Hallo,

ist es möglich die Nutzung von TETRA BOS mit BSI und TETRA Betriebsfunk ohne E2E in EINEM Gerät zu vereinen, also z.B. eben ein Gerät mit E2E Firmware und BSI Karte zu verwenden auf welchem zusätzlich auch die TETRA Betriebsfunkgruppen ohne E2E programmiert sind.

Frage bezieht sich auf eine anerkannte Werkfeuerwehr, welche in bestimmten Situationen auch "Besuch" von Außen bekommt oder nach Außen zur Amtshilfe fährt.

Frage gilt gleichsam für DMO und TMO.

Danke,

Paul

Hi Paul,

eine Anforderung an TETRA-BSI-Geräte ist, dass diese nur starten dürfen, wenn eine BSI-Karte eingelegt ist.
Von Sepura gibts es/sind in Planung Geräte, welche beides können, jedoch ist zwingend eine BSI-Karte einzulegen um das Gerät verwenden zu können.
Alles weitere (Funktion, ...) und ob es weitere Hersteller gibt, kann ich Dir nicht sagen.

Gruß
Simon

Frage bezieht sich auf eine anerkannte Werkfeuerwehr, welche in bestimmten Situationen auch "Besuch" von Außen bekommt

"Besuch von Außen" soll heißen, im Tetra-Netz des Betriebs soll mit den externen BOS-Geräten auf Betriebskanälen gefunkt werden?

Wer sollte dafür die Geräte sowie den Site Controller programmieren?

Hallo,

dass die BOS Geräte nich ohne BSI angehen ist bekannt.

Um die Frage mal herunterzubrechen, ist es denn möglich in ein BSI BOS Gerät auch Gruppen aus einem nonBOS Betriebsfunk Tetra-Netz zu programmieren und quasi im gleichen Atemzug dem Gerät zu sagen "wenn ich dies Gruppe auswähle nicht die BSI/E2E verwenden und in Frequenzbereich XY wechseln".

Paul

"Besuch von Außen" soll heißen, im Tetra-Netz des Betriebs soll mit den externen BOS-Geräten auf Betriebskanälen gefunkt werden?

Wer sollte dafür die Geräte sowie den Site Controller programmieren?

Nein das nicht.

Mich interessiert vielmehr ob man, nachdem alle BOS runherrum auf TETRA umgestellt haben, die momentan auf manchen FZ befindlichen 4m und 2m Funkgeräte gegen entsprechend Tetra-BOS kompatible MRT/HRT tauschen müsste oder ob es eben möglich ist alles in einem Gerät(en) zu vereinen, also quasi je nach geschalteter Gruppe eben über das Betriebseigene oder das TETRA BOS Netz zu kommunizieren.

Paul

Hallo,

dass die BOS Geräte nich ohne BSI angehen ist bekannt.

Um die Frage mal herunterzubrechen, ist es denn möglich in ein BSI BOS Gerät auch Gruppen aus einem nonBOS Betriebsfunk Tetra-Netz zu programmieren und quasi im gleichen Atemzug dem Gerät zu sagen "wenn ich dies Gruppe auswähle nicht die BSI/E2E verwenden und in Frequenzbereich XY wechseln".

Hi,

diese Frage hatteich mal, mit anderem Hintergund, einem Selextric-Vertreter gestellt, und er hat gesagt, Sepura hat so ein Grät. Genau Details (direkt beides, beim Start Betriebart wählen, ... was es alles an denkbaren umschaltlösungen gibt) bitte bei Selectric bzw. Sepura erfragen.

Gruß
Simon

Bevor Du da irgendwelche weiteren Bemühungen anstellst kann ich nur dringend dazu raten,Dein Anliegen mit der AS zu besprechen.Ist so ein Kombigerät nämlich aus deren Sicht nicht BOS-Konform oder habén die sonst irgendwelchen Bedenken/keine Zeit die Programmierung entsprechend anzupassen,wirst Du von denen keinen Programmierstapel bekommen.Ich wette dass das es folgendermaßen ausgehen wird:

- Die AS wird Dir die Netz-und Gruppenparameter des Betriebsfunks nicht einrichten.Ist ja auch nicht deren Aufgabe.
- Die AS wird Dir keine BOS-Programmierung erstellen,denn es steht ja fest dass noch "jemand anderes" das Gerät programieren wird...und das geht ja mal garnicht.

M

Hallo,
grundsätzlich geht dies, ist aber derzeit abhängig von Gerät sowie Firmware und es sind noch eine Reihe von Besonderheiten zu bedenken. So arbeiten Betriebsfunknetze oftmals mit Sicherheitsklasse 1, während BOS in SK 3 bzw 2 arbeiten.
Ziel ist es, ein Gerät in beiden Netzen einsetzen zu können (ISSI muss dann im Werksnetz auch eingetragen sein bzw. LM Dynamic Air Migration in FuG und Netz) - so dass je nach Gruppe auch Netz umschaltet.
BSI muss immer händisch deaktiviert werden, da es gem. jetziger Vorgaben mit Gerätestart aktiviert wird.
Derzeit gibt es bereits Pilotprojekte mit Sondergenehmigung der BDBOS.
Ansprechpartner ist Eure AS.

Gruß
Knut

Ja das sollte gehen es muss aber jeweils der Netzkenner manuell gewechselt werden also nicht mehr BOS Netz bevorzugtes Netz. Ein automatisches umschalten des Netzkenners je nach Gruppe ist nicht möglich.

Wird in Berlin Bsw. mit dem Netz der Verkehrsbetriebe (BVG U-Bahn gemacht)
Wobei Berlin bisher keine BSI Sicherheitskarte verwendet
Das Gerät jeweils per ISSI an das Extra Netz über den Betreiber freigeschaltet werden muss

Sollte aber auf alle Fälle durch die zuständige AS begleitet und initiiert werden.

