XML Encryption ist unsicher: RUB-Forscher brechen WWW-Standard

Standards sollen Verlässlichkeit schaffen, vor allem im WWW. Hier gibt das World Wide Web Consortium, kurz W3C, bei der Standardisierung den Ton an. Die Organisation formuliert technische Anforderungen und Richtlinien für Internet-Technologien wie HTML, XHTML oder XML. Doch das Gütesiegel W3C hält nicht immer, was es verspricht. Forscher vom Lehrstuhl für Netz- und Datensicherheit der RUB (Prof. Dr. Jörg Schwenk) haben jetzt den so genannten „XML Encryption“-Standard gebrochen. „Alles unsicher“ lautet die wenig beruhigende Botschaft aus Bochum.

Standard für Großkunden

XML steht für „Extensible Markup Language“ und ist vor allem beim Datenaustausch zwischen Computersystemen im Einsatz. Branchengrößen wie IBM, Microsoft und Redhat Linux setzen auf die standardisierte Lösung, um Webservice-Anwendungen für Großkunden zu realisieren. XML Encryption soll dabei die Vertraulichkeit der äußerst sensiblen Datenströme in Bereichen wie E-Commerce, Finanzdienste oder öffentliche Verwaltung gewährleisten. Grund genug, um ihn professionell unter die Lupe zu nehmen.

Schwache Verkettung von Chiffretext-Blöcken

Juraj Somorovsky und Tibor Jager konnten eine Schwäche bei der Verkettung der Chiffretext-Blöcke im Betriebsmodus CBC für den Angriff ausnutzen. „Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen.“ Die Bochumer Forscher testeten das Verfahren selbst oder wurden von Firmen benachrichtigt, die ihre Produkte auf Anfälligkeit gegenüber der XML Encryption Schwachstelle prüften – in allen Fällen war das Resultat eindeutig: Der Angriff funktioniert, der weit verbreitete Standard ist definitiv nicht sicher. Details stellen die Forscher in dieser Woche auf der renommierten ACM Conference on Computer and Communications Security (ACM CCS 2011) in Chicago vor.

Kein Allheilmittel in Sicht

Trotz vielfach bestätigter Diagnose ist jedoch kein Allheilmittel in Sicht: „Eine universelle Gegenmaßnahme gibt es erstmal nicht“, so Somorovsky. „Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren.“ Die Wissenschaftler informierten alle Anbieter über die Mailingliste des W3C. Mit einigen interessierten Entwicklern habe man gemeinsam individuell zugeschnittene Sicherheitslösungen entwickeln können.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692, joerg.schwenk@rub.de

Angeklickt

Konferenz CCS 2011 (Programm):
http://www.sigsac.org/ccs/CCS2011/techprogram.shtml
Redaktion: Jens Wylkop

Media Contact

Dr. Josef König idw

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Der Klang der idealen Beschichtung

Fraunhofer IWS transferiert mit »LAwave« lasergestützte Schallanalyse von Oberflächen in industrielle Praxis. Schallwellen können auf Oberflächen Eigenschaften verraten. Parameter wie Beschichtungsqualität oder Oberflächengüte von Bauteilen lassen sich mit Laser und…

Individuelle Silizium-Chips

… aus Sachsen zur Materialcharakterisierung für gedruckte Elektronik. Substrate für organische Feldeffekttransistoren (OFET) zur Entwicklung von High-Tech-Materialien. Wie leistungsfähig sind neue Materialien? Führt eine Änderung der Eigenschaften zu einer besseren…

Zusätzliche Belastung bei Knochenmarkkrebs

Wie sich Übergewicht und Bewegung auf die Knochengesundheit beim Multiplen Myelom auswirken. Die Deutsche Forschungsgemeinschaft (DFG) fördert ein Forschungsprojekt der Universitätsmedizin Würzburg zur Auswirkung von Fettleibigkeit und mechanischer Belastung auf…

Partner & Förderer