XML-шифрование

XML-шифрование ( XML-Enc ) — это спецификация, регулируемая рекомендациями Консорциума Всемирной паутины (W3C), которая определяет, как шифровать содержимое XML- элемента.

Спецификация

Хотя XML-шифрование может использоваться для шифрования любых данных, оно, тем не менее, известно как «XML-шифрование», поскольку элемент XML (либо EncryptedDataэлемент EncryptedKey) содержит или ссылается на зашифрованный текст, ключевую информацию и алгоритмы. ^[1]

Как XML-подпись, так и XML-шифрование используют KeyInfoэлемент, который отображается как дочерний элемент элемента SignedInfo, EncryptedData, или EncryptedKeyи предоставляет получателю информацию о том, какой ключевой материал использовать для проверки подписи или расшифровки зашифрованных данных.

Элемент KeyInfoнеобязателен: его можно прикрепить к сообщению или доставить по защищенному каналу.

XML-шифрование отличается от протокола Transport Layer Security (TLS) и не связано с ним, который используется для отправки зашифрованных сообщений (включая XML-контент, как зашифрованный, так и нет) через Интернет.

Jager & Somorovsky (2011) сообщили, что эта спецификация имеет серьезные проблемы безопасности. В ответ на это ^[2] спецификация XML Encryption 1.1, опубликованная в 2013 году, включала алгоритм блочного шифра Galois/Counter Mode . ^[3]^{[ необходимо разъяснение ]}

Ссылки

Цитаты

^ XMLENC 1.0, раздел 2.
^ Ягер, Патерсон и Соморовски (2013).
^ Купсер и др. (2015).

Источники

Имамура, Т.; Диллауэй, Б.; Саймон, Э. (10 декабря 2002 г.). Истлейк, Д.; Ригл, Дж. (ред.). «Синтаксис и обработка шифрования XML». W3C .
Имамура, Т.; Диллауэй, Б.; Саймон, Э.; Ю, К.; Нистрем, М. (11 апреля 2013 г.). Истлейк, Д.; Ригл, Дж.; Хирш, Ф.; Росслер, Т. (ред.). «Синтаксис и обработка шифрования XML, версия 1.1». W3C .
Jager, T.; Somorovsky, J. (19 октября 2011 г.). «Как взломать XML-шифрование». Труды 18-й конференции ACM по компьютерной и коммуникационной безопасности . Нью-Йорк: Ассоциация вычислительной техники. стр. 413–422. doi :10.1145/2046707.2046756. ISBN 978-1-4503-0948-6.
Хирш, Ф., ред. (11 апреля 2013 г.). «Функциональное объяснение изменений в XML-шифровании 1.1». W3C.
Somorovsky, J.; Schwenk, J. (июнь 2012 г.). Технический анализ контрмер против атак на XML-шифрование – или – просто еще одна мотивация для аутентифицированного шифрования (PDF) . 2012 IEEE Восьмой всемирный конгресс по услугам. IEEE. doi :10.1109/SERVICES.2012.6. ISBN 978-1-4673-3053-4.
Jager, T.; Paterson, KG; Somorovsky, J. (24 апреля 2013 г.). One Bad Apple: атаки на обратную совместимость в современной криптографии. Симпозиум NDSS 2013 г.
Купсер, Д.; Майнка, К.; Швенк, Дж.; Соморовски, Дж. (август 2015 г.). Как взломать XML-шифрование – автоматически. 9-й семинар USENIX по наступательным технологиям (WOOT '15).

Внешние ссылки

Информация W3C
Apache Santuario — реализация безопасности Apache XML для Java и C++
XMLSec — библиотека безопасности XML для C
Введение в XML-подпись и XML-шифрование с помощью XMLSec