Onderzoekers vinden kwetsbaarheden in radio-encryptiestandaard van C2000

Nederlandse beveiligingsonderzoekers hebben diverse kwetsbaarheden ontdekt in een communicatieprotocol dat veel gebruikt wordt door hulpdiensten. Enkele van die kwetsbaarheden treffen ook het Nederlandse C2000.

De drie Nederlandse onderzoekers werken bij securitybedrijf Midnight Blue en hebben kwetsbaarheden gevonden in een communicatiestandaard genaamd Tetra, schrijven verschillende media waaronder Wired en de Volkskrant. Het Terrestrial Trunked Radio-protocol, of Tetra, is een radiocommunicatiestandaard die in de jaren negentig van de vorige eeuw werd ontwikkeld door het Europees Telecommunicatie en Standaardisatie Instituut. Het netwerk wordt onder andere gebruikt door hulpdiensten zoals politie en brandweer, en zit standaard in radio's van bedrijven als Motorola. Tetra wordt voornamelijk in Europa gebruikt, maar ook daarbuiten.

De onderzoekers van Midnight Blue hebben vijf kwetsbaarheden ontdekt in de Tetra-standaard. Technische details daarover ontbreken nog; de onderzoekers maken die in augustus bekend tijdens de securitybeurs Black Hat in Las Vegas.

De kwetsbaarheden zitten in de encryptiealgoritmes van de standaard. De Tetra-standaard zelf is openbaar beschikbaar, maar over de encryptie is online geen informatie beschikbaar. De onderzoekers haalden die informatie uit een Motorola MTM5400-radio, waarbij ze verschillende zerodayexploits moesten gebruiken om het algoritme uit de secure enclave te filteren.

Tetra gebruikt een 80bit-sleutel in het algoritme voor het versleutelen van communicatie. In de standaard zit echter ook een functie waarmee de versleuteling met een 32bit-sleutel kan worden gedaan. Dat is al sinds de introductie in 1995 het geval, toen 32bit nog voldoende was voor goede encryptie. Inmiddels is het dat niet meer; de onderzoekers zeggen tegen Wired de encryptie in minder dan een minuut te hebben gekraakt op een normale laptop. De onderzoekers zeggen verder dat Tetra weliswaar zegt een 80bit-sleutel te gebruiken, maar dat in het geheim omzet naar een 32bit-sleutel.

Die zwakke encryptie zit in slechts een van de encryptielagen van Tetra. Dat heeft vier van zulke lagen: TEA1 tot en met TEA4. TEA1 is bedoeld voor de versleuteling van toepassingen in commercieel beschikbare apparatuur. TEA2 en TEA3 worden vooral gebruikt door toepassingen binnen bijvoorbeeld de politie en noodhulpdiensten. TEA2 is het encryptieniveau dat in het Nederlandse C2000-communicatiesysteem wordt gebruikt.

De onderzoekers vonden daarnaast echter kwetsbaarheden die van toepassing waren op die andere encryptiealgoritmes, waaronder die gebruikt worden in C2000. Dat komt voor als een Tetra-apparaat verbinding maakt met een basisstation. Een aanvaller kan een man-in-the-middle-aanval opzetten door een eigen basisstation op te zetten en de timestamps van die verbinding te spoofen, en zo een eigen berichtgeving met de apparaten op te zetten.

De onderzoekers hebben de kwetsbaarheden al in 2021 ontdekt, maar hebben eerst contact gelegd met verschillende fabrikanten om een fix mogelijk te maken. Voor een aantal van de kwetsbaarheden is die er, maar niet voor allemaal. Het Nederlandse Nationaal Cyber Security Centrum heeft samengewerkt met verschillende fabrikanten en met andere landen die de standaard gebruiken voor communicatie. De onderzoekers merken op dat de kwetsbaarheden al langer bekend zijn; in de Snowden-onthullingen zouden verschillende documenten zitten waaruit bleek dat de NSA en GCHQ Tetra-apparaten probeerden te treffen.

Update: in het artikel stond aanvankelijk dat Tetra buiten Europa niet veel gebruikt werd. Dat is niet waar, dat wordt het wel. Ook is toegevoegd dat Tetra 80-bitsleutels noemt maar heimelijk 32-bitsleutels gebruikt.

Door Tijs Hofmans

Nieuwscoördinator

24-07-2023 • 14:37

85

Submitter: T-Junkie

Reacties (85)

85
83
42
16
2
28
Wijzig sortering
Daarnaast vonden de onderzoekers een kwetsbaarheid die bewust zou zijn achtergelaten. "Het is gewoon een achterdeurtje, de technologie is zodanig ontworpen dat het makkelijk te kraken is en dat lijkt decennialang onder de pet te zijn gehouden. Het is dan de vraag wie dit allemaal weten", zegt onderzoeker Wouter Bokslag tegen RTL Nieuws.

https://www.rtlnieuws.nl/...ederlanderse-onderzoekers

Overigens is het onderzoek gewoon openbaar, maar ook dit staat niet in het artikel: https://www.midnightblue.nl/tetraburst

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 22:48]

AuteurTijsZonderH Nieuwscoördinator @Anonymoussaurus24 juli 2023 14:44
Voor zover ik het begrijp (onderzoek zelf is dus niet openbaar) gaat dat over de 32-bitsleutel. Ik heb dat in het artikel heel bewust geen achterdeur genoemd omdat dat intentie impliceert en dat kan ik met de beschikbare informatie niet achterhalen. Het zou namelijk ook gewoon kunnen dat 32 bits in de jaren 90 sterk genoeg bleken en er daarom voor gekozen is.
Hoi, ik ben Wouter Bokslag, een van de onderzoekers van Midnight Blue. TEA1 is wel degelijk gebackdoored, gezien TEA1 een 80-bits key gebruikt. Het geheime TEA1 algoritme comprimeert eerst die key tot 32 bits voordat er keystream voor encryptie/decryptie gegenereerd wordt. Zie ook de officiele standaard https://www.etsi.org/deli...0/en_30039207v020101v.pdf

Er zitten nogal wat onjuistheden in het artikel.

