Sicherheitsanalyse von OpenDocument v1.2

classic Classic list List threaded Threaded
3 messages Options
Steve Martin-2 Steve Martin-2
Reply | Threaded
Open this post in threaded view
|

Sicherheitsanalyse von OpenDocument v1.2

Sehr geehrte Damen und Herren,

mein Name ist Steve Martin und ich bin Student der Ruhr Universität
Bochum.
Ich studiere IT-Sicherheit und schreibe zur Zeit an meiner Masterarbeit.
Hierbei untersuche ich vorallem XML Signature und XML Encryption, welche
im ODF Standard verwendet werden.

Es existiert eine W3C Spezifikation für XML Signature und XML
Encryption, welche in ODF verwendet wird. Ich habe im OASIS ODF Standard
nachgelesen, dass ODF v1.2 laut Spezifikation "XML Signature Syntax and
Processing (Second Edition)"
(https://www.w3.org/TR/2008/REC-xmldsig-core-20080610/) nach W3C
Empfehlung vom 10. Juni 2008 und "XML Encryption Syntax and Processing"
(https://www.w3.org/TR/2002/REC-xmlenc-core-20021210/Overview.html) nach
W3C Empfehlung vom 10. Dezember 2002 verwendet. Die jeweils aktuelle
Version des Standards von XML Signature ist 2.0 (vom 23. Juli 2015) und
von XML Encryption 1.1 (vom 11. April 2013).

Nachgelesen für XML Signature habe ich dies an folgender Stelle im
Standard:
http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752877_826425813

Nachgelesen für XML Encryption habe ich dies an folgender Stelle im
Standard:
http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752835_826425813


Ich habe hierzu zwei Fragen:

Ich würde gerne anhand eines von mir selbsterstellen und signierten
Dokuments verifizieren und nachvollziehen, welche Version in meinem
Dokument "Test.odt" wirklich verwendet wird. Hierbei habe ich die
"documentsignatures.xml" aus dem OpenDocument Package extrahiert und mir
genauer angesehen, kann jedoch nicht genau die verwendete Version
finden. Können Sie mir bei meinem Problem weiterhelfen? Gerne schicke
ich Ihnen auch die benötigten Dateien, bzw. den XML Inhalt per Mail.

Kann es sein, dass die Entwickler von Anwendersoftware (z.B. Apache
OpenOffice, LibreOffice etc.), welche den ODF Standard nutzen, hier
selbst eine zu verwendende Version von XML Signature bzw. XML Encryption
festlegen oder ist diese strikt durch den ODF Standard v1.2 vorgegeben?

Ich danke Ihnen vielmals im Voraus für Ihre Hilfe.

Mit freundlichen Grüßen

Steve Martin

--
Liste abmelden mit E-Mail an: [hidden email]
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
Robert Großkopf Robert Großkopf
Reply | Threaded
Open this post in threaded view
|

Re: Sicherheitsanalyse von OpenDocument v1.2

Hallo Steve,

wir sind hier in der Liste nicht so förmlich. Eine Anregung aber:
schreibe eine entsprechende Mail auch zumindest an die discuss-Liste:
[hidden email]
Da schauen schon einmal eher Leute rein, die mit der Entwicklung von LO
zu tun haben.

Auf dieser Liste hingegen helfen in der Hauptsache Anwender Anwendern.

Zum Inhalt selbst kann ich leider nichts schreiben ...

Gruß

Robert
--
Homepage: https://www.familiegrosskopf.de/robert
LibreOffice Community: https://www.familiegrosskopf.de/robert/map_3


--
Liste abmelden mit E-Mail an: [hidden email]
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
Regina Henschel Regina Henschel
Reply | Threaded
Open this post in threaded view
|

Re: Sicherheitsanalyse von OpenDocument v1.2

In reply to this post by Steve Martin-2
Hallo Steve,

Steve Martin schrieb am 28-Oct-19 um 18:12:

> Sehr geehrte Damen und Herren,
>
> mein Name ist Steve Martin und ich bin Student der Ruhr Universität Bochum.
> Ich studiere IT-Sicherheit und schreibe zur Zeit an meiner Masterarbeit.
> Hierbei untersuche ich vorallem XML Signature und XML Encryption, welche
> im ODF Standard verwendet werden.
>
> Es existiert eine W3C Spezifikation für XML Signature und XML
> Encryption, welche in ODF verwendet wird. Ich habe im OASIS ODF Standard
> nachgelesen, dass ODF v1.2 laut Spezifikation "XML Signature Syntax and
> Processing (Second Edition)"
> (https://www.w3.org/TR/2008/REC-xmldsig-core-20080610/) nach W3C
> Empfehlung vom 10. Juni 2008 und "XML Encryption Syntax and Processing"
> (https://www.w3.org/TR/2002/REC-xmlenc-core-20021210/Overview.html) nach
> W3C Empfehlung vom 10. Dezember 2002 verwendet. Die jeweils aktuelle
> Version des Standards von XML Signature ist 2.0 (vom 23. Juli 2015) und
> von XML Encryption 1.1 (vom 11. April 2013).
>
> Nachgelesen für XML Signature habe ich dies an folgender Stelle im
> Standard:
> http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752877_826425813 
>
>
> Nachgelesen für XML Encryption habe ich dies an folgender Stelle im
> Standard:
> http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752835_826425813 
>
>

Die Version ODF 1.3 war gerade in der ersten "public review". In ihr hat
sich in diesem Bereich einiges geändert. Du findest diese Version unter

https://docs.oasis-open.org/office/OpenDocument/v1.3/csprd01/OpenDocument-v1.3-csprd01.zip

Um das in LibreOffice auszuprobieren, benötigst du einen "daily" build.
Den bekommst du von https://dev-builds.libreoffice.org/daily/master/

Beim Ausprobieren musst du darauf achten, "ODF 1.2 extended" für
load/save zu benutzen; das ist normalerweise voreingestellt.


>
> Ich habe hierzu zwei Fragen:
>
> Ich würde gerne anhand eines von mir selbsterstellen und signierten
> Dokuments verifizieren und nachvollziehen, welche Version in meinem
> Dokument "Test.odt" wirklich verwendet wird. Hierbei habe ich die
> "documentsignatures.xml" aus dem OpenDocument Package extrahiert und mir
> genauer angesehen, kann jedoch nicht genau die verwendete Version
> finden. Können Sie mir bei meinem Problem weiterhelfen? Gerne schicke
> ich Ihnen auch die benötigten Dateien, bzw. den XML Inhalt per Mail.
>
> Kann es sein, dass die Entwickler von Anwendersoftware (z.B. Apache
> OpenOffice, LibreOffice etc.), welche den ODF Standard nutzen, hier
> selbst eine zu verwendende Version von XML Signature bzw. XML Encryption
> festlegen oder ist diese strikt durch den ODF Standard v1.2 vorgegeben?
>
> Ich danke Ihnen vielmals im Voraus für Ihre Hilfe.

Ich selbst habe keine Kenntnisse über Signaturen und Verschlüsselungen
und kann dir dabei nicht weiterhelfen.

Ich würde für Fragen an Entwickler den Kontakt über
irc://irc.freenode.net/#libreoffice-dev
benutzen.

Wenn du selbst in den Code hineinschauen möchtest, geht dies ganz gut
über https://opengrok.libreoffice.org/

Mit freundlichen Grüßen
Regina

--
Liste abmelden mit E-Mail an: [hidden email]
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy