W3C geeft goedkeuring aan XML-handtekening

ZDNet schrijft dat het belangrijkste orgaan op het gebied van internetstandaards, het World Wide Web Consortium, afgelopen donderdag heeft ingestemd met een nieuwe methode voor digitale handtekeningen. Via XML (eXtensible Markup Language) zullen voortaan documenten ondertekend kunnen worden, om webdiensten veiliger te maken. Met het oog op Microsoft's komende .Net-architectuur is dit een fijn idee, aangezien steeds meer belangrijke zaken zich via internet af zullen gaan spelen. Onder de naam XML Signature - voluit XML-Signature Syntax and Processing - zal de nieuwe richtlijn garant gaan staan voor verificatie van data en afkomst.

De nieuwe standaard is ontwikkeld in samenwerking met de Internet Engineering Task Force (IETF), en zal volgens een woordvoerder de laatste obstakels uit de weg ruimen om een vlekkeloze toekomst voor digitale transacties mogelijk te maken. Hiervoor is men niet alleen bezig met de digitale handtekeningen, maar ook met een hele reeks overige middelen om veiligheid te garanderen. Zo is een standaard voor XML Encryption in de maak en werkt men aan XML Key Management om de verificatie- en cryptografieprocessen zonder problemen te integreren.

Vermeld dient nog even te worden, dat de XML-toepassingen ook gebruikt kunnen worden voor documenten die in een andere taal dan XML geschreven zijn. Analisten zijn van mening dat deze methode wel eens de oplossing zou kunnen zijn voor een groot probleem, namelijk dat er meerdere manieren zijn om dergelijke beveiligingszaken aan te pakken. Men hoopt dat de goedkeuring ervoor zal zorgen dat er in de toekomst een eenduidige methode zal zijn voor verificatie en encryptie, om door de bomen het bos te kunnen blijven zien.

IT-banen

Reacties (19)

Verwijderd 16 februari 2002 20:08

"Wordt het dit keer niet gehackt?"

dit heeft niks met hacken te maken.

er is gewoon een standaard om wat af te spreken (lijkt bijna dubbelop). xml heeft wat het w3c betreft de toekomst in deze.

verder ligt er nog 'niks' vast, behalve dan dat het met behulp van xml gebeurt

mbravenboer @Verwijderd • 16 februari 2002 20:35

Inderdaad, deze W3C Recommendation stelt absoluut geen nieuw algoritme voort en biedt in feite alleen een standaard om de toepassing van allang bestaande cryptografische algoritmen te beschrijven. Deze algoritmen zijn allemaal al lang en breed bediscussieerd en gecontroleerd op correctheid. Vrijwel allemaal zijn ze onderbouwd door de wetenschap met bewijzen over de veiligheid ervan. Vrijwel in alle gevallen zijn de gevaren van verschillende mogelijke aanvallen uitgebreid besproken.

Je kunt dit zelf nalezen in de specificatie:

This specification uses public key signatures and keyed hash authentication codes. These have substantially different security models. Furthermore, it permits user specified algorithms which may have other models.

With public key signatures, any number of parties can hold the public key and verify signatures while only the parties with the private key can create signatures. The number of holders of the private key should be minimized and preferably be one. Confidence by verifiers in the public key they are using and its binding to the entity or capabilities represented by the corresponding private key is an important issue, usually addressed by certificate or online authority systems.

Keyed hash authentication codes, based on secret keys, are typically much more efficient in terms of the computational effort required but have the characteristic that all verifiers need to have possession of the same key as the signer. Thus any verifier can forge signatures.

This specification permits user provided signature algorithms and keying information designators. Such user provided algorithms may have different security models. For example, methods involving biometrics usually depend on a physical characteristic of the authorized user that can not be changed the way public or secret keys can be and may have other security model differences.

Je kunt het vergelijken met kistje appels. Als de appels in het kistje rot zijn, zegt dat nog helemaal niets over de kwaliteit van het kistje zelf. Het kistje zelf zal nooit voor rotte appels zorgen.

