Breit eingesetzte XML-Verschlüsselung ist unsicher
Das Gütesiegel vom World Wide Web Consortium (W3C), bei dem alle Web-Standards über einen langen Zeitraum ausgearbeitet werden, halte nicht immer, was es verspricht. "Alles unsicher" lautet die wenig beruhigende Botschaft aus Bochum hinsichtlich der XML Encryption.
XML ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Red Hat setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten.
Grund genug für die Forscher, um ihn professionell unter die Lupe zu nehmen. Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen", teilten die Informatiker mit.
Die Bochumer Forscher testeten das Verfahren selbst oder wurden auch von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen sei das Resultat eindeutig gewesen: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.
Obwohl die Details der Schwachstelle bekannt sind, ist jedoch kein Allheilmittel in Sicht: "Eine universelle Gegenmaßnahme gibt es erst mal nicht", so Somorovsky. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren." Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man bereits gemeinsam individuell zugeschnittene Sicherheits-Lösungen entwickeln können.
XML ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Red Hat setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten.
Grund genug für die Forscher, um ihn professionell unter die Lupe zu nehmen. Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen", teilten die Informatiker mit.
Die Bochumer Forscher testeten das Verfahren selbst oder wurden auch von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen sei das Resultat eindeutig gewesen: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.
Obwohl die Details der Schwachstelle bekannt sind, ist jedoch kein Allheilmittel in Sicht: "Eine universelle Gegenmaßnahme gibt es erst mal nicht", so Somorovsky. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren." Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man bereits gemeinsam individuell zugeschnittene Sicherheits-Lösungen entwickeln können.
Diese Nachricht empfehlen
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 00:00 Uhr 
Aukey Autokamera 4K 2880x2160P Dashcam 157 Grad Weitwinkelobjektiv mit Superkondensator, HDR Nachtsicht Kamera für Auto mit G-Sensor, Bewegungserkennung, Loop-Aufnahme und Dual-Port Kfz-Ladegerät
Aukey Autokamera 4K 2880x2160P Dashcam 157 Grad Weitwinkelobjektiv mit Superkondensator, HDR Nachtsicht Kamera für Auto mit G-Sensor, Bewegungserkennung, Loop-Aufnahme und Dual-Port Kfz-Ladegerät Original Amazon-Preis
89,99 €
Blitzangebot-Preis
71,98 €
Ersparnis zu Amazon 20% oder 18,01 €
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Alle Kommentare zu dieser News anzeigen