Tetra gebruikt een 80bit-sleutel in het algoritme voor het versleutelen van communicatie. In de standaard zit echter ook een functie waarmee de versleuteling met een 32bit-sleutel kan worden gedaan. Dat is al sinds de introductie in 1995 het geval, toen 32bit nog voldoende was voor goede encryptie.
Zoals gezegd, TETRA belooft dat TEA1 gewoon 80-bits sleutels hanteert. Wat het ook doet, maar die worden in het geheime algoritme dus gecomprimeerd tot 32 bits. Wat in de jaren 90 ook onvoldoende was voor een betekenisvolle bescherming.

Tetra wordt voornamelijk in Europa gebruikt; daarbuiten wordt vaak een andere standaard ingezet.
Onjuist, TETRA is wereldwijd de grootste radiostandaard voor hulpdiensten en wordt ook veel gebruikt in kritieke infra buiten Europa.

Verder zijn TEA1 t/m TEA4 versleutelingsalgoritmes, en staan daarmee los van de authenticatie. Wel hebben we een (klein) probleem gevonden in de authenticatie.

De onderzoekers vonden daarnaast echter kwetsbaarheden die van toepassing waren op die andere encryptiealgoritmes, waaronder C2000.
C2000 is een netwerk, geen encryptiealgoritme. C2000 gebruikt het TEA2 encryptiealgoritme.

Dat komt voor als een Tetra-apparaat verbinding maakt met een basisstation. Een aanvaller kan een man-in-the-middle-aanval opzetten door een eigen basisstation op te zetten en de timestamps van die verbinding te spoofen, en zo een eigen berichtgeving met de apparaten op te zetten.
Dit is geen man-in-the-middle, maar een "decryption oracle attack" of hoe je het ook wil noemen. De aanvaller onderschept interessante communicatie, om later een (eventueel andere) radio te targeten met een richtantenne. Hij kan hieraan dan de keystream ontfutselen; de geheime informatie waarmee het originele bericht versleuteld was; en daarna het originele bericht dus ontsleutelen.

Zie ook de pagina over het onderzoek: tetraburst.com

[Reactie gewijzigd door Monochrome op 22 juli 2024 18:19]

AuteurTijsZonderH Nieuwscoördinator @Monochrome24 juli 2023 16:07
Hey Wouter, tof dat je reageert! Je hebt gelijk dat Tetra wereldwijd gebruikt wordt en dat van C2000 ook, dat pas ik aan.

Verder, over het geheime algoritme, dat las ik niet op jullie pagina over het onderzoek maar nu je zo de documentatie erbij toont kan dat wel wat duidelijker, pas ik ook aan.

En ik noemde het verder een mitm-aanval omdat het op mij overkwam alsof je een apparaat spooft tussen een verbinding in. Dat is toch (heel kort door de bocht) hoe je de info onderschept?
Hoi Tijs,

Goeie aanpassingen. Wat betreft de mitm: het volgende is het geval.
- Aanvaller onderschept bericht waarvan hij besluit dat hij het wil ontsleutelen.
- Aanvaller gaat later naar een locatie van zijn keuze, en target een (mogelijk andere) radio met zijn richtantenne, en doet alsof hij infrastructuur is.
- Aanvaller speelt met de perceptie van tijd van de radio om zo keystream te achterhalen waarmee het eerder onderschepte bericht versleuteld was
- Aanvaller past keystream toe op bericht en verkrijgt ontsleuteld bericht.

De verbinding tussen radio en mast wordt dus niet direct aangevallen. Daarmee is het geen man in the middle. Op een ander moment wordt een andere verbinding opgezet, waarbij die radio dan materiaal lekt waarmee een eerder bericht (van mogelijk een andere radio) ontsleuteld kan worden.

Tenslotte; 32 bits was ook toen niet voldoende om confidentialiteit te beschermen, zeker gegeven de vaak gevoelige use cases van TETRA netwerken.

[Reactie gewijzigd door Monochrome op 23 juli 2024 22:48]

Hoe werkt de perceptie van tijd juist?

Ik ga er vanuit dat de TEA1 encryptie 2 dezelfde berichten anders versleuteld afhankelijk van de tijdstempel op het bericht.

Ik gok dat de aanvaller mits hij voldoende versleutelde varianten (semi-random code) van hetzelfde bericht heeft onderschept uiteindelijk de encryptie sleutel kan berekenen.

Ik begrijp niet goed hoe de aanvaller er kan voor zorgen dat de radio’s een bericht terugsturen.

Als de aanvaller (die zich voordoet als basisstation) een versleuteld bericht onderschept + doorstuurt met een aangepaste tijdsstempel, stuurt de ontvangende legitieme radio dat bericht dan automatisch terug ter verificatie?

Hoe kan je anders testen hoe de encryptie reageert op verschillende tijdsstempels? Er moet toch ergens feedback komen?

Of heeft de aanvaller een radio ter beschikking die met die encryptie werkt? (Bijv fysiek stelen).

[Reactie gewijzigd door Coolstart op 23 juli 2024 22:48]

Vanwege de gevoeligheid van de communicatie en de enorme hoeveelheid getroffen partijen hebben we het disclosure-proces extreem voorzichtig ingestoken, met een publicatie-embargo van meer dan anderhalf jaar.
Vandaag was alleen maar een vooraankondiging. De technische details hebben we achtergehouden om te voorkomen dat er netwerken in het wild gaan worden aangevallen. Dit om sommige getroffen partijen die, ondanks alles, nog niet op de hoogte zijn in staat te stellen om zich voor te bereiden op wat komen gaat.

Je stelt heel goede vragen. Dit en meer gaat allemaal duidelijk worden op 9 augustus. In de tussentijd hebben we dit demo-filmpje van de aanval voor je: https://youtu.be/oJjTiO6C9xs
De verbinding tussen radio en mast wordt dus niet direct aangevallen. Daarmee is het geen man in the middle. Op een ander moment wordt een andere verbinding opgezet, waarbij die radio dan materiaal lekt waarmee een eerder bericht (van mogelijk een andere radio) ontsleuteld kan worden.
Dit lijkt qua opzet een beetje op hoe WEP gekraakt kan worden. Daar leek echter geen foute intentie achter te zitten. Het was gewoon een waardeloos beveiligingsprotocol.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 22:48]

"Dat is al sinds de introductie in 1995 het geval, toen 32bit nog voldoende was voor goede encryptie." staat nog steeds in het artikel :'( Vergeet dat maar, 32 bit is nooit voldoende encryptie geweest. De DES encryptie standaard uit de 70er jaren had al 56 bits, en dat was een compromis.
Bekende padding oracle attacks zijn alles dat te maken heeft met CBC (bijv oudere FDE) en POODLE.

Bij een padding oracle attack kun je zonder MITM de versleutelde signalen opvangen en die later ontsleutelen. WPA1 en WPA2 is hier bijvoorbeeld kwetsbaar voor (en de reden voor het ontwikkelen van WPA3 ;) [1]). Als jij de signalen die gebruik maken van WPA1 en/of WPA2 onderschept, en je krijgt later de sleutel te pakken, dan kun je met terugwerkende kracht alles ontsleutelen (let hierbij wel dat bijvoorbeeld HTTPS tegenwoordig standaard is dus het heeft nog niet tot gevolg dat je de bankzaakjes met terugwerkende kracht kunt bestuderen, laat staan dat je ze actief kunt aanvallen). Een MITM werkt alleen actief, daarbij ga je met write/modify access in het signaal vroeten. Daar is hier geen sprake van.

Een richtantenne is trouwens een lage drempel. Die Russische klunzen met hun Pineapple (toevallig een TETRA :Y)) die door de MIVD zijn gepakt hadden dat ook al bij zich. En die kunnen ook gebruik maken van de eerdergenoemde kwetsbaarheid in WPA1/WPA2 als het wachtwoord later bekend wordt. Maar het is vooral laagdrempelig omdat je enkel read access nodig hebt, en dat is (middels een SDR) heel wat goedkoper en makkelijker dan write access.

[1] Toen ik nog pentests deed was WPA1/WPA2 om die reden dan ook een bevinding. (Waar ze vervolgens geen zak mee deden :P)

(Binnen de T.net redactie had naar ik verwacht bijv Yannick Spinner dit wel geweten. Heb je hem over het artikel geraadpleegd?)
RE: mitm-aanval: Doet het de onderschepte data meteen doorsturen of luistert het enkel af en gaat later ergens anders aan de slag? Daar zou het verschil in zitten.

[Reactie gewijzigd door Tim_O op 23 juli 2024 22:48]

Tetra gebruikt een 80bit-sleutel in het algoritme voor het versleutelen van communicatie. In de standaard zit echter ook een functie waarmee de versleuteling met een 32bit-sleutel kan worden gedaan. Dat is al sinds de introductie in 1995 het geval, toen 32bit nog voldoende was voor goede encryptie.
Zoals gezegd, TETRA belooft dat TEA1 gewoon 80-bits sleutels hanteert. Wat het ook doet, maar die worden in het geheime algoritme dus gecomprimeerd tot 32 bits. Wat in de jaren 90 ook onvoldoende was voor een betekenisvolle bescherming.
Dat klopt, maar dat hoeft geen opzettelijke backdoor te zijn. De handheld apparatuur was destijds te zwak om transparant 80bits keys te hanteren.

Overigens vraag ik me af wat je hiermee precies wilt bereiken, er goldt in die tijd in de VS een streng export beleid op RSA keys met grotere range dan 80bits en dit algoritme is een stuk eenvoudiger.
TEA1 (bedoeld voor commercieel gebruik) gebruikt een 80 bits key en verkort die naar 32 bits. Alteratieve ciphers TEA2 en TEA3 (hulpdiensten binnen danwel buiten europa) gebruiken wel de volledige 80 bits. Het is dus geen kwestie van capaciteit van de apparatuur, maar van hoe veilig een bepaalde doelgroep mag communiceren.

Wat je zegt over exportrestricties: toen TETRA uitkwam was alles onder de 40 bits sterkte vrijelijk exporteerbaar. Daar zit TEA1 dus nog eens flink onder. Nu ligt de vrij exporteerbare grens op 56 bits.
"Jos Wetzels, een van de onderzoekers: ‘Dit is zo triviaal, dat spot iedere bachelorstudent informatica direct.’ De drie onderzoekers gaan ervan uit dat de achterdeur moedwillig is ingebouwd om afluisteren door politie- en inlichtingendiensten mogelijk te maken."
De aanname dat het een achterdeur zou zijn, komt bij de onderzoekers zelf vandaan.
bron: Volkskrant
Ja nou ja, als de onderzoeker zelf zegt dat het lijkt op een achterdeur, dan ga ik ervanuit dat hij weet waarom. En ja, toen was dat misschien modern, maar als je dat 30 jaar lang modern noemt is er echt iets goed fout.

En het onderzoek is wel openbaar hoor: https://www.midnightblue.nl/tetraburst
AuteurTijsZonderH Nieuwscoördinator @Anonymoussaurus24 juli 2023 14:52
dan ga ik ervanuit dat hij weet waarom
Ik vond het voor het stuk niet logisch zo'n aanname te doen. Dan beschrijf ik liever gewoon wat we weten.

Also, het onderzoek zelf is niet openbaar, daar staan (nog) geen technische details. Die volgen op BlackHat.
Maar volgens REGULATION (EU) No 1025/2012 Annex II moet het standaardisatieproces wel transparant zijn, bijvoorbeeld onder 3 sub c.