Hallo, auch ein automatischer Netzwechsel bei entsprechender Gruppenkonfiguration ist bei Vorhandensein des Leistungsmerkmals DAIM möglich (zumindest Motorola)

Gruß
Knut

Hallo Knut,

Du hast geschrieben: "So arbeiten Betriebsfunknetze oftmals mit Sicherheitsklasse 1, während BOS in SK 3 bzw 2 arbeiten."
Soweit auch in jedem Fall korrekt. Du kannst mit BOS-Geräten aber in KEINEM Fremdnetz was anderes als SK 1 machen, sonst müsste das Fremdnetz TEA2 haben und Du müsstest dem Netzbetreiber Deine Schlüssel der BOS-Karte offenlegen. TEA1-Netze(Betriebsfunk) können mit TEA2-Endgeräten nix anfangen, gäbe es (theoretisch) Geräte mit Multi-TEA müsstest Du wieder Deine Schlüssel offenlegen.

Bleibt noch InterSystemInterface, aber wie hoch schätzt Du die Wahrscheinlichkeit ein dass a) Cassidian das hinbekommt und b) die Anstalt es zulässt, das der DCK via ISI mit privaten Netzen ausgetauscht werden kann?

Also realistisch gesehen, bleibt SK1. Nur: Wenn die Endgeräte gemäß der gültigen BSI-Spezifikation (so wie es in der Zertifizierung übrigens zwingend vorgeschrieben ist!!!!) keine SK1 zulassen, stehst Du ziemlich blöd da. Ich lasse da die Vorgängerversionen von Sepura, mit denen das noch geht, nicht gelten, nach herrschender Rechtslage ist der Betrieb mit anderer als zertifizierter Firmware schlicht unzulässig, egal wie sehr die Anstalt hier rumeiert. Das haben die so ausgebrütet, nun sollen sie auch sehen, wie sie sich aus der Scheiße wieder freischwimmen.

Die Ausnahmegenehmigungen bis zum Ablauf des Jahres 2013 sind, wenn Du Dir das mal genau durchliest, für den Weiterbetrieb nicht zertifizierter Firmware WÄHREND DES ROLLOUTS der zertifizierten Firmware erteilt worden. Das bedeutet im Umkehrschluss: kein Rollout, keine Ausnahmegenehmigung, da die Zweckbestimmung nicht greift. Die Inbetriebnahme NEUER Geräte mit unzertifizierter Firmware ist schlicht unzulässig.

Motorola-Länder, die bereits auf BSI migriert haben, werden also definitiv derzeit in keinerlei fremden Netzen arbeiten (können). Die von Dir angesprochene DAIM-Funktion ist jedenfalls in der Herbstversion nicht drin. Bleibt nur noch der Weg, einige Geräte nicht zu migrieren, mit denen kannst Du nach Herzenslust in privaten Netzen funken.

Diese üble Situation hat die Anstalt gemeinsam mit dem BSI verbrochen, wir haben seit Jahren auf diesen Umstand hingewiesen und sind als BOS-Karten-Verweigerer beschimpft worden.... Nun lehnen wir uns zurück und schauen mal, wie die Anstalt die Probleme mit SCK-Support, Betrieb in Fremdnetzen, Kapazitätsengpässen auf dem MCCH, Anschaltung von Leitstellen, und, und, und..... löst.

Um auf den Kernpunkt des Freds zurückzukommen:

Nein, der Betrieb von Geräten mit BOS-Sicherheitskarte unter Verwendung der (gesetzlich vorgeschriebenen) zertifizierten Firmware in Fremdnetzen ist NICHT möglich.

Ja, der Betrieb von Geräten mit BOS-Sicherheitskarten in Fremdnetzen ist ohne weiteres möglich. (Wenn man bei Sepura auf unzertifizierte FW und bei Motorola auf ein Experimental-Release zurückgreift)

Nun kannst Du daraus machen, was Du willst, Beschwerden einfach an die Anstalt richten :-)

Guten Abend,

erst einmal recht herzlichen Dank an alle für die erhellenden Infos!

Am Ende wird es dann sicherlich auf eine paralellinstallation der zu nutzenden Geräte hinuaslaufen, sprich getrennte Geräte für TETRA intern und BOS.

Paul

Hallo Knut,
Nein, der Betrieb von Geräten mit BOS-Sicherheitskarte unter Verwendung der (gesetzlich vorgeschriebenen) zertifizierten Firmware in Fremdnetzen ist NICHT möglich.
:-)
du meinst bestimmt: "ist nicht gewollt". Technisch möglich sehr wohl.

Hallo Knut,
Ja, der Betrieb von Geräten mit BOS-Sicherheitskarten in Fremdnetzen ist ohne weiteres möglich. (Wenn man bei Sepura auf unzertifizierte FW und bei Motorola auf ein Experimental-Release zurückgreift)
:-)
ich würde sagen: das hat nichts mit zertifizierter Firmware zu tun. Sondern eher was mit dem PUK der dir die Lese/Schreibrechte im RMC-Upload Tool verweigert. Ist der PUK bekannt, kannst du ein TETRA Betriebsfunk-Netz (CLEAR) im Netzwerk-Template hinterlegen. Du kannst Automatische Netzumschaltung nutzen. Du musst aber leider IMMER zuerst im BOS-Netz registrieren, und DANACH erst in dein ziviles Netz umschalten. Siehe Authentifizierung SIM/TAA. Natürlich muss die ISSI im eigenes Netz identisch sein welche das BOS-Gerät im BOSNET hat.


Hallo Knut,
Nun kannst Du daraus machen, was Du willst, Beschwerden einfach an die Anstalt richten :-)
oder den Radio Manager Client Cache auslesen, die PUK abgreifen und das Gerät einfach mit der normalen nicht zerifizierten Firmware via Toolbox/RMC-Upload auslesen, umprogrammieren und neu konfigurieren ? Aber ich gehe davon aus, der Cache ist mittlerweile verschlüsselt, oder ? Hoffen wir es mal ....

du meinst bestimmt: "ist nicht gewollt". Technisch möglich sehr wohl.
ich würde sagen: das hat nichts mit zertifizierter Firmware zu tun. Sondern eher was mit dem PUK der dir die Lese/Schreibrechte im RMC-Upload Tool verweigert.

