TETRA BOS + TETRA nonBOS = 1 Gerät

[tetraguru]

Hallo Knut,
Nein, der Betrieb von Geräten mit BOS-Sicherheitskarte unter Verwendung der (gesetzlich vorgeschriebenen) zertifizierten Firmware in Fremdnetzen ist NICHT möglich.
:-)

du meinst bestimmt: "ist nicht gewollt". Technisch möglich sehr wohl.

Hallo Knut,
Ja, der Betrieb von Geräten mit BOS-Sicherheitskarten in Fremdnetzen ist ohne weiteres möglich. (Wenn man bei Sepura auf unzertifizierte FW und bei Motorola auf ein Experimental-Release zurückgreift)
:-)

ich würde sagen: das hat nichts mit zertifizierter Firmware zu tun. Sondern eher was mit dem PUK der dir die Lese/Schreibrechte im RMC-Upload Tool verweigert. Ist der PUK bekannt, kannst du ein TETRA Betriebsfunk-Netz (CLEAR) im Netzwerk-Template hinterlegen. Du kannst Automatische Netzumschaltung nutzen. Du musst aber leider IMMER zuerst im BOS-Netz registrieren, und DANACH erst in dein ziviles Netz umschalten. Siehe Authentifizierung SIM/TAA. Natürlich muss die ISSI im eigenes Netz identisch sein welche das BOS-Gerät im BOSNET hat.

Hallo Knut,
Nun kannst Du daraus machen, was Du willst, Beschwerden einfach an die Anstalt richten :-)

oder den Radio Manager Client Cache auslesen, die PUK abgreifen und das Gerät einfach mit der normalen nicht zerifizierten Firmware via Toolbox/RMC-Upload auslesen, umprogrammieren und neu konfigurieren ? Aber ich gehe davon aus, der Cache ist mittlerweile verschlüsselt, oder ? Hoffen wir es mal ....

[Landsknecht]

du meinst bestimmt: "ist nicht gewollt". Technisch möglich sehr wohl.
ich würde sagen: das hat nichts mit zertifizierter Firmware zu tun. Sondern eher was mit dem PUK der dir die Lese/Schreibrechte im RMC-Upload Tool verweigert.

Nö, es ist schon so wie ich schrieb. Es ist TECHNISCH nicht möglich, da seitens des BSI vorgegeben ist, dass sowohl Netzkenner als auch zugelassene Sicherheitsklasse zwingend von der BOS-Sicherheitskarte in den Gerätedatensatz importiert werden. Das bedeutet 262/1001 und SC2/3. Deshalb: Zertifiziert = Kein Fremdnetz möglich.

Da hilft Dir auch keine vorherige Registrierung im BOSNET. Einzige Ausnahme wäre ein Inter-System-Interface mit Kopplung der Vermittlungen, dann würde die RandomChallenge und Seed von der Heimatvermittlung angefordert werden sowie die Authentifizierung an die Gastvermittlung weitergereicht werden. DANN hättest Du aber SC3.

Nicht zertifizierte FW erlaubt die Nutzung der im Gerät hinterlegten Netzkenner und anderer SC trotz eingelegter Karte. Ds Gerät ignoriert die Vorgabe der Karte also. Bei Motorola braucht man sich auch nicht verbiegen, da können (fast) beliebig Netzkenner eingetragen werden.

[tetraguru]

Nö, es ist schon so wie ich schrieb. Es ist TECHNISCH nicht möglich, da seitens des BSI vorgegeben ist, dass sowohl Netzkenner als auch zugelassene Sicherheitsklasse zwingend von der BOS-Sicherheitskarte in den Gerätedatensatz importiert werden. Das bedeutet 262/1001 und SC2/3. Deshalb: Zertifiziert = Kein Fremdnetz möglich.

Falsch. Nochmal: Zuerst im BOS-Netz registrieren, dann in das CLEAR Netz umschalten.

Da hilft Dir auch keine vorherige Registrierung im BOSNET.

Sehr wohl hilft das. Du musst zuhören und richtig lesen. Es ist ein CLEAR-Netz. Da wird NICHTS authentifiziert ! ICH BRAUCHE AUCH KEINERLEI SCHLÜSSEL IM CLEAR NETZ.

Nicht zertifizierte FW erlaubt die Nutzung der im Gerät hinterlegten Netzkenner und anderer SC trotz eingelegter Karte. Ds Gerät ignoriert die Vorgabe der Karte also. Bei Motorola braucht man sich auch nicht verbiegen, da können (fast) beliebig Netzkenner eingetragen werden.

