专家称XML加密标准不安全 可被黑客利用

很多公司使用XML加密来保护web服务间的通信,包括IBM、微软和Red Hat等。来自德国波鸿鲁尔大学的研究人员Juraj Somorovsky和Tibor Jager策划了一次攻击,能够解密受CBC(密码分组链接)模式的DES(数据加密标准)或者AES(高级加密标准)保护的数据。他们计划在今年稍后举行的ACM计算机和通信安全会议上展示更详细的研究结果。

根据该大学电气和信息技术系老师Jörg Schwenk 表示,XML加密标准中建议的所有数据加密算法都受到了这种攻击的影响,该攻击依赖于向服务器发送修改的密文以及分析错误作为线索。

同样的技术也被安全研究人员Juliano Rizzo和Thai Duong用在他们的ASP.NET框架padding oracle attack攻击中,他们因此获得了今年的Pwnie最佳服务器端bug奖。近日,这两名研究人员还演示了针对SSL/TLS(安全套接字层/传输层安全)的单独攻击,这种攻击也利用了CBC模式,与本文提到的类似。

“所有这些算法都容易受到这种攻击,只要它们使用的是CBC模式,所以所有应用了这个标准的加密都会受到影响,”Schwenk表示。

这次攻击成功地对很多XML加密标准应用进行了测试,波鸿鲁尔大学的研究人员通过万维网联盟(W3C)的邮件地址清单通知了受影响的供应商 。

“微软正在研究这种攻击对某些XML加密标准应用的影响,我们将继续对我们的产品进行评估以确定哪些应用程序正在使用这种标准,”一位公司发言人表示。

微软公司目前还没有作出任何建议,“我们将根据微软关于第三方开发人员对XML的应用的建议作出调整,”另一位发言人表示。

研究人员称,目前还没有解决问题的快速办法,这个标准需要进行修改,他们也将努力总结一些相应的对策。