20.10.2011, 11:11 Uhr
XML-Verschlüsselung ist unsicher
Deutsche Forscher haben den Verschlüsselungsstandard der Websprache XML analysiert und für unsicher befunden.
Betroffen sind damit heikle Webdienste wie E-Commerce und Banking-Anwendungen, für die verschlüsselte Datenströme überlebenswichtig sind.
Zu dem Urteil kommen Juraj Somorovsky und Tibor Jager von der Abteilung für Netz- und Datensicherheit an der Ruhr-Universität Bochum. Und zwar haben die Forscher nicht nur die Schwachstelle entdeckt, sondern gleich auch herausgefunden wie man den Verschlüsselungsmechanismus aushebelt. «Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen», schreiben sie.
Getestet wurde die Methode nach eigenen Angaben bei diversen Diensten von Firmen, mit Erfolg, wie das Forscherduo konstatiert. XML Encryption könne somit als unsicher gelten, folgern sie. «Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren», heisst es.
Zu dem Urteil kommen Juraj Somorovsky und Tibor Jager von der Abteilung für Netz- und Datensicherheit an der Ruhr-Universität Bochum. Und zwar haben die Forscher nicht nur die Schwachstelle entdeckt, sondern gleich auch herausgefunden wie man den Verschlüsselungsmechanismus aushebelt. «Wir können verschlüsselte Daten entschlüsseln, indem wir den Server mit modifizierten Chiffretexten ansprechen und aus seiner Antwort Rückschluss auf die eigentliche Nachricht ziehen», schreiben sie.
Getestet wurde die Methode nach eigenen Angaben bei diversen Diensten von Firmen, mit Erfolg, wie das Forscherduo konstatiert. XML Encryption könne somit als unsicher gelten, folgern sie. «Daher empfehlen wir dringend, den Standard anzupassen und die technische Spezifikation diesen Erkenntnissen folgend zu aktualisieren», heisst es.
