De Nederlandse overheid is al dertig jaar op de hoogte van de zwakke versleuteling van TETRA, de standaard voor radiocommunicatie. De overheid zou zelf gevraagd hebben om deze ‘achterdeur’. Dat bevestigt Gert Roelofsen, destijds verantwoordelijke voor de beveiliging van TETRA, tegenover de Volkskrant.
32-bits encryptie voor kritieke infrastructuur
Vorige week kwam naar buiten dat onderzoekers kwetsbaarheden hadden ontdekt in TETRA. TETRA is een belangrijke radiotechnologie die de Nederlandse overheid gebruikt om kritieke infrastructuur aan te sturen.
Het gaat dan bijvoorbeeld om energienetwerken, gasleidingen en treinen. Ook de haven van Rotterdam en verschillende luchthavens gebruiken deze technologie. De communicatiesystemen van politie, brandweer en ambulancediensten zijn eveneens gebaseerd op TETRA.
De 80-bits-sleutel die de cryptografie zou moeten hebben is in werkelijkheid slechts 32-bits. Kwaadwillenden kunnen daardoor met simpele hardware als een dongel binnen enkele minuten inbreken op het TETRA-netwerk. Op die manier kan er grote schade aangericht worden aan vitale infrastructuur. Ook zouden criminelen door de kwetsbaarheden communicatie af kunnen luisteren.
Geen verrassing voor de overheid
Gert Roelofsen was vanaf 1991 betrokken bij het internationale TETRA-project. Hij zegt dat de verzwakte encryptie voor een klein deel van de Nederlandse overheid geen verrassing kan zijn. ‘De zwakke beveiliging van TEA1 is door de overheid opgelegd. De sleutellengte moest worden beperkt. Er was intern ook wel discussie bij de overheid, maar dit was uiteindelijk de voorwaarde.’
TEA1 is één van de encryptielagen van TETRA. Dit algoritme was bedoeld voor politiediensten buiten West-Europa. In West-Europa was daarvoor het sterkere TEA2 beschikbaar. Maar het zwakke TEA1-algoritme wordt dus ook in Nederland gebruikt.
De achterdeur is aangebracht met het idee dat inlichtingen- en opsporingsdiensten altijd bij de communicatie kunnen. Volgens Joan Daemen, hoogleraar digitale veiligheid aan de Radboud Universiteit in Nijmegen noemt dit ‘een naïeve en achterhaalde gedachte’. Hij zegt: ‘Als de goede jongens bij de communicatie kunnen, kunnen de de foute jongens er ook bij.’
Geen openheid van zaken
Het Nationaal Cyber Security Centrum (NCSC) zegt pas eind 2021 op de hoogte te zijn gebracht van de zwakheden. Dat betekent dat de overheid de kennis over de zwakke encryptie niet op de juiste manier gedeeld heeft. De AIVD geeft geen antwoord op de vraag hoelang het probleem al bij hen bekend was.
Opvallend is dat er in dertig jaar tijd geen publieke waarschuwingen zijn geweest. Ook niet toen de rekenkracht van computers toenam, waardoor de sleutel nog makkelijker te kraken werd. Toen het verzwakte algoritme in kritieke Europese infrastructuur terechtkwam, heeft ook niemand aan de bel getrokken.