In een artikel op WIRED gaat Brian Murgatroyd in op de afwegingen:
Brian Murgatroyd, chair of the technical body at ETSI responsible for the TETRA standard, objects to calling this a backdoor. He says when they developed the standard, they needed an algorithm for commercial use that could meet export requirements to be used outside Europe, and that in 1995 a 32-bit key still provided security, though he acknowledges that with today’s computing power that’s not the case.
Hoewel de semantische discussie over de definitie van een backdoor een leuke tijdsbesteding is wordt het afzwakken van het beveiligingsniveau zelfs door een vertegenwoordiger van ETSI opzettelijk genoemd. Als iemand kan wijzen op transparantie over die overweging in het standaardisatieproces zoals verplicht zou moeten zijn zou dat enorm informatief kunnen zijn.

Als deze afweginen nu pas aan het licht komen en niet zo transparant zijn zoals je zou moeten kunnen verwachten roept dat ook vragen op over andere ETSI standaarden. Mag je er vanuit gaan dat dit de enige bewuste verzwakking is van de beveiliging van een ETSI standaard? Dit zijn vragen die op basis van publieke documentatie helder zouden moeten zijn. Zo niet, dan heeft @Monochrome met hoge waarschijnlijkheid een zeer goed punt om het een backdoor te noemen wat mij betreft.

[Reactie gewijzigd door Floort op 23 juli 2024 22:48]

Hoewel de semantische discussie over de definitie van een backdoor een leuke tijdsbesteding is wordt het afzwakken van het beveiligingsniveau zelfs door een vertegenwoordiger van ETSI opzettelijk genoemd. Als iemand kan wijzen op transparantie over die overweging in het standaardisatieproces zoals verplicht zou moeten zijn zou dat enorm informatief kunnen zijn.

Als deze afweginen nu pas aan het licht komen en niet zo transparant zijn zoals je zou moeten kunnen verwachten roept dat ook vragen op over andere ETSI standaarden. Mag je er vanuit gaan dat dit de enige bewuste verzwakking is van de beveiliging van een ETSI standaard? Dit zijn vragen die op basis van publieke documentatie helder zouden moeten zijn. Zo niet, dan heeft @Monochrome met hoge waarschijnlijkheid een zeer goed punt om het een backdoor te noemen wat mij betreft.
Afgezien van voornoemde semantische discussie vraag ik me vooral af of we dit hadden moeten beseffen. Een aantal jaren geleden was "export" encryptie een hot topic en zijn we tot de conclusie gekomen dat het meer kwaad dan goed doet om te proberen om encryptie minder veilig te maken. Alle software uit de vorige eeuw (grofweg) is gebouwd in een tijd dat je verplicht was om zwakke encryptie te gebruiken als je het product internationaal wilde verkopen. Los van de vraag hoe goed de encryptie in die tijd überhaupt was. Er is niet veel uit die tijd dat nog steeds als veilig gezien wordt.

Nu is de Tetra-standaard wel nog bijgewerkt sinds 1995 en je zou dus hopen dat er ook aan de encryptie wat is verbeterd. Blijkbaar niet. Maar zijn we met z'n allen niet heel erg naïef geweest door aan te nemen dat de geheime encryptie wel in orde zou zijn? Dat is tegenwoordig gewoon een schoolvoorbeeld van hoe het niet moet. De encryptiestukjes moet je juist wel publiceren zodat security researchers naar fouten kunnen zoeken. Ook al gaat het enorm tegen je gevoel in. Ook al denk je "ja maar, als ik het geheim houdt is het moeilijker om fouten te vinden". Dat klopt, het is moeilijker, maar niet onmogelijk en vroeg of laat zullen ze gevonden worden. Je kan er dus maar beter voor zorgen dat ze zo vroeg gevonden worden dat je er nog iets aan kan doen.
Vandaar dat ik ook verwijs naar verplichtingen over het standaardisatieproces waar ETSI aan moet voldoen. Ik denk dat men er te gemakkelijk vanuitgegaan is dat er geen bewust verborgen beperkingen aan de beveiliging zouden mogen bestaan in de standaarden. Dat blijkt dat ETSI daar toch aan heeft meegewerkt zonder te verwijzen naar documentatie waaruit blijkt dat dit heel transparant is gebeurd ondermijn het vertrouwen in ETSI. Juist met de context die je noemt, mag je er volgens mij niet vanuit gaan dat dit een uitzondering is. Het is niet voldoende om de encryptie te publiceren. ETSI heeft vanuit het wettelijk kader waarin ze opereren de plicht om transparant te zijn over dergelijke praktijken.
Je had toch gewoon één van de onderzoekers kunnen quoten? Dan zijn het niet jouw woorden/aannames, maar die van de onderzoeker.

De details nog niet, maar de aankondiging wel, en ook die staat niet in het artikel.
AuteurTijsZonderH Nieuwscoördinator @Anonymoussaurus24 juli 2023 14:54
Dat zou ik FUD vinden. Ik beschrijf liever gewoon de feiten zoals ze zijn, dan mogen lezers zelf hun conclusies trekken.
Eh, het betreft niet Rusland ofzo. De onderzoeker is in deze een relatief objectieve expert. Die zou je gerust kunnen quoten in aanhalingstekens. Daarmee deel je inderdaad de mening (letterlijk; niet figuurlijk), maar wel die van iemand met een zekere autoriteit op dit vlak. Sterker nog, ik vind het een haakje om op door te vragen in een interview. Dus ik zou de onderzoeker contacteren en vragen waarom hij of zij dat denkt, en dat vervolgens quoten. Of vragen om wederhoor bij een woordvoerder politie of wie dan ook die met C2000 werkt.

Mij verbaasd het allemaal totaal niet. Proprietary, eigen cryptografie is gedoemd om te mislukken. Vooral als ik te horen krijg 'zit wel snor'. Blijkt het 80 bit te zijn. Kom op! Je zal dit soort systemen bij moeten houden en wel op open, bewezen standaarden. Het is niet voor niets dat we iets hebben als AES. Die heeft de tijd doorstaan, al is het niet zonder kleerscheuren.
Waarom vind jij het quoten van een direct bij het onderzoek betrokken onderzoeker FUD? Het is en blijft zijn/ haar mening en daarop kunnen lezers toch nog evengoed hun eigen conclusies trekken?
Is er geen Nederlandse term of Nederlands woord dat je zou kunnen gebruiken in plaats van "also" en "FUD"? Desinformatie?

