В технологии связи XML Encryption обнаружена уязвимость, которую можно использовать для расшифровки закрытой информации. Напомним, что XML Encryption применяется для защиты коммуникаций между веб-сервисами в продуктах многих компаний, в частности Microsoft и Red Hat.
Немецкие ИТ-специалисты из Университета Бохума говорят, что дешифровать коммуникации можно во всех криптографических применяемых технологией стандартах - DES (Data Encryption Standard), AES (Advanced Encryption Standard) в CBC (cipher block chaining). Подробные данные немецкие исследователи обещают презентовать на конференции ACM Conference on Computer and Communications Security позже в этом году.
Сейчас авторы метода говорят, что все алгоритмы шифрований, рекомендованные стандартом XML Encryption, подвержены новой уязвимости. Сама уязвимость полагается на отправку модифицированных шифртекстов и анализе ошибок, получаемых в качестве ответа.
Ранее нечто похожее было использовано и для атаки на коммуникационные системы ASP.net Framework. Тогда Microsoft признала наличие бага в серверной реализации ASP. Чуть позже похожая атака поразила и SSL/TLS протоколы в режиме CBC.
Немецкие специалисты говорят, что уже проинформировали всех основных разработчиков серверного программного обеспечения об уязвимости. Компании Microsoft и Red Hat пока ничего не сообщают об уязвимости. Однако исследователи говорят, что уязвимость кроется не в каких-то частных реализациях XML Encryption, а в самом стандарте, поэтому она носит глобальный характер.
Источник: CyberSecurity
|