ERNEUT. ES GIBT KEINE ZERTIFIZEIRTE UND NICHT ZERTIFIZIERTE FIRMWARE. DER CODE IST 100% IDENTISCH !!!! Es ist nur der Sicherheitscode der das Gerät zum BOS-Gerät macht. BEI SEPURA KANNST DU ZIG NETZE HINTERLEGEN 262/100 zum Beispiel.

ICH HABE ES HEUTE GETESTET UND ES FUNKTIONIERT GENAU SO !!!

[Landsknecht]

Falsch. Nochmal: Zuerst im BOS-Netz registrieren, dann in das CLEAR Netz umschalten.


Sehr wohl hilft das. Du musst zuhören und richtig lesen. Es ist ein CLEAR-Netz. Da wird NICHTS authentifiziert ! ICH BRAUCHE AUCH KEINERLEI SCHLÜSSEL IM CLEAR NETZ.


ERNEUT. ES GIBT KEINE ZERTIFIZEIRTE UND NICHT ZERTIFIZIERTE FIRMWARE. DER CODE IST 100% IDENTISCH !!!! Es ist nur der Sicherheitscode der das Gerät zum BOS-Gerät macht. BEI SEPURA KANNST DU ZIG NETZE HINTERLEGEN 262/100 zum Beispiel.

ICH HABE ES HEUTE GETESTET UND ES FUNKTIONIERT GENAU SO !!!

Sach mal, stehst Du auf dem Kabel oder was? DU KANNST DICH MIT EINEM ZERTIFIZIERTEN GERÄT NICHT IN EINEM CLEAR NETZ EINBUCHEN, WEIL DIE SICHERHEITSKARTE ES NICHT ZULÄSST!!! Hast Du schon mal was von den drei Sicherheitsklassen von Tetra25 gehört?? Hast Du eine Vorstellung, warum die BDBOS vor dem Einsatz der zertifizierten Firmware warnt? Schon mal was vom local Site Trunk Mode - Problem gehört?? Nein? Dann mache Dich Sachkundig, bevor Du hier Unsinn verbreitest.

Nochmal von mir: SC1 = Clear = keine REGISTRIERUNG möglich. Registrierung ist nicht Authentifizierung! In der zertifizierten Version SPERRT DIE SICHERHEITSKARTE NETZE DER SICHERHEITSKLASSE 1 AUS. Im von der BDBOS ausgegebenen Gerätezertifikat ist die Hardwarerevision und die Firmware bindend vorgegeben, Information hier: http://www.bdbos.bund.de/cln_350/nn_...e_download.pdf

Hat Dein Gerät also eine abweichende Firmware, wovon ich nach Deinem Kommentar ausgehen muss, darfst Du es in dieser Form nach dem 31.12. dieses Jahres nicht mehr betreiben. Wiederholst Du Dein geschildertes Experiment nach dem Upgrade auf zertifizierte Firmware, dürfte das Ergebnis etwas negativer ausfallen.

Im Übrigen wird ein Gerät durch den TEA2 - Algorithmus und den TAA1 zum BOS - Gerät. Das Gerät authentifiziert sich gegenüber der BOS-Sicherheitskarte durch ein Derivat des Herstellerschlüssels, der nach der Firmwareprogrammierung durch eine besondere Sicherheitskarte einprogrammiert wird.

Bevor Du anfängst, hier rumzukäsen, achte drauf, dass Du auch sattelfest genug im Thema stehst. Dein Posting verrät mir, dass Du zwar über Tetra-Wissen verfügst, aber zum Thema Sicherheitsmechanismen und Zertifizierung im BOSNET nur Halbwissen. Ich schlage vor, dass Du, BEVOR Du dies hier weiter eskalierst, mit einem Fachmann Deiner zuständigen AS oder der BDBOS redest, und Dich sachkundig machst.

P.S.: Ich will hier keinesfalls einen Anpissthread aufmachen, daher nochmals die Bitte zur Mäßigung.

[tetraguru]

Sach mal, stehst Du auf dem Kabel oder was? DU KANNST DICH MIT EINEM ZERTIFIZIERTEN GERÄT NICHT IN EINEM CLEAR NETZ EINBUCHEN, WEIL DIE SICHERHEITSKARTE ES NICHT ZULÄSST!!! Hast Du schon mal was von den drei Sicherheitsklassen von Tetra25 gehört?? Hast Du eine Vorstellung, warum die BDBOS vor dem Einsatz der zertifizierten Firmware warnt? Schon mal was vom local Site Trunk Mode - Problem gehört?? Nein? Dann mache Dich Sachkundig, bevor Du hier Unsinn verbreitest.

