image

Onderzoekers vinden 'backdoor' in algoritme gebruikt voor versleuteld radioverkeer

maandag 24 juli 2023, 14:26 door Redactie, 35 reacties

Onderzoekers hebben verschillende kwetsbaarheden in de Terrestrial Trunked Radio (TETRA) standaard ontdekt, die wereldwijd gebruikt wordt door hulpdiensten zoals het Nederlandse C2000, alsmede militaire communicatie en de vitale infrastructuur. Het gaat onder andere om een 'backdoor' in het algoritme voor het versleutelen van radioverkeer.

TETRA is een van de meestgebruikte mobiele radiostandaarden voor professioneel gebruik - in het bijzonder voor hulpdiensten - en wordt al decennia lang gebruikt voor stem-, data- en machine-naar-machineverkeer. Hoewel het grootste deel van de TETRA-standaard publiek inzichtelijk is, berust de beveiliging op een set geheime, propriëtaire cryptografische algoritmes die alleen worden verschaft onder een strikte geheimhoudingsverklaring.

Deze algoritmes omvatten de TETRA Authentication Algorithm (TAA1) suite voor authenticatie en sleutelbeheer, en de TETRA Encryption Algorithm (TEA) suite voor Air Interface Encryption (AIE). De TEA suite bestaat op zijn beurt uit vier "stream ciphers" met 80-bits sleutels: TEA1 tot en met TEA4, waarbij TEA1 en TEA4 bedoeld zijn voor commercieel gebruik en restrictieve exportscenario's terwijl TEA2 en TEA3 bedoeld zijn voor respectievelijk gebruik door Europese en buiten-Europese hulpdiensten.

De kwetsbaarheden die onderzoekers van securitybedrijf Midnight Blue ontdekten, en de naam TETRA:BURST kregen, maken het mogelijk voor aanvallers om versleutelde berichten te ontsleutelen en valse berichten te injecteren. Het gaat onder andere om een 'cryptografische achterdeur' in het TEA1-algoritme dat veel gebruikt wordt in de vitale infrastructuur. "Deze backdoor doorbreekt alle beveiliging van het algoritme, en maakt ontsleuteling en manipulatie van radioverkeer mogelijk", zegt Carlo Meijer van Midnight Blue.

Volgens Meijer kunnen aanvallers via de backdoor niet alleen radiocommunicatie van private beveiligingsdiensten van havens, vliegvelden en spoorwegen onderscheppen, maar kunnen ze ook dataverkeer injecteren dat gebruikt wordt voor monitoring of voor de aansturing van industriële apparatuur. "Dit kan een aanvaller potentieel gevaarlijke acties uit laten voeren, zoals het openen van schakelaars in elektrische verdeelstations of het manipuleren van spoorwegsignaleringsberichten."

Het beveiligingslek, aangeduid als CVE-2022-24402, zorgt ervoor dat de originele 80-bit key wordt teruggebracht naar een sleutellengte die binnen enkele minuten op "consumentenhardware" is te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast. Voor sommige van de kwetsbaarheden zijn inmiddels beveiligingsupdates verschenen en voor andere zijn mitigerende maatregelen mogelijk.

Een gedetailleerd rapport is inmiddels door het Nationaal Cyber Security Centrum (NCSC) verspreid onder belanghebbenden, en zal tijdens de Black Hat USA 2023 conferentie volgende maand openbaar worden gemaakt.

Reacties (35)
24-07-2023, 14:29 door Anoniem
Onze regering was toch voorstander van achterdeurtjes in encrypty? Dus er is geen probleem wat moet worden opgelost.
24-07-2023, 14:34 door Anoniem
Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, is ‘zwaar onder de indruk’ van het werk van de onderzoekers van Midnight Blue. ‘Ze laten overtuigend zien wat de tekortkomingen in Tetra zijn. Dit is oude meuk en had allang vervangen moeten worden.’ De drie onderzoekers gaan ervan uit dat de achterdeur moedwillig is ingebouwd om afluisteren door politie- en inlichtingendiensten mogelijk te maken.