Vond het jammer dat ik moest gaan zoeken waar FUD voor stond en moet nadenken over hoe jij dat bedoelt in die zin. Want je zou het angst, onduidelijkheid, en twijfel vinden? Beetje raar verwoord vind ik.
Lijkt mij anders een vrij logisch iets om in een artikel van een nieuwsmedium te plaatsen. Tweakers is immers geen wetenschappelijk instituut. Hiernaast is het quoten het minste wat gedaan mag worden omdat het gewoon behoorlijk relevant is.

Steker nog, een nieuwsmedium zou er een goed onderzoek op moeten loslaten om de onderste steen boven te krijgen. Een WOB (of hoe dat tegenwoordig heet) hierover zou tweakers wel mogen doen.

Daarnaast komt het vaker voor op tweakers, maar nu opeens 'mag' het niet. Komt ook dubieus over.
Tweakers is inderdaad erg karig geworden. Vaak lees ik het op NU.nl sneller en op RTL Nieuws staat het veel meer duidelijker en uitbreider beschreven. Ook de quote (daarvoor zijn die bedoeld) zit er inderdaad in.
In dit (https://www.vice.com/en/a...police-radios-tetra-burst ) stuk staat:

“ Most interestingly is the researchers’ findings of what they describe as the backdoor in TEA1. Ordinarily, radios using TEA1 used a key of 80-bits. But Wetzels said the team found a “secret reduction step” which dramatically lowers the amount of entropy the initial key offered. An attacker who followed this step would then be able to decrypt intercepted traffic with consumer-level hardware and a cheap software defined radio dongle. ”

Dus het lijkt wel op een achterdeur.
AuteurTijsZonderH Nieuwscoördinator @JJDN24 juli 2023 15:02
Een achterdeur is het alleen als het met die intentie zo is toegevoegd. Dat is onbekend, en speculatie van de onderzoekers.
ETSI zelf geeft in een persbericht het volgende aan:
The TETRA security standards have been specified together with national security agencies and are designed for and subject to export control regulations which determine the strength of the encryption. These regulations apply to all available encryption technologies. As the designer of the TETRA security algorithms, ETSI does not consider that this constitutes a “backdoor”.
Leuke discussie over of je het een backdoor zou mogen noemen of niet, maar over de intentie om deze beperking in het ontwerp te verwerken bestaat geen twijfel volgens mij. Zie ook het citaat uit WIRED dat ik in een andere reactie aanhaal die nog explicieter is (maar een tweedehands citaat is).
Noem eens een plausibele reden waarom dit per-ongeluk is toegevoegd?
Lijkt me een flink stuk programmeerwerk om "zonder intentie" toe te voegen.

Verder melden de onderzoekers ook een andere exploit, die redelijk gemakkelijk te misbruiken is. Onbedoeld of niet, effectief is dit te gebruiken als backdoor.

Zie dit in de context van onze geschiedenis. Het is erg vaak gebeurd dat op deze manier een achterdeur werd opengehouden om vervolgens de producten commercieel te exporteren.

Operation Rubicon?
Als je kijk naar de "aanbestedings keuze" zie je dat er gekozen is voor bepaalde hardware die we tegenwoordig niet mee zouden gebruiken.
Verder geeft de naam 2000 aan dat het sterk verouderd is.

Ik zag in ergens een foto van de Radiobage van het CCCamp voorbijkomen. (RTL4,5?)
Als je daarmee gedaan is petje af omdat deze als introductie gedacht was om op het camp mee te experimenteren. Niet te vergelijken met een Pluto,hackrf en of BladeRF
De onderzoekers merken op dat de kwetsbaarheden al langer bekend zijn; in de Snowden-onthullingen zouden verschillende documenten zitten waaruit bleek dat de NSA en GCHQ Tetra-apparaten probeerden te treffen.
U. S. A. natuurlijk weer…
Waarvan we het weten.
Wie zegt niet dat FancyBear hier ook niet meet bezig was, om voor de SVR de codes te kunnen leveren en zo communicatie van hulpdiensten te kunnen afluisteren bij/voor operaties in Europa.
Verschil is dat we het niet van hun weten, en dankzij Snowden wel van de VS.
"C2000" naam geeft het jaartal aan dat DIT had moeten werken.

Want "32 bits" was toen "modern".

[Reactie gewijzigd door obimk1 op 23 juli 2024 22:48]

DES had in 1977 al 56 bits. In 2000 was 128 bits gebruikelijk voor bijvoorbeeld hashes (md5), dat zijn 32 hexadecimale tekens. In 2001 verscheen AES in 128, 192 en 256 bit varianten. Dat gaat dan over de lengte van de sleutel. Er zijn ook bloklengten.
In 2000 BESTONDEN ER GEEN 128 bits computers en hebben nooit bestaan.

Zelfs anno 2023 zijn er geen 128 bits computers.
AES is compleet iets anders: AES is een encryptie/versleuteling systeem. 128,192 en 256 geven de "diepte" (sterkte) aan van dat encryptie systeem.

Dit heeft NIKS met computers te maken, alleen met hoe de data verwerking is van versleutelde data zoals je bank.

MD5 uitgevonden in 1991.

https://en.wikipedia.org/wiki/MD5
Het gaat in het artikel over sleutellengte, niet over de hoeveelheid bits die een computer tegelijk kan verwerken.

Het was een domme keuze om een 80 bits sleutellengte te reduceren naar 32 bits. 80 bits was al niet veel, en de reductie naar 32 bits is cryptografisch gezien misdadig. Er zijn dan maar ~4,29 miljard (232) mogelijkheden en die kunnen allemaal worden geprobeerd in korte tijd, zoals je in het artikel kunt lezen.

