Extensible Markup Language  Allgemeines  Digital Signatures  Encryption  Key Management  Leitungssicherheit

   Allgemeines

• Bruce Schneier's Crypto-Gram Newsletter about SOAP
  • Diskussion zu Bruce Schneiers Newsletter @ XMLHack.com
• Cryptographic Message Syntax
• Cryptographic Message Syntax (CMS) Algorithms
• CrypTool
  Gutes (Windows-)Werkzeug das eine Menge verschiedenster grundlegender kryptographsicher Verfahren bietet und sich daher sehr gut für den Einstieg in die Thematik eignet
• D. Eastlake: Additional XML Security URIs
• Delving into SOAP security
• Eve Maler of SUN Discusses the Future of Web Service Security
• H. Orman, P. Hoffman: Determining Strengths For Public Keys Used For Exchanging Symmetric Keys
• IBM Developer Works: Security
• Ignore standards for web services security
• Internet X.509 Public Key Infrastructure Certificate Management Protocols
• Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)
• IT Week: XML and how to secure it
• J. Snell und M. Hondo: Security and Privacy (Einführende Informationen zu Sicherheit in Bezug auf XML)
• Java Cryptography Extension
• M. Richardson, D. Redelmeier, H. Spencer: A method for doing opportunistic encryption with IKE
• OASIS Initiative zur Klassifizierung von Web Service Angriffspunkten
• OASIS Web Services Security Technical Committee
• Q&A: Web services security
• Riddle Me This: Is Your XML Data Safe?
• S. Blake-Wilson et al.: TLS Extensions
• S. Hada, H. Maruyama: SOAP Security Extensions
• Secure Web services
• Securing Web Services
• Securing Web Services
• Securing Web Services using the Java Platform and XML
• Security issues arise regarding XML
• SOAP: Clean and Secure
• SOAP: The future or a security nightmare
• Special Report: The Language Of XML Security
• SPKI-XML Certificate Structure
• T. Kivinen, M. Kojo: More MODP Diffie-Hellman groups for IKE
• The XML Security Suite: Increasing the security of e-business
• Top 5 Web Service Security Hazards Found
• Why SOAP doesn't lack security while it does
• XML and Security: The XML and security worlds are coming together in interesting way
• XMLSecurity.org
• XML Security @ XML.org
• XML security fix in the works
• XML Security for Multipart MIME: Multipart/Signed and Multipart/Encrypted
• XML Security Framework to Integrate with E-Business Processes
• XML-Security im Überblick @ Techchannel.de
• XML Security Page @ Uni Siegen
• XML security standards in the works
• XML Security Suite @ Hotscripts.com
• XML soll Umgang mit digitalen Signaturen erleichtern (Heise Newsticker 2000-11-30)
• Zeitschrift Datenschutz und DatensicherheitGute Linksammlung zu gesetzlichen Regelungen u.ä.

• M. Jeckle, B. Zengler: SOAP -- aber sicher

   Digital Signatures

Grundidee

Anbringung einer digitalen Unterschrift auf einem XML-Dokument dient der Sicherstellung des unveränderten Eintreffens eines gesendeten Originaldokuments beim Adressaten. Darüberhinaus läßt sich mit dem Mechanismus die Glaubwürdigkeit des Ursprungs -- ist der vorgebliche Sender wirklich der Autor? -- verbindlich, d.h. der identifizierte Autor kann die Urheberschaft im Nachhinein nicht abstreiten, validieren. Auf dieser Basis können digitale Signaturen zur Gewährleistung der Informationskonsistenz und daher zur Erlangung von Berechtigungen verschiedener Art (etwa im Rahmen einer Zugriffskontrolle oder der Nutzungsberechtigung eines Web-Dienstes) verwendet werden.
Durch die digitale Signatur wird der Inhalt der übertragenen Nachricht nicht verändert. Er verbleibt unangetastet und ist daher auch für Dritte lesbar. Das XML-Dokument wird lediglich um die Unterschrift ergänzt.
Besteht der Wunsch die übertragene Information dergestalt abzusichern, daß sie zusätzlich für Dritte unlesbar wird, so ist der Einsatz von XML-Verschlüsselungsmechanismen notwendig.

Spezifikationen und Standards

• JSR 105 XML Digital Signature APIs
• RFC 3275: D. Eastlake, J. Reagle, D. Solo: XML-Signature Syntax and Processing
• SOAP Security Extensions: Digital Signature
• Using the Elliptic Curve Signature Algorithm for XML Digital Signatures
• W3Cs XML Signature Requirements Working Draft 1999-10-14
• W3Cs XML Signature Syntax and Processing
• WS-Security -- gemeinsame Spezifikation von Microsoft, IBM und Verisign zur Signatur und Verschlüsselung von SOAP Nachrichten

Weiterführende Information

• Digital Signatures and Web Services
• Informationen rund im XML Digitale Signaturen @ XML Uni.de
• Understanding XML Digital Signature
• W3Cs XML Signature Working Group
• XML Digital Signature @ Coverpages
• XML signatures: Behind the curtain

