El estándar XML Encryption es vulnerable
Según algunas investigaciones, una vulnerabilidad en el ampliamente utilizado estándar de encriptación XML Encryption puede ser explotada para desencriptar información sensible.
Investigadores de la universidad Ruhr de Bochum (Alemania) aseguran haber diseñado un ataque contra una vulnerabilidad del estándar XML Encryption, utilizado por muchas compañías, incluidas IBM, Microsoft y Red Hat, para proteger las comunicaciones entre servicios web. El nuevo ataque permite desencriptar los datos codificados con DES (Data Encryption Standard) o AES (Advanced Encryption Standar) en modo CBC (Cipher Block Chaining).
Jrg Schwenk, profesor de Ingeniería Eléctrica y Tecnología de la Información de la universidad alemana, todos los algoritmos de encriptación de datos recomendados en XML Encryption son vulnerables al ataque, que se basa en enviar textos cifrados modificados al servidor y analizar los errores en busca de claves. Es más, según Schwenk, cualquier algoritmo que utilice el modo CBC resulta vulnerable.
Juraj Somorovsky y Tibor Jager, los dos investigadores que han desarrollado la técnica de ataque a XML Encryption, han informado de su hallazgo a los suministradores afectados a través de la lista de mailing de Word Wide Consortium (W3C), la organización que elaboró los borradores del estándar.
