'Ook aanvullende encryptie van Tetra-communicatiestandaard bevat kwetsbaarheden'

Nederlandse onderzoekers hebben drie kwetsbaarheden gevonden in de end-to-endencryptie van het communicatieprotocol Tetra, dat veel gebruikt wordt door hulpdiensten. Deze aanvullende beveiligingslaag werd ingevoerd nadat er in 2023 ook al kwetsbaarheden waren gevonden in Tetra.

De nieuwe kwetsbaarheden bevinden zich in de end-to-endversleuteling die bovenop een van de vier encryptielagen van de Tetra-communicatiestandaard wordt geplaatst, de zogenaamde TEA1-laag. Dat ontdekte het Nederlandse securitybedrijf Midnight Blue. Een van de kwetsbaarheden, CVE-2025-52941, is als kritiek aangeduid. De onderzoekers kwamen erachter dat de e2e-encryptie gebruikmaakt van een 128bit-sleutel, maar dat deze dusdanig is verzwakt dat er effectief maar een sleutellengte van 56 bit overblijft. Daarmee is de versleuteling relatief makkelijk te bruteforcen, zeggen de onderzoekers. Daarnaast zijn er kwetsbaarheden ontdekt die het mogelijk maken om vervalste berichten te verzenden naar eindgebruikers of om eerdere berichten opnieuw af te spelen.

De Tetra-standaard zelf is openbaar beschikbaar, maar over de end-to-endencryptie is online geen informatie beschikbaar. Het securityteam wist een 'populaire' e2e-versleuteling van een Sepura-radio in handen te krijgen en kon deze vervolgens reverse-engineeren. De kritieke kwetsbaarheid is volgens de onderzoekers waarschijnlijk niet aanwezig bij iedere Tetra-radio met e2e-encryptie, omdat dat afhankelijk is van de manier waarop de encryptie is geïmplementeerd.

De Tetra-radiocommunicatiestandaard wordt onder andere gebruikt door hulpdiensten zoals politie en brandweer. De verschillende TEA-encryptieniveaus zijn bedoeld voor verschillende toepassingen. TEA1 wordt vooral gebruikt voor de versleuteling van toepassingen in commercieel beschikbare apparatuur.

In 2023 ontdekte Midnight Blue al dat de beveiliging van Tetra, met name TEA1, ondermaats was. De 80bit-sleutel die wordt gebruikt voor de versleuteling van deze eerste laag, kon met een ingebouwde functie worden afgezwakt naar een 32bit-sleutel. Daardoor zou de encryptie in minder dan een minuut kunnen worden gekraakt.

De beheerder van Tetra, het Europees Telecommunicatie en Standaardisatie Instituut, raadde organisaties met apparatuur die gebruikmaakt van TEA1 aan om indien mogelijk over te stappen op TEA2. Een andere mogelijkheid was om de zwakke versleuteling te verstevigen met end-to-endencryptie. Deze extra versleuteling wordt niet beheerd door het ETSI, maar door The Critical Communications Alliance. Wel heeft het ETSI de integratie van de encryptielaag geadviseerd.

Door Kevin Krikhaar

Redacteur

Feedback • 11-08-2025 13:38
18 • submitter: twinprime

11-08-2025 • 13:38

18

Submitter: twinprime

Lees meer

ETSI maakt radio-encryptiestandaard van nooddienstennetwerk C2000 openbaar
ETSI maakt radio-encryptiestandaard van nooddienstennetwerk C2000 openbaar Nieuws van 15 november 2023
‘Nederlandse overheid al dertig jaar op de hoogte van zwakke beveiliging Tetra’
‘Nederlandse overheid al dertig jaar op de hoogte van zwakke beveiliging Tetra’ Nieuws van 30 juli 2023
Onderzoekers vinden kwetsbaarheden in radio-encryptiestandaard van C2000
Onderzoekers vinden kwetsbaarheden in radio-encryptiestandaard van C2000 Nieuws van 24 juli 2023
Minister onderzoekt haalbaarheid C2000-vervanger op basis van mobiel breedband
Minister onderzoekt haalbaarheid C2000-vervanger op basis van mobiel breedband Nieuws van 13 november 2019
Meer producten en artikelen
Beveiliging en antivirus Cybersecurity Hack

Reacties (18)

-Moderatie-faq
18
18
14
5
0
4
Wijzig sortering
Sorcerer8472 11 augustus 2025 14:55
Kunnen we het niet gewoon opgeven en meeliften op LTE?