Nö, es ist schon so wie ich schrieb. Es ist TECHNISCH nicht möglich, da seitens des BSI vorgegeben ist, dass sowohl Netzkenner als auch zugelassene Sicherheitsklasse zwingend von der BOS-Sicherheitskarte in den Gerätedatensatz importiert werden. Das bedeutet 262/1001 und SC2/3. Deshalb: Zertifiziert = Kein Fremdnetz möglich.

Da hilft Dir auch keine vorherige Registrierung im BOSNET. Einzige Ausnahme wäre ein Inter-System-Interface mit Kopplung der Vermittlungen, dann würde die RandomChallenge und Seed von der Heimatvermittlung angefordert werden sowie die Authentifizierung an die Gastvermittlung weitergereicht werden. DANN hättest Du aber SC3.

Nicht zertifizierte FW erlaubt die Nutzung der im Gerät hinterlegten Netzkenner und anderer SC trotz eingelegter Karte. Ds Gerät ignoriert die Vorgabe der Karte also. Bei Motorola braucht man sich auch nicht verbiegen, da können (fast) beliebig Netzkenner eingetragen werden.

Nö, es ist schon so wie ich schrieb. Es ist TECHNISCH nicht möglich, da seitens des BSI vorgegeben ist, dass sowohl Netzkenner als auch zugelassene Sicherheitsklasse zwingend von der BOS-Sicherheitskarte in den Gerätedatensatz importiert werden. Das bedeutet 262/1001 und SC2/3. Deshalb: Zertifiziert = Kein Fremdnetz möglich.


Falsch. Nochmal: Zuerst im BOS-Netz registrieren, dann in das CLEAR Netz umschalten.



Da hilft Dir auch keine vorherige Registrierung im BOSNET.

Sehr wohl hilft das. Du musst zuhören und richtig lesen. Es ist ein CLEAR-Netz. Da wird NICHTS authentifiziert ! ICH BRAUCHE AUCH KEINERLEI SCHLÜSSEL IM CLEAR NETZ.



Nicht zertifizierte FW erlaubt die Nutzung der im Gerät hinterlegten Netzkenner und anderer SC trotz eingelegter Karte. Ds Gerät ignoriert die Vorgabe der Karte also. Bei Motorola braucht man sich auch nicht verbiegen, da können (fast) beliebig Netzkenner eingetragen werden.
ERNEUT. ES GIBT KEINE ZERTIFIZEIRTE UND NICHT ZERTIFIZIERTE FIRMWARE. DER CODE IST 100% IDENTISCH !!!! Es ist nur der Sicherheitscode der das Gerät zum BOS-Gerät macht. BEI SEPURA KANNST DU ZIG NETZE HINTERLEGEN 262/100 zum Beispiel.

ICH HABE ES HEUTE GETESTET UND ES FUNKTIONIERT GENAU SO !!!

Falsch. Nochmal: Zuerst im BOS-Netz registrieren, dann in das CLEAR Netz umschalten.


Sehr wohl hilft das. Du musst zuhören und richtig lesen. Es ist ein CLEAR-Netz. Da wird NICHTS authentifiziert ! ICH BRAUCHE AUCH KEINERLEI SCHLÜSSEL IM CLEAR NETZ.


ERNEUT. ES GIBT KEINE ZERTIFIZEIRTE UND NICHT ZERTIFIZIERTE FIRMWARE. DER CODE IST 100% IDENTISCH !!!! Es ist nur der Sicherheitscode der das Gerät zum BOS-Gerät macht. BEI SEPURA KANNST DU ZIG NETZE HINTERLEGEN 262/100 zum Beispiel.

ICH HABE ES HEUTE GETESTET UND ES FUNKTIONIERT GENAU SO !!!

Sach mal, stehst Du auf dem Kabel oder was? DU KANNST DICH MIT EINEM ZERTIFIZIERTEN GERÄT NICHT IN EINEM CLEAR NETZ EINBUCHEN, WEIL DIE SICHERHEITSKARTE ES NICHT ZULÄSST!!! Hast Du schon mal was von den drei Sicherheitsklassen von Tetra25 gehört?? Hast Du eine Vorstellung, warum die BDBOS vor dem Einsatz der zertifizierten Firmware warnt? Schon mal was vom local Site Trunk Mode - Problem gehört?? Nein? Dann mache Dich Sachkundig, bevor Du hier Unsinn verbreitest.

Nochmal von mir: SC1 = Clear = keine REGISTRIERUNG möglich. Registrierung ist nicht Authentifizierung! In der zertifizierten Version SPERRT DIE SICHERHEITSKARTE NETZE DER SICHERHEITSKLASSE 1 AUS. Im von der BDBOS ausgegebenen Gerätezertifikat ist die Hardwarerevision und die Firmware bindend vorgegeben, Information hier: http://www.bdbos.bund.de/cln_350/nn_421176/DE/Service/Zertifizierung__Endgeraete/zertifizierte__endgeraete__download,templateId=raw ,property=publicationFile.pdf/zertifizierte_endgeraete_download.pdf

Hat Dein Gerät also eine abweichende Firmware, wovon ich nach Deinem Kommentar ausgehen muss, darfst Du es in dieser Form nach dem 31.12. dieses Jahres nicht mehr betreiben. Wiederholst Du Dein geschildertes Experiment nach dem Upgrade auf zertifizierte Firmware, dürfte das Ergebnis etwas negativer ausfallen.

Im Übrigen wird ein Gerät durch den TEA2 - Algorithmus und den TAA1 zum BOS - Gerät. Das Gerät authentifiziert sich gegenüber der BOS-Sicherheitskarte durch ein Derivat des Herstellerschlüssels, der nach der Firmwareprogrammierung durch eine besondere Sicherheitskarte einprogrammiert wird.

Bevor Du anfängst, hier rumzukäsen, achte drauf, dass Du auch sattelfest genug im Thema stehst. Dein Posting verrät mir, dass Du zwar über Tetra-Wissen verfügst, aber zum Thema Sicherheitsmechanismen und Zertifizierung im BOSNET nur Halbwissen. Ich schlage vor, dass Du, BEVOR Du dies hier weiter eskalierst, mit einem Fachmann Deiner zuständigen AS oder der BDBOS redest, und Dich sachkundig machst.

