Crittografia XML poco sicura

di Fabio Boneschi, pubblicata il 25 Ottobre 2011, alle 10:22 nel canale Sicurezza

“Due ricercatori tedeschi hanno evidenziato un problema di sicurezza nei metodi crittografici utilizzati per la protezione dell' XML”

È stato scoperto un problema di sicurezza nel sistema utilizzato per la crittografia dei dati in formato XML; la scoperta è stata fatta da Juraj Somorovsky e Tibor Jager, ricercatori presso la Ruhr University di Bochum.

L'XML (eXtensible Markup Language) è oggi ampiamente diffuso e viene utilizzato per lo scambio di dati in un modo indipendente dalla piattaforma utilizzata e nel caso di dati sensibili viene utilizzato un metodo crittografico ben definito dal W3C, ma proprio qui pare essere il problema.

Juraj Somorovsky e Tibor Jager hanno inviato del codice crittografato contenente errori ad alcuni server che utilizzano gli standard previsti dal W3C e hanno quindi ricevuto dei messaggi di errore. Utilizzando le informazioni contenute in questi messaggi di errore sarebbe poi stato possibile decriptare i dati. Questo metodo è stato provato interrogando i server di varie organizzazioni pubbliche e private e in tutti i casi il verdetto dei ricercatori è stato il medesimo: la crittografia prevista dal W3C per l'XML non è sicura.

Questi sono i pochi dettagli diffusi dall'università tedesca con un comunicato che termina lasciando ben poche speranze alla rapida risoluzione: „There is no simple patch for this problem”. L'argomento verrà certo affrontato da tutte le aziende coinvolte e già nei prossimi giorni potrebbero esserci delle novità.



Commenti (4)

Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.
Commento # 1 di: supermario pubblicato il 25 Ottobre 2011, 11:16
cavolo... brutta cosa!
Commento # 2 di: !fazz pubblicato il 25 Ottobre 2011, 12:44
non è un problema di algoritmo di cifratura (xml-enc supporta anche aes 128 e 256 bit) così a spanne pare che sia un problema sulla generazione della chiave, brutta storia comunque
Commento # 3 di: Drizzt pubblicato il 25 Ottobre 2011, 22:47
Mah...letta cosi', a me pare un classico.
Invio un "pacchetto" sapendo che e' errato e sapendo quale "messaggio di errore" e' previsto dal protocollo.
Il server genera il pacchetto di risposta, lo cripta (con la stessa chiave utilizzata per i dati, ovviamente), e siccome so cosa ci deve essere dentro al pacchetto posso risalire alla chiave di cifratura.
Commento # 4 di: floc pubblicato il 26 Ottobre 2011, 14:53
e questo problema e' risolto normalmente dalla cifratura asimmetrica
Devi effettuare il login per poter commentare
La discussione è consultabile anche qui, sul forum.