ハクソク

世界を動かす技術を、日本語で。

警察や軍用無線のために作られた暗号は簡単に破られる可能性がある

291日前原文(wired.com)

概要

  • オランダの研究者がTETRA無線暗号アルゴリズムの 意図的なバックドア を発見
  • ETSI推奨の エンドツーエンド暗号化(E2EE)実装にも重大な脆弱性 が判明
  • 一部E2EE実装は キー長が56ビットに縮小 され、解読リスク増大
  • 脆弱な暗号化は 世界中の警察・軍・重要インフラ で利用
  • セキュリティの透明性・導入者への 情報提供不足 が問題視

TETRA無線と暗号化アルゴリズムの脆弱性

  • 2023年、オランダのセキュリティ企業Midnight Blueの研究者が TETRA標準の暗号化アルゴリズム に脆弱性を発見
  • TETRAは ETSI によって策定され、Motorola、Damm、Sepuraなどの無線機に1990年代から搭載
  • TEA1~TEA4の 4種類の暗号化アルゴリズム を用途・地域別に選択
    • TEA2:欧州の警察・軍向け
    • TEA3:EU友好国向け
    • TEA1:非友好国や米国の重要インフラ向け
  • すべてのTETRAアルゴリズムは 80ビットキー を使用
  • TEA1は 32ビットキーに縮小 されており、1分以内で解読可能

ETSI推奨E2EEソリューションの新たな問題

  • ETSIはTETRAの脆弱性発覚後、 TCCAが開発したE2EE の上乗せを推奨
  • 研究者がSepura製無線機のE2EEを解析した結果、 128ビットキーが56ビットに縮小 される実装を確認
  • 56ビットキーは 容易に解読可能 で、通信の盗聴リスク
  • 偽メッセージ送信やリプレイ攻撃 も可能な設計上の欠陥を発見
  • このプロトコル設計の問題は TCCA E2EE利用者全体 に影響

適用範囲と利用実態

  • TETRA無線は 欧州、東欧、中東、アジア の警察・軍・防衛機関で広く利用
    • 例:ベルギー、スカンジナビア諸国、セルビア、モルドバ、ブルガリア、マケドニア、イラン、イラク、レバノン、シリアなど
    • ブルガリア、カザフスタン、シリアの国防省、ポーランド軍情報局、フィンランド国防軍、レバノン・サウジアラビア情報機関
  • 米国の警察・軍では使用されていないが、 重要インフラの機器通信 に利用例あり

キー長縮小と透明性の問題

  • TCCAのE2EE仕様では キー長が128/64/56ビットに設定可能
  • 輸出規制のため キー長が短縮される場合 がある
  • E2EEの仕様や導入状況は 非公開・NDA下 であり、利用者への情報開示が不十分
  • 一部メーカーはカタログ等で キー短縮を明記 するが、多くは非公開
  • 研究者の調査では 弱体化の告知がユーザーに十分伝わっていない 実態

ETSI・TCCAの説明と研究者の見解

  • ETSIは「E2EEの キー長やアルゴリズムの選択は政府とベンダー間で決定 される」と説明
  • ETSIは「政府顧客は自らの暗号化システムの安全性を把握しているはず」と主張
  • 研究者は「 非西側政府が高額投資して56ビットの安全性しか得られない事実を知っているとは考えにくい」と指摘

まとめと今後の課題

  • TETRA無線とE2EEの脆弱性 は国家安全保障や重要インフラに重大なリスク
  • 設計上の欠陥・キー短縮・透明性不足 が根本的な問題
  • 利用者への明確な情報提供・脆弱性対策 の徹底が求められる

Hackerたちの意見

面白いことに、うちの自治体は最近やっと無線を暗号化し始めたんだよね。でも、これが物議を醸したんだ。住民はスキャナーを聞けるのが好きだったから。

で、また暗号化が解除されることになったけど、選択肢はないみたい!

8年前、ダラスで誰かが金曜日の夜中に全てのトルネードサイレンを鳴らしたのを忘れられないよ。無線で制御されてて、制御信号が暗号化されてなかったから、「ハッカー」は実際の警報中にそれを録音して、再生してシステムを攻撃したんだ。

前は町で何が起こってるか聞こえてたから、警察の透明性があったんだけど、今はそれがない。良いことなのか悪いことなのか、微妙だね。

サンディエゴ?

住民たちはスキャナーを聞けるのが好きだったみたい。これは税金で賄われている公共サービスだから、何をしているか知るのは合理的だと思うよ。

ボストン?

そうそう、スキャナー文化って実際にあるよね。

これ、北米では使われてないTETRAに影響するから注意ね。アメリカのシステムはほとんどがP25を使ってるけど、この記事にはそれについては触れられてない。

P25にも問題が山ほどあるし… LLE(リンク層暗号化)が全てのP25システムに導入されるまで、システムや無線トラフィックについて何らかの情報を集める方法は常にあるよ。リンク層の認証を実装するのにこんなに時間がかかってるのも、セキュリティの穴がほとんど埋まってないってことだし…。

北カリフォルニアのサービスはP25を使ってるけど、暗号化はオフになってるんだ。アナログリピーターもあるしね。おそらく、古いラジオを使えるから、キーのローテーションを気にしなくていいんだろうね。アナログ信号の音質はP25のバージョンよりずっと良いし、P25は理解しにくいことが多いから。

TETRAは、あるグループがプロトコルについて調査した結果、すでに脆弱性があるってことがわかってると思う。彼らは証拠動画を見せたけど、セキュリティの懸念から技術情報やPOCは公開しなかった。

