Sicherheitsanalyse von OpenDocument v1.2

Sehr geehrte Damen und Herren,

mein Name ist Steve Martin und ich bin Student der Ruhr Universität Bochum.
Ich studiere IT-Sicherheit und schreibe zur Zeit an meiner Masterarbeit. Hierbei untersuche ich vorallem XML Signature und XML Encryption, welche im ODF Standard verwendet werden.

Es existiert eine W3C Spezifikation für XML Signature und XML Encryption, welche in ODF verwendet wird. Ich habe im OASIS ODF Standard nachgelesen, dass ODF v1.2 laut Spezifikation "XML Signature Syntax and Processing (Second Edition)" (https://www.w3.org/TR/2008/REC-xmldsig-core-20080610/) nach W3C Empfehlung vom 10. Juni 2008 und "XML Encryption Syntax and Processing" (https://www.w3.org/TR/2002/REC-xmlenc-core-20021210/Overview.html) nach W3C Empfehlung vom 10. Dezember 2002 verwendet. Die jeweils aktuelle Version des Standards von XML Signature ist 2.0 (vom 23. Juli 2015) und von XML Encryption 1.1 (vom 11. April 2013).

Nachgelesen für XML Signature habe ich dies an folgender Stelle im Standard: http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752877_826425813

Nachgelesen für XML Encryption habe ich dies an folgender Stelle im Standard: http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752835_826425813

Ich habe hierzu zwei Fragen:

Ich würde gerne anhand eines von mir selbsterstellen und signierten Dokuments verifizieren und nachvollziehen, welche Version in meinem Dokument "Test.odt" wirklich verwendet wird. Hierbei habe ich die "documentsignatures.xml" aus dem OpenDocument Package extrahiert und mir genauer angesehen, kann jedoch nicht genau die verwendete Version finden. Können Sie mir bei meinem Problem weiterhelfen? Gerne schicke ich Ihnen auch die benötigten Dateien, bzw. den XML Inhalt per Mail.

Kann es sein, dass die Entwickler von Anwendersoftware (z.B. Apache OpenOffice, LibreOffice etc.), welche den ODF Standard nutzen, hier selbst eine zu verwendende Version von XML Signature bzw. XML Encryption festlegen oder ist diese strikt durch den ODF Standard v1.2 vorgegeben?

Ich danke Ihnen vielmals im Voraus für Ihre Hilfe.

Mit freundlichen Grüßen

Steve Martin

Hallo Steve,

wir sind hier in der Liste nicht so förmlich. Eine Anregung aber:
schreibe eine entsprechende Mail auch zumindest an die discuss-Liste:
discuss@de.libreoffice.org
Da schauen schon einmal eher Leute rein, die mit der Entwicklung von LO
zu tun haben.

Auf dieser Liste hingegen helfen in der Hauptsache Anwender Anwendern.

Zum Inhalt selbst kann ich leider nichts schreiben ...

Gruß

Robert

Hallo Steve,

Sehr geehrte Damen und Herren,

mein Name ist Steve Martin und ich bin Student der Ruhr Universität Bochum.
Ich studiere IT-Sicherheit und schreibe zur Zeit an meiner Masterarbeit. Hierbei untersuche ich vorallem XML Signature und XML Encryption, welche im ODF Standard verwendet werden.

Es existiert eine W3C Spezifikation für XML Signature und XML Encryption, welche in ODF verwendet wird. Ich habe im OASIS ODF Standard nachgelesen, dass ODF v1.2 laut Spezifikation "XML Signature Syntax and Processing (Second Edition)" (https://www.w3.org/TR/2008/REC-xmldsig-core-20080610/) nach W3C Empfehlung vom 10. Juni 2008 und "XML Encryption Syntax and Processing" (https://www.w3.org/TR/2002/REC-xmlenc-core-20021210/Overview.html) nach W3C Empfehlung vom 10. Dezember 2002 verwendet. Die jeweils aktuelle Version des Standards von XML Signature ist 2.0 (vom 23. Juli 2015) und von XML Encryption 1.1 (vom 11. April 2013).

Nachgelesen für XML Signature habe ich dies an folgender Stelle im Standard: http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752877_826425813

Nachgelesen für XML Encryption habe ich dies an folgender Stelle im Standard: http://docs.oasis-open.org/office/v1.2/os/OpenDocument-v1.2-os-part3.html#__RefHeading__752835_826425813

Die Version ODF 1.3 war gerade in der ersten "public review". In ihr hat sich in diesem Bereich einiges geändert. Du findest diese Version unter

https://docs.oasis-open.org/office/OpenDocument/v1.3/csprd01/OpenDocument-v1.3-csprd01.zip

Um das in LibreOffice auszuprobieren, benötigst du einen "daily" build. Den bekommst du von https://dev-builds.libreoffice.org/daily/master/

Beim Ausprobieren musst du darauf achten, "ODF 1.2 extended" für load/save zu benutzen; das ist normalerweise voreingestellt.

Ich habe hierzu zwei Fragen:

Ich würde gerne anhand eines von mir selbsterstellen und signierten Dokuments verifizieren und nachvollziehen, welche Version in meinem Dokument "Test.odt" wirklich verwendet wird. Hierbei habe ich die "documentsignatures.xml" aus dem OpenDocument Package extrahiert und mir genauer angesehen, kann jedoch nicht genau die verwendete Version finden. Können Sie mir bei meinem Problem weiterhelfen? Gerne schicke ich Ihnen auch die benötigten Dateien, bzw. den XML Inhalt per Mail.

Kann es sein, dass die Entwickler von Anwendersoftware (z.B. Apache OpenOffice, LibreOffice etc.), welche den ODF Standard nutzen, hier selbst eine zu verwendende Version von XML Signature bzw. XML Encryption festlegen oder ist diese strikt durch den ODF Standard v1.2 vorgegeben?

Ich danke Ihnen vielmals im Voraus für Ihre Hilfe.

Ich selbst habe keine Kenntnisse über Signaturen und Verschlüsselungen und kann dir dabei nicht weiterhelfen.

Ich würde für Fragen an Entwickler den Kontakt über irc://irc.freenode.net/#libreoffice-dev
benutzen.

Wenn du selbst in den Code hineinschauen möchtest, geht dies ganz gut über https://opengrok.libreoffice.org/

Mit freundlichen Grüßen
Regina