Onderzoekers vinden 'backdoor' in algoritme gebruikt voor versleuteld radioverkeer
Onderzoekers hebben verschillende kwetsbaarheden in de Terrestrial Trunked Radio (TETRA) standaard ontdekt, die wereldwijd gebruikt wordt door hulpdiensten zoals het Nederlandse C2000, alsmede militaire communicatie en de vitale infrastructuur. Het gaat onder andere om een 'backdoor' in het algoritme voor het versleutelen van radioverkeer.
TETRA is een van de meestgebruikte mobiele radiostandaarden voor professioneel gebruik - in het bijzonder voor hulpdiensten - en wordt al decennia lang gebruikt voor stem-, data- en machine-naar-machineverkeer. Hoewel het grootste deel van de TETRA-standaard publiek inzichtelijk is, berust de beveiliging op een set geheime, propriëtaire cryptografische algoritmes die alleen worden verschaft onder een strikte geheimhoudingsverklaring.
Deze algoritmes omvatten de TETRA Authentication Algorithm (TAA1) suite voor authenticatie en sleutelbeheer, en de TETRA Encryption Algorithm (TEA) suite voor Air Interface Encryption (AIE). De TEA suite bestaat op zijn beurt uit vier "stream ciphers" met 80-bits sleutels: TEA1 tot en met TEA4, waarbij TEA1 en TEA4 bedoeld zijn voor commercieel gebruik en restrictieve exportscenario's terwijl TEA2 en TEA3 bedoeld zijn voor respectievelijk gebruik door Europese en buiten-Europese hulpdiensten.
De kwetsbaarheden die onderzoekers van securitybedrijf Midnight Blue ontdekten, en de naam TETRA:BURST kregen, maken het mogelijk voor aanvallers om versleutelde berichten te ontsleutelen en valse berichten te injecteren. Het gaat onder andere om een 'cryptografische achterdeur' in het TEA1-algoritme dat veel gebruikt wordt in de vitale infrastructuur. "Deze backdoor doorbreekt alle beveiliging van het algoritme, en maakt ontsleuteling en manipulatie van radioverkeer mogelijk", zegt Carlo Meijer van Midnight Blue.
Volgens Meijer kunnen aanvallers via de backdoor niet alleen radiocommunicatie van private beveiligingsdiensten van havens, vliegvelden en spoorwegen onderscheppen, maar kunnen ze ook dataverkeer injecteren dat gebruikt wordt voor monitoring of voor de aansturing van industriële apparatuur. "Dit kan een aanvaller potentieel gevaarlijke acties uit laten voeren, zoals het openen van schakelaars in elektrische verdeelstations of het manipuleren van spoorwegsignaleringsberichten."
Het beveiligingslek, aangeduid als CVE-2022-24402, zorgt ervoor dat de originele 80-bit key wordt teruggebracht naar een sleutellengte die binnen enkele minuten op "consumentenhardware" is te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast. Voor sommige van de kwetsbaarheden zijn inmiddels beveiligingsupdates verschenen en voor andere zijn mitigerende maatregelen mogelijk.
Een gedetailleerd rapport is inmiddels door het Nationaal Cyber Security Centrum (NCSC) verspreid onder belanghebbenden, en zal tijdens de Black Hat USA 2023 conferentie volgende maand openbaar worden gemaakt.
https://www.volkskrant.nl/nieuws-achtergrond/onderzoekers-ontdekken-ernstige-kwetsbaarheden-in-veelgebruikte-radiocommunicatie-ook-c2000-getroffen~b8f7034a/
Klinkt als een downgrade aanval. Ben nieuwsgierig naar de exacte uitkomst.
https://nl.wikipedia.org/wiki/Auguste_Kerckhoffs
Er hoeft maar een (lees: 1) ontevreden (ex)werknemer aan de verkeerde partij iets te lekken over het "propriëtaire cryptografische algoritme" en het hele systeem is lek. "Security by obscurity" is daarom een slecht cryptografisch principe. Auguste Kerckhoffs publiceerde dat al in 1883 .... 140 jaar geleden ....
TETRA: terug naar de tekentafel, het kan veel beter.
Nee hoor:
Daar lijkt het verdacht veel op. Het verouderde TETRA kan in ieder geval ook in het museum worden opgenomen.
https://www.cryptomuseum.com/intel/cia/rubicon.htm
Goede algoritmes zijn openbaar, getoetst door peer-reviews, enz., het idee dat je zelf even een veilig algoritme in elkaar kan klussen is vragen om problemen.
Blijjkbaar is er binary gecompileerde code beschikbaar. Die kun je uitpluizen en analyseren. Dat is meer werk dan source code lezen maar zeker niet onmogelijk.
