XML ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Red Hat setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten.
Grund genug für die Forscher, um ihn professionell unter die Lupe zu nehmen. Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen", teilten die Informatiker mit.
Die Bochumer Forscher testeten das Verfahren selbst oder wurden auch von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen sei das Resultat eindeutig gewesen: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.
Obwohl die Details der Schwachstelle bekannt sind, ist jedoch kein Allheilmittel in Sicht: "Eine universelle Gegenmaßnahme gibt es erst mal nicht", so Somorovsky. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren." Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man bereits gemeinsam individuell zugeschnittene Sicherheits-Lösungen entwickeln können.
2011-10-24T17:45:00+02:00Christian Kahle
Daffodil DE 
Alle Kommentare zu dieser News anzeigen