Implementierungen

• Apache Security Release
• Canonical XML and Signatures for Java (via CVS im Quellcode zugängliche Implementierung mit Beispielen (Apache Software Lizenz))
• Entrust Toolkit for Java
• IAIK XML Signature Library (IXSIL) for Java (Evaluationsversion verfügbar. Dokumentation und Beispiele. Educational Licence möglich)
• IBM XML Security Suite for Java (gute Dokumentation, Forum bei Problemen)
• Infomosaic
• JCSI - Java Crypto and Security Implementation
• LGPL-Lizensierte Implementierung der Uni Pisa
• NEC XMLDSIG (gute Dokumentation, Installationsanleitung und Beispielcode)
• Phaos XML
• RSA BSAFE Cert-J (Komponenten für Zertifikat-Management in Java (PKI) incl. XML Digital Signatures, zum freien Download nach Beantwortung einiger Fragen...)
• SOAP Security Extensions @ IBM
• Verisign (JAR-Archiv mit API Dokumentation)
• XML Security Library

   Encryption

Grundidee

Die Anwendung kryptographischer Methoden auf ein XML-Dokument wird zur Erreichung von Vertraulichkeit eingesetzt. Hierzu wird das Originaldokument durch mathematische Methoden so bearbeitet, daß ausgehend vom entstehenden Chiffrat nicht auf das Urdokument geschlossen werden kann.
Zur Wiedergewinnung des Originaldokuments benötigt der Empfänger einen geeigneten Schlüssel. Dieser kann identisch zum Schlüssel des Autors sein (symmetrische Verschlüsselung) oder davon abweichen (asymmetrische Verschlüsselung). In der Praxis wird gegenwärtig auf die zweite Möglichkeit zurückgegriffen. Zur Kontrolle und Verteilung der notwendigen Schlüssel existieren spezialisierte Verwaltungsprotokolle und -systeme.

Spezifikationen und Standards

• Decryption Transform for XML Signature, W3C Recommendation 2003-12-10
• JSR 106 XML Digital Encryption APIs
• WS-Security -- gemeinsame Spezifikation von Microsoft, IBM und Verisign zur Signatur und Verschlüsselung von SOAP Nachrichten
• XML Encryption Media-Type
• XML Encryption Requirements, W3C Working Draft 2001-10-18
• XML Encryption Syntax and Processing, W3C Recommendation 2003-12-10

Weiterführende Information

• Algorithm Selections for XML Encryption
• G. Huck and A. Priewe: Requirements and Goals for the Design of an 'XML Encryption Standard'
• W3Cs XML Encryption Working Group
• W3C XML Encryption Workshop, 2000-11-02
• XML and Encryption @ Coverpages

Implementierungen

• IBM XML Security Suite for Java (Gute Dokumentation, Forum bei Problemen)
• Phaos XML
• SOAP Security Extensions @ IBM
• XML Security Library (C-Implementierung)

   Key Management

Grundidee

Ein Schlüsselverwaltungssystem übernimmt die Organisation und Verwaltung der zur kryptographischen Bearbeitung beliebiger Inhalte benötigten Schlüssel.

Spezifikationen und Standards

• W3Cs XML Key Management Requirements Working Draft
• W3Cs XML Key Management Specification Working Draft

Weiterführende Information

• Homepage der XML Key Management Working Group des W3C
• White Papers, Spezifikationen, Dokumentation und Benutzerforum)

Implementierungen

• Entrust XKMS Toolkit
• Poupous XKMS Toolkit (für .NET)
• Verisign XKMS Toolkit (JAR-Archiv mit API Dokumentation)

   Leitungssicherheit

Grundidee

Neben der direkten Modifikation der übertragenen Information besteht die Möglichkeit der Verwendung abgesicherter Übertragungsprotokolle die „unterhalb“ des XML-Datenstroms ansetzen. Hierbei werden die zu übertragenen Daten für die verarbeitende Applikation transparent gesichert (d.h. ggf. verschlüsselt und signiert) übertragen.

Spezifikationen und Standards

• P. Chown: AES Ciphersuites for TLS
• RFC2246: The TLS Protocol Version 1.0
• The Secure HyperText Transfer Protocol (SHTTP)
• The SSL Protocol -- Version 3.0

Weiterführende Links

• Analysis of the SSL 3.0 Protocol
• Introducing SSL and Certificates using SSLeay
• Introduction to SSL @ iPlanet
• Is SSL enough security for first-generation Web services?
• RFC2487: SMTP Service Extension for Secure SMTP over TLS
• RFC2817: Upgrading to TLS Within HTTP/1.1
• RFC2818: HTTP over TLS
• Transport Layer Security (TLS) Working Group @ IETF

Implementierungen

• Claymore PureTLS (Open Source)
• EspreSSL
• J2SE bietet ab v1.4 eine SSL-Implementierung
• Java SSL
• OpenSSL -- eine freie SSL- und TLS-Implementierung
• Peter Gutmanns Cryptlib
• PureTLS
• SSL/TLS API in Mozialla
• SSLithium

   Sonstiges

• eXtensible Access COntrol Markup Language (Ergänzung zu Digitalen Signaturen und Encryption. Erlaubt Policies für Zugangskontrolle)
• Marc Chanliau: Selbstbehauptung -- Web Services-Sicherheit und die SAML
• Netegrity JSAML Toolkit (Referenzimplementation des SAML-Vorschlags der OASIS Gruppe)
• OASIS eXtensible Access Control Markup Language TC
• Security Assertion Markup Language (SAML) @ Coverpages
• XML-Based Security Services TC @ OASIS

Service provided by Mario Jeckle
Generated: 2004-06-07T12:31:52+01:00
 Feedback        SiteMap
 This page's original location: http://www.jeckle.de/xml/security
 RDF description for this page