Breit eingesetzte XML-Verschlüsselung ist unsicher

Die standardisierte und breit für die verschlüsselte Kommunikation unter Webservices eingesetzte Technologie "XML Encryption" ist unsicher. Das haben genauere Untersuchungen von Informatikern vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum herausgefunden.
Das Gütesiegel vom World Wide Web Consortium (W3C), bei dem alle Web-Standards über einen langen Zeitraum ausgearbeitet werden, halte nicht immer, was es verspricht. "Alles unsicher" lautet die wenig beruhigende Botschaft aus Bochum hinsichtlich der XML Encryption.

XML ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Red Hat setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten.

Grund genug für die Forscher, um ihn professionell unter die Lupe zu nehmen. Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. "Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen", teilten die Informatiker mit.

Die Bochumer Forscher testeten das Verfahren selbst oder wurden auch von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften. In allen Fällen sei das Resultat eindeutig gewesen: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.

Obwohl die Details der Schwachstelle bekannt sind, ist jedoch kein Allheilmittel in Sicht: "Eine universelle Gegenmaßnahme gibt es erst mal nicht", so Somorovsky. "Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren." Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man bereits gemeinsam individuell zugeschnittene Sicherheits-Lösungen entwickeln können.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!