很多公司使用XML加密來保護(hù)web服務(wù)間的通信，包括IBM、微軟和RedHat等。來自德國波鴻魯爾大學(xué)的研究人員JurajSomorovsky和TiborJager策劃了一次攻擊，能夠解密受CBC(密碼分組鏈接)模式的DES(數(shù)據(jù)加密標(biāo)準(zhǔn))或者AES(高級加密標(biāo)準(zhǔn))保護(hù)的數(shù)據(jù)。他們計劃在今年稍后舉行的ACM計算機(jī)和通信安全會議上展示更詳細(xì)的研究結(jié)果。

根據(jù)該大學(xué)電氣和信息技術(shù)系老師J rgSchwenk表示，XML加密標(biāo)準(zhǔn)中建議的所有數(shù)據(jù)加密算法都受到了這種攻擊的影響，該攻擊依賴于向服務(wù)器發(fā)送修改的密文以及分析錯誤作為線索。

同樣的技術(shù)也被安全研究人員JulianoRizzo和ThaiDuong用在他們的ASP.NET框架paddingoracleattack攻擊中，他們因此獲得了今年的Pwnie最佳服務(wù)器端bug獎。近日，這兩名研究人員還演示了針對SSL/TLS(安全套接字層/傳輸層安全)的單獨攻擊，這種攻擊也利用了CBC模式，與本文提到的類似。

“所有這些算法都容易受到這種攻擊，只要它們使用的是CBC模式，所以所有應(yīng)用了這個標(biāo)準(zhǔn)的加密都會受到影響，”Schwenk表示。

這次攻擊成功地對很多XML加密標(biāo)準(zhǔn)應(yīng)用進(jìn)行了測試，波鴻魯爾大學(xué)的研究人員通過萬維網(wǎng)聯(lián)盟(W3C)的郵件地址清單通知了受影響的供應(yīng)商。

“微軟正在研究這種攻擊對某些XML加密標(biāo)準(zhǔn)應(yīng)用的影響，我們將繼續(xù)對我們的產(chǎn)品進(jìn)行評估以確定哪些應(yīng)用程序正在使用這種標(biāo)準(zhǔn)，”一位公司發(fā)言人表示。

微軟公司目前還沒有作出任何建議，“我們將根據(jù)微軟關(guān)于第三方開發(fā)人員對XML的應(yīng)用的建議作出調(diào)整，”另一位發(fā)言人表示。

研究人員稱，目前還沒有解決問題的快速辦法，這個標(biāo)準(zhǔn)需要進(jìn)行修改，他們也將努力總結(jié)一些相應(yīng)的對策。