Encryptie voor politie- en militaire radio's kan mogelijk eenvoudig worden gekraakt

Twee jaar geleden ontdekten onderzoekers in Nederland een opzettelijk achterdeurtje in een encryptiealgoritme dat is ingebouwd in radio's die worden gebruikt door kritieke infrastructuur, maar ook door de politie, inlichtingendiensten en strijdkrachten over de hele wereld. Hierdoor is elke communicatie die met het algoritme is beveiligd, kwetsbaar voor afluisteren.

Toen de onderzoekers het probleem in 2023 openbaar maakten, adviseerde het European Telecommunications Standards Institute (ETSI), dat het algoritme ontwikkelde, iedereen die het algoritme voor vertrouwelijke communicatie wilde gebruiken om een end-to-end-encryptieoplossing te implementeren bovenop het gebrekkige algoritme om de veiligheid van hun communicatie te verbeteren.

Maar nu hebben dezelfde onderzoekers ontdekt dat ten minste één implementatie van de end-to-end encryptieoplossing die door ETSI wordt aanbevolen, een soortgelijk probleem heeft, waardoor deze even kwetsbaar is voor afluisteren. Het encryptiealgoritme dat wordt gebruikt voor het apparaat dat ze onderzochten, begint met een 128-bits sleutel, maar deze wordt gecomprimeerd tot 56 bits voordat het verkeer wordt versleuteld, waardoor het gemakkelijker te kraken is. Het is niet duidelijk wie deze implementatie van het end-to-end encryptiealgoritme gebruikt, noch of iemand die apparaten met end-to-end encryptie gebruikt, op de hoogte is van de beveiligingskwetsbaarheid ervan.

De end-to-end encryptie die de onderzoekers onderzochten, en die duur is om te implementeren, wordt het meest gebruikt in radio's voor wetshandhavingsinstanties, speciale eenheden en geheime militaire en inlichtingendiensten die betrokken zijn bij nationale veiligheidswerkzaamheden en daarom een extra beveiligingslaag nodig hebben. Maar de goedkeuring van het algoritme door ETSI twee jaar geleden om de gebreken in het encryptiealgoritme op lager niveau te verhelpen, suggereert dat het nu wellicht breder wordt gebruikt dan destijds.

In 2023 ontdekten Carlo Meijer, Wouter Bokslag en Jos Wetzels van het Nederlandse beveiligingsbedrijf Midnight Blue kwetsbaarheden in encryptiealgoritmen die deel uitmaken van een Europese radiostandaard van ETSI, TETRA (Terrestrial Trunked Radio), die al sinds de jaren 90 is ingebouwd in radiosystemen van Motorola, Damm, Sepura en andere merken. De kwetsbaarheden bleven tot hun onthulling onbekend, omdat ETSI decennialang weigerde de gepatenteerde algoritmen te onderzoeken. De end-to-end encryptie die de onderzoekers onlangs onderzochten, is ontworpen om te draaien op TETRA-encryptiealgoritmen.

De onderzoekers ontdekten het probleem met de end-to-end encryptie (E2EE) pas na het extraheren en reverse-engineeren van het E2EE-algoritme in een radio van Sepura. De onderzoekers zijn van plan hun bevindingen vandaag te presenteren op de BlackHat-beveiligingsconferentie in Las Vegas.

ETSI merkte, toen het over de kwestie werd benaderd, op dat de end-to-end encryptie die wordt gebruikt met TETRA-gebaseerde radio's geen deel uitmaakt van de ETSI-standaard en ook niet door de organisatie is ontwikkeld. In plaats daarvan werd deze ontwikkeld door de Security and Fraud Prevention Group (SFPG) van The Critical Communications Association (TCCA). ETSI en TCCA werken echter nauw samen, en de twee organisaties hebben veel dezelfde mensen. Brian Murgatroyd, voormalig voorzitter van de technische instantie bij ETSI die verantwoordelijk is voor de TETRA-standaard en de TCCA-groep die de E2EE-oplossing heeft ontwikkeld, schreef namens ETSI en TCCA in een e-mail dat end-to-end encryptie niet was opgenomen in de ETSI-standaard "omdat destijds werd aangenomen dat E2EE alleen zou worden gebruikt door overheidsinstanties waar het ging om nationale veiligheid, en deze instanties hebben vaak speciale beveiligingsbehoeften.

Om deze reden merkte Murgatroyd op dat kopers van TETRA-gebaseerde radio's vrij zijn om andere oplossingen voor end-to-end-encryptie op hun radio's te implementeren, maar hij erkent dat de oplossing die door de TCCA is ontwikkeld en door ETSI is goedgekeurd "voor zover wij kunnen nagaan wijdverbreid wordt gebruikt."

