პოლიციისა და სამხედრო რადიოებისთვის შექმნილი შიფრაცია, შესაძლოა, ადვილად გასატეხი იყოს

შიფრაციის ალგორითმს, შესაძლოა, ჰქონდეს სისუსტეები, რომლებიც თავდამსხმელს მოსმენის საშუალებას მისცემს.

ორი წლის წინ, ნიდერლანდელმა მკვლევრებმა აღმოაჩინეს განზრახ შექმნილი „ბექდორი“ შიფრაციის ალგორითმში, რომელიც ჩაშენებული იყო კრიტიკული ინფრასტრუქტურის, ასევე, პოლიციის, სადაზვერვო სააგენტოებისა და სამხედრო ძალების მიერ მთელ მსოფლიოში გამოყენებულ რადიოებში.

როდესაც მკვლევრებმა 2023 წელს პრობლემა საჯაროდ გაამჟღავნეს, ევროპის სატელეკომუნიკაციო სტანდარტების ინსტიტუტმა (ETSI), რომელმაც ალგორითმი შეიმუშავა, ყველას, ვინც მას მგრძნობიარე კომუნიკაციისთვის იყენებდა, ურჩია, ხარვეზიანი ალგორითმის თავზე ბოლოდან-ბოლომდე შიფრაციის (end-to-end encryption) გადაწყვეტა დაენერგათ.

მაგრამ ახლა იმავე მკვლევრებმა აღმოაჩინეს, რომ ETSI-ს მიერ დამტკიცებული ბოლოდან-ბოლომდე შიფრაციის გადაწყვეტის სულ მცირე ერთ იმპლემენტაციას აქვს მსგავსი პრობლემა, რომელიც მას მოსმენისთვის თანაბრად მოწყვლადს ხდის. მოწყობილობისთვის გამოყენებული შიფრაციის ალგორითმი 128-ბიტიანი გასაღებით იწყება, მაგრამ ეს ტრაფიკის დაშიფვრამდე 56 ბიტამდე მცირდება, რაც მის გატეხვას აადვილებს.

ბოლოდან-ბოლომდე შიფრაცია, რომელსაც მკვლევრები იკვლევდნენ და რომლის დანერგვაც ძვირია, ყველაზე ხშირად გამოიყენება სამართალდამცავი ორგანოების, სპეცრაზმებისა და ფარული სამხედრო და სადაზვერვო ჯგუფების რადიოებში, რომლებიც ეროვნული უსაფრთხოების სამუშაოებში არიან ჩართულნი.

როგორ აღმოაჩინეს ხარვეზი?

მკვლევრებმა ბოლოდან-ბოლომდე შიფრაციის (E2EE) პრობლემა მხოლოდ მას შემდეგ აღმოაჩინეს, რაც Sepura-ს მიერ დამზადებულ რადიოში გამოყენებული E2EE ალგორითმი ამოიღეს და მისი რევერს-ინჟინერინგი მოახდინეს. მკვლევრები თავიანთი აღმოჩენების წარდგენას დღეს, ლას-ვეგასში, BlackHat-ის უსაფრთხოების კონფერენციაზე გეგმავენ.

ETSI-მ აღნიშნა, რომ TETRA-ზე დაფუძნებულ რადიოებთან გამოყენებული ბოლოდან-ბოლომდე შიფრაცია ETSI-ს სტანდარტის ნაწილი არ არის და ის The Critical Communications Association-ის (TCCA) უსაფრთხოების ჯგუფის მიერაა შექმნილი. თუმცა, ETSI და TCCA მჭიდროდ თანამშრომლობენ.

მიუხედავად იმისა, რომ TETRA-ზე დაფუძნებული რადიო-მოწყობილობები აშშ-ში პოლიციისა და სამხედროების მიერ არ გამოიყენება, მსოფლიოს პოლიციის ძალების უმრავლესობა მათ იყენებს. ესენია პოლიციის ძალები ბელგიასა და სკანდინავიის ქვეყნებში, ასევე აღმოსავლეთ ევროპის ქვეყნებში, როგორიცაა სერბეთი, მოლდოვა, ბულგარეთი და მაკედონია, და ახლო აღმოსავლეთში — ირანში, ერაყში, ლიბანსა და სირიაში.

მკვლევრების თქმით, ხმოვანი ტრაფიკის ჩართვისა და შეტყობინებების განმეორების შესაძლებლობა გავლენას ახდენს TCCA-ს ბოლოდან-ბოლომდე შიფრაციის სქემის ყველა მომხმარებელზე.

ვისი პასუხისმგებლობაა?

ETSI-ს წარმომადგენელმა 2023 წელს განაცხადა, რომ TEA1-ის გასაღები შემცირდა ევროპის გარეთ მომხმარებლებზე გაყიდული შიფრაციის ექსპორტის კონტროლის დასაკმაყოფილებლად. მისი თქმით, როდესაც ალგორითმი შეიქმნა, 32-ბიტიანი ენტროპიის მქონე გასაღები უმეტესი გამოყენებისთვის უსაფრთხოდ ითვლებოდა.

თუმცა, მკვლევრები ამბობენ, რომ მათ არ შეუძლიათ, გადაამოწმონ, რომ TCCA E2EE არ აკონკრეტებს გასაღების სიგრძეს, რადგან TCCA-ს დოკუმენტაცია კონფიდენციალურია. მათ იპოვეს 2006 წლის Sepura-ს პროდუქტის კონფიდენციალური ბიულეტენი, რომელიც ონლაინ გაჟონა და რომელშიც ნათქვამია, რომ „ტრაფიკის გასაღების სიგრძე... ექვემდებარება ექსპორტის კონტროლის რეგულაციებს და, შესაბამისად, [მოწყობილობაში შიფრაციის სისტემა] ქარხნულად დაკონფიგურირდება 128, 64 ან 56-ბიტიანი გასაღების სიგრძის მხარდასაჭერად“.

„ჩვენ მიგვაჩნია, რომ ძალიან ნაკლებად სავარაუდოა, არდასავლური მთავრობები მზად იყვნენ, დახარჯონ მილიონობით დოლარი, თუ იციან, რომ მხოლოდ 56-ბიტიან უსაფრთხოებას იღებენ“, — ამბობს ერთ-ერთი მკვლევარი.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.