Rapporten insinuerer at tidlige mobilnettverk ble bevisst bakdør

En rapport har funnet at tidlige mobilnettverk på 1990- og 2000-tallet ble bevisst bakdør, noe som ble bekreftet av ETSI.

Forskere fra flere universiteter i Frankrike, Tyskland og Norge har konkludert med at krypteringsalgoritmen GEA-1, brukt i tidlige mobile datanettverk på 1990- og 2000-tallet, ble bevisst bakdør da det ble introdusert. GPRS er en mobildatastandard basert på 2G-teknologi, og mange land og nettverksleverandører er fortsatt avhengige av den som en reserve for mobildata, SMS og telefonsamtaler. GEA-1-kryptering brukes mellom telefonen og basestasjonen, men det har vist seg å være bevisst svekket. GEA-2, etterfølgeren til GEA-1, ble også funnet å ha subparisk beskyttelse, selv om det ikke ble funnet bevis for en bevisst bakdør.

Selv om GEA-1 eller GEA-2 er proprietære krypteringsalgoritmer, hentet forskerne dem fra "en kilde som foretrekker å være anonym." I henhold til rapporten er det en sterk statistisk sannsynlighet for at GEA-1-algoritmen var betydelig svekket og faktisk ikke 64-bits sikker som annonsert. I stedet ga den bare 40-biters sikkerhet; 40-bits kryptering gir svært svak sikkerhet, som et nettverk av datamaskiner

var i stand til brute-force en nøkkel på kort tid. Matthew Green, en kryptografiforsker ved Johns Hopkins University, har styrket påstandene om at dette er en bevisst "bakdør".

I sine forsøk på å reversere både GEA-1 og GEA-2, oppdaget forskerne at deres gjenskaping av GEA-1-algoritmen var mye sikrere enn den opprinnelig implementerte algoritmen. Forskerne konkluderte med at dette ikke var tilfeldig, og at det var en bevisst designbeslutning av de som hadde designet GEA-1-algoritmen for mobilnett i utgangspunktet. Avisen sier at "konkret, i en million forsøk kom vi aldri i nærheten av en så svak instans". I dette tilfellet, når det kombineres med muligheten til å avlytte GPRS-kommunikasjon, er det det teoretisk mulig å avskjære og dekryptere all mobilnettverkstrafikk som bruker GEA-1 algoritme med letthet. Matthew Green bemerker også at TLS ikke ble brukt av de fleste nettsteder på den tiden, og at alle som brukte internett stolte på disse algoritmene for å beskytte kommunikasjonen.

Hovedkort kontaktet European Telecommunications Standard Institute (ETSI), organisasjonen som utviklet algoritmen. De innrømmet at algoritmen inneholdt en svakhet, men sa at den ble innført fordi eksportregelverket den gang ikke tillot sterkere kryptering. "Vi fulgte forskrifter: vi fulgte eksportkontrollforskrifter som begrenset styrken til GEA-1." Håvard Raddum, en forsker på papiret, uttalte til Hovedkort at "For å møte politiske krav var millioner av brukere tilsynelatende dårlig beskyttet mens de surfet i årevis." Lukasz Olejnik, en uavhengig cybersikkerhetsforsker og konsulent som har en Ph.D. fra INRIA, også fortalt Hovedkort at "denne tekniske analysen er god, og konklusjonene angående den tilsiktede svekkelsen av algoritmen er ganske alvorlige."

De aktuelle eksportforskriftene er sannsynligvis franske dekret 98-206 og 98-207. Dekretene som ble kunngjort i 1998 (året GEA-1 ble designet), uttalte at midler og tjenester innen kryptologi der "uttømmende søk etter alle mulige nøkler krever ikke mer enn 2 40 forsøk med en enkel test” er unntatt fra autorisasjon eller brukserklæring og import.

Med GEA-2 var ting annerledes, og ETSI fortalte Hovedkort at eksportkontrollene var blitt lempet på tidspunktet for GEA-2s design. Forskerne var fortsatt i stand til å dekryptere GEA-2-trafikk, og de sa at chifferen "ikke tilbyr full 64-bits sikkerhet". Mens angrepet var vanskeligere «å bruke i praksis», anbefaler forskerne at kun GEA-3 og høyere implementeres fra nå av. Mange enheter utgitt selv de siste årene bruker fortsatt GEA-1 og GEA-2 som reserver, selv om ETSI forhindret nettverksoperatører fra å bruke GEA-1 i sine mobilnettverk i 2013.

Originaloppgaven kan leses her.