Llegamos a ustedes gracias a:



Noticias

Estándar de encriptamiento es inseguro

[24/10/2011] Una debilidad en el Encriptamiento XML puede ser explotada para desencriptar información confidencial, señalan investigadores.
El Encriptamiento XML es usado por compañías como IBM, Microsoft y Red Hat, para asegurar las comunicaciones entre servicios web. Los investigadores Juraj Somorovsky y Tibor Jager de la Universidad Ruhr de Bochum en Alemania, idearon un ataque que desencripta datos asegurados con el DES (Data Encryption Standard) o el AES (Advanced Encryption Standard) en modo CBC (cipher block chaining). Los investigadores planean presentar sus hallazgos en mayor detalle en la ACM Conference on Computer and Communications Security a finales de este año.
De acuerdo a Jörg Schwenk, quien enseña ingeniería eléctrica y tecnologías de la información en la universidad, todos los algoritmos de encriptamiento de datos recomendados en el estándar Encriptamiento XML se ven afectados por este ataque, el cual se basa en enviar ciphertexts modificados al servidor y analizar los errores buscando pistas.
La misma técnica fue utilizada por los investigadores de seguridad Juliano Rizzo y Thai Duong en su ataque a un ASP.NET Framework, que les supuso a ellos ganar el premio Pwnie de este año por el mejor bug de servidor. Más recientemente, los investigadores mostraron un ataque separado contra las implementaciones de SSL/TLS (Secure Sockets Layer/Transfer Layer Security) que usan el modo CBC.
Todos estos algoritmos son vulnerables a los ataques ya que usan el modo CBC. Por tanto, las implementaciones del estándar se ven afectadas, sostuvo Schwenk, refiriéndose a las implementaciones del Encriptamiento XML.
Los investigadores de la universidad alemana notificaron a los proveedores afectados a través de la lista de correo del World Wide Web Consortium (W3C), la organización que creó el estándar. El ataque fue exitosamente evaluado en muchas implementaciones utilizadas por compañías que respondieron al reporte de los investigadores.
Microsoft se encuentra al tanto de estas investigaciones que tienen que ver con un tema a nivel de toda la industria, que afecta a ciertas implementaciones del estándar de encriptamiento XML. Nosotros continuamos evaluando nuestros productos para determinar qué aplicaciones, si existe alguna, usan el enfoque de implementación en cuestión, sostuvo un portavoz de la empresa.
El gigante del software aún no tiene ninguna recomendación que hacer. Proporcionaremos una guía concerniente a la implementación XML de Microsoft a los desarrolladores en el momento oportuno, añadió el portavoz.
Los investigadores sostienen que no hay una solución simple para el problema y que se necesita cambiar el estándar. Sin embargo, van a tratar de resumir algunas medidas a tomar en un siguiente paper.
Lucian Constantin, IDG News Service