https://www.volkskrant.nl/nieuws-achtergrond/onderzoekers-ontdekken-ernstige-kwetsbaarheden-in-veelgebruikte-radiocommunicatie-ook-c2000-getroffen~b8f7034a/
24-07-2023, 14:52 door Anoniem
Lengte van 80 bit(!) terug brengen naar een lengte die binnen enkele minuten op consumentenhardware te kraken is......
Klinkt als een downgrade aanval. Ben nieuwsgierig naar de exacte uitkomst.
24-07-2023, 15:00 door Anoniem
Een 20+ jaar oude crypto suite, die nooit publiekelijk kon worden getest op kwetsbaarheden en gebruikmaakt van 80-bit keys. Wie haalt het in zijn hoofd om daar hulpdiensten en vitale infrastructuur op te draaien?
24-07-2023, 15:04 door Anoniem
Dit artikel: Hoewel het grootste deel van de TETRA-standaard publiek inzichtelijk is, berust de beveiliging op een set geheime, propriëtaire cryptografische algoritmes die alleen worden verschaft onder een strikte geheimhoudingsverklaring.
Dit is in strijd met het "principe van Kerckhoffs" dat luidt: "De veiligheid van een versleutelingssysteem mag niet afhangen van de geheimhouding van het systeem, maar alleen van de geheimhouding van de sleutel."
https://nl.wikipedia.org/wiki/Auguste_Kerckhoffs
Er hoeft maar een (lees: 1) ontevreden (ex)werknemer aan de verkeerde partij iets te lekken over het "propriëtaire cryptografische algoritme" en het hele systeem is lek. "Security by obscurity" is daarom een slecht cryptografisch principe. Auguste Kerckhoffs publiceerde dat al in 1883 .... 140 jaar geleden ....

Dit artikel: Het gaat onder andere om een 'cryptografische achterdeur' in het TEA1-algoritme dat veel gebruikt wordt in de vitale infrastructuur.
Het TEA1 algoritme is niet open-source, dus dat is per definitie onbetrouwbaar. Alleen propriëtaire software kan een backdoor bevatten.

TETRA: terug naar de tekentafel, het kan veel beter.
24-07-2023, 15:39 door Anoniem
Door Anoniem:Het TEA1 algoritme is niet open-source, dus dat is per definitie onbetrouwbaar. Alleen propriëtaire software kan een backdoor bevatten.

Nee hoor:
https://en.wikipedia.org/wiki/Dual_EC_DRBG
. Als je maar slim genoeg bent kun je overal een backdoor in stoppen.
24-07-2023, 15:45 door Anoniem
Door Anoniem: Onze regering was toch voorstander van achterdeurtjes in encrypty? Dus er is geen probleem wat moet worden opgelost.
Haha....dat is een goeie zeg! Chapeau!
24-07-2023, 15:53 door Anoniem
Rubicon 2.0?
24-07-2023, 16:18 door Anoniem
Door Anoniem: Rubicon 2.0?

Daar lijkt het verdacht veel op. Het verouderde TETRA kan in ieder geval ook in het museum worden opgenomen.

THESAURUS (later: RUBICON), was a secret operation of the German Bundesnachrichtendienst (BND) and the US Central Intelligence Agency (CIA), to purchase the Swiss crypto manufacturer Crypto AG (Hagelin) — codenamed MINERVA — in order to control the company, its algorithms and – indirectly – its customers.

https://www.cryptomuseum.com/intel/cia/rubicon.htm
24-07-2023, 17:13 door Anoniem
... , berust de beveiliging op een set geheime, propriëtaire cryptografische algoritmes die alleen worden verschaft onder een strikte geheimhoudingsverklaring.
Well, there's your problem!

Goede algoritmes zijn openbaar, getoetst door peer-reviews, enz., het idee dat je zelf even een veilig algoritme in elkaar kan klussen is vragen om problemen.
24-07-2023, 17:15 door johanw
Door Anoniem:
Door Anoniem:Het TEA1 algoritme is niet open-source, dus dat is per definitie onbetrouwbaar. Alleen propriëtaire software kan een backdoor bevatten.

