Европейский институт телекоммуникационных стандартов (ETSI) принял решение, что набор алгоритмов шифрования, используемых в стандарте TETRA (Terrestrial Trunked Radio), который применяют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру, станет достоянием общественности и будет открыт для академических исследований.
Летом 2023 года голландская компания Midnight Blue раскрыла пять серьезных уязвимостей, затрагивающих TETRA. Эти проблемы получили общее название TETRA:BURST и позволяли осуществлять перехват и расшифровку данных в режиме реального времени.
После предания проблем огласке, уязвимости и секретность самих алгоритмов TETRA вызвали немалое возмущение в ИБ-сообществе. Эксперты отмечали, что проприетарные алгоритмы шифрования не позволяют сторонним специалистам тестировать код, что в итоге затрудняет обнаружение ошибок и защиту сетей.
В основе TETRA лежит набор секретных проприетарных криптографических алгоритмов: набор TETRA Authentication Algorithm (TAA1), предназначенный аутентификации и распределения ключей, а также набор TETRA Encryption Algorithm (TEA) для Air Interface Encryption (AIE).
В целом стандарт включает четыре алгоритма шифрования — TEA1, TEA2, TEA3 и TEA4, которые могут использоваться производителями в различных продуктах (в зависимости от их предназначения и заказчика). Так, TEA1 предназначен для коммерческого использования и применяется в критической инфраструктуре ЕС и других стран мира, однако, согласно ETSI, он также предназначен для использования службами общественной безопасности и военными. Исследователи Midnight Blue обнаружили, что некоторые полицейские ведомства так же полагаются на TEA1.
TEA2 переназначен для европейской полиции, служб экстренной помощи, военных и спецслужб. TEA3 доступен для полиции и служб экстренной помощи за пределами ЕС — в странах, считающихся «дружественными» по отношению к европейским, включая Мексику и Индию. «Недружественные» страны, например Иран, могут использовать только TEA1. Что касается TEA4, по словам исследователей, он почти не применяется.
Также в 2022 году ETSI добавил в семейство TETRA три новых, предположительно квантово-устойчивых алгоритма, получивших обозначения TEA 5, 6 и 7.
Все алгоритмы охраняются как коммерческая тайна и защищены строгими соглашениями о неразглашении.
В октябре текущего года технический комитет, отвечающий за стандарт TETRA, собрался на заседание, чтобы обсудить возможность раскрытия кодов этих секретных алгоритмов. Как ни странно, в итоге члены комитета единогласно проголосовали за открытие исходников всех криптографических алгоритмов TETRA.
«На встрече присутствовало очень много представителей сообщества TETRA, включая операторов, пользователей, производителей и представителей государственных органов, — сообщили в ETSI. — После публикации алгоритмов мы будем открыты для проведения независимых академических исследований».
Сообщается, что точная дата раскрытия алгоритмов TETRA пока не определена.
