• Tweet

Un equipo de científicos alemanes logró traspasar los componentes de un sistema de cifrado que se utiliza para el intercambio seguro de datos entre el comercio electrónico y los sistemas bancarios.

Chicos talento de la Universidad Ruhr de Bochum (RUB) han ideado una técnica basada, en parte, sobre el análisis de mensajes de error devueltos cuando el texto cifrado cuidadosamente modificado se envía a un servicio web. Al analizar los resultados de una secuencia de mensajes de error, es posible descifrar los elementos de datos basados en XML, informa The H Security.

La especificación oficial de la W3C para el cifrado XML, está diseñada para permitir la transmisión segura de información entre los diferentes comercios electronicos y los sistemas financieros. El ataque se limita a que AES se utiliza para el cifrado en el encadenamiento de unidades de cifrado por bloques (CBC), otras técnicas, como el uso de una clave RSA y certificados X.509, no son susceptibles.

Los cripto-genios argumentan que su investigación demuestra que el estándar es inseguro y necesita ser actualizado. Los investigadores, Juraj Somorovsky y Jager Tibor, tienen planes de presentar sus investigaciones en la ACM Conference on Computer and Communications Security (ACM CCS 2011) en Chicago.

IBM, Microsoft y Red Hat Linux usan la tecnología para varios servicios de aplicaciones web. Cada uno ha sido notificado por el equipo RUB sobre sus hallazgos.