P.S.: Ich will hier keinesfalls einen Anpissthread aufmachen, daher nochmals die Bitte zur Mäßigung.

Sach mal, stehst Du auf dem Kabel oder was? DU KANNST DICH MIT EINEM ZERTIFIZIERTEN GERÄT NICHT IN EINEM CLEAR NETZ EINBUCHEN, WEIL DIE SICHERHEITSKARTE ES NICHT ZULÄSST!!! Hast Du schon mal was von den drei Sicherheitsklassen von Tetra25 gehört?? Hast Du eine Vorstellung, warum die BDBOS vor dem Einsatz der zertifizierten Firmware warnt? Schon mal was vom local Site Trunk Mode - Problem gehört?? Nein? Dann mache Dich Sachkundig, bevor Du hier Unsinn verbreitest.

Nochmal von mir: SC1 = Clear = keine REGISTRIERUNG möglich. Registrierung ist nicht Authentifizierung! In der zertifizierten Version SPERRT DIE SICHERHEITSKARTE NETZE DER SICHERHEITSKLASSE 1 AUS. Im von der BDBOS ausgegebenen Gerätezertifikat ist die Hardwarerevision und die Firmware bindend vorgegeben, Information hier: http://www.bdbos.bund.de/cln_350/nn_421176/DE/Service/Zertifizierung__Endgeraete/zertifizierte__endgeraete__download,templateId=raw ,property=publicationFile.pdf/zertifizierte_endgeraete_download.pdf

Hat Dein Gerät also eine abweichende Firmware, wovon ich nach Deinem Kommentar ausgehen muss, darfst Du es in dieser Form nach dem 31.12. dieses Jahres nicht mehr betreiben. Wiederholst Du Dein geschildertes Experiment nach dem Upgrade auf zertifizierte Firmware, dürfte das Ergebnis etwas negativer ausfallen.

Im Übrigen wird ein Gerät durch den TEA2 - Algorithmus und den TAA1 zum BOS - Gerät. Das Gerät authentifiziert sich gegenüber der BOS-Sicherheitskarte durch ein Derivat des Herstellerschlüssels, der nach der Firmwareprogrammierung durch eine besondere Sicherheitskarte einprogrammiert wird.

Bevor Du anfängst, hier rumzukäsen, achte drauf, dass Du auch sattelfest genug im Thema stehst. Dein Posting verrät mir, dass Du zwar über Tetra-Wissen verfügst, aber zum Thema Sicherheitsmechanismen und Zertifizierung im BOSNET nur Halbwissen. Ich schlage vor, dass Du, BEVOR Du dies hier weiter eskalierst, mit einem Fachmann Deiner zuständigen AS oder der BDBOS redest, und Dich sachkundig machst.

P.S.: Ich will hier keinesfalls einen Anpissthread aufmachen, daher nochmals die Bitte zur Mäßigung.

Wenn hier einer unqualifizierte Aussagen trifft dann bist Du das. Ich beschäftige mich seit Jahren mit AIE/E2EE also lass den "Ich weiß was besser" Kram. Falls es nicht in Dein Hirn reingeht, ich habe bereits ein Gerät das genaus so wie ich es beschrieben habe funktioniert. ICH HABE SCHON AIE/E2EE Geräte zum laufen gebracht, da gabe es hier in GERMANY nicht mal eine Ausschreibung !!!

Und nochmal zum mitschreiben: EGAL WAS DIE HIER IN GOOD OLD GERMANY ZERTIFIZIERT HABEN DIE FIRMWARE IST DIE GLEICHE !!! FRAG BEI SEPURA NACH !!!!

DA DU NICHTS KAPPIERST EMPFEHLE ICH DIR MAL FOLGENDES DOKUMENTS ZU LESEN:

BSI-Dokument/Spec: E2E-AI v1.3.pdf „E-to-E Encryption Air-Interface“ Seite 30

Die Möglichkeit, dass sich ein BOS-SIM-Karten-Funkgerät auch (durch Umschalten über das Geräte-Benutzermenü) in ein Nicht-BOS-Netz (z.B. ein TETRA-ÖPNV-, Stadtwerke-, Industrienetze) einbuchen darf, wird explizit in den entsprechenden BSI-Spezifikationen (E-to-E Encryption Air-Interface: E2E-AI v1.3.pdf) geduldet/erlaubt.

AUCH DER HERSTELLER SEPURA KANN DIR DAS BESTÄTIGEN.

Damit ENDE DER DURCHSAGE !!!

@TetraGuru

Nun komm mal wieder runter; hier soll es um sachliche, auch streitbare, Themen gehen, aber nicht um persönlihe Anfeindungen und ANSCHREIEIN müssen wir uns im Forum schon gar nicht, wirkt auch im realen Zwiegespräch unpassend. Dein technisches Engagement als Mitstreiter achte ich.

Nun zum Thema, bisher kann auch ich nur der Sachmeinung von Landsknecht zustimmen, wenn Du weitergehende Informationen oder gar schriftliche Einlassungen dazu hast, dann nenne uns doch die genaue Quelle. Das von Dir angesprochene Dokument des BSI ist mir bisher nicht bekannt, aber vielleicht hilft es Dinge zu erhellen. Sei also so nett und schreibe die Quelle für den Download, wenn es nicht VS-NfD ist oder eine anderweitige Information wie wir es bekommen können.

Wenn Du schon technische Erfahrungen mit einem Endgerät hat, welches so programmiert wurde, dass es mit zwei unterschiedlichen Netzkennern in zwei unterschiedlichen Tetra-Netzen, eins mit E2E-Verschlüsslung (Class 2/3) und eins ohne E2E (Class 1), nur durch Umschaltung durch den Benutzer mittels Menüstruktur des Endgerätes, fehlerfrei arbeitet, würde das sicher ganz viele User hier interessieren. Denn viele müssen im täglichen Dienst in die U-Bahn oder andere Örtlichkeiten, in welchen schon "private" Digitalfunknetze arbeiten. Die Implementierung der Endgeräte bzw. der Teilnehmer in beide Netze ist für mich auch von großem Interesse.

