Deutsche Sicherheitsforscher sagen, dass XML-Verschlüsselung unsicher ist

Sicherheitsforscher der Ruhr-Universität in Bochum haben laut eigener Aussage die XML-Verschlüsselung teilweise entschlüsselt. Die offizielle W3C-XML-Verschlüsselung ist so gestaltet, dass sie Daten zwischen Online-Servern verschlüsselt. Dieses Verfahren wird zum Beispiel von Finanz-Instituten und im E-Commerce verwendet.

Laut den Forschern benutzen IBM, Microsoft und Red Hat die Standard-Lösungen für einige Web-Dienst-Applikationen für eine ganze Anzahl von großen Kunden. Dieser Standard sollte aber laut den Forschern für unsicher erklärt werden. Genauere Informationen zu dem Problem wollen die Forscher auf der ACM-Konferenz 2011 in Chicago bekannt geben.

Der Angriff funktioniert nur, wenn AES als Verschlüsselung im CBC-Modus verwendet wird. XML-Verschlüsselung funktioniert aber auch mit einem RSA-Schlüssel und X.509-Zertifikate. Die Forscher sagen, dass es keine kurzfristige Lösung für das Problem gibt und der Standard bedürfe einer Überarbeitung. (jdo)