Dois anos atrás, pesquisadores na Holanda descobriram uma porta dos fundos intencional em um algoritmo de criptografia embutido em rádios usados por infraestrutura crítica, além de polícia, agências de inteligência e forças militares ao redor do mundo, que tornava qualquer comunicação protegida pelo algoritmo vulnerável à escuta.
Quando os pesquisadores divulgaram publicamente o problema em 2023, o Instituto Europeu de Normas de Telecomunicações (ETSI), que desenvolveu o algoritmo, aconselhou qualquer um que estivesse usando-o para comunicação sensível a implantar uma solução de criptografia de ponta a ponta sobre o algoritmo defeituoso para aumentar a segurança de suas comunicações.
Mas agora, os mesmos pesquisadores descobriram que pelo menos uma implementação da solução de criptografia de ponta a ponta endossada pelo ETSI tem um problema similar que a torna igualmente vulnerável à escuta. O algoritmo de criptografia usado para o dispositivo que eles examinaram começa com uma chave de 128 bits, mas esta é comprimida para 56 bits antes de criptografar o tráfego, tornando mais fácil de quebrar. Não está claro quem está usando essa implementação do algoritmo de criptografia de ponta a ponta, nem se alguém que utiliza dispositivos com a criptografia de ponta a ponta está ciente da vulnerabilidade de segurança neles.
A criptografia de ponta a ponta que os pesquisadores examinaram, que é cara para implantar, é mais comumente usada em rádios para agências de aplicação da lei, forças especiais e equipes militares e de inteligência encobertas que estão envolvidas em trabalhos de segurança nacional e, portanto, precisam de uma camada extra de segurança. Mas o endosse do algoritmo pelo ETSI dois anos atrás para mitigar falhas encontradas em seu algoritmo de criptografia de nível inferior sugere que pode estar sendo usado de forma mais ampla agora do que na época.
Em 2023, Carlo Meijer, Wouter Bokslag e Jos Wetzels da empresa de segurança Midnight Blue, com sede na Holanda, descobriram vulnerabilidades em algoritmos de criptografia que são parte de um padrão de rádio europeu criado pelo ETSI chamado TETRA (Rádio Trunked Terrestre), que tem sido incorporado em sistemas de rádio fabricados pela Motorola, Damm, Sepura, entre outros desde os anos 90. As falhas permaneceram desconhecidas publicamente até a sua divulgação, porque o ETSI se recusou por décadas a deixar qualquer um examinar os algoritmos proprietários. A criptografia de ponta a ponta que os pesquisadores examinaram recentemente é projetada para rodar sobre algoritmos de criptografia TETRA.
Os pesquisadores encontraram o problema com a criptografia de ponta a ponta (E2EE) apenas depois de extrair e reverter o algoritmo E2EE usado em um rádio fabricado pela Sepura. Os pesquisadores planejam apresentar suas descobertas hoje na conferência de segurança BlackHat em Las Vegas.
O ETSI, quando contatado sobre o assunto, observou que a criptografia de ponta a ponta usada com rádios baseados em TETRA não faz parte do padrão ETSI, nem foi criada pela organização. Em vez disso, foi produzida pelo grupo de segurança e prevenção de fraudes da Critical Communications Association (TCCA). Mas ETSI e TCCA trabalham em estreita colaboração e as duas organizações incluem muitas das mesmas pessoas. Brian Murgatroyd, ex-presidente do corpo técnico do ETSI responsável pelo padrão TETRA, assim como do grupo TCCA que desenvolveu a solução E2EE, escreveu em um e-mail em nome do ETSI e do TCCA que a criptografia de ponta a ponta não foi incluída no padrão ETSI “porque na época considerava-se que a E2EE seria utilizada apenas por grupos governamentais onde preocupações de segurança nacional estavam envolvidas, e esses grupos muitas vezes têm necessidades de segurança especiais.