Wenn Du schon ein Nutzer mit langjähriger Erfahrung auf diesem Gebiet bist, dann würde ich mich über weitergehende sachliche Informationen von Dir freuen. Wir stehen sicher morgen vor dem Problem, was Du heute anscheinend schon gelöst hast.

Danke für Dein Verständnis und bleib' zukünftig sachlich.

mfg
Zako

Wenn hier einer unqualifizierte Aussagen trifft dann bist Du das. Ich beschäftige mich seit Jahren mit AIE/E2EE also lass den "Ich weiß was besser" Kram. Falls es nicht in Dein Hirn reingeht, ich habe bereits ein Gerät das genaus so wie ich es beschrieben habe funktioniert. ICH HABE SCHON AIE/E2EE Geräte zum laufen gebracht, da gabe es hier in GERMANY nicht mal eine Ausschreibung !!!

Und nochmal zum mitschreiben: EGAL WAS DIE HIER IN GOOD OLD GERMANY ZERTIFIZIERT HABEN DIE FIRMWARE IST DIE GLEICHE !!! FRAG BEI SEPURA NACH !!!!

DA DU NICHTS KAPPIERST EMPFEHLE ICH DIR MAL FOLGENDES DOKUMENTS ZU LESEN:

BSI-Dokument/Spec: E2E-AI v1.3.pdf „E-to-E Encryption Air-Interface“ Seite 30

Die Möglichkeit, dass sich ein BOS-SIM-Karten-Funkgerät auch (durch Umschalten über das Geräte-Benutzermenü) in ein Nicht-BOS-Netz (z.B. ein TETRA-ÖPNV-, Stadtwerke-, Industrienetze) einbuchen darf, wird explizit in den entsprechenden BSI-Spezifikationen (E-to-E Encryption Air-Interface: E2E-AI v1.3.pdf) geduldet/erlaubt.

AUCH DER HERSTELLER SEPURA KANN DIR DAS BESTÄTIGEN.

Damit ENDE DER DURCHSAGE !!!

Schade, schade, ich dachte schon, Du hättest Dich mittlerweile mal informiert.....

Was können wir also Deinem letzten Post entnehmen? Dass Du 1. ein Sepura-Endgerät, dass eine unzertifizierte Firmware hat besitzt, 2. Du unsachlich wirst und kapieren mit zwei "P" schreibst, 3. Du offenkundig über Halbwissen verfügst und Zugang zu VS-NfD-Material hast und 4. weder die Problemstellung dieses Threads richtig erkannt noch die Dir zur Verfügung stehenden Informationen korrekt bewertet hast.

- Ich habe zwei MTP850FuG, die in der Lage sind, nur durch Auswahl einer entsprechenden Gruppe automatisch vom BOSNET in ein privates CLEAR-Netz und zurück zu wechseln, und das unter Beibehaltung der BSI-Verschlüsselung. Was beweist dies? Dass es technisch möglich, aber derzeit keineswegs zulässig ist. Eine nette Versuchsfirmware ohne jeglichen praktischen Wert.

Seite 30 des von Dir zitierten Dokuments regelt die Spezifikation des AI in Verbindung mit E2E. Das geht hier völlig an der zugrunde liegenden Problemstellung vorbei. Hier geht es um Fragen des SIM-Karteninterface, dies ist in E2E-SIM 4.0.3 unter Kapitel 5.6.4.2.1 ff beschrieben.

Ich betreibe diese Arbeit mittlerweile einige Jährchen und kenne auch die Dokumente mit den frühen Versionsnummern unter 1, ich verfüge über die Spec von TAA1 und TEA2 und habe damit auch gearbeitet. Spätestens hier sollte Dir klarwerden, dass ich nicht nur Informationen vom Hörensagen habe.

Was in der von Dir zitierten Spec geduldet oder beschrieben wird, ist völlig belanglos. Die Richtlinienkompetenz liegt bei der BDBOS, übrigens ein Umstand, auf den in den Dokumenten des BSI hingewiesen wird... Die Zertifizierungsbedingungen sind hier eindeutig, und die besagen nun einmal, dass Endgeräte sich ausschließlich in Netze der Klassen 2 und 3 einbuchen dürfen. Jeder, der die Spec des Tetra25 AI kennt, kann daraus klar folgern, dass damit Clearnetze aus dem Spiel sind. Ohne wenn und aber.

Es ist nun offenkundig so, dass Du aus dem Umstand, dass das von Dir betriebene Gerät ein bestimmtes Systemverhalten zeigt, ableitest, dass Du damit den Beweis für die Richtigkeit Deines Geschwurbels in den Händen hältst.
Hier begehst Du gleich mehrere fatale Fehler, denn aus dem Verhalten eines einzelnen Geräts eine These abzuleiten ist gewagt. Weiterhin müsstest Du nachweisen, dass das von Dir verwendete Gerät exakt die Versionsnummer der zertifizierten FW hat, spätestens hier wirst Du feststellen, dass es ein Delta gibt. Dann berufst Du Dich auf Aussagen von Mitarbeitern eines Endgeräteherstellers, die für die hier behandelte Frage vollkommen irrelevant ist.

Die Zertifizierung erfolgt auf Basis einer Rechtsvorschrift, genauer, eines Bundesgesetzes. Durch die Erteilung eines Zertifikates wird durch eine Zertifizierungsstelle nachgewiesen, dass der Prüfgegenstand die von der BDBOS vorgegebenen Eigenschaften besitzt. Es ist völlig witzlos, Sepura zu fragen, ob deren Geräte etwas können oder nicht, vielmehr ist die einzige Stelle, die derartige Aussagen treffen kann, die BDBOS bzw. deren Zertifizierungsstelle. Entsprechen Geräte nicht den Prüfmustern, sind diese nicht im BOSNET verkehrsfähig!

Das dürfte nun zum Thema reichen.

@Zakownik:Die Dokumente liegen als verschlüsseltes ZIP auf der GBG der BDBOS, wenn ich Dich richtig einordne, dürftest Du dort ja Zugriff haben.

