В криптографическом протоколе, который был разработан спецслужбами Великобритании для зашифрованных голосовых звонков, содержатся уязвимости, позволяющие третьему лицу осуществлять расшифровку данных и вести слежку за пользователями.
В ходе анализа, который провел эксперт Университетского колледжа Лондона Стивен Мердок, выяснилось, что протоколом MIKEY-SAKKE предусмотрено хранение мастер-ключа шифрования в одном центральном органе. Обработка ключей осуществляется на центральном сервере, доступ к которому потенциально могут получить злоумышленники.
Уязвимость была найдена в процессе генерирования ключей. Как рассказал Мердок в интервью для издания Motherboard, в рамках сквозного шифрования для каждого лица создается персональный закрытый ключ. Лишь с его помощью разговор может быть расшифрован. В случае с MIKEY-SAKKE, закрытый ключ для каждого пользователя генерируется центральным сетевым провайдером, который может осуществить расшифровку разговора.
К данному выводу эксперт пришел ознакомившись с широко доступной документацией, которую опубликовал Центр правительственной связи Великобритании (ЦПС). Но в документах не указано, что скрывается под определением «центральный сетевой провайдер». Мердок считает, что расшифровывать правительственные коммуникации, вероятнее всего, будет ЦПС или органы, находящиеся у него в подчинении. Корпоративную информацию могут расшифровывать компании или ЦПС.
Так как сохранение ключей осуществляется централизованно, имеется большой риск хакерских атак и использования расшифрованной информации для шантажа сотрудников со стороны работодателей. Ключ, попавший в распоряжение киберпреступников, даст им возможность расшифровать все предыдущие коммуникации.