IT News

เข้าสู่ระบบ

มาตรฐานเข้ารหัสที่ใช้อย่างกว้างขวางไม่ปลอดภัย – นักวิจัยบอก

Lucian Constantin, Computer World, 22 ต.ค. 2554 : ผู้ชม 3019

IDG News Service – ความอ่อนแอในการเข้ารหัส XML สามารถใช้เป็นการถอดรหัสสารสนเทศอ่อนไหว นักวิจัยกล่าว

การเข้ารหัส XML ได้รับการใช้สำหรับความปลอดภัยการสื่อสารระหว่าง Web services กับหลายบริษัท รวมถึง IBM, Microsoft และ Red Hat. Juraj Somorovsky นักวิจัยและ Tibor Jager จาก Ruhr University of Bochum (RUB) ในเยอรมัน การโจมตีประดิษฐ์ที่ถอดรหัสข้อมูลปลอดภัยด้วย DES (Data Encryption Standard) หรือ AES (Advanced Encryption Standard) ในโหมด CBC (cipher block chaining) พวกเขาวางแผนเพื่อนำเสนอการค้นหาของพวกเขาในรายละเอียดมากขึ้นที่ ACM Conference ใน Computer and Communications Security ต่อไปในปีหน้า

ตามรายงานของ Jrg Schwenk ผู้สอนวิศวกรรมไฟฟ้าและเทคโนโลยีสารสนเทศที่ RUB อัลกอริทึมเข้ารหัสข้อมูลทั้งหมดที่แนะนำในมาตรฐานการเข้ารหัส XML ได้รับผลกระทบโดยการโจมตีนี้ ซึ่งขึ้นกับการส่งข่าวสารปรับปรุง ciphertexts ไปยังแม่ข่ายและวิเคราะห์ความผิดพลาดของการบอกใบ้

เทคนิคเดียวกันได้รับการใช้โดยนักวิจัยความปลอดภัย Juliano Rizzo และ Thai Duong ใน ASP.NET Framework ที่เสริมการโจมตีแบบคาดการณ์ ซึ่งพวกเขาได้รับรางวัล Pwnie สำหรับจุดบกพร่อง server-side ดีที่สุด เร็วๆนี้ นักวิจัยกลุ่มนี้สาธิตการโจมตีแยกกันต่อการทำให้บรรลุผล SSL/TLS (Secure Sockets Layer/Transfer Layer Security) ที่ใช้โหมด CBC ที่เหมือนกับเรื่องนี้มาก

“อัลกอริทึมเหล่านี้ทั้งหมดเป็นจุดอ่อนต่อการโจมตีตั้งแต่พวกเขาใช้โหมด CBC ดังนั้น การทำให้สำเร็จทั้งหมดของมาตรฐานนี้ควรได้รับผลกระทบ” Schwenk กล่าว ที่หมายถึงการแนะนำการเข้ารหัส XML

นักวิจัย RUB สังเกตลูกค้าที่ได้รับผลกระทบผ่านรายการเมล์ (mailing list) ของ World Wide Web Consortium (W3C) องค์กรนี้เป็นผู้ร่างมาตรฐาน การโจมตีได้รับการทดสอบสำเร็จต่อหลายการดำเนินงานที่ใช้โดยหลายบริษัทที่ตอบรับรายงานของนักวิจัย

“Microsoft ระวังกับความกังวลของการวิจัยต่อผลกระทบกับการดำเนินงานจริงที่เสนอต่ออุตสาหหกรรมด้านกว้างของมาตรฐานเข้ารหัส XML เราปฏิรูปผลิตภัณฑ์ของเราต่อเนื่องเพื่อหาการประยุกต์ วิธีการดำเนินงานที่มีคำถาม ถ้ามี” โฆษกของบริษัทกล่าว

ยักษ์ใหญ่ซอฟต์แวร์ยังไม่คำแนะนำใดๆที่จะทำ “เราจะให้คำแนะนำถึงความกังวลกับการดำเนินงาน XML ของ Microsoft กับผู้พัฒนาภายนอกที่เหมาะสม” โฆษกเพิ่มเติม

นักวิจัยอ้างว่าไม่มีการแก้ไขอย่างง่ายและมาตรฐานจำเป็นต้องเปลี่ยน อย่างไรก็ตาม พวกเขาจะพยายามสรุปบางมาตรฐานแก้ไขในเอกสารในโอกาสต่อไป

IT A - Z
> zero-day exploit
> iPhone
> Amazon Elastic Compute Cloud (Amazon EC2)
> 4G (fourth-generation wireless)
> Web 2.0
> smartphone
> SAP
> RFID
> Zachman framework
> public cloud
IT News
> พบมัลแวร์ชนิดใหม่ซ่อนอยู่ใน Google Play Store
> Bitcoin จะเป็นสกุลเงินเดียวของโลกในที่สุด ซีอีโอ Twitter บอก
> Google กำลังซื้อ Lytro สตาร์ทอัพกล้อง light-field
> Trump สั่งห้ามซื้อคริปโตเคอร์เรนซี่แห่งชาติใหม่ของเวเนซุเอลา
> YouTube จะเพิ่มเกร็ดข้อมูล Wikipedia ในวิดีโอสมรู้ร่วมคิด
> รายได้ของ Lyft เติบโตมากกว่า Uber เกือบสามเท่า
> British Airways ขยายการทดลองประตูไบโอเมตริกซ์ผ่านขึ้นเครื่อง
> ยุโรปกำลังมี Wi-Fi ฟรีในพื้นที่สาธารณะ ก้าวเล็ก ๆ ที่เตรียมเดินหน้าสู่ 5 G
> ก.ล.ต. สหรัฐ กำลังปราบปราม “การเสนอขาย” คริปโตเคอร์เรนซี่
> ภาพรั่วแสดงสมาร์ทวอทช์ “ดึงคูดใจมวลชน” รุ่นต่อไปของ Fitbit

Loading
Microsoft Access
Access
ไชยวัฒน์ ตระการรัตน์สันติ สั่งซื้อผ่าน PayPal ในราคา 280 บาท
อุ้มผาง เบื้องหลังธรรมชาติ
Umphang
รู้จักอุ้มผางในอีกแง่มุม โดย ประชา แม่จัน
สั่งซื้อผ่าน PayPal ในราคา 90 บาท
สงวนลิขสิทธิ์ (C) widebase