Rompen el Cifrado XML, necesaria revisión urgente del estándar W3C

Rompen el Cifrado XML, necesaria revisión urgente del estándar W3C
22 de octubre, 2011

encryptionLos estándares están en el mercado para garantizar seguridad y compatibilidad, sobre todo en el terreno on-line. World Wide Web Consortium (W3C) es la principal fuerza detrás de estándares como HTML, XML y XML Encyption. Sin embargo implementar un estándar W3C no implica que sea un sistema seguro.

Unos investigadores de Bochum han confirmado mediante una demostración que la red y los datos transmitidos vía XML Encryption son vulnerables. XML (eXtensible Markup Language) es un estándar de industria independiente para intercambio de datos. Compañías como IBM, Microsoft y RedHat Linux usan el estándar XML para integrar proyectos Webservice para clientes a gran escala.

XML Encryption fue desarrollado para proteger la confidencialidad de los datos intercambiados, razón de más para echar un vistazo a su seguridad.

Juraj Somorovsky y Tibor Jager han explotado una debilidad en el modo CBC para encadenar distintos bloques de texto cifrado. En palabras de ellos:

Fuimos capaces de descifrar datos enviando textos cifrados para el servidor, consiguiendo información de los mensajes de error recibidos“.

El ataque fue probado contra implementaciones populares de XML Encryption y contra implementaciones de compañías que respondieron al anuncio del fallo. En todos los casos el resultado fue el mismo, el ataque funcionó. XML Encryption no es seguro.

Los detalles del ataque se revelarán en ACM Conference on Computer and Communications Security.

  • Share This