חוקרים: תקן ההצפנה באמצעות קידוד XML אינו בטוח
"אין תיקון קל לבעיה הזו", קובעים החוקרים הגרמנים, שגילו שהשימוש בשליחת קוד מוצפן במצב CBC שעבר שינוי, גרם לכך שהשרת החזיר מידע שמאפשר פריצה אליו
תקן ההצפנה באמצעות קידוד XML כפי שנקבע על ידי איחוד ה-World Wide Web, שידוע בכינוי W3C, אינו בטוח לשימוש – כך על פי חוקרים מאוניברסיטת רוהר בבוכום שבגרמניה.
החוקרים, יוראי סומורובסקי וטיבור ג'אגר, גילו שהשימוש בשליחת קוד מוצפן במצב CBC שעבר שינוי, גרם לכך שהשרת החזיר מידע שמאפשר פריצה אליו. זאת, במסגרת קוד השגיאה שהוציאה המערכת בגין הקוד המוצפן והלא מוכר. החוקרים בדקו את צורת ההתקפה הזו מול התקנות של יישומי קוד חופשי שפועלים תחת ההגנה של הצפנת ה-XML, כמו גם כנגד שרתים של חברות גדולות שמפעילות יישומים קניינים. לטענתם, בכל המקרים התוצאה הייתה זהה, והמסקנה ברורה: השימוש בהצפנת ה-XML אינה בטוח.
"אין תיקון קל לבעיה הזו", ציין סומורובסקי. "מכיוון שכך, אנחנו מציעים לשנות את התקן מוקדם ככל האפשר". החוקרים אף מסרו שהם העבירו את תוצאות המחקר שלהם לכל החברות המושפעות מהן, על ידי שימוש ברשימת הדיוור של W3C.
תגובות
(0)