Verschlüsselung für Polizei- und Militärfunkgeräte kann leicht geknackt werden

Vor zwei Jahren entdeckten Forscher in den Niederlanden eine absichtlich eingebaute Hintertür in einem Verschlüsselungsalgorithmus, der in Funkgeräte integriert war, die von kritischer Infrastruktur – sowie von Polizei, Geheimdiensten und Streitkräften auf der ganzen Welt – verwendet wurden. Dadurch war jede mit dem Algorithmus gesicherte Kommunikation anfällig für Abhören.

Als die Forscher das Problem im Jahr 2023 öffentlich machten, riet das Europäische Institut für Telekommunikationsnormen (ETSI), das den Algorithmus entwickelt hatte, jedem, der ihn für vertrauliche Kommunikation nutzte, zusätzlich zum fehlerhaften Algorithmus eine End-to-End-Verschlüsselungslösung einzusetzen, um die Sicherheit seiner Kommunikation zu erhöhen.

Dieselben Forscher haben nun jedoch herausgefunden, dass mindestens eine Implementierung der vom ETSI empfohlenen Ende-zu-Ende-Verschlüsselung ein ähnliches Problem aufweist und damit ebenso anfällig für Abhörmaßnahmen ist. Der für das untersuchte Gerät verwendete Verschlüsselungsalgorithmus beginnt mit einem 128-Bit-Schlüssel, der jedoch vor der Verschlüsselung des Datenverkehrs auf 56 Bit komprimiert wird und dadurch leichter zu knacken ist. Es ist unklar, wer diese Implementierung des Ende-zu-Ende-Verschlüsselungsalgorithmus verwendet und ob sich die Nutzer von Geräten mit Ende-zu-Ende-Verschlüsselung der Sicherheitslücke bewusst sind.

Die von den Forschern untersuchte Ende-zu-Ende-Verschlüsselung ist teuer in der Anwendung und wird am häufigsten in Funkgeräten von Strafverfolgungsbehörden, Spezialeinheiten sowie verdeckten Militär- und Geheimdienstteams eingesetzt, die für die nationale Sicherheit zuständig sind und daher eine zusätzliche Sicherheitsebene benötigen. Die Zulassung des Algorithmus durch ETSI vor zwei Jahren zur Behebung von Schwachstellen im Verschlüsselungsalgorithmus auf niedrigerer Ebene deutet jedoch darauf hin, dass er heute möglicherweise häufiger zum Einsatz kommt als damals.

Im Jahr 2023 entdeckten Carlo Meijer, Wouter Bokslag und Jos Wetzels vom niederländischen Sicherheitsunternehmen Midnight Blue Schwachstellen in Verschlüsselungsalgorithmen des europäischen Funkstandards TETRA (Terrestrial Trunked Radio) des ETSI, der seit den 1990er Jahren in Funksystemen von Motorola, Damm, Sepura und anderen Herstellern verbaut ist. Die Schwachstellen blieben bis zu ihrer Bekanntgabe der Öffentlichkeit unbekannt, da das ETSI jahrzehntelang die Einsicht in die proprietären Algorithmen verweigerte. Die Ende-zu-Ende-Verschlüsselung, die die Forscher kürzlich untersuchten, ist so konzipiert, dass sie auf den TETRA-Verschlüsselungsalgorithmen läuft.

Die Forscher entdeckten das Problem mit der Ende-zu-Ende-Verschlüsselung (E2EE) erst, nachdem sie den in einem Radio von Sepura verwendeten E2EE-Algorithmus extrahiert und zurückentwickelt hatten. Die Forscher wollen ihre Ergebnisse heute auf der Sicherheitskonferenz BlackHat in Las Vegas vorstellen.

Als ETSI zu diesem Thema kontaktiert wurde, erklärte das Unternehmen, dass die bei TETRA-basierten Funkgeräten verwendete Ende-zu-Ende-Verschlüsselung weder Teil des ETSI-Standards sei noch von der Organisation entwickelt worden sei. Sie wurde vielmehr von der Sicherheits- und Betrugspräventionsgruppe (SFPG) der Critical Communications Association (TCCA) entwickelt. ETSI und TCCA arbeiten jedoch eng zusammen, und viele der Mitarbeiter beider Organisationen sind identisch. Brian Murgatroyd, ehemaliger Vorsitzender des technischen Gremiums bei ETSI, das für den TETRA-Standard verantwortlich war, sowie der TCCA-Gruppe, die die E2EE-Lösung entwickelte, schrieb in einer E-Mail im Namen von ETSI und TCCA, dass die Ende-zu-Ende-Verschlüsselung nicht im ETSI-Standard enthalten sei, „weil man damals davon ausging, dass E2EE nur von Regierungsgruppen verwendet würde, wenn es um nationale Sicherheitsbelange ginge, und diese Gruppen oft besondere Sicherheitsbedürfnisse hätten.“

Aus diesem Grund merkte Murgatroyd an, dass es Käufern von TETRA-basierten Funkgeräten freisteht, andere Lösungen für die Ende-zu-Ende-Verschlüsselung auf ihren Funkgeräten einzusetzen. Er räumt jedoch ein, dass die von der TCCA entwickelte und von ETSI empfohlene Lösung „soweit wir wissen, weit verbreitet ist“.