Blijjkbaar is er binary gecompileerde code beschikbaar. Die kun je uitpluizen en analyseren. Dat is meer werk dan source code lezen maar zeker niet onmogelijk.

Nee hoor:
https://en.wikipedia.org/wiki/Dual_EC_DRBG
. Als je maar slim genoeg bent kun je overal een backdoor in stoppen.

Gelukkig dat het daar vrijwel meteen opviel. Dat was een backdoor waar alleen overheden en grote bedrijven intrapten.
24-07-2023, 17:39 door Anoniem
Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI), de beheerder van TETRA, stelt in een reactie in een persbericht dat het 'op dit moment' niet op de hoogte is van misbruik van de kwetsbaarheden.

ETSI and TCCA are not at this time aware of any exploitations on operational networks. Together with the TETRA industry community, we continue to invest in and develop the ETSI TETRA standard so that it remains safe and resilient for the public safety, critical infrastructure and enterprise organisations that rely on it every day.

https://www.etsi.org/newsroom/news/2260-etsi-and-tcca-statement-to-tetra-security-algorithms-research-findings-publication-on-24-july-2023
24-07-2023, 17:45 door Anoniem
Wouter Bokslag reageert vandaag ook op Tweakers met:
https://tweakers.net/nieuws/212022/onderzoekers-vinden-kwetsbaarheden-in-radio-encryptiestandaard-van-c2000.html

TEA1 is wel degelijk gebackdoored, gezien TEA1 een 80-bits key gebruikt. Het geheime TEA1 algoritme comprimeert eerst die key tot 32 bits voordat er keystream voor encryptie/decryptie gegenereerd wordt. Zie ook de officiele standaard https://www.etsi.org/deli...0/en_30039207v020101v.pdf

Er zitten nogal wat onjuistheden in het artikel.
24-07-2023, 18:40 door Anoniem
Kan er ook client-side scanning (CSS) in de mobieltjes van de politie? Dat als ze iets zeggen dat racistisch is of discriminerend, dat er een signaaltje naar de overheid gaat zodat die maatregelen kunnen nemen.

Dat er een backdoor in C2000 zit is natuurlijk goed bedacht door die Amerikanen die hielpen bij het ontwerp van de cryptografie. Goed werk! Hou ze in de gaten die agenten.
24-07-2023, 19:06 door karma4
Door Anoniem: Een 20+ jaar oude crypto suite, die nooit publiekelijk kon worden getest op kwetsbaarheden en gebruikmaakt van 80-bit keys. Wie haalt het in zijn hoofd om daar hulpdiensten en vitale infrastructuur op te draaien?

Hulpdiensten politie ambulance brandweer ... totaal irrelevant.
De overlast door nieuwsgierigen is zonder het bekend zijn van dat tea1 gebeuren al veel te groot.

Havenverkeer aub eerst beoordelen op risico impact. Voor andere diensten, niets nieuws het lijkt een herhaling van eerdere situaties te zijn. Beleidsmatige keuzes en afwegingen gaan boven die van technische.
24-07-2023, 19:09 door karma4
Door Anoniem:
Dit is in strijd met het "principe van Kerckhoffs" dat luidt: "De veiligheid van een versleutelingssysteem mag niet afhangen van de geheimhouding van het systeem, maar alleen van de geheimhouding van de sleutel."
..
TETRA: terug naar de tekentafel, het kan veel beter.

