Шифрование, созданное для полицейских и военных радиостанций, может быть легко взломано

Два года назад исследователи из Нидерландов обнаружили преднамеренную уязвимость в алгоритме шифрования, встроенном в радиоустройства, используемые критически важной инфраструктурой, а также полицией, разведывательными службами и вооруженными силами по всему миру, что делало любую защищенную с помощью этого алгоритма связь уязвимой для прослушивания.

Когда исследователи публично раскрыли информацию об этой проблеме в 2023 году, Европейский институт стандартов в области телекоммуникаций (ETSI), разработавший алгоритм, рекомендовал всем, кто использует его для конфиденциальной связи, развернуть решение сквозного шифрования поверх некорректного алгоритма, чтобы повысить безопасность своих коммуникаций.

Однако теперь те же исследователи обнаружили, что как минимум одна реализация сквозного шифрования, одобренная ETSI, имеет схожую проблему, делающую её столь же уязвимой для перехвата. Алгоритм шифрования, используемый в исследованном ими устройстве, начинается со 128-битного ключа, который затем сжимается до 56 бит перед шифрованием трафика, что упрощает его взлом. Неясно, кто использует эту реализацию алгоритма сквозного шифрования, и знают ли пользователи устройств с таким шифрованием об этой уязвимости.

Сквозное шифрование, которое исследовали исследователи, требует больших затрат на внедрение и чаще всего используется в радиосвязях правоохранительных органов, спецподразделений, а также секретных военных и разведывательных групп, участвующих в работе по обеспечению национальной безопасности и поэтому нуждающихся в дополнительном уровне безопасности. Однако одобрение алгоритма ETSI два года назад для устранения недостатков, обнаруженных в его низкоуровневом алгоритме шифрования, позволяет предположить, что сейчас он может использоваться шире, чем раньше.

В 2023 году Карло Мейер, Воутер Бокслаг и Йос Ветцельс из голландской компании Midnight Blue , специализирующейся на информационной безопасности, обнаружили уязвимости в алгоритмах шифрования, являющихся частью европейского стандарта радиосвязи TETRA (Terrestrial Trunked Radio), разработанного ETSI и применяемого в радиосистемах Motorola, Damm, Sepura и других компаний с 90-х годов. Уязвимости оставались неизвестными до их раскрытия, поскольку ETSI десятилетиями отказывалась предоставлять кому-либо доступ к проприетарным алгоритмам. Сквозное шифрование, которое недавно изучили исследователи, разработано для работы поверх алгоритмов шифрования TETRA.

Исследователи обнаружили проблему со сквозным шифрованием (E2EE) только после извлечения и реверс-инжиниринга алгоритма E2EE, используемого в радиоустройстве Sepura. Исследователи планируют представить свои выводы сегодня на конференции по безопасности BlackHat в Лас-Вегасе.

В ETSI, когда с ними связались по поводу этой проблемы, отметили, что сквозное шифрование, используемое в радиоустройствах на базе TETRA, не является частью стандарта ETSI и не было создано этой организацией. Вместо этого оно было разработано группой по безопасности и предотвращению мошенничества (SFPG) Ассоциации критических коммуникаций (TCCA). Но ETSI и TCCA тесно сотрудничают друг с другом, и в состав обеих организаций входят многие из тех же людей. Брайан Мургатройд, бывший председатель технического органа ETSI, ответственного за стандарт TETRA, а также группы TCCA, которая разработала решение E2EE, написал в электронном письме от имени ETSI и TCCA, что сквозное шифрование не было включено в стандарт ETSI, «потому что в то время считалось, что E2EE будет использоваться только правительственными группами, где речь идет о национальной безопасности, и у этих групп часто есть особые потребности в безопасности.

По этой причине Мургатройд отметил, что покупатели радиостанций на базе TETRA могут свободно использовать другие решения для сквозного шифрования на своих радиостанциях, но он признает, что решение, разработанное TCCA и одобренное ETSI, «насколько нам известно, широко используется».

Хотя радиоустройства на базе TETRA не используются полицией и военными США, большинство полицейских служб по всему миру их используют. К ним относятся полиция Бельгии и скандинавских стран, а также стран Восточной Европы, таких как Сербия, Молдова, Болгария и Македония, и стран Ближнего Востока: Ирана, Ирака, Ливана и Сирии. Их также используют министерства обороны Болгарии, Казахстана и Сирии, а также польская военная контрразведка, финские силы обороны и разведывательные службы Ливана и Саудовской Аравии. Однако неясно, сколько из них также используют сквозное дешифрование в своих радиоустройствах.

Стандарт TETRA включает в себя четыре алгоритма шифрования — TEA1, TEA2, TEA3 и TEA4, — которые могут использоваться производителями радиостанций в различных продуктах в зависимости от предполагаемого клиента и использования. Алгоритмы имеют разные уровни безопасности в зависимости от того, будут ли радиостанции продаваться в Европе или за ее пределами. TEA2, например, ограничен для использования в радиостанциях, используемых полицией, службами экстренной помощи, армией и разведывательными агентствами в Европе. TEA3 доступен для радиостанций полиции и служб экстренной помощи, используемых за пределами Европы, но только в странах, считающихся «дружественными» по отношению к ЕС. Только TEA1 доступен для радиостанций, используемых агентствами общественной безопасности, полицейскими агентствами и армией в странах, считающихся недружественными по отношению к Европе, таких как Иран. Но он также используется в критически важной инфраструктуре в США и других странах для межмашинной связи в промышленных условиях управления, таких как трубопроводы, железные дороги и электросети.