Obwohl TETRA-basierte Funkgeräte in den USA nicht von Polizei und Militär eingesetzt werden, sind sie bei der Mehrheit der Polizeikräfte weltweit im Einsatz. Dazu gehören Polizeikräfte in Belgien und den skandinavischen Ländern sowie in osteuropäischen Ländern wie Serbien, Moldawien, Bulgarien und Mazedonien und im Nahen Osten im Iran, Irak, Libanon und Syrien. Auch die Verteidigungsministerien in Bulgarien, Kasachstan und Syrien nutzen sie, ebenso wie der polnische militärische Spionageabwehrdienst, die finnischen Streitkräfte sowie die Geheimdienste des Libanon und Saudi-Arabiens. Es ist jedoch unklar, wie viele dieser Polizeikräfte ihre Funkgeräte auch mit Ende-zu-Ende-Entschlüsselung ausstatten.

Der TETRA-Standard umfasst vier Verschlüsselungsalgorithmen – TEA1, TEA2, TEA3 und TEA4 – die von Funkgeräteherstellern je nach beabsichtigtem Kunden und Verwendungszweck in unterschiedlichen Produkten verwendet werden können. Die Algorithmen verfügen über unterschiedliche Sicherheitsstufen, je nachdem, ob die Funkgeräte innerhalb oder außerhalb Europas verkauft werden. TEA2 beispielsweise ist auf die Verwendung in Funkgeräten beschränkt, die von Polizei, Rettungsdiensten, Militär und Geheimdiensten in Europa eingesetzt werden. TEA3 ist für Funkgeräte von Polizei und Rettungsdiensten außerhalb Europas verfügbar, aber nur in Ländern, die als „freundlich“ zur EU gelten. Nur TEA1 ist für Funkgeräte verfügbar, die von Behörden für öffentliche Sicherheit, Polizei und Militär in Ländern eingesetzt werden, die als nicht freundlich gegenüber Europa gelten, wie beispielsweise dem Iran. Aber es wird auch in kritischer Infrastruktur in den USA und anderen Ländern für die Maschine-zu-Maschine-Kommunikation in industriellen Steuerungsumgebungen wie Pipelines, Eisenbahnen und Stromnetzen verwendet.

Alle vier TETRA-Verschlüsselungsalgorithmen verwenden 80-Bit-Schlüssel zur Sicherung der Kommunikation. Die niederländischen Forscher enthüllten jedoch 2023, dass TEA1 über eine Funktion verfügt, die den Schlüssel auf nur 32 Bit reduziert, sodass die Forscher ihn in weniger als einer Minute knacken konnten.

Im Fall von E2EE stellten die Forscher fest, dass die von ihnen untersuchte Implementierung mit einem Schlüssel beginnt, der sicherer ist als die in den TETRA-Algorithmen verwendeten, aber auf 56 Bit reduziert wird, was es potenziell ermöglichen würde, Sprach- und Datenkommunikation zu entschlüsseln. Sie entdeckten außerdem eine zweite Schwachstelle, die es ermöglichen könnte, betrügerische Nachrichten zu versenden oder legitime Nachrichten wiederzugeben, um Fehlinformationen oder Verwirrung unter den Funkgeräten zu verbreiten.

Die Möglichkeit, Sprachverkehr einzuschleusen und Nachrichten wiederzugeben, betrifft laut den Forschern alle Nutzer des TCCA-End-to-End-Verschlüsselungssystems. Sie führen dies auf Fehler im TCCA-E2EE-Protokolldesign und nicht auf eine bestimmte Implementierung zurück. Sie geben außerdem an, dass Endnutzer aus der Strafverfolgung ihnen bestätigt hätten, dass dieser Fehler auch bei Funkgeräten anderer Hersteller als Sepura auftritt.

Die Forscher gehen jedoch davon aus, dass wahrscheinlich nur eine Untergruppe der End-to-End-Verschlüsselungsnutzer von der Sicherheitslücke im reduzierten Schlüssel betroffen ist, da dies davon abhängt, wie die Verschlüsselung in den in die verschiedenen Länder verkauften Radios implementiert wurde.

Murgatroyd vom ETSI erklärte im Jahr 2023 , der TEA1-Schlüssel sei reduziert worden, um die Exportkontrollen für Verschlüsselungen zu erfüllen, die an Kunden außerhalb Europas verkauft werden. Als der Algorithmus entwickelt wurde, galt ein Schlüssel mit 32 Bit Entropie für die meisten Anwendungen als sicher. Fortschritte in der Rechenleistung machen ihn heute weniger sicher. Als die niederländischen Forscher vor zwei Jahren den reduzierten Schlüssel enthüllten, empfahl das ETSI Kunden, die TEA1 verwenden, zusätzlich die End-to-End-Verschlüsselungslösung von TCCA einzusetzen.

