Szyfrowanie przeznaczone dla radiotelefonów policyjnych i wojskowych może być łatwe do złamania

Dwa lata temu naukowcy w Holandii odkryli celowo wbudowaną furtkę w algorytm szyfrowania wbudowany w radia wykorzystywane przez krytyczną infrastrukturę, a także policję, agencje wywiadowcze i siły zbrojne na całym świecie. W efekcie każda komunikacja zabezpieczona tym algorytmem była podatna na podsłuch.

Gdy w 2023 r. badacze publicznie ujawnili problem, Europejski Instytut Norm Telekomunikacyjnych (ETSI), który opracował algorytm, zalecił każdemu, kto używa go do komunikacji poufnej, wdrożenie kompleksowego rozwiązania szyfrującego w celu wzmocnienia bezpieczeństwa komunikacji.

Jednak teraz ci sami badacze odkryli, że co najmniej jedna implementacja kompleksowego rozwiązania szyfrowania, zatwierdzona przez ETSI, ma podobny problem, który czyni ją równie podatną na podsłuch. Algorytm szyfrowania używany w badanym urządzeniu zaczyna się od 128-bitowego klucza, który jest jednak kompresowany do 56 bitów przed zaszyfrowaniem ruchu, co ułatwia jego złamanie. Nie jest jasne, kto korzysta z tej implementacji kompleksowego algorytmu szyfrowania, ani czy ktokolwiek korzystający z urządzeń z kompleksowym szyfrowaniem zdaje sobie sprawę z luki w zabezpieczeniach.

Kompleksowe szyfrowanie, które badali naukowcy, a którego wdrożenie jest kosztowne, jest najczęściej stosowane w radiotelefonach organów ścigania, sił specjalnych oraz tajnych jednostek wojskowych i wywiadowczych, zaangażowanych w działania na rzecz bezpieczeństwa narodowego, a zatem wymagających dodatkowej warstwy zabezpieczeń. Jednak zatwierdzenie tego algorytmu przez ETSI dwa lata temu w celu wyeliminowania błędów wykrytych w algorytmie szyfrowania niższego poziomu sugeruje, że może być on obecnie szerzej stosowany niż wówczas.

W 2023 roku Carlo Meijer, Wouter Bokslag i Jos Wetzels z holenderskiej firmy ochroniarskiej Midnight Blue odkryli luki w zabezpieczeniach algorytmów szyfrujących, które są częścią europejskiego standardu radiowego stworzonego przez ETSI o nazwie TETRA (Terrestrial Trunked Radio), wbudowanego w systemy radiowe firm Motorola, Damm, Sepura i innych od lat 90. Luki pozostawały nieznane opinii publicznej aż do ich ujawnienia, ponieważ ETSI przez dekady odmawiało komukolwiek dostępu do zastrzeżonych algorytmów. Szyfrowanie kompleksowe, które niedawno zbadali naukowcy, zostało zaprojektowane tak, aby działać na bazie algorytmów szyfrujących TETRA.

Naukowcy odkryli problem z szyfrowaniem typu end-to-end (E2EE) dopiero po wyodrębnieniu i przeprowadzeniu inżynierii wstecznej algorytmu E2EE zastosowanego w radiu firmy Sepura. Naukowcy planują zaprezentować swoje odkrycia dzisiaj na konferencji BlackHat Security w Las Vegas.

ETSI, po skontaktowaniu się w tej sprawie, zauważyło, że szyfrowanie typu end-to-end stosowane w radiach opartych na TETRA nie jest częścią standardu ETSI ani nie zostało stworzone przez tę organizację. Zamiast tego zostało opracowane przez grupę ds. bezpieczeństwa i zapobiegania oszustwom (SFPG) stowarzyszenia Critical Communications Association (TCCA). Jednak ETSI i TCCA ściśle ze sobą współpracują, a obie organizacje skupiają wiele tych samych osób. Brian Murgatroyd, były przewodniczący organu technicznego w ETSI odpowiedzialnego za standard TETRA, a także grupy TCCA, która opracowała rozwiązanie E2EE, napisał w e-mailu w imieniu ETSI i TCCA, że szyfrowanie typu end-to-end nie zostało uwzględnione w standardzie ETSI, „ponieważ w tamtym czasie uważano, że E2EE będzie używane tylko przez grupy rządowe, w których występują obawy dotyczące bezpieczeństwa narodowego, a grupy te często mają szczególne potrzeby w zakresie bezpieczeństwa.