Uit de tijd dat nog niet aan brute force methodieken gedacht werd. De sleutel is hier wel geheim, de tijd om hem te achterhalen door gewoon te proberen is niet lang genoeg met een beschreven doel.
25-07-2023, 09:39 door Anoniem
Door karma4: Havenverkeer aub eerst beoordelen op risico impact.
Ach... https://www.at5.nl/artikelen/221493/steeds-meer-coke-in-de-haven-groeit-amsterdam-uit-tot-nieuwe-hotspot-voor-invoer-van-cocaine
Dus compleet theoretisch kunnen criminelen met TETRA sets een aardig centje bovenop hun salaris bijverdienen, terwijl ze nu veiliger communiceren dan met Encrochat danwel Sky ECC of Exclu - puur hypocritisch natuurlijk.
25-07-2023, 09:54 door Anoniem
Door Anoniem: Kan er ook client-side scanning (CSS) in de mobieltjes van de politie? Dat als ze iets zeggen dat racistisch is of discriminerend, dat er een signaaltje naar de overheid gaat zodat die maatregelen kunnen nemen.

Voeg daar politici maar aan toe. En Belastingdienst-medewerkers.
Oh, en militairen, de veilgheidsdiensten, en ... en .. en ...


Die hebben allemaal ook niets te verbergen en laten zich nooit negatief uit over anderen.
Toch?
25-07-2023, 10:25 door Anoniem
Door Anoniem: Een 20+ jaar oude crypto suite, die nooit publiekelijk kon worden getest op kwetsbaarheden en gebruikmaakt van 80-bit keys. Wie haalt het in zijn hoofd om daar hulpdiensten en vitale infrastructuur op te draaien?
Ik kan het je sterker vertellen:
vroeger, toen de meeste mensen nog fatsoenlijk en eerlijk waren, zat deze communicatie jarenlang onderaan op de publieke FM-band, en was de communicatie voor burgers op hun eigen gewone radio meestal mee te luisteren.
(extra oren en ogen voor de politie dus)
25-07-2023, 11:03 door Anoniem

Update door Tijs Hofmans: in het Tweakers artikel stond aanvankelijk dat Tetra buiten Europa niet veel gebruikt werd. Dat is niet waar, dat wordt het wel. Ook is toegevoegd dat Tetra 80-bitsleutels noemt maar heimelijk 32-bitsleutels gebruikt.
25-07-2023, 11:33 door Anoniem
Door Anoniem:
Door Anoniem: Een 20+ jaar oude crypto suite, die nooit publiekelijk kon worden getest op kwetsbaarheden en gebruikmaakt van 80-bit keys. Wie haalt het in zijn hoofd om daar hulpdiensten en vitale infrastructuur op te draaien?
Ik kan het je sterker vertellen:
vroeger, toen de meeste mensen nog fatsoenlijk en eerlijk waren, zat deze communicatie jarenlang onderaan op de publieke FM-band, en was de communicatie voor burgers op hun eigen gewone radio meestal mee te luisteren.
(extra oren en ogen voor de politie dus)
Ja precies, meeluisterbare hulpdiensten dat heeft zeker ook voordelen. Naast de extra ogen en oren geeft het ook transparantie over gebruikte werkwijzen.
25-07-2023, 14:58 door Anoniem
Door Anoniem: Een 20+ jaar oude crypto suite, die nooit publiekelijk kon worden getest op kwetsbaarheden en gebruikmaakt van 80-bit keys. Wie haalt het in zijn hoofd om daar hulpdiensten en vitale infrastructuur op te draaien?

Ik ben wel benieuwd wie de backdoor in het algoritme heeft geplaatst. Wie heeft de goedkeuring er op afgegeven. Ik ben ook wel benieuwd welk knuppel bedrijf c2000 heeft gedaan. Dat lijken me toch geen kleintjes in de markt.
25-07-2023, 15:56 door Anoniem
Door Anoniem:
Door Anoniem: Een 20+ jaar oude crypto suite, die nooit publiekelijk kon worden getest op kwetsbaarheden en gebruikmaakt van 80-bit keys. Wie haalt het in zijn hoofd om daar hulpdiensten en vitale infrastructuur op te draaien?

Ik ben wel benieuwd wie de backdoor in het algoritme heeft geplaatst. Wie heeft de goedkeuring er op afgegeven. Ik ben ook wel benieuwd welk knuppel bedrijf c2000 heeft gedaan. Dat lijken me toch geen kleintjes in de markt.