Nochmal von mir: SC1 = Clear = keine REGISTRIERUNG möglich. Registrierung ist nicht Authentifizierung! In der zertifizierten Version SPERRT DIE SICHERHEITSKARTE NETZE DER SICHERHEITSKLASSE 1 AUS. Im von der BDBOS ausgegebenen Gerätezertifikat ist die Hardwarerevision und die Firmware bindend vorgegeben, Information hier: http://www.bdbos.bund.de/cln_350/nn_...e_download.pdf

Hat Dein Gerät also eine abweichende Firmware, wovon ich nach Deinem Kommentar ausgehen muss, darfst Du es in dieser Form nach dem 31.12. dieses Jahres nicht mehr betreiben. Wiederholst Du Dein geschildertes Experiment nach dem Upgrade auf zertifizierte Firmware, dürfte das Ergebnis etwas negativer ausfallen.

Im Übrigen wird ein Gerät durch den TEA2 - Algorithmus und den TAA1 zum BOS - Gerät. Das Gerät authentifiziert sich gegenüber der BOS-Sicherheitskarte durch ein Derivat des Herstellerschlüssels, der nach der Firmwareprogrammierung durch eine besondere Sicherheitskarte einprogrammiert wird.

Bevor Du anfängst, hier rumzukäsen, achte drauf, dass Du auch sattelfest genug im Thema stehst. Dein Posting verrät mir, dass Du zwar über Tetra-Wissen verfügst, aber zum Thema Sicherheitsmechanismen und Zertifizierung im BOSNET nur Halbwissen. Ich schlage vor, dass Du, BEVOR Du dies hier weiter eskalierst, mit einem Fachmann Deiner zuständigen AS oder der BDBOS redest, und Dich sachkundig machst.

P.S.: Ich will hier keinesfalls einen Anpissthread aufmachen, daher nochmals die Bitte zur Mäßigung.

Wenn hier einer unqualifizierte Aussagen trifft dann bist Du das. Ich beschäftige mich seit Jahren mit AIE/E2EE also lass den "Ich weiß was besser" Kram. Falls es nicht in Dein Hirn reingeht, ich habe bereits ein Gerät das genaus so wie ich es beschrieben habe funktioniert. ICH HABE SCHON AIE/E2EE Geräte zum laufen gebracht, da gabe es hier in GERMANY nicht mal eine Ausschreibung !!!

Und nochmal zum mitschreiben: EGAL WAS DIE HIER IN GOOD OLD GERMANY ZERTIFIZIERT HABEN DIE FIRMWARE IST DIE GLEICHE !!! FRAG BEI SEPURA NACH !!!!

DA DU NICHTS KAPPIERST EMPFEHLE ICH DIR MAL FOLGENDES DOKUMENTS ZU LESEN:

BSI-Dokument/Spec: E2E-AI v1.3.pdf „E-to-E Encryption Air-Interface“ Seite 30

Die Möglichkeit, dass sich ein BOS-SIM-Karten-Funkgerät auch (durch Umschalten über das Geräte-Benutzermenü) in ein Nicht-BOS-Netz (z.B. ein TETRA-ÖPNV-, Stadtwerke-, Industrienetze) einbuchen darf, wird explizit in den entsprechenden BSI-Spezifikationen (E-to-E Encryption Air-Interface: E2E-AI v1.3.pdf) geduldet/erlaubt.

AUCH DER HERSTELLER SEPURA KANN DIR DAS BESTÄTIGEN.

Damit ENDE DER DURCHSAGE !!!

[Zakownik]

@TetraGuru

Nun komm mal wieder runter; hier soll es um sachliche, auch streitbare, Themen gehen, aber nicht um persönlihe Anfeindungen und ANSCHREIEIN müssen wir uns im Forum schon gar nicht, wirkt auch im realen Zwiegespräch unpassend. Dein technisches Engagement als Mitstreiter achte ich.

