มาตรฐานเข้ารหัสที่ใช้อย่างกว้างขวางไม่ปลอดภัย – นักวิจัยบอก
Lucian Constantin, Computer World, 22 ต.ค. 2554 : ผู้ชม 4647
IDG News Service – ความอ่อนแอในการเข้ารหัส XML สามารถใช้เป็นการถอดรหัสสารสนเทศอ่อนไหว นักวิจัยกล่าว
การเข้ารหัส XML ได้รับการใช้สำหรับความปลอดภัยการสื่อสารระหว่าง Web services กับหลายบริษัท รวมถึง IBM, Microsoft และ Red Hat. Juraj Somorovsky นักวิจัยและ Tibor Jager จาก Ruhr University of Bochum (RUB) ในเยอรมัน การโจมตีประดิษฐ์ที่ถอดรหัสข้อมูลปลอดภัยด้วย DES (Data Encryption Standard) หรือ AES (Advanced Encryption Standard) ในโหมด CBC (cipher block chaining) พวกเขาวางแผนเพื่อนำเสนอการค้นหาของพวกเขาในรายละเอียดมากขึ้นที่ ACM Conference ใน Computer and Communications Security ต่อไปในปีหน้า
ตามรายงานของ Jrg Schwenk ผู้สอนวิศวกรรมไฟฟ้าและเทคโนโลยีสารสนเทศที่ RUB อัลกอริทึมเข้ารหัสข้อมูลทั้งหมดที่แนะนำในมาตรฐานการเข้ารหัส XML ได้รับผลกระทบโดยการโจมตีนี้ ซึ่งขึ้นกับการส่งข่าวสารปรับปรุง ciphertexts ไปยังแม่ข่ายและวิเคราะห์ความผิดพลาดของการบอกใบ้
เทคนิคเดียวกันได้รับการใช้โดยนักวิจัยความปลอดภัย Juliano Rizzo และ Thai Duong ใน ASP.NET Framework ที่เสริมการโจมตีแบบคาดการณ์ ซึ่งพวกเขาได้รับรางวัล Pwnie สำหรับจุดบกพร่อง server-side ดีที่สุด เร็วๆนี้ นักวิจัยกลุ่มนี้สาธิตการโจมตีแยกกันต่อการทำให้บรรลุผล SSL/TLS (Secure Sockets Layer/Transfer Layer Security) ที่ใช้โหมด CBC ที่เหมือนกับเรื่องนี้มาก
“อัลกอริทึมเหล่านี้ทั้งหมดเป็นจุดอ่อนต่อการโจมตีตั้งแต่พวกเขาใช้โหมด CBC ดังนั้น การทำให้สำเร็จทั้งหมดของมาตรฐานนี้ควรได้รับผลกระทบ” Schwenk กล่าว ที่หมายถึงการแนะนำการเข้ารหัส XML
นักวิจัย RUB สังเกตลูกค้าที่ได้รับผลกระทบผ่านรายการเมล์ (mailing list) ของ World Wide Web Consortium (W3C) องค์กรนี้เป็นผู้ร่างมาตรฐาน การโจมตีได้รับการทดสอบสำเร็จต่อหลายการดำเนินงานที่ใช้โดยหลายบริษัทที่ตอบรับรายงานของนักวิจัย
“Microsoft ระวังกับความกังวลของการวิจัยต่อผลกระทบกับการดำเนินงานจริงที่เสนอต่ออุตสาหหกรรมด้านกว้างของมาตรฐานเข้ารหัส XML เราปฏิรูปผลิตภัณฑ์ของเราต่อเนื่องเพื่อหาการประยุกต์ วิธีการดำเนินงานที่มีคำถาม ถ้ามี” โฆษกของบริษัทกล่าว
ยักษ์ใหญ่ซอฟต์แวร์ยังไม่คำแนะนำใดๆที่จะทำ “เราจะให้คำแนะนำถึงความกังวลกับการดำเนินงาน XML ของ Microsoft กับผู้พัฒนาภายนอกที่เหมาะสม” โฆษกเพิ่มเติม
นักวิจัยอ้างว่าไม่มีการแก้ไขอย่างง่ายและมาตรฐานจำเป็นต้องเปลี่ยน อย่างไรก็ตาม พวกเขาจะพยายามสรุปบางมาตรฐานแก้ไขในเอกสารในโอกาสต่อไป
|
|
|
