GPRS: l'algoritmo GEA/1 era debole "by design"


L'algoritmo di crittografia GEA/1 utilizzato dai telefoni GPRS negli anni '90 era apparentemente progettato per essere più debole di quanto sembrasse consentendone di fatto l'intercettazione.


Tale algoritmo è stato introdotto nel 1998 dall'European Telecommunications Standards Institute (ETSI) e doveva fornire la crittografia a 64 bit per il traffico dati, come le e-mail e la navigazione sul web.



Un documento pubblicato da accademici della Ruhr-Universität Bochum in Germania, con l'aiuto di esperti norvegesi e francesi, hanno scoperto che GEA/1 offriva solo una crittografia a 40 bit da progettazione e il modo in cui le chiavi di crittografia erano suddivise, lo ha reso relativamente facile da violare.


Potrebbe esserci una ragione ovvia per questo. Alla fine degli anni '90 la crittografia avanzata aveva ancora uno status legale incerto e molti paesi avevano divieti sull'esportazione di questa tecnologia.



Una volta che le normative sulla crittografia sono state allentate, ETSI ha rilasciato GEA/2 e GEA/1 è stato ufficialmente ritirato nel 2013. Il team ha affermato che l'algoritmo GEA di seconda generazione era più solido e il sistema GEA/3 più avanzato è maggiormente utilizzato. C'è anche GEA/4 che è ancora più forte, anche se non è utilizzato. Per quel che vale, GEA/2 è stato considerato vulnerabile per un po' di tempo attraverso lo strumento gprsdecode.

"La mia ipotesi è che GEA/2 sia stato progettato quando le restrizioni all'esportazione erano già state un po' allentate"

ha detto il co-responsabile del team, il dott. Christof Beierl a The Register


Fondamentalmente, GEA/1 è ancora in giro come algoritmo di backup in alcuni recenti telefoni quali Google Android e Apple iOS – come iPhone XR e Huawei P9 lite – hanno scoperto i ricercatori, mentre le specifiche lo hanno bandito e non dovrebbe essere affatto supportato, proprio per quelle vulnerabilità in esso contenute. Il team universitario sta spingendo per rimuovere GEA/1 e GEA/2 dai telefoni di oggi in modo che non siano più un problema.



Ancora più importante, tuttavia, resta il fatto che agli utenti di GEA/1 non è mai stato detto che il loro traffico dati presumibilmente non era sicuro.


Nel complesso, sembra che questo modello fosse stato introdotto deliberatamente debole, dagli organismi di normazione europei nel periodo compreso tra gli anni '90 e il 2000 e probabilmente ha causato danni alle persone a lungo termine.


E mentre GEA/1 sui telefoni è un problema limitato, Green ha sottolineato che è un vettore di attacco interessante che può essere sfruttato in modo abbastanza semplice.


Un ripetitore telefonico non autorizzato (una fake BTS per intenderci), può eseguire il downgrade della crittografia del traffico a GEA/1 se il telefono lo supporta ancora, che può essere violato e ispezionato, o forse anche a GEA/0 che non ha alcuna crittografia.

"Lo standard crea attacchi di downgrade in cui i telefoni supportano entrambi gli algoritmi, ma un utente malintenzionato può costringere il telefono a utilizzare l'algoritmo debole e quindi violare la sua crittografia"

ha spiegato il professore e ha aggiunto:



"Ci sono dispositivi che fanno questo per le forze dell'ordine, ma dubito che le forze dell'ordine siano le uniche persone che hanno accesso a questa tecnologia".

È come trovare una scia di sangue che porta dalla scena di un omicidio alla casa di un sospettato. Un sacco di spiegazioni innocenti, certo, immagino, ma ti fa venir voglia di alcune spiegazioni. Ha aggiunto il professore.


https://eprint.iacr.org/2021/819.pdf