Crittografia XML poco sicura

Crittografia XML poco sicura

Due ricercatori tedeschi hanno evidenziato un problema di sicurezza nei metodi crittografici utilizzati per la protezione dell' XML

di pubblicata il , alle 10:22 nel canale Sicurezza
 

È stato scoperto un problema di sicurezza nel sistema utilizzato per la crittografia dei dati in formato XML; la scoperta è stata fatta da Juraj Somorovsky e Tibor Jager, ricercatori presso la Ruhr University di Bochum.

L'XML (eXtensible Markup Language) è oggi ampiamente diffuso e viene utilizzato per lo scambio di dati in un modo indipendente dalla piattaforma utilizzata e nel caso di dati sensibili viene utilizzato un metodo crittografico ben definito dal W3C, ma proprio qui pare essere il problema.

Juraj Somorovsky e Tibor Jager hanno inviato del codice crittografato contenente errori ad alcuni server che utilizzano gli standard previsti dal W3C e hanno quindi ricevuto dei messaggi di errore. Utilizzando le informazioni contenute in questi messaggi di errore sarebbe poi stato possibile decriptare i dati. Questo metodo è stato provato interrogando i server di varie organizzazioni pubbliche e private e in tutti i casi il verdetto dei ricercatori è stato il medesimo: la crittografia prevista dal W3C per l'XML non è sicura.

Questi sono i pochi dettagli diffusi dall'università tedesca con un comunicato che termina lasciando ben poche speranze alla rapida risoluzione: „There is no simple patch for this problem”. L'argomento verrà certo affrontato da tutte le aziende coinvolte e già nei prossimi giorni potrebbero esserci delle novità.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supermario25 Ottobre 2011, 11:16 #1
cavolo... brutta cosa!
!fazz25 Ottobre 2011, 12:44 #2
non è un problema di algoritmo di cifratura (xml-enc supporta anche aes 128 e 256 bit) così a spanne pare che sia un problema sulla generazione della chiave, brutta storia comunque
Drizzt25 Ottobre 2011, 22:47 #3
Mah...letta cosi', a me pare un classico.
Invio un "pacchetto" sapendo che e' errato e sapendo quale "messaggio di errore" e' previsto dal protocollo.
Il server genera il pacchetto di risposta, lo cripta (con la stessa chiave utilizzata per i dati, ovviamente), e siccome so cosa ci deve essere dentro al pacchetto posso risalire alla chiave di cifratura.
floc26 Ottobre 2011, 14:53 #4
e questo problema e' risolto normalmente dalla cifratura asimmetrica

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^