| Noticias | 24 OCT 2011

XML, el estándar de cifrado más utilizado no es seguro

Tags: Seguridad
Según los expertos, la encriptación XML, utilizada para asegurar comunicaciones entre servicios Web, puede ser explotada, de modo que información sensible sea descifrada.
Paula Bardera

Un fallo en XML Encryption puede utilizarse para descifrar información sensible. XML Encryption se utiliza para asegurar comunicaciones entre servicios Web por parte de muchas compañías, como IBM, Microsoft o Red Hat. Los investigadores Juraj Somorovsky y Tibor Jager, de la Universidad Ruhr de Bochum, en Alemania, idearon un ataque que descifraba datos asegurados con DEX (Data Encryption Standard) o AES (Advanced Encryption Standard) en modo CBC (cipher block chaining). Tienen previsto presentar sus descubrimientos con más detalle durante la Conferencia ACM a finales de este año.

Según Jörg Schwenk, que es profesor de ingeniería eléctrica y tecnología de la información en RUB, todos los algoritmos de encriptación de datos recomendados en el estándar XML están afectados por este ataque, que se basa en enviar textos cifrados modificados al servidor y analizar los errores para encontrar pistas.

La misma técnica fue utilizada por los investigadores de seguridad Juliano Rizzo y Thai Duong en su ataque a ASP.NET Framework, que les hizo ganar el premio Pwnie por ver el mejor error de servidor. Más recientemente, los investigadores demostraron un ataque separado contra implementaciones SSL/TLS (Secure Sockets Layer/Transfer Layer Security) que utilizan el modo CBC, al igual que éste.

“Todos estos algoritmos son vulnerables a los ataques puesto que usan el modo CBC. Así que todas las implementaciones del estándar podrían estar afectadas”, ha declarado Schwenk, refiriéndose a las recomendaciones XML Encryption. xml estándar cifrado no seguro

Los investigadores de RUB notificaron qué fabricantes estaban afectados a través de una lista de correo del World Wide Web Consortium (W3C), la organización que redactó el estándar. El ataque fue probado con éxito contra muchas implementaciones utilizadas por compañías que respondían al informe de los investigadores.

“Microsoft es consciente de la investigación sobre un tema de toda la industria que afecta a ciertas implementaciones del estándar de encriptación XML. Continuamos evaluando nuestros productos para determinar qué aplicaciones, si las hay, utilizan el enfoque de implementación en cuestión”.

El gigante del software aún no ha realizado ninguna recomendación. “Proporcionaremos orientación sobre la implementación de XML a desarrolladores de terceros si es necesario”, ha explicado un portavoz de la compañía.

Los investigadores afirman que no hay una solución simple para el problema y que el estándar necesita ser cambiado. Sin embargo, intentarán resumir algunas medidas en un próximo informe.


Noticias relacionadas

W3C publica EXI, formato compacto de XML

El co-inventor de XML deja a Oracle por Google

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información