Zitat von
Newty
Hmpf... Is ja toll, was die da schreiben. Wie verfizieren sich denn bitte die Geräte untereinander im DMo? Wie werden die Schlüssel bekannt gemacht? Im direkten Verkehr kann ich nur nach einem simplen Kryptokonzept verschlüsseln, die Punkt zu Punkt Verschlüsselung basiert auf dem System, dass ich für jedes einzelne Endgerät im TMo einen gesonderten Schlüssel habe. Mit dem Öffentlichen Schlüssel des Netzes sendet das Gerät, nur die Basisstationen können diese Daten entschlüsseln, da nur dort der Private Schlüssel vorliegt. Aus diesem Grund sind die Sicherheitsvorkehrungen der Basisstationen auch so exorbitant hoch(wer in den Besitz des/der privaten Schlüssel des Basisnetzes gelangt, kann alles mithören). Die entschlüsselten Daten werden dann zum Weiterversand mit dem öffentlichen Schlüssel der zum Empfang berechtigten Geräte verschlüsselt. Der zum finalen Entschlüsseln nötige Schlüssel liegt wiederum nur auf den Kryptokarten der Endgeräte.
Übertragen auf den DMo bedeutet das:
- Jedes Gerät muss den öffentlichen Schlüssel des anderen Geräts kennen, mit dem kommuniziert werden soll - spätestens hier ist die volldynamische Gruppenbildung nicht machbar(oder nur unter extremem Aufwand, wie zum Beispiel dem Pairing bei Bluetooth-Geräten). Dies müsste im Vorfeld über Kabelschnittstellen oder den TMo getätigt werden. Ein Pairing im Vorfeld ist nicht möglich.
Ein Austausch der Schlüssel über DMo-Luftschnittstellen erfolgt entweder unverschlüsselt oder grundverschlüsselt, ist also eine potentielle Schwachstelle. Ist hier der Grundschlüssel bekannt oder erfolgt der Austausch der Öffentlichen ohne fixe Verschlüsselung, so kann man theoretisch jedes Gerät in ein/das DMo-Netz einschleusen.
Hi,
Eine Anmerkung von mir:
Du beschreibst hier ein Asymetrisches VS Verfahren!
Tetra arbeitet aber mit einem Symetrischen Verfahren!
Für den DMO Betrieb ist mir im Moment nicht bekannt ob dort tatsächlich die ETE VS kommt. Für den Netzbetrieb auf jeden Fall.
Laut TETRA Standard wird aber im DMO-Betrieb mit dem SCK (Static Cipher Key) Grundverschlüsselt. Es können bis zu 32 SCK im Gerät abgelegt werden. Damit die Geräte miteinander kommunizieren können MÜSSEN in allen Geräten vorher dieselben Schlüssel abgelegt sein.
Im Netzbetrieb (Ohne ETE-VS) gibt es zwei Schlüssel:
Einmal den DCK (derived Cypher Key) und den CCK (Common Cypher Key).
Der DCK wird bei der Authentifizierung des Gerätes im Netz generiert.
Hierbei wird aus dem im Gerät und der Heim-DXT (Vermittlungsstelle) hinterlegtem Authentifizierungsschlüssel ein Sitzungsschlüssel erzeugt. Dies geschieht in der Heim DXT UND dem Endgerät. Die für die Erzeugung des Sitzungsauthentifizierungsschlüssels Zufallszahl wird in der Heim-DXT erzeugt! Beide Ergebnisse werden dann an die für die BS zuständige DXT übermittelt. Diese generiert nun ebendfalls eine Zufallszahl und übermittelt diese Ebendfalls an das Endgerät. Nun nimmt die DXT vor Ort und das Endgerät mit hilfe eines weiteren Algorythmus eine erneute Berechnung des Schlüssels vor. Die beiden Berechnungsergebnisse werden dann miteinander in der BS verglichen und dienen gleichzeitig als DCK!
Mit dem DCK werden alle Punkt zu Punkt verbindungen sowie der Uplink verschlüsselt.
(Daher sind PTP Gespräche Sicherer als Gruppengespräche!)
NAch Einbuchung des GErätes wird dem Endgerät dann der CCK übermittelt! Dieser CCK dient dazu ALLE Gruppengespräche im Downlink dieser BS zu verschlüsseln. (Wobei der eigendliche Schlüsselstrom noch von weiteren Faktoren abhängt. Diese lassen sich bei Kentniss des CCK aber errechnen!) Hier liegt auch die Schwachstelle der TETRA Grundverschlüsselung!
Es ist Theoretisch möglich, solange ich zugang zu einem Authorisiertem Endgerät habe, welches ich Manipulieren kann, hier den CCK abzufangen! (Nichts für den Heimgebrauch, da eingriffe INNERHALB der HAlbleiter notwendig! Unter Laborbedingungen aber Machbar.)
Habe ich den CCK kann ich ALLE Gruppengespräche auf dieser BS Mithören!
(Wer sich mit PAY-TV auskennt: Card-Sharing in kompliziert. Das Prinzip ist identisch)
Daher ist die ETE VS ja gewünscht!
Achja, zu den Kanälen:
NAtürlich gibt es in TETRA Kanäle.
Nur hat der Endnutzer darauf keinen Direkten Zugriff. Auch ist ein Kanal nicht gleich einer Gesprächsgruppe!
Aber es gibt 200 Kanäle (Duplex-Pärchen)
Davon sind 149 für den "normalen" Netzbetrieb vorgesehen.
8 + 2 Reserve für die LUFT-BS (anderer Aufbau der Zeitschlitze)
12 für die Mobilen BS, 2 für die Indor BS (vgl. die Gebäudefunkanlagen 2m)
und 29 für den DMO Modus. Da bei den DMO Freqeunzen auch jeweils Ober und Unterband zur Verfügung stehen ergibt das 58 DMO Kanäle!
Aus diesen 58 DMO Kanälen könnte man jetzt natürlich wesentlich mehr DMO Gruppen machen - Aber das könnte zu Störungen führen!
Daher wird es pro DMO KAnal wohl nur eine DMO Gruppe geben. Im Ergebnis werden also diese 58 Frequenzen auf die Bedarfsträger aufgeteilt womit sich wesentlich weniger zur Verfügung stehende DMO "Kanäle/Gruppen" ergeben. Faktisch heißt das das wir im DMO Betrieb das Abbild des heutigen 2m haben werden, nur mit wesentlich weniger Resourcen !
(vgl: 58 Kanäle zu 117 !)
So, das muss fürs erste reichen, muss nun wieder mal los...
Evtl. die nächsten Tage mehr dazu!
Achso: Interessante Infos findet man auf der Seite: http://www.tetra-association.com/
Mit Etwas suchen auch technische Details!
Gruß
Carsten
***Wichtig***
Zur Zeit bitte mir keine Mails über die Mailfunktion des Forums schicken, da die hinterlegte Mailadresse zur Zeit spinnt. Mails kommen NICHT, oder mit TAGEN Verspätung an !!!
Ersatz: *MEINUSERNAME* @Yahoo.de
Zitieren