De 32 bits waarover mensen het hebben bij computers is de standaard ruimte voor data. Stel dat een systeem een 32 bits cpu gebruikt, dan is het veel makkelijker om met 32 bits te rekenen dan met 128 bits. Veel compilers zullen niet eens een variabele hebben met 128 bits breedte. Dat zou een reden kunnen zijn geweest om te versmallen naar 32 bits.

Edit: hoewel dit een mogelijke oorzaak is, lijkt het toch voor de hand te liggen dat een reductie betreft om de encryptie moedwillig te verzwakken voor export buiten de EU.

[Reactie gewijzigd door mrmrmr op 23 juli 2024 22:48]

De word-size van een algoritme is niet hetzelfde als de key size. Sowieso lijkt alleen de entropie te zijn aangepast (het aantal sleutels wat gegenereerd kan worden) niet de sleutel-ruimte (het aantal mogelijke sleutels voor het algoritme).
Waar het om gaat is dat bij 32 bits is het aantal mogelijkheden veel kleiner is en brute force mogelijk is.

Je hebt wel gelijk dat het niet nodig is om brede variabelen te hebben. Rekenen kan ook per byte, afhankelijk van de aard van de methode.

[Reactie gewijzigd door mrmrmr op 23 juli 2024 22:48]

Ja 32 bits "cryptografie" is zelfs met moderne computers binnen afzienbare tijd te kraken.

Reduceren van "encryptie diepte" is misdadig.
Voor hashes heb je meer bits nodig om dezelfde sterkte te verkrijgen (collision attacks / birthday problem). Dus da's appels en peren.
Hoe denk je dat ze op 32 bits zijn gekomen vanaf die 80 bits?
Geen idee. Wat heeft dat er mee te maken?

Je vergelijk de output size van MD5 met de sleutellengte van AES. Ik geef aan dat dat niet opgaat. Sowieso hebben beide algoritmen een word size van 32 bit en werken dus het beste op een CPU met 32 bit registers.
De kans is aanwezig dat ze een gewone (niet-)cryptografische checksum hebben gebruikt om die 80 bits te reduceren. Dat is waar hashes in het plaatje komen.

Het alternatief is dat een stuk van de sleutel is gebruikt. In beide gevallen is het resultaat dat het kraakbaar is.

[Reactie gewijzigd door mrmrmr op 23 juli 2024 22:48]

32 bit encryptie is nooit modern geweest. De single DES sleutellengte van 56 bits was een compromis tussen 48 bit en 64 bit versleuteling. Dus je moet al verder terug gaan dan de 70er jaren en voor die tijd was er de "klassieke" cryptografie. Het vakgebied is daarna pas volwassen geworden. Dit wordt ook door "Monochrome" aangegeven (maar staat nog foutief in het artikel).

[Reactie gewijzigd door uiltje op 23 juli 2024 22:48]

"Oude" cryptografie was makkelijk te breken AES 256 in theorie ook, maar zelfs met moderne computers kan dat een paar duizend jaar duren. Echter met Quantum computers kun je die duizenden jaren terugbrengen naar een paar uur.

Los daarvan, een aantal wetenschappers vinden de combinatie van AI en Quantum computers zeer gevaarlijk.
Dat je met een paar duizend jaar AES-256 kan breken met bekende aanvallen is echt compleet onzin. Dat lukt al niet met AES-128, en AES-256 is tevens bestand tegen aanvallen met een quantum computer (Grover). De meeste cryptografen denken dat AES-128 ook niet makkelijk te kraken is met quantum computers overigens, Grover is nog niet zo makkelijk uit te voeren.

Aan de andere kant: de security van AES-256 is zeker niet bewezen; dat geld eigenlijk voor de meeste cryptografische algoritmen die in gebruik zijn. We gaan er vanuit dat ze veilig zijn omdat er geen bekende aanvallen gevonden zijn, en het is ook niet gezegd dat die er zijn.
Inderdaad, sorry AES encryptie is NIET te breken.

Maar met Quantum computer is ELKE encryptie in gevaar.

https://www.youtube.com/watch?v=-UrdExQW0cs

https://www.youtube.com/watch?v=1cA1qOLaFGQ

En dit is de "stand" van huidige Quantum computers. (Google)

https://www.youtube.com/watch?v=gH4SsABvqP0

https://www.dailymail.co....mputer-breaththrough.html
Maar met Quantum computer is ELKE encryptie in gevaar.
Niet helemaal. Sommige technieken zijn veel beter bestand tegen quantum computing dan anderen. Algoritmes die gebaseerd zijn op nummertheorie zoals RSA zijn enorm kwetsbaar, maar AES (symmetrisch) weer veel minder.

Zie hier een verhaal over het fenomeen: https://en.wikipedia.org/wiki/Post-quantum_cryptography
Bedankt, ben erachter gekomen dat bepaalde encryptie nooit met Quantumcomputers gekraakt kan worden.
Dank je, maar ik geef er zelf cursussen over.
Niet handig om te denken dat je dingen van anderen weet, zeker als je hier net ervoor op de vingers bent getikt omdat je onzin op aan het schrijven bent. Als ik ergens fouten maak laat het dan even weten, dan corrigeer ik het, of ik geef aan waarom het volgens mij wel klopt. Ik heb ook iets van 170k punten op het gebied van cryptografie op StackExchange.

Die van Veritasium is wel interessant, maar het is allemaal bekende informatie voor mij. IBM presentaties zoals deze moet je altijd met een korreltje zout nemen. Het is niet per se verkeerd, maar vergeet niet dat ze onderzoek doen en die dingen produceren. Beetje gekleurde informatie laten we maar zeggen.

