GEA-1: El cifrado de la red celular GPRS se debilitó deliberadamente

Un equipo de investigación de la Universidad de Ruhr en Bochum ha descubierto una brecha de seguridad en el cifrado de GPRS. Una mirada más cercana revela que esta brecha de seguridad no es una coincidencia.

Un informe de investigación actual de un equipo de la Universidad de Ruhr en Bochum (RUB) muestra una brecha de seguridad en un estándar de cifrado para la segunda generación (2G) de tecnología celular. En él, los investigadores demuestran un debilitamiento intencional del cifrado, que fue el resultado de requisitos legales. Porque hasta principios de la década de 2000, la criptografía fuerte tenía el mismo estatus que las armas de guerra en algunos países. Cualquiera que exportara tecnología de cifrado que fuera más fuerte de lo que las agencias gubernamentales podían descifrar podía ser procesado.


Por su parte, los políticos a menudo no están interesados ​​en proteger eficazmente la privacidad de los ciudadanos. Esto ha quedado claro al menos desde la decisión de los servicios secretos alemanes de utilizar malware, el llamado troyano estatal. Querer crear una puerta trasera «por si acaso» para ti desde el principio no es un fenómeno nuevo y se remonta a finales de los noventa y las «Guerras Criptográficas».

 

Cuando el clavo de emergencia está oxidado

El equipo de investigación de Bochum descubrió que el cifrado de la segunda generación de comunicaciones móviles se debilitó deliberadamente. Entonces, ¿el cifrado del teléfono celular finalmente está «roto»? Si y no. Lo primero que debe saber es que la vulnerabilidad tiene más de 20 años. El cifrado GEA-1 se desarrolló en 1998. Fue el primer cifrado para comunicaciones móviles: las comunicaciones móviles no estaban cifradas hasta la introducción de D-Netz (1G). Poco después de la introducción del cifrado GEA-1, las regulaciones legales se relajaron y se desarrolló un sucesor algo mejor protegido, aunque no completamente libre de problemas, llamado GEA-2. La tecnología de radio móvil 2G, que utiliza el proceso GEA-1, no se ha utilizado en todos los ámbitos durante mucho tiempo. Sin embargo, hay un pequeño «pero»: En áreas con poca cobertura de red, muchos dispositivos todavía usan la tecnología antigua como un «clavo de emergencia», reconocible por la pantalla «EDGE» o «GPRS» en la pantalla del teléfono inteligente. Las redes 2G que aún están en funcionamiento se van apagando gradualmente. En algunas áreas ya no están disponibles. También se ha alentado a los fabricantes de teléfonos inteligentes a no incorporar la tecnología durante mucho tiempo. Sin embargo: en muchos teléfonos inteligentes más modernos, la opción de cambiar a la tecnología GPRS en caso de una mala conexión a una red 4G o 5G todavía está disponible y, en algunos casos, solo se desactivó recientemente. La tecnología todavía estaba instalada en el iPhone 8 o XR hasta abril de 2021, pero fue eliminada por el software con iOS 14.5 y, por lo tanto, «muerta». En el One Plus 6T, la tecnología todavía estaba presente en el momento en que se publicó el estudio. GEA-1 se suspendió oficialmente en 2013.

Sin embargo, donde GPRS todavía está en uso debido a la falta de recepción 4G o 5G, es posible interceptar al menos algunos datos. No se requiere ningún hardware especial costoso para esto. El informe de investigación habla de «hardware estándar».

¿Qué significa eso en la práctica?

Cualquiera que ataque el cifrado GEA-1 debe adivinar efectivamente el código que se utilizará para descifrar el tráfico. Una vez que se ha adivinado, se puede leer todo el tráfico de datos, hasta que cambie el código. Según el informe de investigación, esto demora entre una y 24 horas.

Con el equipo apropiado, los llamados «ataques de degradación» son posibles aquí. En pocas palabras, estos engañan a un terminal haciéndole creer que solo está disponible una tecnología de conexión más antigua. El dispositivo final respectivo simplemente cambia a la tecnología anterior y, por lo tanto, también al cifrado más pobre.

Si asumimos el peor caso imaginable en el que alguien navega por Internet a través de una conexión asegurada con GEA-1 (que probablemente ponga a prueba la paciencia de los usuarios actuales), entonces es posible al menos descubrir los sitios web seleccionados. Sin embargo, dado que la mayoría de los sitios de Internet en la actualidad también están encriptados con HTTPS, el ataque terminaría aquí. Aun así, el cifrado débil es un problema.

Debemos tener en cuenta aquí que gran parte de Internet era mucho menos segura entonces de lo que es hoy, si es que lo era. Con los medios en ese momento, fue posible escuchar todo el tráfico de Internet entre un teléfono celular y la siguiente torre de telefonía celular sin ningún problema. La tecnología correspondiente era extremadamente cara en ese momento y en realidad solo estaba disponible para las agencias gubernamentales.