Z tego powodu Murgatroyd zauważył, że nabywcy radiotelefonów bazujących na standardzie TETRA mogą swobodnie wdrażać inne rozwiązania do kompleksowego szyfrowania w swoich radiotelefonach, ale przyznaje, że rozwiązanie opracowane przez TCCA i zatwierdzone przez ETSI „jest szeroko stosowane, o ile nam wiadomo”.

Chociaż urządzenia radiowe oparte na standardzie TETRA nie są używane przez policję i wojsko w USA, większość jednostek policji na całym świecie z nich korzysta. Należą do nich jednostki policji w Belgii i krajach skandynawskich, a także w krajach Europy Wschodniej, takich jak Serbia, Mołdawia, Bułgaria i Macedonia, a także na Bliskim Wschodzie w Iranie, Iraku, Libanie i Syrii. Korzystają z nich również ministerstwa obrony Bułgarii, Kazachstanu i Syrii, a także polski kontrwywiad wojskowy, fińskie siły zbrojne oraz służby wywiadowcze Libanu i Arabii Saudyjskiej. Nie jest jednak jasne, ile z nich wdraża również kompleksowe deszyfrowanie w swoich radiotelefonach.

Standard TETRA obejmuje cztery algorytmy szyfrowania — TEA1, TEA2, TEA3 i TEA4 — które mogą być stosowane przez producentów radiotelefonów w różnych produktach, w zależności od docelowego klienta i zastosowania. Algorytmy te mają różne poziomy bezpieczeństwa w zależności od tego, czy radiotelefony będą sprzedawane w Europie, czy poza nią. Na przykład TEA2 jest ograniczony do stosowania w radiotelefonach używanych przez policję, służby ratunkowe, wojsko i agencje wywiadowcze w Europie. TEA3 jest dostępny dla radiotelefonów policyjnych i ratunkowych używanych poza Europą, ale tylko w krajach uznanych za „przyjazne” dla UE. Tylko TEA1 jest dostępny dla radiotelefonów używanych przez agencje bezpieczeństwa publicznego, agencje policyjne i wojsko w krajach uznanych za nieprzyjazne dla Europy, takich jak Iran. Jest on jednak również stosowany w infrastrukturze krytycznej w USA i innych krajach do komunikacji maszyna-maszyna w przemysłowych systemach sterowania, takich jak rurociągi, koleje i sieci elektroenergetyczne.

Wszystkie cztery algorytmy szyfrowania TETRA wykorzystują 80-bitowe klucze do zabezpieczenia komunikacji. Jednak holenderscy naukowcy ujawnili w 2023 roku, że TEA1 posiada funkcję, która pozwala na skrócenie klucza do zaledwie 32 bitów, co pozwoliło im złamać go w mniej niż minutę.

W przypadku E2EE badacze odkryli, że badana przez nich implementacja zaczyna się od klucza bezpieczniejszego niż te używane w algorytmach TETRA, ale zostaje on zredukowany do 56 bitów, co potencjalnie pozwala na odszyfrowanie komunikacji głosowej i danych. Znaleźli również drugą lukę w zabezpieczeniach, która umożliwia wysyłanie fałszywych wiadomości lub odtwarzanie legalnych w celu dezinformacji lub wprowadzania w błąd personelu korzystającego z radiotelefonów.

Według badaczy, możliwość przechwytywania ruchu głosowego i odtwarzania wiadomości dotyczy wszystkich użytkowników systemu szyfrowania end-to-end TCCA. Twierdzą oni, że wynika to z błędów w projekcie protokołu TCCA E2EE, a nie z konkretnej implementacji. Dodają również, że „użytkownicy końcowi organów ścigania” potwierdzili im, że ta wada występuje w radiach produkowanych przez innych producentów niż Sepura.

Jednak zdaniem badaczy problem podatności na szyfrowanie typu „redukcja klucza” dotyczy prawdopodobnie tylko niewielkiej grupy użytkowników, ponieważ wszystko zależy od sposobu implementacji szyfrowania w radiach sprzedawanych w poszczególnych krajach.

Murgatroyd z ETSI powiedział w 2023 roku , że klucz TEA1 został zredukowany, aby spełnić wymogi kontroli eksportu szyfrowania sprzedawanego klientom spoza Europy. Dodał, że w momencie tworzenia algorytmu klucz o 32 bitach entropii był uważany za bezpieczny dla większości zastosowań. Postęp w mocy obliczeniowej sprawia, że jest on obecnie mniej bezpieczny, więc kiedy dwa lata temu holenderscy naukowcy ujawnili zredukowany klucz, ETSI zaleciło klientom korzystającym z TEA1 wdrożenie kompleksowego rozwiązania szyfrującego TCCA.