[Reactie gewijzigd door uiltje op 23 juli 2024 22:48]

Quantum computers zijn vooral goed in het breken van asymmetrische cryptografie, Elliptic Curve cryptografie voorop, daarna komt finite field Diffie-Hellman (klasiek DH zeg maar) en dan RSA. AES zal niet snel gebroken worden. Er is een kleine kans op het breken van AES-128. Zoek eens het verschil op tussen Quantum Safe Cryptografie en Post Quantum Cryptografie.

Als ik aangeef dat je fout zit en je gaat daarna mij links versturen om mij bij te scholen dan is er volgens mij iets mis met richting waarop het gesprek zich begeeft. Als je verder wil gaan met de discussie vind ik dat best, maar geef dan aan waar ik inhoudelijk fout zit en dan reageer ik graag. Dit soort ad-hominem aanvallen hebben we beide weinig aan.
Excuses, jij hebt gelijk.
In ander nieuws: water is nat.

Zelf encryptiestandaarden bedenken is een bijzonder slecht idee, en ze geheim houden zorgt er alleen voor dat alleen mensen met kwade bedoelingen er onderzoek naar doen - in plaats van de cryptografiegemeenschap in het algemeen. Het zou me compleet niet verbazen als dit allang bekend was bij buitenlandse mogendheden of het criminele circuit.

32-bit encryptie is trouwens wel echt absurd slecht. In 1999(!) was er al een demonstratie waarin de EFF (een nonprofit) slechts 22 uur nodig had om een 56-bit DES key te kraken. Het is echt onverdedigbaar dat dergelijk zwakke encryptie in 2023 nog in gebruik is.
Telegram disagrees. ;)

Maar ja, leuk hoor al die open encryptie standaarden, maar van OpenSSL is ook gewoon misbruik van gemaakt. Daar zijn ook gewoon exploits door overheidsinstanties onder de pet gehouden. Daarna begon het forken, aangezien het zo slecht onderhouden werd door de beheerders ervan.

Ik zeg niet dat een open standaard slechter zijn (ook voorstander ervan), maar daar spelen weer andere factoren ook in mee (doen ze iets met PRs, onderzoeken of hacks, kan het backwards compatibel zijn, etc.).
Telegram gebruikt gewoon standaard ciphers en hash functies, hoor. Ze doen er een custom sausje overheen, maar dat is compleet niet te vergelijken met zelf een cipher bedenken.

OpenSSL is geen encryptiestandaard, maar een implementatie er van. Iedere implementatie bevat bugs, dat is nooit uit te sluiten. Juist omdat OpenSSL open source is, zijn ze door iedereen te vinden een daarna vrij snel gerepareerd. Zoals we nu met C2000 zien gebeurt dat zelfs met compleet triviale fouten niet als de implementatie gesloten is, simpelweg omdat de daadwerkelijk capabele mensen geen vrije toegang tot de code hebben.
Demonstratie van de zwakke sleutel die in 1 minuut gekraakt kan worden: https://youtu.be/-m9UTJLt4uw
havengebied en schiphol is niet gecodeerd
Dit allemaal doet me sterk denken aan dit bericht:

nieuws: 'NSA kon meeluisteren met SE 660 Crypto-mobilofoons van Nederlandse p...

Met zulke bondgenoten heb je geen veianden meer nodig...
Ik denk maar steeds dat modernisering van C2000 kansloos is, en dat het beste dat ze kunnen doen is het standaard mobiele netwerk gebruiken, maar met een extra optie voor prioritering bij drukte.
.
(Deze optie kan dan vast wel weer misbruikt worden door een slimme hacker, maar je kunt dat ook strafbaar stellen).

[Reactie gewijzigd door Geekomatic op 23 juli 2024 22:48]

Dat is een heel slecht idee!!!

* Ten eerste het standaard mobiele netwerk is oud, en kent ook een verouderde encryptie (128 bits en Uk (opzettelijk) 54 bits).

* Ten tweede nu is er naast C2000 een backup, namelijk het mobiele netwerk als er gecommuniceerd moet worden met de meldkamer (zelfs Zello of andere walkie talkie apps op de telefoon kunnen dienen als backup). In het analoge tijdperk ging de agent naar een telefooncel om de meldkamer te contacten, die zijn nu weg. Ook de praatpalen langs de snelwegen zijn weg. Dus bij uitval bij gebruik van 1 netwerk is alle communicatie weg!!!

* Ten derde, de netwerken worden beheerd door commerciele telecom bedrijven, Die hebben de hoofdprijs betaald bij de ethernet frequentie veilingen...

Oplossing: huidige frequenties blijven gebruiken, zendmasten zijn hiervoor al ingericht, antennes etc. Maar volledig ander protocol gaan gebruiken, wat nu van deze tijd is. Zelf gebruik ik DMR met AES256 bits encryptie. Dus AES256 zal minimaal de standaard moeten zijn, zover publiekelijk bekend niet gekraakt is. Als je dan ook roterende sleutels gebruikt per gesprek, wordt het allemaal nog moeilijker en sluit live meeluisteren uit. Natuurlijk zal in de toekomst deze communicatie te ontcijferen zijn, maar dan is de actuele waarde van de kritische communicatie gepasseerd.
De standaard spraak is idd niet voldoende beveligd voor gevoelige communicatie.
Ik doelde inderdaad op een VoIP + chat app, zoals blijkbaar Zello er al 1 is.
Op zoiets kan je willekeurig zware encryptie op zetten met weinig inspanning.
Natuurlijk ben je dan wel afhankelijk van 1 netwerk, met meerdere providers.
.
Ik vraag me af hoe lang het zou gaan duren om bv jouw oplossing te implementeren
op de bestaande infra. Het C2000 project zelf duurde 10 jaar voor 1e oplevering in 2007,
met vernieuwingen tot vandaag de dag aan toe.
En het werkt nu in het geheel niet naar behoren,
onbetrouwbaar en capaciteit structureel te laag, "noodklok" op dit moment.
Een andere optie is om alles opnieuw te gaan bouwen, alleen de antenne masten gebruiken, echter verdeling van de masten over NL is afgestemd op het bereik van frequentie 380-400 Mhz, dit heeft een beter bereik dan bijvoorbeeld de 800 Mhz of de nog veel hogere banden, zoals de nog uit te rollen 5g op 3 Ghz. Hoe hoger de frequentie hoe meer steunzenders er nodig zijn.

