Criptografia feita para rádios policiais e militares pode ser facilmente quebrada
Dois anos atrás, pesquisadores na Holanda descobriram um backdoor intencional em um algoritmo de criptografia incorporado a rádios usados por infraestrutura crítica, bem como pela polícia, agências de inteligência e forças militares ao redor do mundo, o que tornava qualquer comunicação protegida com o algoritmo vulnerável à espionagem.
Quando os pesquisadores divulgaram publicamente o problema em 2023, o Instituto Europeu de Normas de Telecomunicações (ETSI), que desenvolveu o algoritmo, aconselhou qualquer pessoa que o utilizasse para comunicações confidenciais a implantar uma solução de criptografia de ponta a ponta sobre o algoritmo defeituoso para reforçar a segurança de suas comunicações.
Mas agora os mesmos pesquisadores descobriram que pelo menos uma implementação da solução de criptografia ponta a ponta aprovada pelo ETSI apresenta um problema semelhante, que a torna igualmente vulnerável à espionagem. O algoritmo de criptografia usado no dispositivo examinado começa com uma chave de 128 bits, mas esta é compactada para 56 bits antes de criptografar o tráfego, facilitando a quebra. Não está claro quem está usando essa implementação do algoritmo de criptografia ponta a ponta, nem se alguém que usa dispositivos com criptografia ponta a ponta está ciente da vulnerabilidade de segurança neles.
A criptografia de ponta a ponta examinada pelos pesquisadores, que é cara de implementar, é mais comumente usada em rádios de agências policiais, forças especiais e equipes militares e de inteligência secretas envolvidas em trabalhos de segurança nacional e, portanto, precisam de uma camada extra de segurança. Mas a aprovação do algoritmo pelo ETSI há dois anos para mitigar falhas encontradas em seu algoritmo de criptografia de nível inferior sugere que ele pode ser usado de forma mais ampla agora do que na época.
Em 2023, Carlo Meijer, Wouter Bokslag e Jos Wetzels, da empresa de segurança Midnight Blue , sediada na Holanda, descobriram vulnerabilidades em algoritmos de criptografia que fazem parte de um padrão de rádio europeu criado pela ETSI, chamado TETRA (Terrestrial Trunked Radio), que vem sendo incorporado a sistemas de rádio fabricados pela Motorola, Damm, Sepura e outras empresas desde a década de 90. As falhas permaneceram desconhecidas do público até sua divulgação, pois a ETSI se recusou por décadas a permitir que alguém examinasse os algoritmos proprietários. A criptografia de ponta a ponta que os pesquisadores examinaram recentemente foi projetada para ser executada sobre algoritmos de criptografia TETRA.
Os pesquisadores descobriram o problema com a criptografia ponta a ponta (E2EE) somente após extrair e aplicar engenharia reversa no algoritmo E2EE usado em um rádio fabricado pela Sepura. Os pesquisadores planejam apresentar suas descobertas hoje na conferência de segurança BlackHat, em Las Vegas.
O ETSI, quando contatado sobre o problema, observou que a criptografia ponta a ponta usada com rádios baseados em TETRA não faz parte do padrão ETSI, nem foi criada pela organização. Em vez disso, foi produzida pelo grupo de segurança e prevenção de fraudes (SFPG) da Critical Communications Association (TCCA). Mas o ETSI e o TCCA trabalham em estreita colaboração, e as duas organizações incluem muitas das mesmas pessoas. Brian Murgatroyd, ex-presidente do órgão técnico do ETSI responsável pelo padrão TETRA, bem como pelo grupo do TCCA que desenvolveu a solução E2EE, escreveu em um e-mail em nome do ETSI e do TCCA que a criptografia ponta a ponta não estava incluída no padrão ETSI "porque na época se considerava que o E2EE seria usado apenas por grupos governamentais onde preocupações com a segurança nacional estivessem envolvidas, e esses grupos frequentemente têm necessidades especiais de segurança.
