Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Softwarebibliothek zum sicheren Einsatz von XML-Signaturen

Ort Bonn
Datum 16.05.2012

Im Rahmen des Projekts "XML Spoofing Resistant Electronic Signature" (XSpRES) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine sichere Variante des Standards XML Digital Signature (XmlDSig) entwickelt. Die neue Softwarebibliothek ist gegen Angriffe wie beispielsweise XML Signature Wrapping (XSW) abgesichert und behält gleichzeitig nahezu alle Vorzüge und die Flexibilität des existierenden Standards bei.

XML Digital Signature (XmlDSig) ist einer der zentralen sicherheitsspezifischen Standards im Kontext von Service-orientierten Architekturen (SOA) und Webservices. XmlDSig erlaubt es, XML-Dokumente sowie Teile davon mit einer elektronischen Signatur zu versehen und so die Feststellung der Integrität und Authentizität zu verbessern. Der XmlDSig-Standard ist weit verbreitet und in vielen Produkten integriert, sowohl im kommerziellen Umfeld als auch im Bereich der freien Software.

Die Spezifikation von XmlDSig ist von einigen Schwachstellen betroffen, die im Entwurf des Standards selbst liegen. Hier wurden verschiedene Angriffsszenarien nicht berücksichtigt, sodass Angriffe wie beispielsweise der XML Signature Wrapping (XSW) Angriff möglich sind. Insbesondere die hohen Freiheitsgrade der Spezifikation erschweren die Entwicklung von darauf aufbauenden sicheren Implementierungen. Dies gilt sowohl für Implementierungen des XmlDSig-Standards selbst als auch für Sicherheitssysteme, die auf XmlDSig beruhen.

Die besondere Relevanz des XSW-Angriffs ist in der jüngsten Vergangenheit durch erfolgreich durchgeführte Angriffe auf Cloud-Infrastrukturen aufgezeigt worden. Dabei wurden sowohl quelloffene Systeme als auch kommerzielle Plattformen von namenhaften Diensteanbietern kompromittiert.

Download: Xml Spoofing Resistant Electronic Signature (XSpRESS) (PDF, 452KB, Datei ist barrierefrei⁄barrierearm)

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK