La crittografia creata per le radio della polizia e dell'esercito può essere facilmente decifrata
Due anni fa, alcuni ricercatori nei Paesi Bassi hanno scoperto una backdoor intenzionale in un algoritmo di crittografia integrato nelle radio utilizzate dalle infrastrutture critiche, nonché dalla polizia, dalle agenzie di intelligence e dalle forze militari di tutto il mondo, che rendeva qualsiasi comunicazione protetta dall'algoritmo vulnerabile alle intercettazioni.
Quando i ricercatori hanno reso pubblico il problema nel 2023, l'Istituto europeo per gli standard delle telecomunicazioni (ETSI), che ha sviluppato l'algoritmo, ha consigliato a chiunque lo utilizzasse per comunicazioni sensibili di implementare una soluzione di crittografia end-to-end oltre all'algoritmo difettoso per rafforzare la sicurezza delle proprie comunicazioni.
Ma ora gli stessi ricercatori hanno scoperto che almeno un'implementazione della soluzione di crittografia end-to-end approvata dall'ETSI presenta un problema simile che la rende ugualmente vulnerabile alle intercettazioni. L'algoritmo di crittografia utilizzato per il dispositivo esaminato parte da una chiave a 128 bit, ma questa viene compressa a 56 bit prima di crittografare il traffico, rendendola più facile da decifrare. Non è chiaro chi utilizzi questa implementazione dell'algoritmo di crittografia end-to-end, né se chiunque utilizzi dispositivi con crittografia end-to-end sia a conoscenza della vulnerabilità di sicurezza in essi presente.
La crittografia end-to-end esaminata dai ricercatori, la cui implementazione è costosa, è comunemente utilizzata nelle radio delle forze dell'ordine, delle forze speciali e delle squadre militari e di intelligence sotto copertura coinvolte in attività di sicurezza nazionale e che pertanto necessitano di un ulteriore livello di sicurezza. Tuttavia, l'approvazione dell'algoritmo da parte dell'ETSI due anni fa per mitigare i difetti riscontrati nel suo algoritmo di crittografia di livello inferiore suggerisce che potrebbe essere utilizzato più ampiamente ora rispetto a allora.
Nel 2023, Carlo Meijer, Wouter Bokslag e Jos Wetzels della società di sicurezza Midnight Blue , con sede nei Paesi Bassi, hanno scoperto vulnerabilità negli algoritmi di crittografia che fanno parte di uno standard radio europeo creato dall'ETSI chiamato TETRA (Terrestrial Trunked Radio), integrato nei sistemi radio prodotti da Motorola, Damm, Sepura e altri fin dagli anni '90. Le falle sono rimaste sconosciute al pubblico fino alla loro divulgazione, perché l'ETSI si è rifiutata per decenni di consentire a chiunque di esaminare gli algoritmi proprietari. La crittografia end-to-end esaminata di recente dai ricercatori è progettata per funzionare su algoritmi di crittografia TETRA.
I ricercatori hanno scoperto il problema con la crittografia end-to-end (E2EE) solo dopo aver estratto e sottoposto a reverse engineering l'algoritmo E2EE utilizzato in una radio prodotta da Sepura. I ricercatori intendono presentare i loro risultati oggi alla conferenza sulla sicurezza BlackHat di Las Vegas.
Contattata in merito al problema, l'ETSI ha osservato che la crittografia end-to-end utilizzata con le radio basate su TETRA non fa parte dello standard ETSI, né è stata creata dall'organizzazione. È stata invece sviluppata dal gruppo per la sicurezza e la prevenzione delle frodi (SFPG) della Critical Communications Association (TCCA). Tuttavia, ETSI e TCCA collaborano a stretto contatto e le due organizzazioni includono molte delle stesse persone. Brian Murgatroyd, ex presidente dell'organismo tecnico dell'ETSI responsabile dello standard TETRA e del gruppo TCCA che ha sviluppato la soluzione E2EE, ha scritto in un'e-mail a nome dell'ETSI e della TCCA che la crittografia end-to-end non era inclusa nello standard ETSI "perché all'epoca si riteneva che E2EE sarebbe stata utilizzata solo da enti governativi in cui erano coinvolte questioni di sicurezza nazionale, e questi gruppi hanno spesso esigenze di sicurezza particolari".
