Současné metody šifrování nejsou bezpečné, tvrdí experti

Šifrovací standard, široce používaný pro komunikaci mezi webovými službami, může být prý snadno zneužit k získání citlivých informací.

Současné metody šifrování nejsou bezpečné, tvrdí experti


Standard XML Encryption používá pro své webové služby řada velkých společností včetně Microsoftu, IBM či Red Hatu. Výzkumníci Juraj Somorovsky a Tibor Jager z Porúrské univerzity Bochum (PUB) nyní vymysleli útok, které dokáže dešifrovat data zabezpečená pomocí standardů DES (Data Encryption Standard) nebo AES (Advanced Encryption Standard) v režimu CBC (cipher block chaining). Svůj objev chtějí podrobněji představit na konferenci ACM CSS ještě v tomto roce.

Podle profesora Jörga Schwenka, který na PUB učí elektrické inženýrství a informační technologie, jsou vůči tomuto útoku, jehož podstata spočívá v posílání modifikovaných šifrovaných dat do serverů a následném analyzování chyb, zranitelná všechna data šifrovaná pomocí algoritmů používaných v XML Encryption.

Stejnou techniku použili jiní dva výzkumníci pro svůj útok na ASP. Net Framework, díky kterému získali v letošním ročníku soutěže Pwnie Awards cenu za nejlepší serverový útok. Ještě dříve se jim podařilo tento typ útoku aplikovat i na implementaci SSL/TLS, která rovněž používá režim CBC. „Všechny tyto algoritmy jsou zranitelné vůči útokům, protože používají CBC mód. Zneužitelné jsou proto všechny implementace standardu,“ říká Schwenk.

Vědci z PUB již kontaktovali všechny postižené výrobce prostřednictvím mailing listu organizace World Wide Web Consortium (W3C), která má standardy na starosti. Útoky byl úspěšně testován na mnoha implementacích. Neexistuje podle nich jednoduchý způsob, jak zranitelnosti opravit. Změnit se prý musí samotné standardy.

Úvodní foto: © Sean Gladwell - Fotolia.com










Komentáře