¿Por qué tanto alboroto y por qué ahora?

En ese momento, las comunicaciones móviles se generalizaron cada vez más y cada vez más personas tenían un teléfono celular. La telefonía móvil ya no era algo que solo los superricos podían permitirse, que construían teléfonos gruesos de red C (aquellos con la “estación de tierra” del tamaño de una maleta, algunos de los cuales pesaban más de 20 kg) en sus autos.
También quedó claro para los desarrolladores de la tecnología que los datos debían transmitirse en forma cifrada. Desarrollaron un estándar de cifrado llamado GEA-1. Sobre el papel, esto tenía un cifrado muy fuerte para el momento con una longitud de clave de 64 bits. Pero aquí la política tenía algo que decir. La guerra fría no pasó mucho tiempo entonces. Las tecnologías de encriptación que eran “demasiado fuertes” estaban sujetas a estrictas regulaciones de importación y exportación. Y en algunos países estos prohibieron, entre otras cosas, la importación y exportación de tecnologías de encriptación con una longitud de clave de más de 40 bits. Este número vuelve a ser importante más tarde. Entonces, los desarrolladores de cifrado tuvieron un problema aquí: Con una longitud de clave de 64 bits, la tecnología estaba legalmente sujeta a las regulaciones de exportación en algunos países. Entonces lo que hay que hacer
La longitud de la clave criptográfica es decisiva para la seguridad de un cifrado. Cuanto más larga y compleja sea la clave, más segura será la encriptación. Entonces, ¿cómo encaja la longitud de la clave de 64 bits con las restricciones de exportación vigentes en ese momento?

Falsa criptográfica

El equipo de investigación de RUB descubrió que el cifrado, que en papel era un cifrado de 64 bits, en realidad solo tenía una longitud de clave efectiva de 40 bits, lo suficiente para no caer bajo la prohibición de exportación.
Para hacer esto, echamos un vistazo a la documentación de desarrollo. Allí dice: “El algoritmo debería ser exportable de acuerdo con las regulaciones de exportación vigentes. […] La fuerza [del cifrado] debe optimizarse con respecto a los criterios antes mencionados «.  
Estas dos frases contienen una gran cantidad de sustancia explosiva: en lenguaje sencillo, esto significa que a pesar de la longitud de clave nominal de 64 bits, el esfuerzo computacional real para el descifrado corresponde al de una longitud de clave de 40 bits. El algoritmo de cifrado se debilitó deliberadamente para satisfacer las demandas políticas de la época.

La probabilidad de que esto sucediera por casualidad la describe el investigador de RUB Christof Beierle en una entrevista con el Süddeutsche Zeitung con las palabras: «Tendría que ganar seis números correctos en la lotería dos sábados seguidos, así de probable es [ …]. «


Para dar un ejemplo que no es cien por ciento exacto, pero está claro:
el cifrado se ha debilitado como si hubiera dividido un candado de combinación con un código numérico de seis dígitos en dos partes. Cualquiera que quiera abrir la cerradura solo tiene que probar dos secuencias de números con tres dígitos. Los expertos en criptografía hablan de un procedimiento llamado “Divide y vencerás”. Este tipo de ataque reduce significativamente el esfuerzo computacional y, por lo tanto, el tiempo que lleva descifrar una clave.

¿Qué sigue?

Especialmente cuando consideramos los avances realizados por los gobiernos y los agentes del orden, que han estado pidiendo puertas traseras de una forma u otra para las tecnologías de cifrado durante años, estos hallazgos son preocupantes. Si se necesita más de una década o más para encontrar una vulnerabilidad en una tecnología generalizada y utilizada a nivel mundial, ¿qué tipo de noticias leeremos sobre el último cifrado dentro de tal vez cinco o diez años?
Especialmente en el área de la tecnología 5G, que se ha promocionado como un salvador para todo, desde la “Industria 4.0” hasta la “Conducción autónoma”, el área del “cifrado” está muy por detrás de lo que sería técnicamente posible. Y el desarrollo de 6G ya está en los bloques de partida con el proyecto de desarrollo “Hexa-X”. Lo que se implementará allí en el área de encriptación y seguridad aún está en las estrellas. Es de esperar, sin embargo, que ya haya despertado el apetito de las organizaciones estatales.
En cualquier caso, una posible lección del descubrimiento es clara:

Mantener una tecnología heredada obsoleta durante demasiado tiempo puede tener consecuencias nefastas. Como recordatorio, la brecha proviene de finales de los noventa. Una época en la que muchas de las personas que crecen con Internet hoy en día ni siquiera estaban planificadas.

Enlace: https://www.gdata.de/blog/gea-1-verschluesselung-gprs-bewusst-geschwaecht blog de GDATA  Tim Berghoff