L'autenticazione radio è la procedura per verificare che la stazione interlocutrice sia effettivamente chi dichiara di essere — e non un impersonatore con una radio catturata, un infiltrato, o un avversario che gioca il ruolo di un'unità amica. Senza autenticazione, ogni messaggio in chiaro che arrivi tramite radio è solo una richiesta non verificata.
Cosa si previene
- Impersonificazione tramite radio catturate al fronte (frequente in Ucraina)
- Intrusione di stazioni nemiche che fingono di essere un comando amico per estrarre informazioni o indurre errori
- Inserzione di ordini falsi (deception) che spostano unità in posizioni esposte
- Conferma incrociata in scenari dove l'identità del callsign è dubbia
- Verifica di richieste critiche: fires, MEDEVAC, change of plan, posizione amica
CEOI / SOI — la base
Tutta l'autenticazione tattica si appoggia sul CEOI (Communications-Electronics Operating Instructions) o SOI (Signal Operating Instructions). È un documento giornaliero o ciclico che contiene: frequenze, callsign, tabella di autenticazione, code words, prowords aggiuntive. Cambia con cadenza (24 h tipicamente). Possedere un CEOI scaduto è inutile; possedere un CEOI altrui senza autorizzazione è una breccia OPSEC. Va distrutto immediatamente se compromesso.
Challenge / Response — sistema a due lettere
Il sistema più diffuso. Lo sfidante trasmette due lettere fonetiche; la stazione interrogata risponde con la lettera (o coppia) corrispondente nella tabella corrente. Se la risposta è errata o assente, la stazione interrogata non è autenticata.
BRAVO SIX, this is ALPHA TWO, AUTHENTICATE BRAVO, OVER.
ALPHA TWO, this is BRAVO SIX, I AUTHENTICATE LIMA, OVER.
BRAVO SIX, this is ALPHA TWO, ROGER, OUT.
| Challenge | Response |
|---|---|
| ALFA | MIKE |
| BRAVO | LIMA |
| CHARLIE | KILO |
| DELTA | JULIETT |
| ECHO | INDIA |
| FOXTROT | HOTEL |
| GOLF | GOLF |
| HOTEL | FOXTROT |
Tabella di esempio (non operativa). In ambiente reale la tabella viene dal CEOI del giorno e cambia.
Autenticazione numerica
Variante con stringhe numeriche o alfanumeriche per messaggi di precedenza alta o quando si richiede autenticazione doppia. Spesso accoppiata a un trigraph (3 caratteri) per ridurre la probabilità di indovinazione.
BRAVO SIX, AUTHENTICATE FOXTROT-TWO-NINER, OVER.
I AUTHENTICATE WHISKEY-EIGHT-FOWER, OVER.
Autenticazione DTG-based
Sistemi più moderni legano la risposta al Date-Time Group corrente, rendendo invalida una risposta intercettata e replicata in seguito. Tipicamente: l'autenticatore è una funzione di (DTG, chiave del giorno). L'operatore consulta una pad o un dispositivo dedicato (es. KYK-13, sistemi UA proprietari) per ottenere la risposta. Il principio è lo stesso: senza accesso alla chiave attiva nessuno può autenticarsi.
Codice di coercizione (duress)
Parola o sequenza pre-concordata che la stazione trasmette quando è sotto coercizione o quando la radio è in mano nemica. La risposta sembra valida ma contiene un marker convenuto. Chi riceve sa che da quel momento ogni informazione proveniente da quella stazione è compromessa. La duress word non si rivela mai in chiaro, non si annota su materiale recuperabile, non si condivide con personale non operativo.
Errori comuni
- Saltare l'autenticazione su richieste critiche "perché si riconosce la voce" — voce e fraseggio si imitano
- Ripetere il challenge se la risposta è errata invece di terminare la trasmissione
- Conservare CEOI scaduti in tasca o in zaino
- Annotare risposte di autenticazione su carta non distruggibile
- Autenticare la stazione errata (rispondere a un challenge prima di averlo correttamente identificato)
- Usare la stessa tabella su reti diverse — compromissione si propaga
Lessons learned Ucraina
Sul fronte ucraino l'impersonificazione via radio catturate è documentata in entrambe le direzioni. Russi e ucraini si chiamano reciprocamente fingendo di essere unità del proprio schieramento per ottenere posizioni, ordini di fires falsificati, MEDEVAC in trappola. L'unica difesa funzionante è una procedura di autenticazione disciplinata, applicata sempre, anche quando "sembra inutile". Le unità che saltano l'autenticazione per velocità sono le stesse che, con cadenza statistica, perdono squadre per ordini falsi. Una richiesta di fires non autenticata si tratta come una potenziale trappola.
Checklist autenticazione
- CEOI del giorno noto e accessibile, non scaduto
- Tabella di sfida memorizzata o consultabile rapidamente
- Duress word personale memorizzata, mai trascritta
- Procedura di sfida applicata su tutte le richieste critiche (fires, MEDEVAC, change of plan)
- Reazione standard a fallimento di autenticazione: terminare la trasmissione, segnalare al comando
- Distruzione immediata di CEOI scaduto o compromesso