2. Du unsachlich wirst und kapieren mit zwei "P" schreibst,
Beste Argumentationsstruktur ever!

Hallo,

ich möchte nochmal festhalten und bitte um einfaches Ja/Nein:

1. Der Betrieb eines TETRA FuG in einem CLEAR Netz und im BOSNET ist technisch möglich.

- Sowohl von Motorola als auch Sepura (mit entsprechender FW)

2. Der Betrieb ist rechtlich nicht möglich?

- Gemäß Spezifikation der BDBOS

3. Ausnahem sind möglich?

-> Siehe dazu Artikel in der Aktuellen Ausgabe 05/2013 der "Feuerwehr" (UB Feuerwehr der Huss Medien) über Flughafenfeuerwehren, in welcher steht, dass der Airport Köln/Bonn TETRA Endgeräte einsetzt, welche beide Netze, also Bosnet und betriebseigenes Tetra in einem Gerät vereinen.

Paul

nur mal so am Rande gefragt....

was macht eigentlich dann Berlin, wenn sie die 3 Gruppen BVG, die sowohl auf BF wie auch auf POL-Geräten programmiert sind, nutzen möchte ?

Die Gruppen buchen sich ja in das BVG Netz ein, ich kann das BVG Netz über die Option im Menü schalten, nur das es eben im Moment noch nicht geht, aber programmiertechnisch ist das ja schon vorgesehen.

Die BVG Untergrund hat mich Sicherheit kein Hochsicherheitsnetz gemäß BOSblabla

nur mal so am Rande gefragt....

was macht eigentlich dann Berlin, wenn sie die 3 Gruppen BVG, die sowohl auf BF wie auch auf POL-Geräten programmiert sind, nutzen möchte ?

Die Gruppen buchen sich ja in das BVG Netz ein, ich kann das BVG Netz über die Option im Menü schalten, nur das es eben im Moment noch nicht geht, aber programmiertechnisch ist das ja schon vorgesehen.

Die BVG Untergrund hat mich Sicherheit kein Hochsicherheitsnetz gemäß BOSblabla

*EDIT SAGT* Was hier stand war Käse ...


Paul

nur mal so am Rande gefragt....

was macht eigentlich dann Berlin, wenn sie die 3 Gruppen BVG, die sowohl auf BF wie auch auf POL-Geräten programmiert sind, nutzen möchte ?
...

Hallo, ganz einfache Erklärung - Berlin arbeitet noch ohne E2E und betriebt die Geräte mit Ausnahmgenehmigung.
Grade der Wegfall der Möglichkeit der Mitnutzung des U-Bahnnetzes bei Umstellung auf BSI und zertifizierte, also zugelassen Firmware ist ja das große Problem - dann erstmal nix mehr damit...

Gruß
Knut

Ich gehe sogar soweit und sage dass es erlaubt ist. Ich kenne die genannten Dokumente nicht, aber welcher Hersteller würde diesen Aufwand betreiben (eine solche Firmware entwickeln), wenn er nicht sicher wäre dass sich dieser Aufwand auch lohnt (indem entsprechende Geräte verkauft werden können). Wenn es nicht zulässig wäre, würde doch jeder Entscheider beim Hersteller sofort die Reißleine ziehen und so ein Projekt stoppen.

Gruß
Simon

Hallo,

ich möchte nochmal festhalten und bitte um einfaches Ja/Nein:

1. Der Betrieb eines TETRA FuG in einem CLEAR Netz und im BOSNET ist technisch möglich.

- Sowohl von Motorola als auch Sepura (mit entsprechender FW)

2. Der Betrieb ist rechtlich nicht möglich?

- Gemäß Spezifikation der BDBOS

3. Ausnahem sind möglich?

-> Siehe dazu Artikel in der Aktuellen Ausgabe 05/2013 der "Feuerwehr" (UB Feuerwehr der Huss Medien) über Flughafenfeuerwehren, in welcher steht, dass der Airport Köln/Bonn TETRA Endgeräte einsetzt, welche beide Netze, also Bosnet und betriebseigenes Tetra in einem Gerät vereinen.

Paul

1. ja
2. korrekt
3. ja unter bestimmten Bedingungen

nur mal so am Rande gefragt....

was macht eigentlich dann Berlin, wenn sie die 3 Gruppen BVG, die sowohl auf BF wie auch auf POL-Geräten programmiert sind, nutzen möchte ?

Die Gruppen buchen sich ja in das BVG Netz ein, ich kann das BVG Netz über die Option im Menü schalten, nur das es eben im Moment noch nicht geht, aber programmiertechnisch ist das ja schon vorgesehen.

Die BVG Untergrund hat mich Sicherheit kein Hochsicherheitsnetz gemäß BOSblabla

Kann ich erläutern. Derzeit befindet sich BE in der Migrationsphase auf BOS-Sicherheitskarten, bevor ein Gerät migriert wird, kann man über das Menü manuell das BVG-Netz auswählen und dort funken. Sobald die Geräte umgestellt sind, funktioniert dies, aus den hier hinlänglich plattgetretenen Gründen, nicht mehr. Daher wurden die Dienststellen darauf hingewiesen, die für die BVG-Nutzung bestimmten Geräte aus der Migration auszusparen, dieses Spiel können wir natürlich nicht ewig spielen, daher bleibt uns, wenn die entsprechende Firmware nicht freigegeben wird, nur die Möglichkeit, die 'BVG-Geräte' irgendwann aus dem BOSNET zu schmeißen.

Witzigerweise hat die BVG eine dem BOSNET identische Infrastruktur... nur eben ohne TEA2.

Irgendwie ist diese Geschichte ziemlich unbefriedigend.

Ich gehe sogar soweit und sage dass es erlaubt ist. Ich kenne die genannten Dokumente nicht, aber welcher Hersteller würde diesen Aufwand betreiben (eine solche Firmware entwickeln), wenn er nicht sicher wäre dass sich dieser Aufwand auch lohnt (indem entsprechende Geräte verkauft werden können). Wenn es nicht zulässig wäre, würde doch jeder Entscheider beim Hersteller sofort die Reißleine ziehen und so ein Projekt stoppen.