TFAは最初からそう言ってるよね。

そういえば、最近DEFCONの動画を見てたんだけど、今朝ちょうどTetraについての講演を見たばかりなんだ。なんて偶然だろう。 https://www.youtube.com/watch?v=iGINoIYQwak

興味がある人のために言うと、アメリカでの最も近い相当物はP25、つまり「プロジェクト25」だよ。それに、P25システムにはいろんな種類の脆弱性があることも知られてる。俺のお気に入りは、攻撃者がP25ラジオに「オンデマンド」でトークンを放送させることができるやつで、(理論的には、適切な受信セットアップとソフトウェアがあれば)P25ラジオの位置をほぼリアルタイムで追跡できるんだ。あと、地元のP25通信を聞きたい人には、RTL-SDRドングルとオープンソースのop25ソフトウェアパッケージを使えば、かなり安くできるよ。暗号化されたトラフィックは聞けないけど、俺の経験では、多くの(多分ほとんどの)公共安全機関は、ほとんどのトラフィックをクリアにしてる。特に消防やEMSのトラフィックはね。法執行機関は暗号化されることが多いけど、それでも多くの地域では、専用の麻薬捜査班チャンネルやSWATチームチャンネルみたいな少数のチャンネルだけが暗号化されてる。一般的な法執行の dispatch や tac チャンネルは、多くの地域でクリアのままだよ。

この方法を使うのは違法なのかな?法執行機関を追跡するのは明示的に違法じゃないよね?

ケビン・ミトニックは90年代に警察のラジオの暗号化を回避する方法を見つけたんだ。「Ghost in the Wires」からの引用だけど、「通信のヒス音を聞くと、トランスミットボタンを押し続けたんだ。それで、同じ周波数でラジオ信号を送信して、信号をジャムすることができた。そうすると、二人目のエージェントは一人目のエージェントの送信を聞けなくなる。2、3回やり取りをしているうちに、エージェントたちはラジオにイライラしてくる。『ラジオに何か問題がある。クリアでやろう』って言ってるのが想像できる。彼らはラジオのスイッチを切り替えて暗号化モードを解除して、俺は会話の両方を聞けるようになったんだ!今でも、あの暗号化を解除するのがこんなに簡単だったことを思い出すと面白いよ。」

変な話だよね。最近まで、北アメリカのほとんどの警察ラジオは最初からプレーンテキストだったんだから。

それ、90年代の話って感じだね。今だったら撃たれちゃうよ。

これはセキュリティが単にアルゴリズムだけの問題じゃない理由の完璧な例だね。

映画『イミテーション・ゲーム』の中で、アラン・チューリングがエニグマ暗号を解読するシーンが面白いんだけど、彼らが気づいた弱点が、毎日の天気予報に「weatherreport」と「heil bloody hitler」って言葉が入ってたことなんだよね(もちろん、追加の言葉もあったけど!) https://www.youtube.com/shorts/fAsSNjedZWI それの長いバージョンもあるよ: https://www.youtube.com/watch?v=SkETN-xENAM さらに詳しい説明も: https://www.youtube.com/watch?v=V4V2bpZlqx8

地元の警察が使ってる車の中のノートパソコンがアドホックモードになってて、各自が静的なMACアドレスをオープンで放送してたんだよね。それがWigleデータベースで簡単に調べられるっていう。100ヤードくらい離れた場所でも、どんなスマホでもその放送をキャッチできちゃうし、特定のMACアドレスが指定されたエリアにいるときにアクティブモニターを設定してアラートを受け取るのは簡単だよ。分散型のモニタリングやアラートの仕組みが何ができるかなんて、想像するのも簡単だよね。

分散型のモニタリングやアラートの仕組みができるかも… ちょっと考えてみると、RTL-SDRのドングルが約35ドルくらいで買えるし(関税の影響で今はもっと高いかもだけど、しばらく買ってないからわからない)、関連するソフトウェアもオープンソースがたくさんある(GNURadioとか)。ドローンも安いし、小型のソーラーパネルも結構手頃だよね。うーん、やる気のある個人(または少人数のグループ)が、かなり能力のある「分散型モニタリング/アラート」システムを組み立てられるんじゃないかな。もちろん、そんなことを誰かに勧めてるわけじゃないけどね。

すごいのは、機関が通信機器やセキュリティツールに何百万も使ってるのに、こういう基本的なことを見落としちゃうことだよね。

実際、DC31で「Snoop On To Them, As They Snoop On To Us」っていう良いトークがあったんだ。警官の装備に使われてるBluetoothデバイスについての話なんだけど。 https://www.youtube.com/watch?v=cO1JSzAdPM8

ターゲットブルーっていうデバイスがあって、P2000の暗号化信号を検出する感じで動くらしい。要するにSDRだね。まあ、使うのはめっちゃ違法だと思うけど。リンク: https://blu-eye.eu/

関連リンク: https://www.usenix.org/conference/usenixsecurity23/presentat... と https://tosc.iacr.org/index.php/ToSC/article/view/12077 EUがオープンソースの基準があるのに、すごく高い独自のソフトウェア暗号を買う理由がわからない。もちろん、ハードウェアを作る人が必要だけどね。

128ビットの鍵だけど、トラフィックを暗号化する前に56ビットに圧縮されるんだ。A5/1も同じような問題があって、弱点が意図的に追加されてたんだよね。いくつかメモと参考文献があるから、すごく面白いよ。 https://github.com/alexander-hanel/asm-examples/tree/master/...