Hoewel TETRA-gebaseerde radioapparaten niet door de politie en het leger in de VS worden gebruikt, gebruiken de meeste politiekorpsen wereldwijd ze wel. Dit geldt onder meer voor politiekorpsen in België en Scandinavische landen, evenals in Oost-Europese landen zoals Servië, Moldavië, Bulgarije en Macedonië, en in het Midden-Oosten in Iran, Irak, Libanon en Syrië. Ook de ministeries van Defensie van Bulgarije, Kazachstan en Syrië gebruiken ze, evenals de Poolse militaire contraspionagedienst, de Finse strijdkrachten en de Libanese en Saoedi-Arabische inlichtingendiensten. Het is echter onduidelijk hoeveel van deze politiediensten ook end-to-end decryptie met hun radio's implementeren.

De TETRA-standaard omvat vier encryptie-algoritmen – TEA1, TEA2, TEA3 en TEA4 – die door radiofabrikanten in verschillende producten kunnen worden gebruikt, afhankelijk van de beoogde klant en het gebruik. De algoritmen hebben verschillende beveiligingsniveaus, afhankelijk van of de radio's binnen of buiten Europa worden verkocht. TEA2 is bijvoorbeeld beperkt tot gebruik in radio's die worden gebruikt door politie, hulpdiensten, leger en inlichtingendiensten in Europa. TEA3 is beschikbaar voor radio's van politie en hulpdiensten die buiten Europa worden gebruikt, maar alleen in landen die als "vriendelijk" voor de EU worden beschouwd. Alleen TEA1 is beschikbaar voor radio's die worden gebruikt door openbare veiligheidsdiensten, politiediensten en legers in landen die als niet-vriendelijk voor Europa worden beschouwd, zoals Iran. Maar het wordt ook gebruikt in kritieke infrastructuur in de VS en andere landen voor machine-to-machinecommunicatie in industriële besturingsomgevingen zoals pijpleidingen, spoorwegen en elektriciteitsnetten.

Alle vier TETRA-encryptiealgoritmen gebruiken 80-bits sleutels om communicatie te beveiligen. Maar de Nederlandse onderzoekers onthulden in 2023 dat TEA1 een functie heeft waardoor de sleutel wordt teruggebracht tot slechts 32 bits, waardoor de onderzoekers deze in minder dan een minuut konden kraken.

In het geval van de E2EE ontdekten de onderzoekers dat de implementatie die ze onderzochten, begint met een sleutel die veiliger is dan die gebruikt in de TETRA-algoritmen, maar deze wordt teruggebracht tot 56 bits, waardoor iemand mogelijk spraak- en datacommunicatie kan decoderen. Ze ontdekten ook een tweede kwetsbaarheid waardoor iemand frauduleuze berichten kan versturen of legitieme berichten kan afspelen om misinformatie of verwarring te verspreiden onder personeel dat de radio's gebruikt.

De mogelijkheid om spraakverkeer te injecteren en berichten opnieuw af te spelen, heeft volgens de onderzoekers gevolgen voor alle gebruikers van het TCCA end-to-end encryptieschema. Volgens hen is dit het gevolg van fouten in het ontwerp van het TCCA E2EE-protocol, en niet van een specifieke implementatie. Ze zeggen ook dat "eindgebruikers van rechtshandhavingsinstanties" aan hen hebben bevestigd dat deze fout zich bevindt in portofoons die door andere leveranciers dan Sepura worden geproduceerd.

Volgens de onderzoekers wordt waarschijnlijk slechts een beperkt aantal gebruikers van end-to-end-encryptie getroffen door de kwetsbaarheid van de verminderde sleutel. Dit hangt namelijk af van de manier waarop de encryptie is geïmplementeerd in radio's die aan verschillende landen worden verkocht.

Murgatroyd van ETSI zei in 2023 dat de TEA1-sleutel was gereduceerd om te voldoen aan de exportcontroles voor encryptie die aan klanten buiten Europa werd verkocht. Hij zei dat toen het algoritme werd ontwikkeld, een sleutel met 32 bits entropie voor de meeste toepassingen als veilig werd beschouwd. Door de vooruitgang in rekenkracht is het nu minder veilig, dus toen de Nederlandse onderzoekers de gereduceerde sleutel twee jaar geleden openbaarden, adviseerde ETSI klanten die TEA1 gebruiken om de end-to-end encryptieoplossing van TCCA eroverheen te implementeren.