Por essa razão, Murgatroyd observou que os compradores de rádios baseados em TETRA estão livres para implantar outras soluções para criptografia de ponta a ponta em seus rádios, mas ele reconhece que a produzida pela TCCA e endossada pelo ETSI “é amplamente utilizada, pelo que sabemos.”
Embora os dispositivos de rádio baseados em TETRA não sejam usados pela polícia e militares nos EUA, a maioria das forças policiais ao redor do mundo os utiliza. Isso inclui forças policiais na Bélgica e países escandinavos, bem como países da Europa Oriental como Sérvia, Moldávia, Bulgária e Macedônia, e no Oriente Médio, como Irã, Iraque, Líbano e Síria. Os Ministérios da Defesa na Bulgária, Cazaquistão e Síria também os usam, assim como a agência de contrainteligência militar da Polônia, as forças de defesa da Finlândia e os serviços de inteligência do Líbano e da Arábia Saudita. No entanto, não está claro quantos desses também implantam criptografia de ponta a ponta com seus rádios.
O padrão TETRA inclui quatro algoritmos de criptografia—TEA1, TEA2, TEA3 e TEA4—que podem ser usados por fabricantes de rádios em diferentes produtos, dependendo do cliente pretendido e do uso. Os algoritmos têm diferentes níveis de segurança com base em se os rádios serão vendidos dentro ou fora da Europa. TEA2, por exemplo, é restrito ao uso em rádios usados por polícia, serviços de emergência, militares e agências de inteligência na Europa. TEA3 está disponível para rádios de polícia e serviços de emergência usados fora da Europa, mas apenas em países considerados “amigos” da UE. Apenas TEA1 está disponível para rádios usados por agências de segurança pública, agências policiais e militares em países considerados não amigos da Europa, como Irã. Mas também é usado em infraestrutura crítica nos EUA e em outros países para comunicação máquina a máquina em configurações de controle industrial, como oleodutos, ferrovias e redes elétricas.
Todos os quatro algoritmos de criptografia TETRA usam chaves de 80 bits para assegurar a comunicação. Mas os pesquisadores holandeses revelaram em 2023 que o TEA1 tem um recurso que faz com que sua chave seja reduzida a apenas 32 bits, o que permitiu que os pesquisadores o quebrassem em menos de um minuto.
No caso da E2EE, os pesquisadores descobriram que a implementação que examinaram começa com uma chave que é mais segura do que as usadas nos algoritmos TETRA, mas é reduzida a 56 bits, o que potencialmente permitiria que alguém descriptografasse comunicações de voz e dados. Eles também encontraram uma segunda vulnerabilidade que permitiria que alguém enviasse mensagens fraudulentas ou repetisse mensagens legítimas para espalhar desinformação ou confusão entre o pessoal que usa os rádios.
A capacidade de injetar tráfego de voz e repetir mensagens afeta todos os usuários do esquema de criptografia de ponta a ponta da TCCA, de acordo com os pesquisadores. Eles dizem que isso é resultado de falhas no design do protocolo E2EE da TCCA, e não de uma implementação específica. Eles também afirmam que “usuários finais da lei” confirmaram a eles que essa falha está em rádios produzidos por fornecedores diferentes da Sepura.
Mas os pesquisadores dizem que apenas um subconjunto de usuários de criptografia de ponta a ponta provavelmente é afetado pela vulnerabilidade da chave reduzida, pois depende de como a criptografia foi implementada em rádios vendidos para países diversos.
Murgatroyd, do ETSI, disse em 2023 que a chave do TEA1 foi reduzida para cumprir regulamentações de exportação para criptografia vendida a clientes fora da Europa. Ele disse que, quando o algoritmo foi criado, uma chave com 32 bits de entropia era considerada segura para a maioria dos usos. Avanços no poder computacional tornaram-na menos segura agora, então, quando os pesquisadores holandeses expuseram a chave reduzida dois anos atrás, o ETSI recomendou que os clientes que usavam o TEA1 implantassem a solução de criptografia de ponta a ponta da TCCA sobre ele.