Gelukkig dat het daar vrijwel meteen opviel. Dat was een backdoor waar alleen overheden en grote bedrijven intrapten.
https://www.etsi.org/newsroom/news/2260-etsi-and-tcca-statement-to-tetra-security-algorithms-research-findings-publication-on-24-july-2023
https://tweakers.net/nieuws/212022/onderzoekers-vinden-kwetsbaarheden-in-radio-encryptiestandaard-van-c2000.html
TEA1 is wel degelijk gebackdoored, gezien TEA1 een 80-bits key gebruikt. Het geheime TEA1 algoritme comprimeert eerst die key tot 32 bits voordat er keystream voor encryptie/decryptie gegenereerd wordt. Zie ook de officiele standaard https://www.etsi.org/deli...0/en_30039207v020101v.pdf
Er zitten nogal wat onjuistheden in het artikel.
Dat er een backdoor in C2000 zit is natuurlijk goed bedacht door die Amerikanen die hielpen bij het ontwerp van de cryptografie. Goed werk! Hou ze in de gaten die agenten.
Hulpdiensten politie ambulance brandweer ... totaal irrelevant.
De overlast door nieuwsgierigen is zonder het bekend zijn van dat tea1 gebeuren al veel te groot.
Havenverkeer aub eerst beoordelen op risico impact. Voor andere diensten, niets nieuws het lijkt een herhaling van eerdere situaties te zijn. Beleidsmatige keuzes en afwegingen gaan boven die van technische.
Dit is in strijd met het "principe van Kerckhoffs" dat luidt: "De veiligheid van een versleutelingssysteem mag niet afhangen van de geheimhouding van het systeem, maar alleen van de geheimhouding van de sleutel."
..
TETRA: terug naar de tekentafel, het kan veel beter.
Uit de tijd dat nog niet aan brute force methodieken gedacht werd. De sleutel is hier wel geheim, de tijd om hem te achterhalen door gewoon te proberen is niet lang genoeg met een beschreven doel.
Dus compleet theoretisch kunnen criminelen met TETRA sets een aardig centje bovenop hun salaris bijverdienen, terwijl ze nu veiliger communiceren dan met Encrochat danwel Sky ECC of Exclu - puur hypocritisch natuurlijk.
Voeg daar politici maar aan toe. En Belastingdienst-medewerkers.
Oh, en militairen, de veilgheidsdiensten, en ... en .. en ...
Die hebben allemaal ook niets te verbergen en laten zich nooit negatief uit over anderen.
Toch?
vroeger, toen de meeste mensen nog fatsoenlijk en eerlijk waren, zat deze communicatie jarenlang onderaan op de publieke FM-band, en was de communicatie voor burgers op hun eigen gewone radio meestal mee te luisteren.
(extra oren en ogen voor de politie dus)
https://tweakers.net/nieuws/212022/onderzoekers-vinden-kwetsbaarheden-in-radio-encryptiestandaard-van-c2000.html?showReaction=18984370#r_18984370
Update door Tijs Hofmans: in het Tweakers artikel stond aanvankelijk dat Tetra buiten Europa niet veel gebruikt werd. Dat is niet waar, dat wordt het wel. Ook is toegevoegd dat Tetra 80-bitsleutels noemt maar heimelijk 32-bitsleutels gebruikt.
vroeger, toen de meeste mensen nog fatsoenlijk en eerlijk waren, zat deze communicatie jarenlang onderaan op de publieke FM-band, en was de communicatie voor burgers op hun eigen gewone radio meestal mee te luisteren.
(extra oren en ogen voor de politie dus)
Ik ben wel benieuwd wie de backdoor in het algoritme heeft geplaatst. Wie heeft de goedkeuring er op afgegeven. Ik ben ook wel benieuwd welk knuppel bedrijf c2000 heeft gedaan. Dat lijken me toch geen kleintjes in de markt.
Ik ben wel benieuwd wie de backdoor in het algoritme heeft geplaatst. Wie heeft de goedkeuring er op afgegeven. Ik ben ook wel benieuwd welk knuppel bedrijf c2000 heeft gedaan. Dat lijken me toch geen kleintjes in de markt.
De protocol designers, en de goedkeuring - het ETSI (europees telecom standaard) standaardisatie commitee .
Als je lang genoeg in de standaarden duikt vind je ook wel de namen en betrokken bedrijven.
Als je in de jaren 90 (design van zoiets begint wel een jaar of tien voordat het klaar is) begint is 80 bit voor een protocol dat real-time moet encrypten op beperkte hardware (portofoons) helemaal niet gek.
Het was ook de effectieve sleutel van Skipjack/Clipper , uit die tijd - ook voor telefonie. Clipper had alleen expliciet in het design een 'law enforcement access' optie . Voor buitenstaanders 80 bits, voor "ons' (NOBUS) veel minder.
Dat is politiek afgeschoten - maar dezelfde design keuzes uit ongeveer dezelfde tijd.