Murgatroyd zei echter dat het end-to-end encryptiealgoritme dat TCCA heeft ontworpen, anders is. Het specificeert niet de sleutellengte die de radio's moeten gebruiken, omdat overheden die end-to-end encryptie gebruiken hun eigen "specifieke en vaak gepatenteerde beveiligingsregels" hebben voor de apparaten die ze gebruiken. Daarom kunnen ze het TCCA-encryptiealgoritme in hun apparaten aanpassen door samen te werken met hun radioleverancier om het "encryptiealgoritme, sleutelbeheer, enzovoort" te selecteren dat voor hen geschikt is – maar slechts tot op zekere hoogte.

"De keuze van het encryptie-algoritme en de sleutel wordt gemaakt tussen de leverancier en de klantorganisatie, en ETSI heeft geen inspraak in deze keuze – noch weet welke algoritmen en sleutellengtes in welk systeem dan ook worden gebruikt", zei hij. Maar hij voegde eraan toe dat radiofabrikanten en klanten "zich altijd aan de exportcontrolevoorschriften zullen moeten houden".

De onderzoekers zeggen dat ze niet kunnen verifiëren dat de TCCA E2EE geen sleutellengte specificeert, omdat de TCCA-documentatie die de oplossing beschrijft, beschermd is door een geheimhoudingsverklaring en alleen aan radioleveranciers wordt verstrekt. Ze merken echter op dat het E2EE-systeem een "algoritme-identificatie"-nummer aanroept, wat betekent dat het het specifieke algoritme aanroept dat het gebruikt voor de end-to-end encryptie. Deze identificaties zijn niet leverancierspecifiek, zeggen de onderzoekers, wat suggereert dat de identificaties verwijzen naar verschillende sleutelvarianten die door TCCA worden geproduceerd. Dit betekent dat TCCA specificaties biedt voor algoritmen die een 126-bits of 56-bits sleutel gebruiken, en radioleveranciers kunnen hun apparaten configureren om een van deze varianten te gebruiken, afhankelijk van de exportcontroles die van kracht zijn in het land van aankoop.

Of gebruikers weten dat hun portofoons deze kwetsbaarheid kunnen hebben, is onduidelijk. De onderzoekers vonden een vertrouwelijk productbulletin van Sepura uit 2006 dat iemand online had gelekt , waarin stond dat "de lengte van de verkeerssleutel ... onderworpen is aan exportcontrolevoorschriften en dat het [encryptiesysteem in het apparaat] daarom in de fabriek geconfigureerd zal zijn om sleutellengtes van 128, 64 of 56 bits te ondersteunen." Het is echter onduidelijk wat Sepura-klanten ontvangen of of andere fabrikanten van portofoons die een gereduceerde sleutel gebruiken, aan klanten bekendmaken of hun portofoons een algoritme met een gereduceerde sleutel gebruiken.

"Sommige fabrikanten vermelden dit in brochures; anderen vermelden het alleen in interne communicatie, en weer anderen vermelden het helemaal niet", zegt Wetzels. Hij zegt dat ze uitgebreid open-sourceonderzoek hebben gedaan om leveranciersdocumentatie te bestuderen en "geen duidelijke tekenen hebben gevonden dat de verzwakking aan eindgebruikers wordt gecommuniceerd. Dus hoewel er 'sommige' vermeldingen zijn van de verzwakking van het algoritme, is het helemaal niet volledig transparant."

Sepura heeft niet gereageerd op een vraag van WIRED.

Murgatroyd zegt echter dat overheidsklanten die ervoor hebben gekozen om de E2EE-oplossing van TCCA te gebruiken, op de hoogte moeten zijn van de beveiliging van hun apparaten. Ze zullen zich er waarschijnlijk ook van bewust zijn als hun systemen een beveiligde sleutel gebruiken.

"Aangezien end-to-end-encryptie voornamelijk wordt gebruikt voor overheidscommunicatie, verwachten we dat de relevante nationale veiligheidsdiensten van de overheid zich volledig bewust zijn van de mogelijkheden van hun end-to-end-encryptiesystemen en hun gebruikers hierover adequaat kunnen adviseren", schreef Murgatroyd in zijn e-mail.

Wetzels is hier echter sceptisch over. "Wij achten het zeer onwaarschijnlijk dat niet-westerse regeringen bereid zijn letterlijk miljoenen dollars uit te geven als ze weten dat ze maar 56 bits beveiliging krijgen", zegt hij.