De protocol designers, en de goedkeuring - het ETSI (europees telecom standaard) standaardisatie commitee .
Als je lang genoeg in de standaarden duikt vind je ook wel de namen en betrokken bedrijven.

Als je in de jaren 90 (design van zoiets begint wel een jaar of tien voordat het klaar is) begint is 80 bit voor een protocol dat real-time moet encrypten op beperkte hardware (portofoons) helemaal niet gek.
Het was ook de effectieve sleutel van Skipjack/Clipper , uit die tijd - ook voor telefonie. Clipper had alleen expliciet in het design een 'law enforcement access' optie . Voor buitenstaanders 80 bits, voor "ons' (NOBUS) veel minder.
Dat is politiek afgeschoten - maar dezelfde design keuzes uit ongeveer dezelfde tijd.

Vooral niet omdat het geen informatie is die 70+ jaar geheim moet blijven - "veld communicatie" is gewoon niet langdurig interessant, eigenlijk alleen tijdens gebruik .

De andere parameter is : het was de tijd van de 'crypto wars' de pogingen van allerlei overheden (US , maar ook EEG) om de export/gebruik van 'sterke' encryptie te verbieden. Het werd behandeld als wapens & munitie .
(lees maar terug over de begintijd van PGP ) .

De verzwakking naar een effectief veel kortere key - daarmee werd de TETRA apparatuur "OK voor export" , wat voor de fabrikanten/ontwerpers óók belangrijk was .

Het enige wat best opmerkelijk is - dat de backdoor blijkbaar 'voor iedereen' is - een model/protocol mode voor "ons soort overheid' en versie met kleine key voor 'export' is eigenlijk wat je verwacht .
Dat was bepaald niet ongebruikelijk - Crypto AG had iets dergelijks (hoog percentage zwakke keys, en alleen trusted gebruikers wisten hoe je de juiste keys moest kiezen) . Ook Philips crypto leverde niet voor iedereen dezelfde crypto kwaliteit.
25-07-2023, 19:53 door Anoniem
Door Anoniem:
Update door Tijs Hofmans: in het Tweakers artikel stond aanvankelijk dat Tetra buiten Europa niet veel gebruikt werd. Dat is niet waar, dat wordt het wel. Ook is toegevoegd dat Tetra 80-bitsleutels noemt maar heimelijk 32-bitsleutels gebruikt.

Volgens de presentatie van Doug Gray
Over the Air TETRA Encryption Algorithms (TEAs)
TEA1: European commercial Use
TEA2: EU public Safety organizations
TEA3: Public safety organizations outside EU
TEA4: Commercial organizations outside EU

Zo te zien gaat het to nu toe alleen over de TEAs smaken TEA1 en TEA2. (Dus EU)
26-07-2023, 16:45 door Anoniem
Op de website van de ontdekkers staan 2 Youtube videos, waarbij de volgende vulnerabilities worden getoond:
CVE-2022-24402 gaat over TEA1, maar
CVE-2022-24401 gaat dus over alle TEAs
26-07-2023, 20:04 door Anoniem
The researchers didn’t find any weaknesses in the TEA2 algorithm used by police, military, and emergency services in Europe, but they did initially think they found another backdoor in TEA3. Given that TEA3 is the exportable version of TEA2, there was good reason to believe it might also have a backdoor to meet export requirements.
https://arstechnica.com/security/2023/07/researchers-find-deliberate-backdoor-in-police-radio-encryption-algorithm/
27-07-2023, 15:21 door Anoniem
Nu maar hopen dat de ontdekkers van deze kwetsbaarheden niet hetzelfde lot ondergaan als Dejan Ornig.

https://www.rtl-sdr.com/security-researcher-jailed-for-researching-tetra/
https://www.rtl-sdr.com/?s=Dejan+Ornig
29-07-2023, 08:49 door Anoniem
De Nederlandse overheid wist al dertig jaar dat de Tetra-standaard voor radiocommunicatie opzettelijk een verzwakte encryptie had. Die ‘achterdeur’ werd op aandringen van de overheid ingebouwd, bevestigt de inmiddels gepensioneerde Gert Roelofsen (KPN), destijds verantwoordelijk voor de beveiliging van Tetra, aan de Volkskrant.

De algoritmen werden in Nederland ontworpen, maar niet ontwikkeld. Dat werd volgens Roelofsen onder meer in Engeland gedaan. Roelofsen is in 2002 gestopt bij KPN en ging toen werken bij het Nationaal Bureau voor Verbindingsbeveiliging (NBV), dat toen net bij veiligheidsdienst AIVD was ondergebracht.

door Huib Modderkolk, 29 juli 2023

https://www.volkskrant.nl/nieuws-achtergrond/overheid-weet-al-dertig-jaar-van-achterdeur-in-beveiliging-radiocommunicatie~bcefc760/
02-08-2023, 16:13 door Anoniem
Er zij dus nu nog meer Over the Air TETRA Encryption Algorithms (TEAs) smaken vanaf TEA5
TEA1: European commercial Use
TEA2: EU public Safety organizations
TEA3: Public safety organizations outside EU
TEA4: Commercial organizations outside EU
TEA5:
TEA6:
TEA7:

Daarnaast heeft ETSI TEA5, 6 en 7 geïntroduceerd als vervangers voor TEA1, 2 en TEA3 voor Air Interface Encryptie.
https://www.strict.nl/blog/tetra-burst-5-kwetsbaarheden-communicatiesystemen
04-08-2023, 21:35 door Anoniem
TEA5 is dus de opvolger van TEA2:

ETSI has published a set of new algorithms with 192-bit keys – TEA5, TEA6 and TEA7.
Like TEA2, TEA5 has been designed for use by Public Safety and Military Organisations and has been assigned by ETSI for use exclusively in the European Union and associated countries.

http://www.tetraforum.hu/?nyelv=hun&m=41&o=19&mit=359

Wel vreemd die 192 bit. Meestal is het 128 of 256, maar 192 bit ligt er precies tussenin.
07-08-2023, 11:21 door Anoniem
Eindelijk het antwoord gevonden over die 192 bit encryptie:

https://tcca.info/documents/TETRA-Webinar-QA.pdf/

Q. What key length is to be expected for encryption - 256 or higher? Or enciphering twice or more with different keys?
A. The sort of calculations that we have seen today indicate that something around 192 bits would be enough to resist any foreseeable technological attack from the sort of threat we are looking at – to well beyond 2045.
Air interface encryption is one encryption process, one algorithm, one set of keys, and works in conjunction with end-to-end encryption, which adds a second encryption process, a second algorithm and a second set of keys, so that will result in double enciphering.

Dubbele enryptie, voegt vast iets toe tot en met na 2045
10-08-2023, 11:17 door Anoniem
De presentatie is na de Blackhat sessie vrijgegeven.
https://i.blackhat.com/BH-US-23/Presentations/US-23-Meijer-All-Cops-Are-Broadcasting.pdf
11-08-2023, 08:06 door Anoniem
Op Usenix is nu een uitgebreide beschrijving geplaatst.
https://www.usenix.org/system/files/usenixsecurity23-meijer.pdf

En CryptoMuseum besteed er ook aandacht aan
https://www.cryptomuseum.com/crypto/algo/taa/
13-08-2023, 15:03 door Anoniem
Het CryptoMuseum heeft de source op 9 augustus 2023 geplaatst van TEA1, TEA2 en TEA3. Maar TEA4 ontbreekt.
https://www.cryptomuseum.com/radio/tetra/files/tetracrypto.zip
15-11-2023, 12:57 door Anoniem
ETSI maakt geheim algoritme gebruikt voor versleuteld radioverkeer openbaar
woensdag 15 november 2023, 12:44 door Redactie

https://www.security.nl/posting/818463/ETSI+maakt+algoritme+gebruikt+versleuteld+radioverkeer+openbaar
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.