Все четыре алгоритма шифрования TETRA используют 80-битные ключи для защиты связи. Однако в 2023 году голландские исследователи обнаружили, что у TEA1 есть особенность, позволяющая сократить длину ключа до 32 бит, что позволило исследователям взломать его менее чем за минуту.

В случае с E2EE исследователи обнаружили, что изученная ими реализация начинается с ключа, который более безопасен, чем ключи, используемые в алгоритмах TETRA, но сокращается до 56 бит, что потенциально позволяет расшифровать голосовые сообщения и данные. Они также обнаружили вторую уязвимость, позволяющую отправлять мошеннические сообщения или воспроизводить легитимные сообщения для распространения дезинформации или введения в заблуждение сотрудников, использующих радиостанции.

По словам исследователей, возможность внедрения голосового трафика и повторного воспроизведения сообщений затрагивает всех пользователей сквозного шифрования TCCA. Они утверждают, что это связано с недостатками в архитектуре протокола TCCA E2EE, а не с конкретной реализацией. Они также утверждают, что «конечные пользователи правоохранительных органов» подтвердили им, что эта уязвимость присутствует в радиоустройствах, производимых не Sepura, а другими производителями.

Однако исследователи утверждают, что уязвимость сокращенного ключа, скорее всего, затронет лишь часть пользователей сквозного шифрования, поскольку это зависит от того, как было реализовано шифрование в радиоприемниках, продаваемых в разные страны.

Мургатройд из ETSI заявил в 2023 году , что ключ TEA1 был сокращён для соблюдения экспортного контроля при использовании криптографических средств, продаваемых клиентам за пределами Европы. Он отметил, что на момент создания алгоритма ключ с 32-битной энтропией считался безопасным для большинства применений. Развитие вычислительной мощности делает его менее безопасным, поэтому, когда два года назад голландские исследователи опубликовали сокращённый ключ, ETSI рекомендовала клиентам, использующим TEA1, развернуть поверх него решение сквозного шифрования TCCA.

Однако Мургатройд заявил, что алгоритм сквозного шифрования, разработанный TCCA, отличается. В нём не указана длина ключа, который должны использовать радиостанции, поскольку у правительств, использующих сквозное шифрование, есть свои «специфические и часто проприетарные правила безопасности» для используемых ими устройств. Поэтому они могут настраивать алгоритм шифрования TCCA в своих устройствах, работая с поставщиком радиооборудования, чтобы выбрать подходящий «алгоритм шифрования, управление ключами и т. д.», но лишь до определённой степени.

«Выбор алгоритма шифрования и ключа осуществляется поставщиком и организацией-заказчиком, и ETSI не имеет никакого отношения к этому выбору и не имеет сведений о том, какие алгоритмы и длины ключей используются в той или иной системе», — сказал он. Однако он добавил, что производители радиооборудования и заказчики «всегда обязаны соблюдать правила экспортного контроля».

Исследователи утверждают, что не могут подтвердить, что в TCCA E2EE не указана длина ключа, поскольку документация TCCA, описывающая решение, защищена соглашением о неразглашении и предоставляется только поставщикам радиооборудования. Однако они отмечают, что система E2EE использует номер «идентификатора алгоритма», то есть указывает конкретный алгоритм, используемый для сквозного шифрования. Эти идентификаторы не привязаны к конкретному поставщику, говорят исследователи, что говорит о том, что они относятся к различным вариантам ключей, разработанным TCCA. Это означает, что TCCA предоставляет спецификации для алгоритмов, использующих 126-битный или 56-битный ключ, и поставщики радиооборудования могут настроить свои устройства на использование любого из этих вариантов в зависимости от экспортного контроля, действующего в стране-покупателе.

Неясно, знают ли пользователи, что их радиостанции могут быть подвержены этой уязвимости. Исследователи обнаружили конфиденциальный бюллетень по продукции Sepura за 2006 год, который кто-то выложил в сеть . В нём упоминается, что «длина ключа трафика… регулируется правилами экспортного контроля, и, следовательно, [система шифрования в устройстве] будет настроена на заводе для поддержки ключей длиной 128, 64 или 56 бит». Однако неясно, что получают клиенты Sepura, и сообщают ли другие производители, чьи радиостанции используют сокращённый ключ, клиентам об использовании алгоритма сокращённого ключа.

«Некоторые производители указывают это в брошюрах; другие упоминают об этом только во внутренних сообщениях, а третьи вообще не упоминают», — говорит Ветцельс. Он говорит, что они провели обширное исследование открытых источников, чтобы изучить документацию поставщиков, и «не обнаружили явных признаков того, что конечным пользователям сообщалось об ослаблении алгоритма. Поэтому, хотя… есть «некоторые» упоминания об ослаблении алгоритма, это совершенно не прозрачно».

Сепура не ответил на запрос WIRED.

Однако Мургатройд утверждает, что поскольку государственные заказчики, которые решили использовать решение TCCA E2EE, должны знать уровень безопасности своих устройств, они, скорее всего, будут знать, если их системы используют сокращенный ключ.

«Поскольку сквозное шифрование в основном используется для правительственной связи, мы ожидаем, что соответствующие правительственные агентства национальной безопасности полностью осведомлены о возможностях своих систем сквозного шифрования и могут давать своим пользователям надлежащие рекомендации», — написал Мургатройд в своем электронном письме.

Однако Ветцельс настроен скептически по отношению к этому. «Мы считаем крайне маловероятным, что незападные правительства будут готовы тратить буквально миллионы долларов, зная, что получат лишь 56-битную защиту», — говорит он.