Vooral niet omdat het geen informatie is die 70+ jaar geheim moet blijven - "veld communicatie" is gewoon niet langdurig interessant, eigenlijk alleen tijdens gebruik .
De andere parameter is : het was de tijd van de 'crypto wars' de pogingen van allerlei overheden (US , maar ook EEG) om de export/gebruik van 'sterke' encryptie te verbieden. Het werd behandeld als wapens & munitie .
(lees maar terug over de begintijd van PGP ) .
De verzwakking naar een effectief veel kortere key - daarmee werd de TETRA apparatuur "OK voor export" , wat voor de fabrikanten/ontwerpers óók belangrijk was .
Het enige wat best opmerkelijk is - dat de backdoor blijkbaar 'voor iedereen' is - een model/protocol mode voor "ons soort overheid' en versie met kleine key voor 'export' is eigenlijk wat je verwacht .
Dat was bepaald niet ongebruikelijk - Crypto AG had iets dergelijks (hoog percentage zwakke keys, en alleen trusted gebruikers wisten hoe je de juiste keys moest kiezen) . Ook Philips crypto leverde niet voor iedereen dezelfde crypto kwaliteit.
https://tweakers.net/nieuws/212022/onderzoekers-vinden-kwetsbaarheden-in-radio-encryptiestandaard-van-c2000.html?showReaction=18984370#r_18984370
Update door Tijs Hofmans: in het Tweakers artikel stond aanvankelijk dat Tetra buiten Europa niet veel gebruikt werd. Dat is niet waar, dat wordt het wel. Ook is toegevoegd dat Tetra 80-bitsleutels noemt maar heimelijk 32-bitsleutels gebruikt.
Volgens de presentatie van Doug Gray
Over the Air TETRA Encryption Algorithms (TEAs)
TEA1: European commercial Use
TEA2: EU public Safety organizations
TEA3: Public safety organizations outside EU
TEA4: Commercial organizations outside EU
Zo te zien gaat het to nu toe alleen over de TEAs smaken TEA1 en TEA2. (Dus EU)
CVE-2022-24402 gaat over TEA1, maar
CVE-2022-24401 gaat dus over alle TEAs
https://arstechnica.com/security/2023/07/researchers-find-deliberate-backdoor-in-police-radio-encryption-algorithm/
https://www.rtl-sdr.com/security-researcher-jailed-for-researching-tetra/
https://www.rtl-sdr.com/?s=Dejan+Ornig
door Huib Modderkolk, 29 juli 2023
https://www.volkskrant.nl/nieuws-achtergrond/overheid-weet-al-dertig-jaar-van-achterdeur-in-beveiliging-radiocommunicatie~bcefc760/
TEA1: European commercial Use
TEA2: EU public Safety organizations
TEA3: Public safety organizations outside EU
TEA4: Commercial organizations outside EU
TEA5:
TEA6:
TEA7:
Daarnaast heeft ETSI TEA5, 6 en 7 geïntroduceerd als vervangers voor TEA1, 2 en TEA3 voor Air Interface Encryptie.
https://www.strict.nl/blog/tetra-burst-5-kwetsbaarheden-communicatiesystemen
ETSI has published a set of new algorithms with 192-bit keys – TEA5, TEA6 and TEA7.
Like TEA2, TEA5 has been designed for use by Public Safety and Military Organisations and has been assigned by ETSI for use exclusively in the European Union and associated countries.
http://www.tetraforum.hu/?nyelv=hun&m=41&o=19&mit=359
Wel vreemd die 192 bit. Meestal is het 128 of 256, maar 192 bit ligt er precies tussenin.
https://tcca.info/documents/TETRA-Webinar-QA.pdf/
Q. What key length is to be expected for encryption - 256 or higher? Or enciphering twice or more with different keys?
A. The sort of calculations that we have seen today indicate that something around 192 bits would be enough to resist any foreseeable technological attack from the sort of threat we are looking at – to well beyond 2045.
Air interface encryption is one encryption process, one algorithm, one set of keys, and works in conjunction with end-to-end encryption, which adds a second encryption process, a second algorithm and a second set of keys, so that will result in double enciphering.
Dubbele enryptie, voegt vast iets toe tot en met na 2045
https://i.blackhat.com/BH-US-23/Presentations/US-23-Meijer-All-Cops-Are-Broadcasting.pdf
https://www.usenix.org/system/files/usenixsecurity23-meijer.pdf
En CryptoMuseum besteed er ook aandacht aan
https://www.cryptomuseum.com/crypto/algo/taa/
https://www.cryptomuseum.com/radio/tetra/files/tetracrypto.zip
woensdag 15 november 2023, 12:44 door Redactie
https://www.security.nl/posting/818463/ETSI+maakt+algoritme+gebruikt+versleuteld+radioverkeer+openbaar
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.