Nach Schwachstellenfund: ETSI will Tetra-Verschlüsselungslösung veröffentlichen
Das Normungsinstitut ETSI hat angekündigt, die Grundelemente aller kryptografischen Algorithmen des Tetra-Standards im Sinne der Transparenz offenzulegen.
(Bild: TippaPatt/Shutterstock.com)
Das Europäische Institut für Telekommunikationsnormen (ETSI) hat auf den Fund von gleich fünf Schwachstellen in seinem Funkstandard Tetra (Terrestrial Trunked Radio) reagiert, der weltweit vor allem für den digitalen Behördenfunk genutzt wird. Die im französischen Sophia Antipolis sitzende Organisation hat am Mittwoch angekündigt, die Grundelemente aller Verschlüsselungsalgorithmen für die Tetra-Luftschnittstelle der Öffentlichkeit zugänglich zu machen.
Das habe der zuständige TCCE-Ausschuss einstimmig beschlossen, in dem Netzbetreiber, Anwender, Hersteller und Regierungsvertreter versammelt sind. Mit diesem Schritt könnten die Algorithmen nun von der akademischen Forschung unabhängig geprüft werden, erklärte der TCCE-Vorsitzende Brian Murgatroyd. Transparenz sei die Grundlage der regulatorischen und technischen Arbeit des Instituts, ergänzte ETSI-Generaldirektor Luis Jorge Romero.
Die Geheimhaltung von Verschlüsselungsalgorithmen sei zur Entwicklungszeit von Tetra in den frühen 1990er Jahren gängige Praxis gewesen, verteidigt sich das ETSI. Mittlerweile würden offengelegte kryptografische Programmroutinen aber häufig sogar zum Schutz staatlicher und kritischer Infrastrukturnetzwerke eingesetzt. Das sei etwa bei dem von der US-Regierung normierten Advanced Encryption Standard (AES) der Fall. Durch eine wirksame Prüfung solcher Algorithmen können Schwachstellen aufgedeckt und behoben werden, bevor Sicherheitslücken im großen Stil ausgenutzt würden.
Kommunikation abhörbar
Die niederländische IT-Sicherheitsfirma Midnight Blue hatte im August öffentlich gemacht, dass es sich zumindest bei einer der ausgemachten Schwachstellen um eine Hintertür handle. Diese untergrabe die Verschlüsselung von Tetra in Exportversionen und mache die Kommunikation einfach abhörbar. Der Standard umfasste zunächst mit TEA1 bis 4 vier Verschlüsselungsalgorithmen. Bei TEA1 stießen die Forscher auf eine Funktion in der Exportversion, die den Schlüssel auf nur 32 Bit reduziert. Diese Version war so einfach zu brechen.
Für hiesige Behörden und Organisationen mit Sicherheitsaufgaben (BOS) gaben Experten weitgehend Entwarnung, da diese TEA2 und zusätzlich Ende-zu-Ende-Verschlüsselung nutzten. 2022 führte ETSI mit TEA5 bis 7 zusätzliche Algorithmen ein, um die Technologie zukunftssicher gegen Angriffe mit Quantencomputern zu machen.
Das Institut betonte nun, der gesamte Satz werde mitsamt der Spezifikationen zur Authentifizierungs- und Schlüsselverwaltung (TAA1 und 2) öffentlich verfügbar gemacht. Diese Arbeit werde die Organisation TCCA unterstützen, die für die Weiterentwicklung des Tetra-Standards verantwortlich ist. Bart Jacobs, niederländischer Professor für Softwaresicherheit, mahnte zuvor, die Erkenntnisse aus dem August müssten endlich das Aus für geschlossene, proprietäre Verschlüsselungslösungen bedeuten.
(dahe)