Por esse motivo, Murgatroyd observou que os compradores de rádios baseados em TETRA são livres para implantar outras soluções para criptografia de ponta a ponta em seus rádios, mas ele reconhece que a produzida pelo TCCA e endossada pelo ETSI "é amplamente utilizada, até onde sabemos".
Embora dispositivos de rádio baseados em TETRA não sejam utilizados pela polícia e pelas forças armadas nos EUA, a maioria das forças policiais ao redor do mundo os utiliza. Entre elas, estão as forças policiais na Bélgica e em países escandinavos, bem como em países do Leste Europeu, como Sérvia, Moldávia, Bulgária e Macedônia, e no Oriente Médio, no Irã, Iraque, Líbano e Síria. Os Ministérios da Defesa da Bulgária, Cazaquistão e Síria também os utilizam, assim como a agência de contrainteligência militar polonesa, as forças de defesa finlandesas e os serviços de inteligência do Líbano e da Arábia Saudita. Não está claro, no entanto, quantos desses serviços também utilizam descriptografia de ponta a ponta em seus rádios.
O padrão TETRA inclui quatro algoritmos de criptografia — TEA1, TEA2, TEA3 e TEA4 — que podem ser usados por fabricantes de rádios em diferentes produtos, dependendo do cliente e do uso pretendidos. Os algoritmos têm diferentes níveis de segurança com base na venda dos rádios dentro ou fora da Europa. O TEA2, por exemplo, é restrito para uso em rádios usados pela polícia, serviços de emergência, forças armadas e agências de inteligência na Europa. O TEA3 está disponível para rádios de polícia e serviços de emergência usados fora da Europa, mas apenas em países considerados "amigáveis" à UE. Somente o TEA1 está disponível para rádios usados por agências de segurança pública, agências policiais e forças armadas em países considerados não amigáveis à Europa, como o Irã. Mas também é usado em infraestrutura crítica nos EUA e em outros países para comunicação máquina a máquina em ambientes de controle industrial, como oleodutos, ferrovias e redes elétricas.
Todos os quatro algoritmos de criptografia TETRA usam chaves de 80 bits para proteger a comunicação. Mas pesquisadores holandeses revelaram em 2023 que o TEA1 possui um recurso que reduz sua chave para apenas 32 bits, o que permitiu que os pesquisadores o decifrassem em menos de um minuto.
No caso do E2EE, os pesquisadores descobriram que a implementação examinada começa com uma chave mais segura do que as usadas nos algoritmos TETRA, mas ela é reduzida a 56 bits, o que potencialmente permitiria que alguém decifrasse comunicações de voz e dados. Eles também encontraram uma segunda vulnerabilidade que permitiria que alguém enviasse mensagens fraudulentas ou reproduzisse mensagens legítimas para espalhar informações falsas ou confusão entre os funcionários que usam os rádios.
A capacidade de injetar tráfego de voz e reproduzir mensagens afeta todos os usuários do esquema de criptografia ponta a ponta do TCCA, de acordo com os pesquisadores. Eles afirmam que isso é resultado de falhas no projeto do protocolo E2EE do TCCA, e não de uma implementação específica. Eles também afirmam que "usuários finais de órgãos policiais" confirmaram que essa falha ocorre em rádios produzidos por outros fornecedores que não a Sepura.
Mas os pesquisadores dizem que apenas um subconjunto de usuários de criptografia de ponta a ponta provavelmente são afetados pela vulnerabilidade de chave reduzida, porque isso depende de como a criptografia foi implementada em rádios vendidos para vários países.
Murgatroyd, da ETSI , afirmou em 2023 que a chave TEA1 foi reduzida para atender aos controles de exportação de criptografia vendida a clientes fora da Europa. Ele afirmou que, quando o algoritmo foi criado, uma chave com 32 bits de entropia era considerada segura para a maioria dos usos. Os avanços no poder da computação a tornam menos segura atualmente, então, quando os pesquisadores holandeses expuseram a chave reduzida há dois anos, a ETSI recomendou que os clientes que utilizassem o TEA1 implementassem a solução de criptografia ponta a ponta da TCCA sobre ele.
