Dies ist die Übersetzung der Pressemitteilung: World Wide Web
Consortium Issues XML Encryption and Decryption Transform as W3C
Recommendations. Die Datumsangaben entsprechen nicht der Veröffentlichung
dieser Mitteilung in Deutschland.
Übersetzung: Henning Fischer
http://www.w3.org/ -- 10. Dezember 2002 -- Das World Wide Web Consortium (W3C) hat die XML Encryption Syntax and Processing und die Decryption Transform for XML Signature Spezifikation als W3C Recommendation freigegeben. Es handelt sich um eine industrieübergreifende Vereinbarung über einen XML-basierten Ansatz für sichere XML Daten in einem Dokument.
Eine W3C Recommendation besagt, dass eine Spezifikation stabil ist, zur Interoperabilität des Webs beiträgt und von den W3C-Mitgliedern geprüft und für eine allgemeine Übernahme befürwortet wurde.
Verschlüsselung nennt man den Prozess der Zerstückelung von Informationen, so dass sie nur noch für den bestimmten Empfänger lesbar sind, nachdem sie wieder zusammengesetzt worden sind. Während die verschlüsselte Nachricht oder Datei selbst für viele sichtbar ist, z.B. für diejenigen, die an einem Netzwerk angeschlossen sind, so bleibt ihnen jedoch die Bedeutung verborgen. Verschlüsselte Daten werden durch ein undurchsichtiges mathematisches Verfahren erzeugt, das die Daten nur für diejenigen lesbar macht, die einen "Schlüssel" für die Entschlüsselung besitzen.
Wenn es darum geht, sensible Daten (z.B. finanzielle oder persönliche Informationen) über das Internet auszutauschen, fordern Sender und Empfänger eine sichere Kommunikation. Obwohl es bereits Technologien gibt, die eine sichere Übertragung von vollständigen Datenobjekten oder der gesamten Kommunikationsverbindung zulassen, erlaubt nur W3Cs XML Signature (zusammen mit der neuen W3C XML Encryption Recommendation) dem Benutzer, selektiv zu signieren und einzelne Teile von XML Daten zu verschlüsseln. Zum Beispiel möchte ein Nutzer eines Web Services Protokolls, wie z.B. SOAP, nur den "Nutzlast-Teil" der XML Nachricht verschlüsseln, nicht aber die Informationen, die für's Routing zum Empfänger benötigt werden. Oder eine XForms Anwendung verlangt, dass eine Zahlungstransaktion digital signiert und dass die Zahlungsmethode, z.B. die Krditkartennummer verschlüsselt werden muss. Und natürlich kann man mit XML Encryption auch vollständige Datenobjekte, Graphiken oder Musikdateien verschlüsseln.
Die dazugehörige "Decryption Transform for XML Signature" Recommendation ermöglicht die Verschlüsselung mit XML Signature. Eine Eigenschaft von XML Signature ist die Sicherstellung der Dokumentenintegrität: XML Signature erkennt, wenn sich ein Dokument geändert hat. Viele Anwendungen erfordern es, dass ein XML Dokument erst signiert wird und später Teile davon verschlüsselt werden; was zu einer Veränderung des Dokuments führt. "Decryption Transform" lässt den Empfänger wissen, welche Teile des Dokuments entschlüsselt werden müssen, also wie das Dokument in den ungeänderten Zustand gebracht werden muss, bevor man die Signatur überprüfen kann.
Zahlreiche Anwendungen und andere Spezifikationen nutzen bereits XML Encryption, wie man im Implementations- und Interoperabilitätsreport der W3C XML Encryption Arbeitsgruppe nachlesen kann. Besonders die Web Services Spezifikationen, die eine Absicherung des "Nutzlast-Teils" benötigen, wenden diese Recommendation an. Viele Unternehmen haben sich dafür ausgesprochen, XML Encryption zu unterstützen und zu implementieren.
XML Encryption ist von der W3C XML Encryption Working Group entwickelt worden, die sowohl aus persönlichen Mitgliedern als auch aus den folgenden W3C Mitgliedern besteht: Baltimore Technologies; BEA Systems; DataPower; IBM; Microsoft; Motorola; Universität Siegen; Sun Microsystems und VeriSign.
Das World Wide Web Consortium wurde gegründet, um alle Möglichkeiten des Web zu erschließen. Dazu werden einheitliche Protokolle entwickelt, die den Fortschritt des Webs fördern und seine Interoperabilität sicherstellen. Das W3C ist ein internationales Industrie- Konsortium, das gemeinsam vom MIT Laboratory for Computer Science (MIT LCS) in den USA, dem Institut National de Recherche en Informatique et Automatique (INRIA) in Frankreich und der Keio-Universität in Japan geführt wird. Das Konsortium bietet folgende Dienstleistungen: Informationen über das World Wide Web für Entwickler und Benutzer sowie verschiedene prototypische und Musteranwendungen, um den Einsatz der neuen Technik zu demonstrieren. Gegenwärtig sind mehr als 450 Organisationen Mitglieder des Konsortiums. Weitere Informationen finden Sie unter http://www.w3.org/.
Das Deutsch-Österreichische Büro des W3C (W3C.DE) im Fraunhofer-Institut für Medienkommunikation ist der Repräsentant des W3C für den deutschen Sprachraum. http://www.w3c.de/