Deutsche Experten warnen: XML-Verschlüsselung unsicher
Die XML-Verschlüsselung wird von den Webdiensten seriöser Anbieter wie IBM, Microsoft und Red Hat eingesetzt. Daher wiegen die Vorwürfe der Sicherheitsforscher Juraj Somorovsky aud Tibor Jager von der Ruhr Universität Bochum recht schwer. Das Duo hat eine Angriffsmethode ausgetüftelt, bei der im CBC-Modus (Cipher Block Chaining) sowohl DES (Data Encryption Standard) als auch AES (Advanced Encryption Standard) entschlüsselt werden können. Diese ungeheuerliche Entdeckung haben sie gerade auf der ACM-Sicherheitskonferenz in Chicago präsentiert.
Laut Professor Dr. Jörg Schwenk vom Lehrstuhl für Datensicherheit in Bochum betreffe die Methode leider alle von XML empfohlenen Verschlüsselungsstandards, da sie alle modifizierte Ciphertexte zum Server senden. Im Prinzip nutzten die Sicherheitsexperten Juliano Rizzo und Thai Duong bei ihrer Oracle-Attacke (ASP.NET Framework) die gleiche Technik. Das brachte ihnen den Pwnie-Award (bester Server-Bug) ein. Das Duo präsentierte neulich auch eine artverwandte Einschleusung bei SSL/TLS (Secure Sockets Layer/Transfer Layer Security) unter Ausnutzung des CBC-Modus.
Die Ruhrforscher haben direkt alle betroffenen Webkonzerne über ihre erfolgreichen Testversuche bei diversen Installationen verschiedener Firmen informiert. Ein Microsoft-Sprecher bestätigte, dass man über den Effekt beim XML-Standard im Bilde sei. Man prüfe nun alle Apps und Implementationen durch und werde für Dritthersteller wie Entwickler entsprechende Richtlinien aufstellen. Einen simplen Patch für das Problem könne es in diesem Fall nicht geben.