Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/10/2011
Investigadors troben fallada en el xifrat XML
Un forat de seguretat, en el mecanisme de xifrat XML, podria obligar la indústria a adoptar un nou estàndard. En l'actualitat està sent utilitzat per Apache, Red Hat, IBM, Amazon.Com o Microsoft, entre molts altres proveïdors de serveis en la Xarxa.
Dos investigadors de la Universitat Ruhr (Bochum, Alemanya), han realitzat una demostració pràctica a Chicago, d'un atac al mecanisme de xifrat XML, mètode àmpliament utilitzat per la indústria d'Internet.
La tècnica emprada és capaç de desxifrar els missatges xifrats amb qualsevol dels algoritmes suportats per l'estàndard de xifrat XML, inclosos els populars AES i DES.
Es tracta d'un troballa que podria obligar els afectats a utilitzar un altre estàndard alternatiu a XML (extensible Markup Language), posat en marxa en 2002 pel Consorci W3C i dissenyat per a emmagatzemar i transportar dades a través d'Internet.
El mètode envia als servidors text xifrat que s'ha modificat prèviament. El servidor, al detectar la dita modificació, torna missatges d'error amb informació que els permet recopilar determinades dades per a poder desxifrar posteriorment els continguts en XML. «Es tracta d'un fallada, sobre la qual no sembla haver-hi una solució senzilla», ha indicat un dels investigadors, Juraj Somorovsky. «El que proposem és que es canvie a un altre estàndard al més prompte possible», ha conclòs després de la demostració.
El problema és major del que sembla, ja que aquest tipus de xifrat de la informació s'utilitza en multitud d'aplicacions web com a comunicacions corporatives, comerç electrònic, serveis financers, salut, infraestructura militar i serveis públics a través d'Internet.
L'equip d'investigació ja ha avisat a companyies –com ara Amazon.com, IBM, Microsoft o Red Hat– sobre els marcs de treball afectats per aquest forat de seguretat en el xifrat XML.
Canviar d'estàndard suposarà que tots eixos desenrotllaments hagen de ser actualitzats, ja que no existirà compatibilitat cap arrere.