38C3: Kurzwellen-Funk der NATO mit Halfloop-Verschlüsselung ist unsicher

Inhaltsverzeichnis

Kurzwellenfunk wird häufig vom Militär, Rettungsdiensten und Industrien eingesetzt, die eine äußerst robuste Fernkommunikation ohne externe Infrastrukturen benötigen. Doch der Halfloop-Verschlüsselungsalgorithmus, der ein wichtiges Protokoll zum automatischen Verbindungsaufbau schützen soll, gilt als gebrochen.

Lukas Stennes, Doktorand am Lehrstuhl für Symmetrische Kryptographie der Ruhr-Universität Bochum, hat am Freitag auf dem 38. Chaos Communications Congress in Hamburg vergleichsweise einfach durchführbare Angriffe auf Halfloop vorgestellt. Demnach reichen zwei Stunden an abgefangenem Funkverkehr aus, um den geheimen Schlüssel wiederherzustellen, Teilnehmer auszumachen und mitzuhören.

Auf Kurzwelle funken Geräte mit Frequenzen zwischen 3 und 30 MHz. Dieses unterhalb von Ultrakurzwelle (UKW) liegende Spektrum ermöglicht die Ausbreitung von Raumwellen, bei denen die Funksignale von elektrisch geladenen Partikeln in der oberen Atmosphäre reflektiert werden. Dieser Effekt erlaubt Kommunikation über sehr große Entfernungen ohne zusätzliche Infrastruktur wie Funkmasten hinweg. Anfangs war dafür erfahrenes Vermittlungspersonal erforderlich, um überhaupt eine solche Funkverbindung herzustellen.

Diese Abhängigkeit wurde durch die Einführung des Protokolls zur automatischen Verbindungsherstellung (ALE) verringert. Ein ALE-fähiges Funkgerät löst eine Verbindung zu einem anderen aus, indem es gemäß einem Ausbreitungsmodell eine geeignete Frequenz auswählt und dann ein Rahmenwerk für einen Anruf überträgt. Wenn die Frequenz gut ist, empfängt das andere Funkgerät dieses und die beiden Endgeräte führen einen "Handshake" durch, um eine Verbindung herzustellen.

Halfloop-Vorgänger SoDark war sehr einfach zu knacken

Die Verschlüsselung dieser ALE-Frames dient dem Verbindungsschutz. Sie soll in erster Linie verhindern, dass unautorisierte Nutzer Verbindungen mit Funkgeräten in einem Netzwerk herstellen oder bestehende Verbindungen stören. Ferner schützt die Verschlüsselung das Netzwerk auch vor bestimmten Arten der Verkehrsanalyse. Als vergleichsweise früher Standard gilt das Verschlüsselungsverfahren SoDark, das aber nur Schlüssel mit einer Länge von 56 Bit nutzte. Das gilt längst als zu wenig, um selbst krude Brute-Force-Attacken heil zu überstehen. Seit 2007 existieren wissenschaftliche Papiere zum Aushebeln von SoDark.

Als direkte Nachfolger standardisierten 2017 das Pentagon und die NATO die Familie der Halfloop-Algorithmen. Diese sind im Kern eine reduzierte Version des Advanced Encryption Standard (AES) mit 128 Bit.

Krypto-Tweak führt zum geheimen Schlüssel

Das Downsizing führte Stennes zufolge zwar zu vielen robusten Komponenten in Halfloop, die etwa eine sehr schnelle Entschlüsselung ermöglichten. Er und seine Kollegen – der SoDark-Analyst Marcus Dansarie sowie Patrick Derbez und Gregor Leander – hätten aber einen "fatalen Fehler" im Umgang mit einem sogenannten Tweak ausfindig gemacht, der den Boden für "verheerende Angriffe" bereite. Die vermeintliche Optimierung bestehe aus der aktuellen Zeit, einem Wortzähler und der verwendeten Frequenz, was prinzipiell eine "nette Idee" – inspiriert von AES – sei. Der Halfloop-Tweak verwende sogar dieselbe S-Box wie das große Vorbild. Bei den Details habe bei der Umsetzung aber nicht alles hingehauen.

S-Boxen sind Grundkomponenten symmetrischer Kryptosysteme. Sie werden in Blockverschlüsselungen wie DES und Blowfish eingesetzt, um die Beziehung zwischen Klar- und Geheimtext zu verwischen (Konfusion). S-Boxen müssen aber sehr sorgfältig angelegt werden, um einer Kryptoanalyse zu widerstehen. Beim Halfloop-Tweak, bei dem die S-Box letztlich aus einer Nachschlagetabelle besteht, war dies nicht der Fall. Den Forschern gelang es mit einer differenziellen Analyse, bei der Klartextpaare mit gewissen Unterschieden verschlüsselt werden, aus diesen Differenzen der Chiffrate den geheimen Schlüssel des symmetrischen Kryptosystems abzuleiten.

NATO ist informiert, antwortete aber nicht

Ein Angreifer kann bei dieser Methode große Teile des Verschlüsselungsprozesses überspringen. Im Fall von Halfloop stellte das Forscherteam fest, dass sie die ersten fünf von zehn Nachschlagerunden auslassen konnten, und nur die verbleibenden angreifen mussten. Trotzdem wären anfangs noch 500 Jahre an abgefangenem Funkverkehr nötig gewesen, um den geheimen Schlüssel mit diesem Verfahren wiederherzustellen. Halfloop habe zwar schon als gebrochen gegolten, aber an der praktischen Umsetzbarkeit einer Attacke habe es noch gefehlt, erläuterte Stennes. Zusammen mit ihrem Kollegen Shahram Rasoolzadeh hätten sie daher den Angriff verbessert. Das Ganze funktioniere nun auch mit Rechnern mit überschaubaren 5 Gigabyte Arbeitsspeicher.

Die Wissenschaftler haben die Angriffe selbst durchgeführt, ohne dabei aber militärische Echtdaten auszuspionieren, und in zwei Forschungspapieren beschrieben. Sie warnen davor, Halfloop weiter zu nutzen. Dies gelte auch für die Varianten mit Bockgrößen von 48 und 96 Bits. Man habe die NATO vor den Publikationen mit den Ergebnissen konfrontiert, aber keine Antwort erhalten, erklärte Stennes. Militärs erschienen die alternative AES-Blocklänge offenbar als zu groß. Es gebe aber keinen wirklichen Grund, um AES nicht für die Kurzwellenverschlüsselung zu verwenden. Auch eine zusätzliche Authentifizierung ließe sich hinzuzufügen. Auf die eher ironisch gemeinte Frage, ob es sich bei Halfloop um ein "Geschenk von der NSA" handeln könnte, berichtete der Verschlüsselungsexperte, dass das Design "von der Hochfrequenzfunk-Community" stamme.

(cku)