Пару лет назад нидерландские исследователи вскрыли серьёзную уязвимость в алгоритмах шифрования, которые встроены в радиостанции по стандарту TETRA. Эти устройства используют службы по всему миру — от полиции и военных до объектов критической инфраструктуры. Тогда выяснилось, что один из алгоритмов, TEA1, снижает длину ключа с 80 до 32 бит, что позволяло расшифровывать перехваченные переговоры за минуту.
Чтобы как-то компенсировать эту дыру, Европейский институт телекоммуникационных стандартов (ETSI) в 2023 году порекомендовал использовать дополнительное шифрование — end-to-end encryption (E2EE), разработанное группой TCCA.
Но теперь та же команда исследователей из Midnight Blue заявила: в одном из реализованных вариантов E2EE — тоже уязвимость. Более того, суть проблемы — всё та же: ключ вроде бы начинается с 128 бит, но потом зачем-то обрезается до 56. Это делает взлом таким же реальным, как и с TEA1.
Исследователи нашли и ещё одну уязвимость: можно подделывать сообщения или проигрывать старые, чтобы запутать пользователей. То есть кто-то может вставить в эфир ложную команду или дезинформацию, и никто сразу не поймёт, что что-то не так. И это — не проблема одного производителя, такая дыра есть у нескольких вендоров.
Важно: речь идёт не о каких-то обычных гаджетах. Эти системы стоят миллионы и используются для охраны границ, операций спецслужб, связи военных. Сама же TCCA, по словам экспертов, документирует алгоритмы и длины ключей, но делает это под NDA, так что доступ к спецификациям есть только у производителей.
Один из производителей — Sepura — в старом внутреннем документе (утекшем в сеть) упоминал, что длина ключа зависит от экспортных ограничений, и на заводе устройство могут настроить на 128, 64 или даже 56 бит. Но ни Sepura, ни другие производители, по словам исследователей, не всегда доносят до клиентов факт, что они используют ослабленную криптографию. Иногда это упоминается в брошюрах, иногда только во внутренних документах, а чаще — вообще никак.
ETSI открестился от авторства E2EE, заявив, что разработка была инициативой TCCA. Тем не менее, они одобрили использование этого шифрования два года назад, и, судя по всему, теперь оно внедрено шире, чем планировалось.
Вопрос в том, знают ли пользователи об этом. ETSI утверждает, что правительственные заказчики должны быть в курсе. Исследователи в этом сомневаются:
«Мы не верим, что кто-то платит миллионы долларов, зная, что в итоге получает всего 56 бит защиты», — говорит один из авторов работы, Йос Ветзелс.
Вывод один: если даже «поверх» небезопасного шифрования кладут ещё один слой, он тоже может оказаться дырявым. Особенно если за спецификациями никто толком не следит, а покупатели верят на слово.