Murgatroyd stwierdził jednak, że algorytm szyfrowania end-to-end opracowany przez TCCA jest inny. Nie określa on długości klucza, którego powinny używać radia, ponieważ rządy stosujące szyfrowanie end-to-end mają własne „szczegółowe i często zastrzeżone zasady bezpieczeństwa” dla używanych urządzeń. W związku z tym mogą dostosować algorytm szyfrowania TCCA w swoich urządzeniach, współpracując z dostawcą radia w celu dobrania „algorytmu szyfrowania, zarządzania kluczami itd.”, który jest dla nich odpowiedni – ale tylko do pewnego stopnia.

„Wybór algorytmu szyfrowania i klucza należy do decyzji dostawcy i organizacji klienta, a ETSI nie ma wpływu na ten wybór – ani wiedzy o tym, jakie algorytmy i długości kluczy są używane w danym systemie” – powiedział. Dodał jednak, że producenci i klienci radiotelefonów „zawsze będą musieli przestrzegać przepisów kontroli eksportu”.

Naukowcy twierdzą, że nie mogą zweryfikować, czy TCCA E2EE nie określa długości klucza, ponieważ dokumentacja TCCA opisująca rozwiązanie jest chroniona umową o zachowaniu poufności i udostępniana wyłącznie dostawcom urządzeń radiowych. Zauważają jednak, że system E2EE wywołuje numer „identyfikatora algorytmu”, co oznacza, że wywołuje konkretny algorytm używany do szyfrowania typu end-to-end. Te identyfikatory nie są specyficzne dla dostawcy, twierdzą badacze, co sugeruje, że odnoszą się do różnych wariantów klucza generowanych przez TCCA — co oznacza, że TCCA dostarcza specyfikacje dla algorytmów wykorzystujących klucz 126-bitowy lub 56-bitowy, a dostawcy urządzeń radiowych mogą skonfigurować swoje urządzenia tak, aby korzystały z dowolnego z tych wariantów, w zależności od kontroli eksportu obowiązujących w kraju zakupu.

Nie jest jasne, czy użytkownicy wiedzą, że ich radia mogą mieć tę lukę. Badacze znaleźli poufny biuletyn produktu Sepura z 2006 roku, który ktoś ujawnił w internecie . W biuletynie tym wspomniano, że „długość klucza komunikacyjnego… podlega przepisom kontroli eksportu, a zatem [system szyfrowania w urządzeniu] będzie fabrycznie skonfigurowany do obsługi kluczy o długości 128, 64 lub 56 bitów”. Nie jest jednak jasne, co otrzymają klienci Sepura ani czy inni producenci, których radia korzystają ze skróconego klucza, informują klientów, czy ich radia wykorzystują algorytm ze skróconym kluczem.

„Niektórzy producenci umieszczają to w broszurach; inni wspominają o tym tylko w komunikacji wewnętrznej, a jeszcze inni w ogóle o tym nie wspominają” – mówi Wetzels. Dodaje, że przeprowadzili szeroko zakrojone badania open source w celu przeanalizowania dokumentacji dostawców i „nie znaleźli wyraźnych oznak osłabienia przekazywanych użytkownikom końcowym. Zatem, chociaż… pojawiają się „pewne” wzmianki o osłabieniu algorytmu, nie jest to w pełni transparentne”.

Sepura nie odpowiedział na zapytanie WIRED.

Murgatroyd twierdzi jednak, że klienci z sektora publicznego, którzy zdecydowali się na rozwiązanie E2EE firmy TCCA, muszą znać bezpieczeństwo swoich urządzeń, dlatego prawdopodobnie będą świadomi, czy ich systemy korzystają z uproszczonego klucza.

„Ponieważ szyfrowanie typu end-to-end jest wykorzystywane głównie w komunikacji rządowej, oczekujemy, że odpowiednie rządowe agencje bezpieczeństwa narodowego są w pełni świadome możliwości swoich systemów szyfrowania typu end-to-end i mogą udzielać użytkownikom odpowiednich porad” – napisał Murgatroyd w swoim e-mailu.

Wetzels podchodzi jednak do tego sceptycznie. „Uważamy za wysoce nieprawdopodobne, aby rządy krajów spoza Zachodu były skłonne wydać dosłownie miliony dolarów, wiedząc, że otrzymują tylko 56 bitów bezpieczeństwa” – mówi.