Mas Murgatroyd disse que o algoritmo de criptografia de ponta a ponta projetado pela TCCA é diferente. Ele não especifica o comprimento da chave que os rádios devem usar, pois os governos que utilizam a criptografia de ponta a ponta têm suas próprias “regras de segurança específicas e muitas vezes proprietárias” para os dispositivos que usam. Portanto, eles podem personalizar o algoritmo de criptografia da TCCA em seus dispositivos, trabalhando com seu fornecedor de rádio para selecionar o “algoritmo de criptografia, gerenciamento de chaves e assim por diante” que é adequado para eles—mas apenas até certo ponto.
“A escolha do algoritmo de criptografia e chave é feita entre o fornecedor e a organização cliente, e o ETSI não tem entrada nessa seleção—nem conhecimento de quais algoritmos e tamanhos de chave estão em uso em qualquer sistema”, disse ele. Mas ele acrescentou que os fabricantes de rádios e os clientes “sempre terão que cumprir as regulamentações de controle de exportação.”
Os pesquisadores dizem que não podem verificar se o E2EE da TCCA não especifica um comprimento de chave porque a documentação da TCCA que descreve a solução é protegida por acordo de não divulgação e fornecida apenas a fornecedores de rádio. Mas eles observam que o sistema E2EE menciona um “número de identificador de algoritmo”, o que significa que ele chama o algoritmo específico que está usando para a criptografia de ponta a ponta. Esses identificadores não são específicos do fornecedor, dizem os pesquisadores, o que sugere que os identificadores se referem a diferentes variantes de chave produzidas pela TCCA—significando que a TCCA fornece especificações para algoritmos que usam uma chave de 126 bits ou de 56 bits, e os fornecedores de rádio podem configurar seus dispositivos para usar qualquer uma dessas variantes, dependendo das regulamentações de exportação em vigor para o país comprador.
Se os usuários sabem que seus rádios podem ter essa vulnerabilidade é incerto. Os pesquisadores encontraram um boletim de produto confidencial da Sepura de 2006 que alguém vazou online, que menciona que “o comprimento da chave de tráfego… está sujeito a regulamentações de controle de exportação e, por isso, o [sistema de criptografia no dispositivo] será configurado de fábrica para suportar comprimentos de chave de 128, 64 ou 56 bits.” Mas não está claro o que os clientes da Sepura recebem ou se outros fabricantes cujos rádios usam um algoritmo de chave reduzida informam aos clientes se seus rádios usam um algoritmo de chave reduzida.
“Alguns fabricantes têm isso em brochuras; outros mencionam isso apenas em comunicações internas, e outros não mencionam isso de forma alguma”, diz Wetzels. Ele diz que fizeram uma extensa pesquisa em fontes abertas para examinar a documentação do fornecedor e “não encontraram sinal claro de que a fragilidade estava sendo comunicada aos usuários finais. Portanto, enquanto… há ‘algumas’ menções ao algoritmo sendo enfraquecido, isso não é transparente de forma alguma.”
A Sepura não respondeu a um pedido de informação da WIRED.
Mas Murgatroyd diz que, porque os clientes governamentais que optaram por usar a solução E2EE da TCCA precisam saber a segurança de seus dispositivos, é provável que estejam cientes se seus sistemas estão usando uma chave reduzida.
“Como a criptografia de ponta a ponta é usada principalmente para comunicações governamentais, esperaríamos que as agências governamentais de segurança nacional relevantes estejam totalmente cientes das capacidades de seus sistemas de criptografia de ponta a ponta e possam aconselhar seus usuários adequadamente”, Murgatroyd escreveu em seu e-mail.
Wetzels é cético em relação a isso, no entanto. “Consideramos altamente improvável que governos não ocidentais estejam dispostos a gastar literalmente milhões de dólares se souberem que estão obtendo apenas 56 bits de segurança”, diz ele.