Gruß
Simon

Sagst Du auf Basis welcher Information? Bitte nicht böse sein, aber mit Meinungen und Mutmaßungen kann man doch keine verlässlichen Aussagen treffen.

Ich habe doch hier keine Insiderinformationen, das Ganze ist haarklein in den entsprechenden LM-End und Specs aufgeschrieben und findet sich in den vorgeschriebenen Tests, die im Rahmen der Zertifizierung durchlaufen werden müssen, wieder.

Ich warte sehnsüchtig darauf, dass diese bescheuerte Limitierung auf das BOSNET endlich fällt, das ändert doch aber nichts an der bestehenden Lage! Da der Netzkenner und die Sicherheitsklasse auf der BOS-Karte festgeschrieben ist und keiner deshalb alle Karten wieder einsammelt, muss die Lösung von den Endgeräteherstellern kommen. Sepura hat dies ja, bis auf die zertifizierte Firmware, bislang auch so gehalten, zu unserem Pech legt Motorola die Vorschriften besonders genau aus und programmiert exakt nach Vorgabe.

Noch eins: Hier spuken Mitarbeiter aller möglichen AS'en und der BDBOS herum. Meinst Du, die hätten mir nicht schon längst den verbalen Vogel gezeigt, wenn ich hier Nonsens produziere?!

... Daher wurden die Dienststellen darauf hingewiesen, die für die BVG-Nutzung bestimmten Geräte aus der Migration auszusparen, .


d.h dann,das der gemeine Polizist oder BFler zu Beginn seiner Schicht in die Kugel schauenmuss, um rauszubekommen, ob er heute Einsaetze im Tunnel hat oder nicht und sich dann das entsprechende Gerät greifen muss ??

Käse ist das alles absoluter Käse, wer sich das ausgedacht hat...

d.h dann,das der gemeine Polizist oder BFler zu Beginn seiner Schicht in die Kugel schauenmuss, um rauszubekommen, ob er heute Einsaetze im Tunnel hat oder nicht und sich dann das entsprechende Gerät greifen muss ??

Käse ist das alles absoluter Käse, wer sich das ausgedacht hat...

Ist doch mein Reden. Es gibt eh nur eine recht begrenzte Zahl an Lizenzen für das BVG-Netz. auf jedem Einsatzfahrzeug ist ein solches Gerät, daher...

Von wegen ausdenken, die Alternative zu umständlich funken im Untergrund ist gar nicht funken im Untergrund. Auch Käse, oder??

mmh wie ist eigentlich der Stand in Berlin? Ich habe gesehen, das in gewissen Bereichen neuerdings mit 2 850igern rumgelaufen wird... wohlstand ausgebrochen in Berlin oder eins Abschnitt, eins FmBz ? FUG sollen ja auch beim Land im Einsatz sein...

Kann ein BSI-Simkarten Ding eigentlich mit einem NoBSISim Kontakt aufnehmen? Die Firmware ist ja auch schon ziemlich olllllll.... Update kommt ?

mmh wie ist eigentlich der Stand in Berlin? Ich habe gesehen, das in gewissen Bereichen neuerdings mit 2 850igern rumgelaufen wird... wohlstand ausgebrochen in Berlin oder eins Abschnitt, eins FmBz ? FUG sollen ja auch beim Land im Einsatz sein...

Kann ein BSI-Simkarten Ding eigentlich mit einem NoBSISim Kontakt aufnehmen? Die Firmware ist ja auch schon ziemlich olllllll.... Update kommt ?

Haha, schön wärs.... Nee, die Dienststellen können doch selber entscheiden, wie die Geräte verteilt werden. Da ist es immer möglich, noch eins aus dem Poolbestand zu nehmen. Ob dann eins A und eins FmbZ ist, keine Ahnung, aber es ist ziemlich wahrscheinlich, obwohl ich lieber scannen würde...

Ein paar hundert FuG sind auch im Bestand, das ist korrekt.

BSI und Non-BSI geht immer, Du musst nur drauf achten, dass der durchgestrichene, rote Kreis im Display vom BSI zu sehen ist :-)

Firmware haben wir nicht erneuert, weil wir den Leuten keine zwei Updates hintereinander zumuten wollten. Erst Firmware und dann BSI-Umstellung, ich denke das nervt, die Leute sollen das Gerät als Hilfe und nicht als Last empfinden. (So die Theorie...)

@TetraGuru
Nun zum Thema, bisher kann auch ich nur der Sachmeinung von Landsknecht zustimmen, wenn Du weitergehende Informationen oder gar schriftliche Einlassungen dazu hast, dann nenne uns doch die genaue Quelle. Das von Dir angesprochene Dokument des BSI ist mir bisher nicht bekannt, aber vielleicht hilft es Dinge zu erhellen. Sei also so nett und schreibe die Quelle für den Download, wenn es nicht VS-NfD ist oder eine anderweitige Information wie wir es bekommen können.
Zako

Hallo. Habe an Landsknecht eine pm geschrieben. Wir regeln das off-topic.

Kurz zur Sache: ich habe eine technische Lösung mit zertifizierter Firmware. Ich habe ein Schreiben das ich von Sepura erhalten habe, das es die Geräte technisch gesehen können (Mehrnetzfähigkeit). Der Hersteller hat mir Dokumente vorgelegt, welche die Nutzung genehmigen (abgestimmt mit der BSI). Auf mehr Details möchte ich hier gar nicht mehr eingehen, da es hier keinen Sinn macht. Wer von Euch nach so einer Lösung sucht, einfach auf den Hersteller Sepura zugehen.

Gruß
tetraguru

PS: ich dachte es gibt noch mehr Nutzer die Interesse an der Mehrnetzfähigkeit haben die es eben interessiert, dass es hierfür IMHO eine Lösung gibt. Wenn das unsachlich war, dann sorry ! Wer Schreibfehler findet, darf sie gerne behalten !

