在一封简短的电子邮件中,NCSC发言人Miral Scheffer称TETRA是“荷兰和世界各地关键任务通信的重要基础”,并强调了这种通信始终可靠和安全的必要性,“特别是在危机情况下”。她证实,这些漏洞会让受影响无线电附近的攻击者“拦截、操纵或干扰”通信,并表示NCSC已经通知了包括德国、丹麦、比利时和英国在内的多个组织和政府,建议他们如何继续进行。国土安全部网络安全和基础设施安全局的一位发言人说,他们知道这些漏洞,但不愿进一步置评。
研究人员说,任何使用无线电技术的人都应该向制造商核实,以确定他们的设备是否使用了TETRA,以及有哪些修复或缓解措施可用。
研究人员计划下个月在拉斯维加斯举行的黑帽安全会议上公布他们的发现,届时他们将公布详细的技术分析,以及迄今为止公众无法获得的秘密TETRA加密算法。他们希望其他更专业的人能深入研究这些算法,看看是否能发现其他问题。
TETRA是由欧洲电信标准协会(ETSI)在90年代开发的。该标准包括四种加密算法——tea1、TEA2、TEA3和tea4,无线电制造商可以根据其预期用途和客户在不同的产品中使用这些算法。第一梯队作商业用途;不过,根据ETSI的一份文件,对于欧洲和世界其他地区关键基础设施中使用的无线电来说,它也被设计用于公共安全机构和军队,研究人员发现警察机构也在使用它。
在欧洲,TEA2仅限于警察、应急服务、军事和情报机构使用。TEA3可用于欧洲以外的警察和紧急服务——在被认为对欧盟“友好”的国家,如墨西哥和印度;那些被认为不友好的国家——比如伊朗——只能选择使用TEA1。研究人员说,另一种商业算法TEA4几乎没有被使用。
研究人员在进行开源研究后发现,除了美国之外,世界上绝大多数警察部队都使用基于tetra的无线电技术。比利时、斯堪的纳维亚国家、塞尔维亚、摩尔多瓦、保加利亚、马其顿等东欧国家以及伊朗、伊拉克、黎巴嫩、叙利亚等中东国家的警察部队都在使用TETRA。
此外,保加利亚、哈萨克斯坦和叙利亚的国防部也在使用它。波兰军事反间谍机构、芬兰国防部队、黎巴嫩和沙特阿拉伯的情报机构都在使用它,这只是其中的几个例子。
美国和其他国家的关键基础设施在SCADA和其他工业控制系统设置中使用TETRA进行机器对机器通信,特别是在广泛分布的管道,铁路和电网中,有线和蜂窝通信可能不可用。
虽然标准本身是公开的,但加密算法只有在签署了保密协议的情况下才能提供给可信的各方,比如无线电制造商。供应商必须在他们的产品中加入保护措施,使任何人都难以提取算法并对其进行分析。