Mas Murgatroyd afirmou que o algoritmo de criptografia ponta a ponta desenvolvido pela TCCA é diferente. Ele não especifica o comprimento da chave que os rádios devem usar, pois os governos que utilizam a criptografia ponta a ponta têm suas próprias "regras de segurança específicas e, muitas vezes, proprietárias" para os dispositivos que utilizam. Portanto, eles podem personalizar o algoritmo de criptografia da TCCA em seus dispositivos, trabalhando com o fornecedor do rádio para selecionar o "algoritmo de criptografia, gerenciamento de chaves e assim por diante" mais adequado para eles — mas apenas até certo ponto.
“A escolha do algoritmo de criptografia e da chave é feita entre o fornecedor e a organização do cliente, e o ETSI não tem influência nessa seleção — nem conhecimento de quais algoritmos e comprimentos de chave estão em uso em qualquer sistema”, disse ele. No entanto, acrescentou que os fabricantes e clientes de rádio “sempre terão que cumprir as normas de controle de exportação”.
Os pesquisadores afirmam que não podem verificar se o E2EE do TCCA não especifica um comprimento de chave, pois a documentação do TCCA que descreve a solução é protegida por um acordo de confidencialidade e fornecida apenas a fornecedores de rádio. No entanto, eles observam que o sistema E2EE emite um número de "identificador de algoritmo", o que significa que ele emite o algoritmo específico usado para a criptografia de ponta a ponta. Esses identificadores não são específicos do fornecedor, afirmam os pesquisadores, o que sugere que se referem a diferentes variantes de chave produzidas pelo TCCA — ou seja, o TCCA fornece especificações para algoritmos que usam uma chave de 126 bits ou uma chave de 56 bits, e os fornecedores de rádio podem configurar seus dispositivos para usar qualquer uma dessas variantes, dependendo dos controles de exportação em vigor no país comprador.
Não está claro se os usuários sabem que seus rádios podem ter essa vulnerabilidade. Os pesquisadores encontraram um boletim confidencial de produto da Sepura de 2006, vazado online , que menciona que "o comprimento da chave de tráfego... está sujeito a regulamentações de controle de exportação e, portanto, [o sistema de criptografia do dispositivo] será configurado de fábrica para suportar comprimentos de chave de 128, 64 ou 56 bits". Mas não está claro o que os clientes da Sepura recebem ou se outros fabricantes cujos rádios usam uma chave reduzida divulgam aos clientes se seus rádios usam um algoritmo de chave reduzida.
“Alguns fabricantes mencionam isso em folhetos; outros apenas mencionam em comunicações internas, e outros nem sequer mencionam”, diz Wetzels. Ele afirma que realizaram uma extensa pesquisa de código aberto para examinar a documentação dos fornecedores e “não encontraram nenhum sinal claro de enfraquecimento sendo comunicado aos usuários finais. Portanto, embora… haja 'algumas' menções de enfraquecimento do algoritmo, isso não é totalmente transparente.”
A Sepura não respondeu a uma consulta da WIRED.
Mas Murgatroyd diz que, como os clientes governamentais que optaram por usar a solução E2EE da TCCA precisam saber a segurança de seus dispositivos, eles provavelmente saberão se seus sistemas estão usando uma chave reduzida.
“Como a criptografia de ponta a ponta é usada principalmente para comunicações governamentais, esperamos que as agências governamentais de Segurança Nacional relevantes estejam totalmente cientes das capacidades de seus sistemas de criptografia de ponta a ponta e possam aconselhar seus usuários adequadamente”, escreveu Murgatroyd em seu e-mail.
Wetzels, no entanto, é cético quanto a isso. "Consideramos altamente improvável que governos não ocidentais estejam dispostos a gastar literalmente milhões de dólares se souberem que estão recebendo apenas 56 bits de segurança", diz ele.
wired