Hallo zusammen. Mitlerweile ist die Sachlage die, dass es 2 Pilotprojekte gibt (TMO-A Lösung - DAMM TetraFlex SwMi). Endgeräte MTP850 FuG mit DAIM. Es sind noch technische Herausforderungen zu lösen (Stichwort: verhalten der Endgeräte wenn mehrere Gebäudefunk TMO-A Systeme in Reichweite der Endgeräte sind, und diese in der gewünschten Zelle (also am Einsatzort) eingebucht bleiben sollen und nicht zwischen den verschiedenen Gebäudefunkanlagen umbuchen (vermutlich wird dies über den Color Code gelöst). Es gibt einen eigenen Netzwerkcode (1010). Über den Gruppenwahlschalter kann dann in die Gebäudefunkzelle umgeschaltet werden. Ich gehe davon aus, dass die TMO-A Lösung Ende Q3/Anfang Q4 genehmigt wird. Somit wäre eine Umschaltung der Endgeräte möglich und erlaubt. Näheres folgt, sobald ich die erste Abnahme hinter mir habe . . .


Gruß,
tetraguru

Ich habe ein Schreiben das ich von Sepura erhalten habe, das es die Geräte technisch gesehen können (Mehrnetzfähigkeit). Der Hersteller hat mir Dokumente vorgelegt, welche die Nutzung genehmigen (abgestimmt mit der BSI).

An Mehrnetzgrundlage bei Verwendung zertifizierter Software (SEPURA v10.9.003), in Relation zu BSI-Kriterien sowie Betriebsaussagen zuständiger Stellen wäre ich auch interessiert.
In der SEPURA-Konfiguration können mehrere MNC mit diesbezüglich erforderlichen Parametern hinterlegt werden. Nach manueller Netzauswahl buchen sich die Endgeräte (sofern die ISSI dem Controller bekannt) auch brav gemäß TETRA-ETSI ein und es können somit BOS-Geräte mit SiKa verschlüsselt miteinander kommunizieren.
Nichts anderes soll ja im künftigen TMOa-Betrieb passieren, wobei hier allerdings das ASSI-Prinzip zum Zuge kommen soll.

Interessanr wird es bei einer unabweisbaren Nutzung alternativer TMO-Infrastrukturen im Bereich parameterisierbaren Trägerfrequenzkonfiguration (bis 430 Mhz). In diesem Spektrum residieren u.a. Werkfeuerwehren, der ÖPNV, sowie große Flughäfen, um nur einige zu nennen. Nach Vorbereitung des Netzcontrollers auf solchen Trägerfrequenzen werden sich m.E. bei korrekter Vorkonfiguration sämtliche TETRA konformen Endgeräte einbuchen (MCCH), weil implementierte Security-Merkmale zunächst nicht auf Ebene des HF-Trägers greifen, bzw. in der Zellkonfiguration nicht Vorraussetzung sind.
Eine Sprachkommunikation hängt danach davon ab, ob "sämtliche" Security-Parameter zwischen beteiligten Endgeräten "durchgereicht" werden.
Wenn hier aber nichts gehen soll, dann endlich klare Aussagen und nicht ein eiern auf den verschiedenen Zuständigkeitsebenen.

Wie auch immer. Ein betriebliches Fallback für das Wirknetz kann sich doch nicht alleine nur auf den Einsatz lokaler Reservezellen (vgl. TMOa) beschränken, die in größeren Lagen schon zur Erhöhung des TMO-Verkehrswertes, bzw. zur Entlastung bei der Erreichung von BOS-Funktionen an Einsatzstellen nicht nur bei NKFZ-Abdeckung nahezu zwingend werden.

Die Mast-KW (AMA) z.B. beim THW oder BuPoL erscheinen auch nicht ausreichend zu sein, weil sie nur einzelne TMO-Antennenstandorte substituieren könnten.

Es wäre zielführend, wie mindestens Plan B technisch, organisatorisch, betrieblich und einsatztaktisch mal zusammenhängend erkennbar würde. Im Dunkeln ist zwar gut munkeln; verschleiert aber zumeist nur heisse Luft derjenigen die zwar sich zuständig fühlen aber leider nicht wirklich Tragfähiges vorzuweisen haben.

BSI und Non-BSI geht immer, (So die Theorie...)

Ist das wirklich uneingeschränkt so? Nach eigener Wahrnehmung konnte man zwar in irrtümlich doppelt zugewiesenen Bundesgruppen z.B. Endgeräte aus Berlin normal empfangen, aber durch die aktive SiKa-Verschlüsselung konnten diese wiederum sendende Endgeräte mit aktiver Verschlüsselung nicht hören.

Wie beim Beispiel aus Berlin verhält es sich auch im DMO-Betrieb, wenn bei beteiligten Endgeräte die eigene Verschlüsselung noch nicht aktiviert ist bzw. manuell ausgeschaltet war.

Einzelrufe können Endgeräte mit zertifizierter Software nicht zu Endgeräten ohne zertifizierte Software auslösen; was aber umgekehrt geht.

Für dieses Betriebsverhalten habe ich sonst keine Erklärung.

Vorsicht, die von mir getroffene Aussage gilt nur dann, wenn am Gerät mit BOS-Sicherheitskarte die Verschlüsselung ausgeschaltet ist. Rufe von verschlüsselten Geräten auf TEA2-Geräten sind in der Tat nicht zu hören!

Im übrigen muss ich auch die Aussage '....und es können somit BOS-Geräte mit SiKa verschlüsselt miteinander kommunizieren.' aus dem vorangegangenen Beitrag relativieren, Nokia oder vielmehr EADS-Infrastruktur lässt E2E-verschlüsselte Rufe nur zu, wenn dieses Feature teuer durch den Netzbetreiber lizensiert wurde! Grade bei kleinen und mittleren Industrienetzen sehe ich keine Wahrscheinlichkeit, dass der Betreiber ein teures Leistungsmerkmal kauft, dass ihm keinerlei eigenen Nutzen bringt. Aber ein Trost ist uns geblieben: man kann die Verschlüsselung an den Endgeräten ausschalten, dann funktioniert es auch bei EADS....