Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/10/2011
Investigadores encuentran fallo en el cifrado XML
Un agujero de seguridad en el mecanismo de cifrado XML podría obligar a la industria a adoptar un nuevo estándar. En la actualidad está siendo utilizado por Apache, Red Hat, IBM, Amazon.com o Microsoft, entre muchos otros proveedores de servicios en la Red.
Dos investigadores de la Universidad Ruhr en Bochum, Alemania han realizado una demostración práctica en Chicago de un ataque al mecanismo de cifrado XML, método ampliamente utilizado por la industria de Internet.
La técnica empleada es capaz de descifrar los mensajes cifrados con cualquiera de los algoritmos soportados por el estándar de cifrado XML, incluidos los populares AES y DES.
Se trata de un hallazgo que podría obligar a los afectados a utilizar otro estándar alternativo a XML (eXtensible Markup Language), puesto en marcha en 2002 por el Consorcio W3C y diseñado para almacenar y transportar datos a través de Internet.
El método envía a los servidores texto cifrado que se ha modificado previamente. El servidor, al detectar dicha modificación, devuelve mensajes de error con información que les permite recopilar determinados datos para poder descifrar posteriormente los contenidos en XML. “Se trata de un fallo del que no parece haber una solución sencilla”, ha indicado uno de los investigadores, Juraj Somorovsky. “Lo que proponemos es que se cambie a otro estándar lo más pronto posible”, ha concluido tras la demostración.
El problema es mayor de lo que parece, ya que este tipo de cifrado de la información se utiliza en multitud de aplicaciones web como comunicaciones corporativas, comercio electrónico, servicios financieros, salud, infraestructura militar y servicios públicos a través de Internet.
El equipo de investigación ya ha avisado a compañías como Amazon.com, IBM, Microsoft o Red Hat, cuyos marcos de trabajo están afectados por este agujero de seguridad en el cifrado XML.
Cambiar de estándar supondrá que todos esos desarrollos deban ser actualizados, ya que no existirá compatibilidad hacia atrás.