Почему секретные криптографические алгоритмы – прошлый век?
Европейский институт телекоммуникационных стандартов (ETSI), возможно, в скором времени опубликует исходный код закрытых криптографических алгоритмов, которые используются для защиты экстренной радиосвязи в протоколе TETRA.
TETRA — это протокол наземной транкинговой радиосвязи, применяемый в основном для переговоров полиции и представителей правительственных структур в европейских странах.
В июле этого года нидерландские эксперты из компании Midnight Blue сообщили о пяти уязвимостях в TETRA, две из которых критические. С помощью этих багов злоумышленники смогли бы дешифровать конфиденциальные переговоры в режиме реального времени, раскрыть личности участников и даже полностью заблокировать связь, обнулив сеансовые ключи.
Найденным дефектам присвоили общее название TETRA:BURST . Исследователи ждали полтора года, прежде чем обнародовать данные, хотя обычно для этого требуется около 6 месяцев. Задержка связана с особой важностью защищенных каналов и сложностью устранения уязвимостей в стратегически значимых системах.
ETSI утверждает, что проблемы были устранены еще в октябре прошлого года и признаков их эксплуатации не наблюдалось. Однако недавно институт подвергся резкой критике со стороны специалистов по кибербезопасности. Сам факт того, что криптоалгоритмы TETRA закрыты, существенно затрудняет пентестинг и прочие независимые проверки.
Большинство специалистов не видят в такой «защите» необходимости. Например, по мнению известного криптографа Мэтью Грина, секретные алгоритмы устарели и только усугубляют проблемы безопасности систем связи: «Вся эта идея секретных алгоритмов шифрования — безумие в духе 1960-70х годов. Я не вижу смысла держать их в тайне, если только вы не публикуете слабый код намеренно».
Решение будет принято на заседании технологического комитета ETSI 26 октября. Если консенсус не будет достигнут, вопрос вынесут на голосование.
Ладно, не доказали. Но мы работаем над этим