Per questo motivo, Murgatroyd ha osservato che gli acquirenti di radio basate su TETRA sono liberi di implementare altre soluzioni per la crittografia end-to-end sulle loro radio, ma riconosce che quella prodotta dal TCCA e approvata dall'ETSI "è ampiamente utilizzata, per quanto ne sappiamo".
Sebbene i dispositivi radio basati su TETRA non siano utilizzati da polizia e militari negli Stati Uniti, la maggior parte delle forze di polizia in tutto il mondo li utilizza. Tra queste, le forze di polizia in Belgio e nei paesi scandinavi, così come in paesi dell'Europa orientale come Serbia, Moldavia, Bulgaria e Macedonia, e in Medio Oriente in Iran, Iraq, Libano e Siria. Anche i Ministeri della Difesa di Bulgaria, Kazakistan e Siria li utilizzano, così come l'agenzia di controspionaggio militare polacca, le forze di difesa finlandesi e i servizi segreti di Libano e Arabia Saudita. Non è chiaro, tuttavia, quanti di questi utilizzino anche la decrittazione end-to-end con le loro radio.
Lo standard TETRA include quattro algoritmi di crittografia (TEA1, TEA2, TEA3 e TEA4) che possono essere utilizzati dai produttori di radio in diversi prodotti, a seconda del cliente e dell'utilizzo previsto. Gli algoritmi presentano diversi livelli di sicurezza a seconda che le radio siano vendute in Europa o al di fuori di essa. TEA2, ad esempio, è limitato all'uso nelle radio utilizzate da polizia, servizi di emergenza, forze armate e agenzie di intelligence in Europa. TEA3 è disponibile per le radio di polizia e servizi di emergenza utilizzate al di fuori dell'Europa, ma solo nei paesi considerati "amici" dell'UE. Solo TEA1 è disponibile per le radio utilizzate da agenzie di pubblica sicurezza, forze di polizia e forze armate in paesi considerati non amici dell'Europa, come l'Iran. Ma è utilizzato anche nelle infrastrutture critiche negli Stati Uniti e in altri paesi per la comunicazione macchina-macchina in contesti di controllo industriale come oleodotti, ferrovie e reti elettriche.
Tutti e quattro gli algoritmi di crittografia TETRA utilizzano chiavi a 80 bit per proteggere le comunicazioni. Tuttavia, nel 2023 i ricercatori olandesi hanno rivelato che TEA1 ha una caratteristica che riduce la sua chiave a soli 32 bit, il che ha permesso ai ricercatori di decifrarlo in meno di un minuto.
Nel caso dell'E2EE, i ricercatori hanno scoperto che l'implementazione esaminata parte da una chiave più sicura di quelle utilizzate negli algoritmi TETRA, ma viene ridotta a 56 bit, il che consentirebbe potenzialmente di decifrare comunicazioni vocali e dati. Hanno anche scoperto una seconda vulnerabilità che consentirebbe a chiunque di inviare messaggi fraudolenti o di riprodurre messaggi legittimi per diffondere disinformazione o confusione al personale che utilizza le radio.
Secondo i ricercatori, la capacità di iniettare traffico vocale e riprodurre messaggi interessa tutti gli utenti dello schema di crittografia end-to-end TCCA. Affermano che ciò sia dovuto a difetti nella progettazione del protocollo E2EE TCCA piuttosto che a una specifica implementazione. Affermano inoltre che gli "utenti finali delle forze dell'ordine" hanno confermato loro che questo difetto si riscontra in radio prodotte da fornitori diversi da Sepura.
Ma i ricercatori affermano che solo un sottoinsieme di utenti di crittografia end-to-end è probabilmente interessato dalla vulnerabilità a chiave ridotta, perché dipende da come la crittografia è stata implementata nelle radio vendute nei vari paesi.
Murgatroyd dell'ETSI ha dichiarato nel 2023 che la chiave TEA1 era stata ridotta per soddisfare i controlli sulle esportazioni per la crittografia venduta a clienti al di fuori dell'Europa. Ha affermato che quando l'algoritmo è stato creato, una chiave con 32 bit di entropia era considerata sicura per la maggior parte degli usi. I progressi nella potenza di calcolo la rendono ora meno sicura, quindi quando i ricercatori olandesi hanno reso pubblica la chiave ridotta due anni fa, l'ETSI ha raccomandato ai clienti che utilizzavano TEA1 di implementare la soluzione di crittografia end-to-end di TCCA su di essa.
