Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 076

ASN.1

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist ASN.1?

ASN.1Abstract Syntax Notation One: ein ITU-T-Standard (X.680-Reihe), der Datenstrukturen fur Kryptografie und Telekommunikation sprachunabhangig beschreibt.


ASN.1 (Abstract Syntax Notation One) ist eine formale Notation, definiert in ITU-T X.680-X.681, zur Beschreibung strukturierter Daten (Integer, Sequenzen, Mengen, Auswahlen und getaggter Typen) unabhangig von jeder Programmiersprache oder CPU. Der zugehorige Standard X.690 definiert die Drahtcodierungen: BER (Basis), CER, DER (distinguished), wahrend X.691 PER (gepackt) definiert. Jedes Element ist ein Tag-Length-Value-(TLV)-Tripel, weshalb ein X.509-Zertifikat buchstablich eine SEQUENCE aus TBSCertificate, signatureAlgorithm und signatureValue ist.

ASN.1 bildet die Grundlage von X.509/PKI, CMS/PKCS#7, PKCS#12, LDAP, Kerberos, SNMP und der Telekommunikationssignalisierung (3GPP S1AP/NGAP, GSM MAP). DER ist sicherheitsrelevant: Es schreibt eine einzige kanonische Codierung vor (definite Lange, minimale Integer, sortiertes SET OF), sodass eine Signatur oder ein Hash uber eine ASN.1-Struktur reproduzierbar ist und nicht stillschweigend umcodiert werden kann. Die Nachgiebigkeit von BER (unbestimmte Langen, redundante Tags) ist eine klassische Quelle von Parser-Differentialen (parser differentials) und Signatur-Umgehungstricks.

Da das Parsen von Zertifikaten vor der Authentifizierung stattfindet, sind ASN.1-Decoder eine hochwertige Angriffsflache. Reale Schwachstellen umfassen CVE-2016-2108 (Speicherbeschadigung durch "negative Null" in einem ANY-Feld von OpenSSL), CVE-2021-3712 (Lesezugriff uber die Puffergrenze hinaus bei nicht NUL-terminierten ASN1_STRINGs, der Schlusselspeicher preisgibt) und CVE-2022-0778 (eine Endlosschleife, erreichbar durch das Parsen eines praparierten Zertifikats). Abwehrmassnahmen: speichersichere oder fuzzing-gehartete Decoder verwenden, striktes DER erzwingen sowie Verschachtelungstiefe und Lange begrenzen.

flowchart LR
  S[ASN.1 schema in X.680] --> M[In-memory structure]
  M --> ENC{Encoding rules}
  ENC -->|DER canonical| D[Bytes for signing / PKI]
  ENC -->|BER permissive| B[Bytes - interop only]
  ENC -->|PER compact| P[Bytes for telecom links]
  D --> W[Wire / stored certificate]
  B --> W
  P --> W
  W --> DEC[TLV decoder]
  DEC --> V{Strict DER & bounds checks?}
  V -->|Yes| OK[Validated object]
  V -->|No| VULN[Parser differential / overflow / DoS]

Beispiele

  1. 01

    Ein X.509-Zertifikat ist eine SEQUENCE aus TBSCertificate, signatureAlgorithm und signatureValue in DER-Codierung.

  2. 02

    3GPP-S1AP-Nachrichten zwischen eNodeB und MME werden in ASN.1 beschrieben und in PER codiert.

Häufige Fragen

Was ist ASN.1?

Abstract Syntax Notation One: ein ITU-T-Standard (X.680-Reihe), der Datenstrukturen fur Kryptografie und Telekommunikation sprachunabhangig beschreibt. Es gehört zur Kategorie Kryptografie der Cybersicherheit.

Was bedeutet ASN.1?

Abstract Syntax Notation One: ein ITU-T-Standard (X.680-Reihe), der Datenstrukturen fur Kryptografie und Telekommunikation sprachunabhangig beschreibt.

Wie schützt man sich gegen ASN.1?

Schutzmaßnahmen gegen ASN.1 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für ASN.1?

Übliche alternative Bezeichnungen: Abstract Syntax Notation One, X.680.

Verwandte Begriffe