Desnoods net zoals in de VS waar AT&T een aanbesteding heeft gewonnen voor FirstNet, een soort extra LTE-carrier (frequentieband 14, ~700 MHz) die landelijk beschikbaar is voor hulpdiensten, waar PTT (Push-to-Talk) functionaliteit in zit. De carrier is ook door gewone telefoons te gebruiken.

Tijdens noodgevallen is de LTE-carrier alleen bruikbaar door nooddiensten. De mogelijkheid om publieke netwerken te gebruiken geeft ook in meer gevallen dekking (bijv. parkeergarages waar wel indoor dekking is). Ook QoS kan worden toegepast waardoor bij een belast netwerk hulpdiensten voorrang krijgen, of zelfs exclusief gebruik van de band krijgen (consumenten mogen niet connecten, dat voorkomt een overbelast netwerk op die frequentieband). In Nederland heeft men geen gereserveerde band hiervoor, maar je zou hier wel voorzieningen voor kunnen treffen zodat tijdens nationale rampen bijvoorbeeld band 20 of band 8 exclusief wordt voor hulpdiensten. Dat wil je ook, want consumenten trekken bij een ramp zo die hele band dicht.

Desnoods kun je daarnaast een contract met de andere providers aangaan zodat er geroamd kan worden op plekken waar de primaire provider geen dekking heeft. Vaak hebben bedrijfspanden of parkeergarages inpandige dekking van één van de providers, en die is zo ook bruikbaar voor hulpdiensten. Ook in grensgebieden zou je roaming kunnen gebruiken via een buitenlandse provider.

Hiermee bied je voor de hulpdiensten goede connectiviteit op portofoons en andere apparatuur.

Hier zie ik veel meer heil in dan Tetra. Waarschijnlijk goedkoper, geen eigen infrastructuur, minder expertise nodig, veel betere dekking, mogelijk levensreddend.
Reageer
berchtold @Sorcerer847211 augustus 2025 16:06
Klinkt als een goed plan. Consumenten technologie lijkt meer bewezen te werken dan die bouwwerkjes die ze nu gebruiken
Reageer
Llopigat @berchtold11 augustus 2025 16:38
Ja en nee. In dagelijks gebruik ja. Als er echt stront aan de knikker is nee.

Je zag het ook hier in Spanje tijdens de grote stroomstoring. Het eerste uur of twee bleef het mobiele netwerk wel doordraaien. Daarna ging alles plat. Sommige netwerken zag je helemaal niet meer, anderen waren overbelast. Hulpverleners hebben dan wel prioriteit maar het probleem is dat het bereik ook heel erg inkrimpt bij zware belasting omdat CDMA technieken last hebben van het 'adem' fenomeen.

Als je nog verbinding kreeg van een basisstation dat nog genoeg accu had, dan kon het zijn dataverkeer niet meer kwijt want het vaste internet was ook uit (ik heb zelf power backup dus ik kon dat proberen). Ondertussen kon ik via de amateurradio gewoon doorpraten. Ook de 'repeaters' (een soort basisstations) deden het nog.

Iets als tetra is veel beter te voorzien van stabiele stroom backup. Het kost niet zoveel stroom als een heel mobiel netwerk, je hebt maar een paar lokaties te verstevigen hiertegen, en ook maar een paar verbindingen tussen elkaar, vergeleken met het hele mobiele netwerk. Immers voor uitval hoeft er maar 1 schakel weg te vallen. Nederland heeft ook nog het nationaal noodnet (tegenwoordig de Nood Communicatie Voorziening) als backbone.

Ik zie meer in een tweeledige oplossing. Porto's met zowel LTE als Tetra erin.

[Reactie gewijzigd door Llopigat op 11 augustus 2025 16:40]

Reageer
Monochrome 11 augustus 2025 16:26
Auteur van het onderzoek hier. Er zijn wat belangrijke kanttekeningen te plaatsen.


De variant waarbij een 128-bits key intern gereduceerd wordt tot 56-bits is slechts 1 van de mogelijke algoritmes voor TETRA E2EE. Andere algoritmes maken dat dezelfde E2EE standaard zich baseert op AES128, AES256 of IDEA, zonder reductie van de key. De verzwakte variant bestaat waarschijnlijk voor export-redenen, maar het is onduidelijk of gebruikers van de zwakke variant hiervan op de hoogte gesteld zijn. Laat ik zeggen; zouden TETRA E2EE eindgebruikers bereid zijn tonnen of miljoenen te betalen voor 56 bits security?