Er zijn inderdaad veel meer platformen behalve Microsoft .NET die uitgebreid gebruik maken van XML. Zo zijn er bijvoorbeeld al tijden Java Specification Requests in het Java Community Proces die libraries gaan specificeren die te maken hebben met deze W3C Recommendation. Waarschijnlijk zullen deze nu spoedig verder uitgewerkt worden.
JSR 104: XML Trust Service APIs
JSR 105: XML Digital Signature APIs
JSR 106: XML Digital Encryption APIs
Aan deze JSR's werken onder andere Sun, IBM, Fujitsu, Hewlett-Packard, NEC, VeriSign en Motorola mee. Er is dus kennelijk ruime ondersteuning voor deze nieuwe recommendation

Er is trouwens ook al een implementatie van Apache:
http://xml.apache.org/security/index.html

musiman

@Mentalist • 16 februari 2002 20:00

<flamebait modus>
Wat bedoel je? Of wou je soms impliceren dat PKI (public key encryptie) al gekraakt is???
Wanneer je graag een first post wil, doe dat dan in de nieuwsposts die gaan over nieuwe kinderspelletjes en niet hier.
</flamebait modus>

Een goede zaak dat XML nu ook met digitale handtekeningen gaat werken.
Eerlijk gezegd had ik 'm al in de RFC lijst zien staan.
Niet alleen Microsoft, maar zovele bedrijven gebruiken of gaan gebruik maken van XML!!!
Bijvoorbeeld Novell heeft een programma dirXML, waarmee je heel eenvoudig koppelingen kunt maken tussen Directories als Active Directory, NDS, iPlanet, en zelfs good-old SAM.

Mentalist @musiman • 16 februari 2002 20:18

Ik vroeg me af of er nou eens bij een nieuwe techniek een goeie beveiliging wordt ingebouwd.

Ja I know alles wordt gehackt, maar misschien dat het nu eens ergens bij wat moeilijker wordt gemaakt..

Betekend dit nu ook dat XML handtekeningen standaard worden en ik weer een nieuwe browser moet downloaden?

Kev0867 @Mentalist • 16 februari 2002 19:59

worden handtekeningen nu soms ook al niet vervalst?, dus bij digitaal zal het ook wel eens voor kunnen komen..

eddydonkers @Mentalist • 16 februari 2002 19:50

Alles wordt een keer gehackt!

blaatenator @eddydonkers • 16 februari 2002 20:02

[off-topic]
Ach, is dat zo? En, kun je dat ook nog verder onderbouwen. Niet dat ik de redenatie die je nu hebt neergezet summier vind of zo, maar je reactie is zo uniek...Echt, nog nooit voorbij zien komen hier

[/'off-topic

Verwijderd @eddydonkers • 16 februari 2002 20:04

Sjees alles word een keer gehackt

zijn die hackers ook lekker dom bezig...

Verwijderd 16 februari 2002 20:35

Men hoopt dat de goedkeuring ervoor zal zorgen dat er in de toekomst een eenduidige methode zal zijn voor verificatie en encryptie, om door de bomen het bos te kunnen blijven zien.

Dit lijkt mij in ieder geval wel een vereiste om wereldwijd zo'n systeem op te zetten. Ben ook blij dat het initiatief via het W3C is goedgekeurd, dat is tenminste een onafhankelijke organisatie.

Coju @Verwijderd • 16 februari 2002 22:17

Microsoft is ook in de W3c vertegenwoordigd, dus wat is onafhankelijk.

Maar bijna alle grote bedrijven zitten erin onhankelijkheid vind ik hier niet echt van belang, het gaat erom dat ze standaarden vastleggen. Dat er veel bedrijven die standaard vastleggen is goed, dan is het een standaard.

Mister_X 17 februari 2002 17:13

dit heeft vooral te maken met het .NET van microsoft.

Verwijderd @Mister_X • 17 februari 2002 21:19

Bij http:www.hushmail.com ka je internet mail box open, die beveiligd is met PGP

Verwijderd 17 februari 2002 11:58

Microsoft is ook in de W3c vertegenwoordigd, dus wat is onafhankelijk. ?
Microsoft past toch altijd de bestaande standaarden aan naar hun eigen wensen zodat het een en ander van de concurent niet werkt en dat die dan uit de markt gedrukt wordt omdat microsoft dat product van hun gratis weggeeft of ze gooieren er een paar miljoentjes tegen aan voor de marketing.
XMl wordt in de de nieuwe Officsuite van sun als standaatd gebruikt voor document opslag hoe meer bedrijven deze kant opgaan en zic houden aan de wc3 standaard hoe minder kans micro$oft heeft om de standaard te verknallen

Dreams 17 februari 2002 16:13

Eindelijk iets van formaat wat hopelijk een alternatief kan bieden voor M$... ik ging het van het ergste uit.
Nu maar hopen dat we met z'n allen tegen de de facto kracht van M$ op kunnen boxen. PGP is ook erg goed maar omdat het niet makkelijk genoeg is, is het nog steeds niet <i>ubiquitous</i>!