Обнаружена уязвимость в XML шифровании

Эксперты по ИБ нашли уязвимость в технологии XML шифрования, используемом для обеспечения безопасного соединения с Web службами многих компаний, в том числе IBM, Microsoft и Red Hat. Сотрудники немецкого университета Бохум Юрай Саморовиски (Juraj Somorovsky) и Тибор Джагер (Tibor Jager) разработали атаку, способную расшифровать DES, AES и CBC алгоритмы. Исследователи подробно опишут свои открытия на конференции по интернет безопасности ACM 2011.

Как сообщают эксперты, подобная техника взлома использовалась Хулиано Риззо (Juliano Rizzo) и Таи Дионг (Thai Duong) для взлома платформы ASP.NET. Также похожие приемы применялись для внедрение в HTTPS сессию при установке SSL/TLS соединений.

«Все эти алгоритмы уязвимы к атакам, так как они используют CBC режим. Это влияет на все продукты, использующие данный стандарт», - говорится в материалах исследования. Атака была протестирована многими компаниями, отреагировавшими на опубликованное исследование.

«Корпорация Microsoft уведомлена об исследовании проблемы, затрагивающей всю индустрию XML шифрования. Мы продолжаем ознакомление с продуктами для того, чтобы определить приложения, на которые распространяется данный подход… После ответа Microsoft, мы предоставим его всем», - заявили представители университета.

Исследователи заявляют о том, что существует простое решение проблемы, но оно требует внесения изменения в стандарт шифрования данных. Список контрмер будет предоставлен учеными позже.

Подробно ознкомиться с исследованием можно здесь.