Nun zum Thema, bisher kann auch ich nur der Sachmeinung von Landsknecht zustimmen, wenn Du weitergehende Informationen oder gar schriftliche Einlassungen dazu hast, dann nenne uns doch die genaue Quelle. Das von Dir angesprochene Dokument des BSI ist mir bisher nicht bekannt, aber vielleicht hilft es Dinge zu erhellen. Sei also so nett und schreibe die Quelle für den Download, wenn es nicht VS-NfD ist oder eine anderweitige Information wie wir es bekommen können.

Wenn Du schon technische Erfahrungen mit einem Endgerät hat, welches so programmiert wurde, dass es mit zwei unterschiedlichen Netzkennern in zwei unterschiedlichen Tetra-Netzen, eins mit E2E-Verschlüsslung (Class 2/3) und eins ohne E2E (Class 1), nur durch Umschaltung durch den Benutzer mittels Menüstruktur des Endgerätes, fehlerfrei arbeitet, würde das sicher ganz viele User hier interessieren. Denn viele müssen im täglichen Dienst in die U-Bahn oder andere Örtlichkeiten, in welchen schon "private" Digitalfunknetze arbeiten. Die Implementierung der Endgeräte bzw. der Teilnehmer in beide Netze ist für mich auch von großem Interesse.

Wenn Du schon ein Nutzer mit langjähriger Erfahrung auf diesem Gebiet bist, dann würde ich mich über weitergehende sachliche Informationen von Dir freuen. Wir stehen sicher morgen vor dem Problem, was Du heute anscheinend schon gelöst hast.

Danke für Dein Verständnis und bleib' zukünftig sachlich.

mfg
Zako

[tetraguru]

@TetraGuru
Nun zum Thema, bisher kann auch ich nur der Sachmeinung von Landsknecht zustimmen, wenn Du weitergehende Informationen oder gar schriftliche Einlassungen dazu hast, dann nenne uns doch die genaue Quelle. Das von Dir angesprochene Dokument des BSI ist mir bisher nicht bekannt, aber vielleicht hilft es Dinge zu erhellen. Sei also so nett und schreibe die Quelle für den Download, wenn es nicht VS-NfD ist oder eine anderweitige Information wie wir es bekommen können.
Zako

Hallo. Habe an Landsknecht eine pm geschrieben. Wir regeln das off-topic.

Kurz zur Sache: ich habe eine technische Lösung mit zertifizierter Firmware. Ich habe ein Schreiben das ich von Sepura erhalten habe, das es die Geräte technisch gesehen können (Mehrnetzfähigkeit). Der Hersteller hat mir Dokumente vorgelegt, welche die Nutzung genehmigen (abgestimmt mit der BSI). Auf mehr Details möchte ich hier gar nicht mehr eingehen, da es hier keinen Sinn macht. Wer von Euch nach so einer Lösung sucht, einfach auf den Hersteller Sepura zugehen.

Gruß
tetraguru

PS: ich dachte es gibt noch mehr Nutzer die Interesse an der Mehrnetzfähigkeit haben die es eben interessiert, dass es hierfür IMHO eine Lösung gibt. Wenn das unsachlich war, dann sorry ! Wer Schreibfehler findet, darf sie gerne behalten !

[Landsknecht]

Wenn hier einer unqualifizierte Aussagen trifft dann bist Du das. Ich beschäftige mich seit Jahren mit AIE/E2EE also lass den "Ich weiß was besser" Kram. Falls es nicht in Dein Hirn reingeht, ich habe bereits ein Gerät das genaus so wie ich es beschrieben habe funktioniert. ICH HABE SCHON AIE/E2EE Geräte zum laufen gebracht, da gabe es hier in GERMANY nicht mal eine Ausschreibung !!!

Und nochmal zum mitschreiben: EGAL WAS DIE HIER IN GOOD OLD GERMANY ZERTIFIZIERT HABEN DIE FIRMWARE IST DIE GLEICHE !!! FRAG BEI SEPURA NACH !!!!

DA DU NICHTS KAPPIERST EMPFEHLE ICH DIR MAL FOLGENDES DOKUMENTS ZU LESEN:

BSI-Dokument/Spec: E2E-AI v1.3.pdf „E-to-E Encryption Air-Interface“ Seite 30

Die Möglichkeit, dass sich ein BOS-SIM-Karten-Funkgerät auch (durch Umschalten über das Geräte-Benutzermenü) in ein Nicht-BOS-Netz (z.B. ein TETRA-ÖPNV-, Stadtwerke-, Industrienetze) einbuchen darf, wird explizit in den entsprechenden BSI-Spezifikationen (E-to-E Encryption Air-Interface: E2E-AI v1.3.pdf) geduldet/erlaubt.

