El estándar XML Encryption sería vulnerable
Según algunas investigaciones, una vulnerabilidad en el ampliamente utilizado estándar de encriptación XML Encryption puede ser explotada para desencriptar información sensible.
El cifrado XML, utilizado para asegurar las comunicaciones entre los servicios web y la mayoría de las empresas, incluidas IBM, Microsoft o Red Hat, es inseguro. Así de claro lo han dejado los investigadores Juraj Somorovsky y Tibor Jager, de la Ruhr University of Bochum (RUB) en Alemania, que han ideado un ataque que descifra los datos asegurados con DES (Data Encryption Standard) o AES (Advanced Encryption Standard) en modo CBC (cipher block chaining).
Jrg Schwenk, profesor de Ingeniería Eléctrica y Tecnología de la Información de la universidad alemana, todos los algoritmos de encriptación de datos recomendados en XML Encryption son vulnerables al ataque, que se basa en enviar textos cifrados modificados al servidor y analizar los errores en busca de claves. Es más, según Schwenk, cualquier algoritmo que utilice el modo CBC resulta vulnerable.
Somorovsky y Jager planean ofrecer más detalles de sus estudios durante la ACM Conference on Computer and Communications Security, que se celebrará a finales de este año en Estados Unidos.
Todos los algoritmos son vulnerables a los ataques porque utilizan el modo CBC. "Todas las implementaciones del estándar se ven afectadas por el ataque", aseguran los investigadores refiriéndose a las recomendaciones XML Encryption.
Somorovsky y Jager han enviado correos electrónicos a las empresas afectadas a través del World Wide Web Consortium (W3C), que es la organización que hizo el borrador del estándar. El ataque lanzado por los profesores de la universidad alemana tuvo éxito contra todas las implementaciones utilizadas por las compañías que respondieron a la información de los investigadores.
Somorovsky y Jager han dicho también que no hay una solución fácil y que lo mejor es cambiar el estándar.
Fuente: ITEspresso
El cifrado XML, utilizado para asegurar las comunicaciones entre los servicios web y la mayoría de las empresas, incluidas IBM, Microsoft o Red Hat, es inseguro. Así de claro lo han dejado los investigadores Juraj Somorovsky y Tibor Jager, de la Ruhr University of Bochum (RUB) en Alemania, que han ideado un ataque que descifra los datos asegurados con DES (Data Encryption Standard) o AES (Advanced Encryption Standard) en modo CBC (cipher block chaining).
Jrg Schwenk, profesor de Ingeniería Eléctrica y Tecnología de la Información de la universidad alemana, todos los algoritmos de encriptación de datos recomendados en XML Encryption son vulnerables al ataque, que se basa en enviar textos cifrados modificados al servidor y analizar los errores en busca de claves. Es más, según Schwenk, cualquier algoritmo que utilice el modo CBC resulta vulnerable.
Somorovsky y Jager planean ofrecer más detalles de sus estudios durante la ACM Conference on Computer and Communications Security, que se celebrará a finales de este año en Estados Unidos.
Todos los algoritmos son vulnerables a los ataques porque utilizan el modo CBC. "Todas las implementaciones del estándar se ven afectadas por el ataque", aseguran los investigadores refiriéndose a las recomendaciones XML Encryption.
Somorovsky y Jager han enviado correos electrónicos a las empresas afectadas a través del World Wide Web Consortium (W3C), que es la organización que hizo el borrador del estándar. El ataque lanzado por los profesores de la universidad alemana tuvo éxito contra todas las implementaciones utilizadas por las compañías que respondieron a la información de los investigadores.
Somorovsky y Jager han dicho también que no hay una solución fácil y que lo mejor es cambiar el estándar.
Fuente: ITEspresso
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!