军用警用无线电加密算法存在严重漏洞，可被轻易破解

两年前，荷兰研究人员在关键基础设施、全球警方、情报机构和军队使用的无线电设备加密算法中发现了一个故意植入的后门，该漏洞会导致任何使用该算法加密的通信内容都可能被窃听。

当研究人员在2023年公开披露该问题时，开发该算法的欧洲电信标准协会（ETSI）建议敏感通信用户在该有缺陷的算法之上部署端到端加密方案以增强安全性。

但如今，同一研究团队发现ETSI推荐的至少一种端到端加密实施方案存在类似问题，同样容易遭受窃听。他们检测的设备加密算法初始使用128位密钥，但在加密流量前会被压缩至56位，使其更易被破解。目前尚不清楚哪些用户在使用这种端到端加密算法实现，也不清楚使用者是否知晓其中存在的安全漏洞。

研究人员调查的这套端到端加密系统部署成本高昂，主要应用于执法机构、特种部队以及涉及国家安全工作的秘密军事和情报团队的无线电设备。但ETSI两年前为弥补其底层加密算法缺陷而推荐该算法的行为表明，其当前使用范围可能比当时更广。

2023年，荷兰安全公司Midnight Blue的Carlo Meijer、Wouter Bokslag和Jos Wetzels发现了ETSI制定的TETRA（陆地集群无线电）欧洲无线电标准中加密算法的漏洞。自90年代以来，摩托罗拉、Damm、Sepura等公司的无线电系统都内置了该标准。这些漏洞在被披露前一直不为人知，因为ETSI数十年来拒绝任何人检查其专有算法。研究人员近期调查的端到端加密方案设计运行于TETRA加密算法之上。

研究人员仅在提取并逆向工程Sepura无线电中使用的端到端加密（E2EE）算法后才发现该问题。他们计划在拉斯维加斯的BlackHat安全会议上公布这些发现。

ETSI在被问及此事时指出，与TETRA无线电配合使用的端到端加密并非ETSI标准的一部分，也非该组织开发。该方案由关键通信协会（TCCA）的安全与防欺诈小组（SFPG）制作。但ETSI与TCCA合作密切，两个组织有许多共同成员。曾担任ETSI负责TETRA标准的技术机构主席及开发E2EE解决方案的TCCA小组负责人的Brian Murgatroyd代表ETSI和TCCA在邮件中表示，端到端加密未被纳入ETSI标准是因为"当时认为E2EE仅会用于涉及国家安全问题的政府团体，这些团体通常有特殊安全需求"。

Murgatroyd指出，TETRA无线电购买者可自由部署其他端到端加密解决方案，但他承认TCCA制作并经ETSI认可的方案"据我们所知被广泛使用"。

虽然美国警方和军队不使用基于TETRA的无线电设备，但全球多数警察部队都在使用，包括比利时、斯堪的纳维亚国家、塞尔维亚、摩尔多瓦、保加利亚、马其顿等东欧国家，以及伊朗、伊拉克、黎巴嫩和叙利亚等中东国家。保加利亚、哈萨克斯坦和叙利亚的国防部，波兰军事反情报机构，芬兰国防军以及黎巴嫩和沙特阿拉伯的情报部门也在使用。但尚不清楚其中有多少同时部署了端到端加密。

TETRA标准包含四种加密算法——TEA1、TEA2、TEA3和TEA4，无线电制造商可根据目标客户和使用场景在不同产品中使用。这些算法根据无线电销售区域有不同的安全级别。例如TEA2仅限于欧洲警方、应急服务、军队和情报机构使用的无线电；TEA3可用于欧盟认定"友好"的非欧洲国家的警方和应急服务无线电；只有TEA1可用于欧盟认定不友好国家（如伊朗）的公共安全机构、警察部门和军队，但也用于美国等国的关键基础设施，如管道、铁路和电网等工业控制环境中的机器间通信。

所有四种TETRA加密算法都使用80位密钥保护通信。但荷兰研究人员在2023年发现TEA1存在导致密钥降至仅32位的特性，使得研究人员能在不到一分钟内破解。

就E2EE而言，研究人员发现他们检测的实现方案初始使用比TETRA算法更安全的密钥，但会被压缩至56位，这可能使攻击者解密语音和数据通信。他们还发现第二个漏洞，允许发送欺诈信息或重放合法信息，向无线电使用者传播错误信息或制造混乱。

研究人员表示，注入语音流量和重放信息的能力影响所有使用TCCA端到端加密方案的用户。这是TCCA E2EE协议设计缺陷而非特定实现的结果。"执法终端用户"已向他们确认该缺陷也存在于Sepura以外厂商生产的无线电中。

但研究人员指出，只有部分端到端加密用户可能受密钥压缩漏洞影响，因为这取决于销售给各国的无线电中加密的实现方式。

ETSI的Murgatroyd在2023年表示，TEA1密钥被压缩是为满足向欧洲以外客户销售加密的出口管制要求。他说算法创建时，32位熵的密钥对大多数用途被认为是安全的。计算能力的进步使其安全性降低，因此当荷兰研究人员两年前曝光密钥压缩问题时，ETSI建议使用TEA1的客户在其上部署TCCA的端到端加密解决方案。

但Murgatroyd称TCCA设计的端到端加密算法不同，它不规定无线电应使用的密钥长度，因为使用端到端加密的政府对其设备有"特定且通常是专有的安全规则"。因此他们可通过与无线电供应商合作，选择适合的"加密算法、密钥管理等"来定制TCCA加密算法——但仅限于一定程度。

"加密算法和密钥的选择由供应商与客户组织共同决定，ETSI对此没有发言权——也不了解任何系统中使用的算法和密钥长度，"他说。但他补充，无线电制造商和客户"始终需要遵守出口管制法规"。

研究人员表示无法验证TCCA E2EE是否未指定密钥长度，因为描述该方案的TCCA文档受保密协议保护，仅提供给无线电厂商。但他们注意到E2EE系统会标出"算法标识符"编号，这意味着它会标明用于端到端加密的具体算法。研究人员称这些标识符非厂商特定，表明它们指的是TCCA生产的不同密钥变体——即TCCA提供使用126位或56位密钥的算法规范，无线电厂商可根据购买国的出口管制配置设备使用任一变体。

用户是否知晓其无线电可能存在该漏洞尚不明确。研究人员发现一份2006年Sepura机密产品公告（被人泄露到网上），其中提到"流量密钥长度...受出口管制法规约束，因此[设备中的加密系统]将出厂配置为支持128、64或56位密钥长度。"但不清楚Sepura客户收到什么信息，也不清楚其他使用压缩密钥的无线电制造商是否向客户披露其无线电使用压缩密钥算法。

"有些制造商在宣传册中提及；有些仅在内