Gebruikers van de robuustere varianten zijn vatbaar voor voice injection en replay aanvallen, vrij triviale zwaktes die eerder gevonden hadden kunnen worden, als het protocol openbaar was geweest.


Verder; "de zogenaamde TEA1-laag", dat moet zijn: "de air interface encryption". Een van de TEA algoritmes kan gebruikt worden, namelijk TEA1-TEA7. TEA1 is gebackdoored. TEA2 is wel robuust, en in gebruik in C2000. Verder zijn er wel allerlei andere aanvallen op de TETRA air interface encryptie, die ook de TEA2 algoritmes raken, maar die zijn lastiger uit te voeren dan de aanvallen op TEA1.

[Reactie gewijzigd door Monochrome op 11 augustus 2025 16:47]

Reageer
kabelmannetje 11 augustus 2025 14:15
Zoveel open source, open standaarden en bewezen veilige protocollen beschikbaar. Die miljoenen uren bekeken zijn en veilig geacht worden.

Waarom toch weer opnieuw zelf het wiel proberen uit te vinden?
Reageer
GertMenkel
@kabelmannetje11 augustus 2025 15:13
TETRA is expres zwakker gemaakt voor export naar andere landen. "Onze" versie is in principe veilig, maar "hun" versie is expres makkelijker te kraken. Daarnaast is er een verschil in de veiligheid van het protocol zoals bedoeld voor commerciële applicaties en politiefuncties. Toen het protocol in 1995 ontwikkeld was, was versleuteling helemaal niet vanzelfsprekend, helemaal niet zonder extra hardware, en was er een aardig verschil tussen civiele versleuteling en "militaire" versleuteling (zoals iedere chat-app behalve Telegram tegenwoordig zo'n beetje ondersteunt).

Op zich een leuk idee, tot de fabrikant dezelfde hardware gebruikt voor "onze" en "hun" hardware, en tot OpenPGP een einde maakte aan de effectiviteit van exportbeperkingen op encryptiegebied.

TETRA is van ETSI, een standaardlichaam dat ook bijvoorbeeld aan 5G/6G werkt, en veel standaarden zijn dan ook te downloaden van diens website. Het is een mix van open en gesloten standaarden en dat gesloten stuk is bijvoorbeeld bedoeld om "hen" niet te laten meeprofiteren van "onze" slimme versleuteling, maar tegelijkertijd wel de optie te bieden voor bijvoorbeeld havens om redundante en betrouwbare radio-infrastructuur te krijgen.
Reageer
Blokker_1999
@kabelmannetje11 augustus 2025 14:21
Omdat we hier bezig zijn met technologie uit de vorige eeuw. Daar bouw je op verder. Alles converteren naar nieuwe standaarden is mogelijk, maar ook weer zeer duur. Het is dus een kostenafweging.
Reageer
bzuidgeest @Blokker_199911 augustus 2025 14:28
Continue in de problemen landen omdat je brak spul gebruikt is ook duur. Soms is overstappen en de pijn daarvan goedkoper.
Reageer
Zer0 @bzuidgeest11 augustus 2025 14:41
Welke problemen zijn er dan? Liggen de hulpdiensten plat? Er.is gewoon een kwetsbaarheid gevonden, de oplossing is er al, de wereld draait gewoon door.

Ook met opensource protocollen gebeurd dit.
Reageer
Sorcerer8472 @Zer011 augustus 2025 15:00
Ja, er zijn grote problemen met het netwerk, continu:

nieuws: Politie krijgt opnieuw uitstel om problemen met C2000-netwerk te verhelpen
nieuws: Evaluatie: Ontevredenheid over nieuw C2000 komt door afwijkende verwachtingen

Dit nieuwsbericht is weer een indicatie dat er echt heel veel problemen spelen met het systeem. Imo is een overstap naar een model zoals in de VS een slim idee. Zie mijn post hier.
Reageer
Nico Klus @Sorcerer847211 augustus 2025 16:03
Dit is stemminimakerij en off topic.
Issues mbt de dekking is iets heel anders dan een fundamentele protocol kwetsbaarheid.

Zoals eerder gemeld is het een probleem van TEA1. In Nederland (Europa) gebruiken we TEA2 dus daar speelt dit probleem niet.
Als we dan kijken voor wie TEA1 bedoeld is :
Only TEA1 is available for radios used by public safety agencies, police agencies, and militaries in countries deemed not friendly to Europe, such as Iran
En wetende dat bij de eerder gevonden kwetsbaarheden het bijna wel by design moest zijn is dit niet heel vreemd.
Reageer
2TheMaks @Zer011 augustus 2025 15:00
Welke problemen zijn er dan? Liggen de hulpdiensten plat?
Terrestrial Trunked Radio (TETRA) is zeer gevoelig voor RF jamming en interference. Ofwel: je koopt voor een paar tientjes aan onderdelen op Ali, en je bouwt een apparaatje waarmee je de communicatie van hulpdiensten zeer ernstig verstoort of zelfs onmogelijk maakt. Lijkt mij wel een probleempje. Deze kwetsbaarheid zou eigenlijk ook een CVE-nummer moeten hebben....
Reageer
Argantonis @2TheMaks11 augustus 2025 15:28
Dat is gewoon inherent aan radio en heeft hier niks mee te maken. Je wil bij dit soort services niet afhankelijk gaan zijn van telefoonpalen van commerciële partijen die ook gehacked kunnen worden.
Reageer
bzuidgeest @Zer011 augustus 2025 15:57
Mijn reactie gaat om de stelling van @Blokker_1999 die stelt dat omzetten naar iets nieuws of beters te duur is. Ik denk dat dit niet in alle gevallen waar is en dat de pijn van vernieuwing beter kan zijn dan door rommelen op iets ouds.

Mijn reactie was algemeen en niet specifiek op Tetra. Echter @Sorcerer8472 heeft je zelfs op dat gebied al antwoord gegeven.
Reageer
yevgeny @kabelmannetje11 augustus 2025 15:11
Dit is geen bug of een fout, dit is bewust gedaan.

Een 56 bit versie voor de export.

Uit de documentatie.

static void ALG87_PROCESS_KEY(uint *lpkey_InOut) {
pKey_inOut[0] = lpKeyInOut[0xE];
lpKey_InOut[1] = lpKey_inOut[0xF];

for (int i = 0; i < 7; i++) {
lpKey_inOut[i + 2] = lpKey_InOut[i + 9];
}
}

Eerste twee bytes van de key worden overschreven met 0x0E en 0x0F, vervolgens worden de laatste
7 bytes van de key gekopieerd naar byte 2 t/m 8 van de key.

Key bestaat dus uit 0x0E, 0x0F en dan tweemaal de bytes 10 t/m 16 van de 16 bytes [128 bit] lange oorspronkelijke key.

[Reactie gewijzigd door yevgeny op 11 augustus 2025 16:12]

Reageer
SunnieNL 11 augustus 2025 13:42
Het securityteam wist een 'populaire' e2e-versleuteling van een Sepura-radio in handen te krijgen en kon deze vervolgens reverse-engineeren. De kritieke kwetsbaarheid is volgens de onderzoekers waarschijnlijk niet aanwezig bij iedere Tetra-radio met e2e-encryptie, omdat dat afhankelijk is van de manier waarop de encryptie is geïmplementeerd.
Dan hebben we hier wel te maken met een clickbait kop van het artikel.
Dat had dus eigenlijk moeten zijn "Implementatie van aanvulende encryptie van Tetra communicatiestandaard in Sepura radio bevat kwetsbaarheden" ... maar dat is misschien een beetje te lang
Reageer
GertMenkel
@SunnieNL11 augustus 2025 15:04
Ja en nee. De extra laag is behoorlijk losjes gestandaardiseerd en CVE-2025-52941 is het resultaat van expres verzwakte versleuteling. De Secura-variant is dan wel proprietary, maar dat betekent niet dat die zelfverzonnen is. Volgens de slides van de onderzoekers lijkt die versleuteling een (correcte) implementatie te zijn van de aanbevelingen (die natuurlijk geheim en achter NDA's verstopt zitten).

De oorzaak van de verzwakking is regelgeving over het exporteren van goede versleuteling naar minder vriendelijke landen. We willen de Chinezen en Russen geen veilige portofoons geven maar fabrikanten willen wel de hele markt kunnen bedienen, dus dan krijg je deze ongein. Ironisch, aangezien het onderzoeksmateriaal van deze onderzoekers gedeeltelijk van Chinese en Russische bronnen op de sanctielijst kwamen.

Aangezien de industrie achter TETRA doet alsof hun encryptie uit een James Bond-film komt terwijl de gemiddelde webbrowser ze voorbij gaat, zou ik er maar van uit gaan dat het hele protocol kapot is tot de TETRA-mensen kunnen aantonen dat hun protocol wel veilig is.
Reageer
dascandy_ 11 augustus 2025 15:34
Op dit moment presenteert Midnight Blue nieuwe aanvallen op Tetra bij WHY2025.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq