De backdoor die recentelijk werd ontdekt in de Terrestrial Trunked Radio (TETRA) standaard, gebruikt voor het beveiligen van radioverkeer van hulpdiensten, is dertig jaar geleden opgelegd door de Nederlandse overheid. Dat laat Gert Roelofsen, die destijds verantwoordelijk was voor de beveiliging van TETRA, aan de Volkskrant weten.
De backdoor in het TEA1-algoritme van de TETRA-standaard, aangeduid als CVE-2022-24402, zorgt ervoor dat de originele 80-bits key gebruikt voor het versleutelen van het radioverkeer wordt teruggebracht naar een sleutellengte van slechts 32-bits. Daardoor is de sleutel volgens onderzoekers binnen enkele minuten op "consumentenhardware" te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast.
"De zwakke beveiliging van TEA1 is door de overheid opgelegd. De sleutellengte moest worden beperkt", aldus Roelofsen. Hij merkt op dat de ontdekking van de backdoor voor een "heel klein deel van de Nederlandse overheid" geen verrassing kan zijn. Het TEA1-algoritme was bedoeld voor het beveiligen van het radioverkeer van politiediensten buiten Europa. De apparatuur die zij ontvingen was slechter beveiligd dan die van West-Europese landen.
Roelofsen, die vanaf 1991 bij de beveiliging van TETRA betrokken was, herinnert zich nog een 'vergadering in Den Haag'. Daar waren allerlei Nederlandse overheidsdiensten aanwezig, waaronder mensen van het Nationaal Bureau voor Verbindingsbeveiliging (NBV), dat zich bij de AIVD bezighoudt met de beveiliging van overheidsinformatie. Tijdens de vergadering werd het Nederlandse standpunt duidelijk gemaakt. "Er was intern ook wel discussie bij de overheid, maar dit was uiteindelijk de voorwaarde", aldus Roelofsen over het verzwakken van het algoritme.
Volgens Roelofsen had de beslissing te maken met het Akkoord van Wassenaar, waarin Europese landen afspraken maakten over de export van zogeheten dual-use-technologieën. Technologieën die ook militair te gebruiken zijn. Het sterkere TEA2-algoritme, waar ook het Nederlandse C2000-systeem op is gebaseerd, was voor West-Europese politiediensten. TEA1 wordt echter wel in de Nederlandse vitale infrastructuur gebruikt, zoals de Rotterdamse haven. De AIVD wil geen antwoord geven hoelang het van de backdoor afwist. Roelofsen merkt op dat het voor experts eenvoudig is om de backdoor te ontdekken. "Dat is niet heel moeilijk om te achterhalen."
Deze posting is gelocked. Reageren is niet meer mogelijk.