Murgatroyd erklärte jedoch, der von TCCA entwickelte Ende-zu-Ende-Verschlüsselungsalgorithmus sei anders. Er lege keine Schlüssellänge für die Funkgeräte fest, da Regierungen, die Ende-zu-Ende-Verschlüsselung nutzen, eigene „spezifische und oft proprietäre Sicherheitsregeln“ für die von ihnen genutzten Geräte hätten. Daher könnten sie den TCCA-Verschlüsselungsalgorithmus in ihren Geräten anpassen, indem sie mit ihrem Funkgerätelieferanten den für sie passenden „Verschlüsselungsalgorithmus, die Schlüsselverwaltung usw.“ auswählen – allerdings nur bis zu einem gewissen Grad.

„Die Wahl des Verschlüsselungsalgorithmus und des Schlüssels wird zwischen Lieferant und Kunde getroffen. ETSI hat keinen Einfluss auf diese Auswahl und weiß auch nicht, welche Algorithmen und Schlüssellängen in einem System verwendet werden“, sagte er. Er fügte jedoch hinzu, dass sich Funkgerätehersteller und -kunden „immer an die Exportkontrollbestimmungen halten müssen“.

Die Forscher können nicht bestätigen, dass TCCA E2EE keine Schlüssellänge vorgibt, da die TCCA-Dokumentation, die die Lösung beschreibt, durch eine Geheimhaltungsvereinbarung geschützt und nur Funkgeräteherstellern zur Verfügung gestellt wird. Sie weisen jedoch darauf hin, dass das E2EE-System eine Algorithmus-Identifikationsnummer ausgibt, also den spezifischen Algorithmus, den es für die Ende-zu-Ende-Verschlüsselung verwendet. Diese Identifikatoren sind nicht herstellerspezifisch, so die Forscher. Das deutet darauf hin, dass sich die Identifikatoren auf verschiedene von TCCA erstellte Schlüsselvarianten beziehen. Das bedeutet, dass TCCA Spezifikationen für Algorithmen bereitstellt, die einen 126-Bit- oder einen 56-Bit-Schlüssel verwenden, und Funkgerätehersteller ihre Geräte je nach den im Käuferland geltenden Exportkontrollen so konfigurieren können, dass sie eine dieser Varianten verwenden.

Ob die Nutzer wissen, dass ihre Funkgeräte diese Sicherheitslücke aufweisen könnten, ist unklar. Die Forscher stießen auf ein vertrauliches Produktbulletin von Sepura aus dem Jahr 2006, das online geleakt wurde . Darin heißt es, dass „die Länge des Verkehrsschlüssels … Exportkontrollbestimmungen unterliegt und das [Verschlüsselungssystem im Gerät] daher werkseitig so konfiguriert ist, dass es Schlüssellängen von 128, 64 oder 56 Bit unterstützt“. Es ist jedoch unklar, was Sepura-Kunden erhalten oder ob andere Hersteller, deren Funkgeräte einen reduzierten Schlüssel verwenden, ihre Kunden darüber informieren, ob ihre Funkgeräte einen reduzierten Schlüsselalgorithmus verwenden.

„Manche Hersteller erwähnen dies in Broschüren, andere nur in der internen Kommunikation und wieder andere gar nicht“, sagt Wetzels. Er sagt, sie hätten umfangreiche Open-Source-Recherchen durchgeführt, um die Dokumentation der Anbieter zu prüfen, und „keine klaren Anzeichen dafür gefunden, dass den Endnutzern eine Schwächung mitgeteilt wurde. Es gibt zwar ‚einige‘ Hinweise auf eine Schwächung des Algorithmus, aber diese ist keineswegs vollständig transparent.“

Sepura antwortete nicht auf eine Anfrage von WIRED.

Murgatroyd sagt jedoch, dass Regierungskunden, die sich für die E2EE-Lösung von TCCA entschieden haben, die Sicherheit ihrer Geräte kennen müssen und daher wahrscheinlich wissen, ob ihre Systeme einen reduzierten Schlüssel verwenden.

„Da Ende-zu-Ende-Verschlüsselung vor allem für die Regierungskommunikation verwendet wird, erwarten wir, dass die zuständigen nationalen Sicherheitsbehörden der Regierung sich der Möglichkeiten ihrer Ende-zu-Ende-Verschlüsselungssysteme voll bewusst sind und ihre Benutzer entsprechend beraten können“, schrieb Murgatroyd in seiner E-Mail.

Wetzels ist diesbezüglich allerdings skeptisch. „Wir halten es für höchst unwahrscheinlich, dass nicht-westliche Regierungen bereit sind, buchstäblich Millionen von Dollar auszugeben, wenn sie wissen, dass sie dafür nur 56 Bit Sicherheit erhalten“, sagt er.