IP68 Wasserdicht Sportuhr Smart Watch mit Schrittzähler,Schlafmonitor,Stoppuhr für Damen Herren Original Amazon-Preis
39,99 €
Blitzangebot-Preis
33,99 €
Ersparnis zu Amazon 15% oder 6 €
Beliebte Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen