En rapport har funnit att de tidiga mobilnäten på 1990- och 2000-talen var medvetet bakdörrar, vilket bekräftades av ETSI.
Forskare från flera universitet i Frankrike, Tyskland och Norge har kommit fram till att krypteringsalgoritmen GEA-1, som användes i tidiga mobila datanätverk på 1990- och 2000-talen, var medvetet bakdörr när det var infördes. GPRS är en mobildatastandard baserad på 2G-teknik, och många länder och nätverksleverantörer förlitar sig fortfarande på den som en reserv för mobildata, SMS och telefonsamtal. GEA-1-kryptering används mellan telefonen och basstationen, men den har visat sig ha försvagats medvetet. GEA-2, efterföljaren till GEA-1, befanns också ha undermåligt skydd, även om inga bevis på en avsiktlig bakdörr hittades.
Även om GEA-1 eller GEA-2 är proprietära krypteringsalgoritmer, fick forskarna dem från "en källa som föredrar att vara anonym." Enligt i rapporten finns det en stor statistisk sannolikhet att GEA-1-algoritmen var avsevärt försvagad och inte faktiskt 64-bitars säker eftersom annonserade. Istället gav den bara 40-bitars säkerhet; 40-bitars kryptering ger mycket svag säkerhet, som ett nätverk av datorer
var kapabel att brute-force en nyckel på kort tid. Matthew Green, en kryptografiforskare vid Johns Hopkins University, har ökat påståenden om att detta är en avsiktlig "bakdörr".I sina försök att reverse engineering av både GEA-1 och GEA-2 upptäckte forskarna att deras återskapande av GEA-1-algoritmen var mycket säkrare än den ursprungligen implementerade algoritmen. Forskarna drog slutsatsen att detta inte var av en slump och att det var ett medvetet designbeslut av dem som hade designat GEA-1-algoritmen för mobila nätverk i första hand. Tidningen säger att "konkret, på en miljon försök kom vi aldrig ens i närheten av en så svag instans". I det här fallet, i kombination med möjligheten att avlyssna GPRS-kommunikation, är det det teoretiskt möjligt att avlyssna och dekryptera all mobil nätverkstrafik som använder GEA-1 algoritm med lätthet. Matthew Green noterar också att TLS inte användes av de flesta webbplatser vid den tiden och att alla som använde internet förlitade sig på dessa algoritmer för att skydda sin kommunikation.
Moderkort kontaktade European Telecommunications Standard Institute (ETSI), organisationen som utformade algoritmen. De medgav att algoritmen innehöll en svaghet, men sa att den infördes eftersom exportreglerna vid den tiden inte tillät starkare kryptering. "Vi följde bestämmelser: vi följde exportkontrollbestämmelser som begränsade styrkan hos GEA-1." Håvard Raddum, en forskare på papper, uppgav att Moderkort den där "för att möta politiska krav var miljontals användare tydligen dåligt skyddade när de surfade i flera år." Lukasz Olejnik, en oberoende cybersäkerhetsforskare och konsult som har en doktorsexamen i datavetenskap. från INRIA, berättade också Moderkort den där "denna tekniska analys är sund, och slutsatserna om den avsiktliga försvagningen av algoritmen är ganska allvarliga."
Exportbestämmelserna i fråga är sannolikt de franska dekret 98-206 och 98-207. Dekreten, som tillkännagavs 1998 (året som GEA-1 utformades), fastställde att medel och tjänster för kryptologi där "uttömmande sökning av alla möjliga nycklar kräver inte mer än 2 40 försök med ett enkelt test” är undantagna från auktorisation eller deklaration för användning och importera.
Med GEA-2 var saker annorlunda, och ETSI berättade Moderkort att exportkontrollerna hade lättats vid tidpunkten för GEA-2:s design. Forskarna kunde fortfarande dekryptera GEA-2-trafik, och de sa att chiffret "inte erbjuder full 64-bitars säkerhet". Även om attacken var svårare "att tillämpa i praktiken", rekommenderar forskarna att endast GEA-3 och högre implementeras från och med nu. Många enheter som släppts även på senare år använder fortfarande GEA-1 och GEA-2 som reservdelar, även om ETSI förhindras nätoperatörer från att använda GEA-1 i sina mobilnät under 2013.
Originaltidningen kan läsas här.