Исследователи немецкого университета опубликовали отчет о взломе технологии XML шифрования.
Эксперты по ИБ нашли уязвимость в технологии XML шифрования, используемом для обеспечения безопасного соединения с Web службами многих компаний, в том числе IBM, Microsoft и Red Hat. Сотрудники немецкого университета Бохум Юрай Саморовиски (Juraj Somorovsky) и Тибор Джагер (Tibor Jager) разработали атаку, способную расшифровать DES, AES и CBC алгоритмы. Исследователи подробно опишут свои открытия на конференции по интернет безопасности ACM 2011.
Как сообщают эксперты, подобная техника взлома использовалась Хулиано Риззо (Juliano Rizzo) и Таи Дионг (Thai Duong) для взлома платформы ASP.NET. Также похожие приемы применялись для внедрение в HTTPS сессию при установке SSL/TLS соединений.
«Все эти алгоритмы уязвимы к атакам, так как они используют CBC режим. Это влияет на все продукты, использующие данный стандарт», - говорится в материалах исследования. Атака была протестирована многими компаниями, отреагировавшими на опубликованное исследование.
«Корпорация Microsoft уведомлена об исследовании проблемы, затрагивающей всю индустрию XML шифрования. Мы продолжаем ознакомление с продуктами для того, чтобы определить приложения, на которые распространяется данный подход… После ответа Microsoft, мы предоставим его всем», - заявили представители университета.
Исследователи заявляют о том, что существует простое решение проблемы, но оно требует внесения изменения в стандарт шифрования данных. Список контрмер будет предоставлен учеными позже.
Подробно ознкомиться с исследованием можно здесь.
Гравитация научных фактов сильнее, чем вы думаете