Ma Murgatroyd ha affermato che l'algoritmo di crittografia end-to-end progettato da TCCA è diverso. Non specifica la lunghezza della chiave che le radio dovrebbero utilizzare, perché i governi che utilizzano la crittografia end-to-end hanno le proprie "regole di sicurezza specifiche e spesso proprietarie" per i dispositivi che utilizzano. Pertanto, sono in grado di personalizzare l'algoritmo di crittografia TCCA nei loro dispositivi collaborando con il fornitore della radio per selezionare "l'algoritmo di crittografia, la gestione delle chiavi e così via" più adatti alle loro esigenze, ma solo fino a un certo punto.
"La scelta dell'algoritmo e della chiave di crittografia viene effettuata tra il fornitore e l'organizzazione del cliente, e l'ETSI non ha alcun contributo in questa selezione, né è a conoscenza di quali algoritmi e lunghezze di chiave siano utilizzati in ciascun sistema", ha affermato. Ha tuttavia aggiunto che i produttori di apparecchiature radio e i clienti "dovranno sempre rispettare le normative sul controllo delle esportazioni".
I ricercatori affermano di non poter verificare che il TCCA E2EE non specifichi una lunghezza della chiave, poiché la documentazione TCCA che descrive la soluzione è protetta da un accordo di non divulgazione e fornita solo ai fornitori di servizi radio. Tuttavia, sottolineano che il sistema E2EE richiama un numero di "identificativo dell'algoritmo", il che significa che richiama l'algoritmo specifico utilizzato per la crittografia end-to-end. Questi identificatori non sono specifici del fornitore, affermano i ricercatori, il che suggerisce che si riferiscano a diverse varianti di chiave prodotte dal TCCA, il che significa che il TCCA fornisce specifiche per algoritmi che utilizzano una chiave a 126 bit o una chiave a 56 bit, e i fornitori di servizi radio possono configurare i propri dispositivi per utilizzare una di queste varianti, a seconda dei controlli sulle esportazioni in vigore nel paese acquirente.
Non è chiaro se gli utenti siano a conoscenza del fatto che le loro radio possano presentare questa vulnerabilità. I ricercatori hanno trovato un bollettino di prodotto Sepura riservato del 2006, trapelato online , in cui si afferma che "la lunghezza della chiave di traffico... è soggetta alle normative sul controllo delle esportazioni e pertanto il [sistema di crittografia del dispositivo] sarà configurato in fabbrica per supportare lunghezze di chiave di 128, 64 o 56 bit". Tuttavia, non è chiaro cosa ricevano i clienti Sepura o se altri produttori, le cui radio utilizzano una chiave ridotta, comunichino ai clienti se le loro radio utilizzano un algoritmo a chiave ridotta.
"Alcuni produttori lo menzionano nelle brochure; altri lo menzionano solo nelle comunicazioni interne, e altri ancora non lo menzionano affatto", afferma Wetzels. Afferma di aver condotto un'ampia ricerca open source per esaminare la documentazione del fornitore e di "non aver trovato alcun chiaro segno di indebolimento comunicato agli utenti finali. Quindi, sebbene... ci siano "alcuni" accenni all'indebolimento dell'algoritmo, la situazione non è affatto trasparente".
Sepura non ha risposto a una richiesta di informazioni da parte di WIRED.
Ma Murgatroyd afferma che poiché i clienti governativi che hanno scelto di utilizzare la soluzione E2EE di TCCA hanno bisogno di conoscere la sicurezza dei loro dispositivi, è probabile che sappiano se i loro sistemi utilizzano una chiave ridotta.
"Dato che la crittografia end-to-end viene utilizzata principalmente per le comunicazioni governative, ci aspettiamo che le agenzie governative competenti per la sicurezza nazionale siano pienamente consapevoli delle capacità dei loro sistemi di crittografia end-to-end e possano consigliare adeguatamente i propri utenti", ha scritto Murgatroyd nella sua e-mail.
Wetzels, tuttavia, è scettico al riguardo. "Riteniamo altamente improbabile che i governi non occidentali siano disposti a spendere letteralmente milioni di dollari sapendo di ottenere solo 56 bit di sicurezza", afferma.
wired