Men had al in beweging moeten zijn, en omdat het nu te laat is, vrees ik dat de keuze beinvloed wordt door de uitrol tijd en het een minder goed systeem wordt. Daarnaast heb je nog de buurlanden, ook daar wil je mee communiceren in de grensstreken. Complex!
Dus wat is dan je verwachting (voorspelling) over wat er gaat gebeuren,
gezien de huidge, suboptimale uitgangssituatie?
Men zal kiezen voor spraak en data contact via de 4G en 5G. En over een tijdje weer klagen dat het niet voldoet.
alle standaarde DMR encryptie is ook gekraakt, zwaarde encryptie voor bedrijven dan wel particulier is niet toegestaan pak je mobiel maar
Heb je een bron? Niet dat ik je niet wil geloven, maar wil wel graag de onderbouwing lezen van de hack. En welke DMR encryptie gekraakt is. Motorola basic bijvoorbeeld biedt een veel lichtere vorm van encryptie.
Volgens nu.nl wordt Tetra in het buitenland ook gebruikt voor het aansturen van Russische olie- en gaspijpleidingen en dat vind ik gezien de huidige situatie best zorgelijk.
Hoezo zorgelijk? Alles wat rusland schade toe kan voegen is mooi meegenomen.
Omdat niet alleen Rusland de eigenaar is.
Nord stream is al dood... De andere pipelines zijn Russisch bezit, want gebouwd tijdens de UDSSR die vast niet westerse investeringen aantrok.

En ook al is het gedeeltelijk niet-russisch bezit, ik heb liever dat het kapot dan heel is. Het financiert de oorlog.
Putin blijft niet eeuwig op z'n troon zitten. Bij een veranderd regime kan alles weer anders zijn. Die leidingen repareren kost miljarden, allemaal weggegooid geld en ongetwijfeld ook niet goed voor het millieu. Als we niet willen afnemen kunnen we gewoon de leiding dichtzetten.
Putin zit al behoorlijk eeuwig op zijn troon en is NU europa aan het vernietigen met het geld wat hij NU aan olie verdient.
Dat er misschien ooit een nieuwe tsaar zou kunnen komen die misschien tevreden is met het formaat van zijn imperium is niet echt relevant. Vooral niet gezien het vrij onwaarschijnlijk is; rusland koloniseert en onderdrukt al sinds honderden jaren andere landen en minderheden.

Die miljarden die een reparatie koat zijn russische miljarden. En elke stuiver die ze uitgeven aan reparaties kunnen ze niet uitgeven om andere volken te onderdrukken of veroveren.
Dat valt wel mee het is niet zo dat uw "buurjongen" met een bv hacker rf dat kan.
Voor het opvangen van de signalen moet je wel in de buurt zijn of een hele vette antenne bezitten.
Dat laatste zal erg opvallen.

Blijft het decoderen van c2000 over voor het verzamelen van deze data is wel wat schijfruimte nodig en dan vervolgens ontcijferen. Verwacht niet dat het in realtime gaat lukken.
@TijsZonderH hebben jullie naar aanleiding hiervan vragen gesteld aan de NL overheid wat dit betekent voor hun gebruik van de standaard?

C2000 staat natuurlijk al een tijdje onder druk vanwege de lagere betrouwbaarheid, dit lijkt me niet te helpen :X

Ik vraag me af of we niet in NL ook iets zoals FirstNet in de VS moeten bouwen: https://www.firstnet.com/
Gebaseerd op heel andere technologie.
Die plannen zijn er in Nederland (en alle andere landen waar Tetra gebruikt wordt ook, De basistechnologie is niet zo spannend (gewoon een 4G/5G netwerk) maar de integratie en migratie met bestaande systemen is erg complex. Veel mensen die 24/7 afhankelijk zijn van de geleverde dienst en gebruikers op het oude systeem moeten naadloos kunnen samenwerken met gebruikers die al zijn gemigreerd. Alleen al de vervanging van end-user devices is een groot project op zich.

https://eu.eu-supply.com/ctm/Supplier/PublicPurchase/348468/0/0

[Reactie gewijzigd door Frame164 op 23 juli 2024 22:48]

Er is al vaker onderzoek gedaan (en dus bakken met geld uitgegeven) om het C2000 systeem te vervangen door iets anders.

Het systeem blinkt niet alleen uit in de slechte encryptie ervan, maar ook inderdaad in de communicatie tussen de verschillende devices.. wat nogal handig is voor een goed communicatie systeem. Zo moeten mensen van de politie of brandweer, vaak hun eigen GSM gebruiken, aangezien het C2000 systeem dus voor geen meter werkt (zoals elkaar niet kunnen horen, te veel sessies die openstaan tegelijkertijd, etc.).

Maar ja, laat het aan onze overheid over om miljarden te spenderen aan een systeem op papier of een systeem dat niet goed werkt.
Door blijven ploeteren met verouderde encryptie is een teken van gebrek aan actief beheer. Dat is de nummer 1 oorzaak van alle 'hacks'.

MitM aanvallen waarbij encryptiemethode NULL kan worden geforceerd zijn de doodsteek voor alle encryptie. Helaas zit dat nog steeds in veel gebruikte SSL/TLS implementaties.
Mooi toch, zo'n achterdeurtje/verzwakte encryptie. Dit is precies wat de overheid ook wilt voor Signal en dergelijke, wat kan er nou misgaan? :+

[Reactie gewijzigd door UPPERKEES op 23 juli 2024 22:48]

Tetra is dan ook al vreselijk achterhaald. Er vindt vrijwel geen development meer plaats door de leveranciers. Het enige wat ze doen is de life cycle rekken met wat extra support.

Op dit item kan niet meer gereageerd worden.