AUCH DER HERSTELLER SEPURA KANN DIR DAS BESTÄTIGEN.

Damit ENDE DER DURCHSAGE !!!

Schade, schade, ich dachte schon, Du hättest Dich mittlerweile mal informiert.....

Was können wir also Deinem letzten Post entnehmen? Dass Du 1. ein Sepura-Endgerät, dass eine unzertifizierte Firmware hat besitzt, 2. Du unsachlich wirst und kapieren mit zwei "P" schreibst, 3. Du offenkundig über Halbwissen verfügst und Zugang zu VS-NfD-Material hast und 4. weder die Problemstellung dieses Threads richtig erkannt noch die Dir zur Verfügung stehenden Informationen korrekt bewertet hast.

- Ich habe zwei MTP850FuG, die in der Lage sind, nur durch Auswahl einer entsprechenden Gruppe automatisch vom BOSNET in ein privates CLEAR-Netz und zurück zu wechseln, und das unter Beibehaltung der BSI-Verschlüsselung. Was beweist dies? Dass es technisch möglich, aber derzeit keineswegs zulässig ist. Eine nette Versuchsfirmware ohne jeglichen praktischen Wert.

Seite 30 des von Dir zitierten Dokuments regelt die Spezifikation des AI in Verbindung mit E2E. Das geht hier völlig an der zugrunde liegenden Problemstellung vorbei. Hier geht es um Fragen des SIM-Karteninterface, dies ist in E2E-SIM 4.0.3 unter Kapitel 5.6.4.2.1 ff beschrieben.

Ich betreibe diese Arbeit mittlerweile einige Jährchen und kenne auch die Dokumente mit den frühen Versionsnummern unter 1, ich verfüge über die Spec von TAA1 und TEA2 und habe damit auch gearbeitet. Spätestens hier sollte Dir klarwerden, dass ich nicht nur Informationen vom Hörensagen habe.

Was in der von Dir zitierten Spec geduldet oder beschrieben wird, ist völlig belanglos. Die Richtlinienkompetenz liegt bei der BDBOS, übrigens ein Umstand, auf den in den Dokumenten des BSI hingewiesen wird... Die Zertifizierungsbedingungen sind hier eindeutig, und die besagen nun einmal, dass Endgeräte sich ausschließlich in Netze der Klassen 2 und 3 einbuchen dürfen. Jeder, der die Spec des Tetra25 AI kennt, kann daraus klar folgern, dass damit Clearnetze aus dem Spiel sind. Ohne wenn und aber.

Es ist nun offenkundig so, dass Du aus dem Umstand, dass das von Dir betriebene Gerät ein bestimmtes Systemverhalten zeigt, ableitest, dass Du damit den Beweis für die Richtigkeit Deines Geschwurbels in den Händen hältst.
Hier begehst Du gleich mehrere fatale Fehler, denn aus dem Verhalten eines einzelnen Geräts eine These abzuleiten ist gewagt. Weiterhin müsstest Du nachweisen, dass das von Dir verwendete Gerät exakt die Versionsnummer der zertifizierten FW hat, spätestens hier wirst Du feststellen, dass es ein Delta gibt. Dann berufst Du Dich auf Aussagen von Mitarbeitern eines Endgeräteherstellers, die für die hier behandelte Frage vollkommen irrelevant ist.

Die Zertifizierung erfolgt auf Basis einer Rechtsvorschrift, genauer, eines Bundesgesetzes. Durch die Erteilung eines Zertifikates wird durch eine Zertifizierungsstelle nachgewiesen, dass der Prüfgegenstand die von der BDBOS vorgegebenen Eigenschaften besitzt. Es ist völlig witzlos, Sepura zu fragen, ob deren Geräte etwas können oder nicht, vielmehr ist die einzige Stelle, die derartige Aussagen treffen kann, die BDBOS bzw. deren Zertifizierungsstelle. Entsprechen Geräte nicht den Prüfmustern, sind diese nicht im BOSNET verkehrsfähig!

Das dürfte nun zum Thema reichen.

@Zakownik:Die Dokumente liegen als verschlüsseltes ZIP auf der GBG der BDBOS, wenn ich Dich richtig einordne, dürftest Du dort ja Zugriff haben.

[nederrijner]

2. Du unsachlich wirst und kapieren mit zwei "P" schreibst,

Beste Argumentationsstruktur ever!