DECT - Verschlüsselung: S 850 A GO Sendestation tauschen ? Standards ?

[siebengescheit]

1)

Bei uns kommt DSL im Keller aus der Wand. Es hängt ein Router dran. Der Router (Fritz Box 7583) holt alle IP - Telefonanschlüsse aus dem Netz.

Vom Router geht ein LAN Kabel ins EG. Im EG ist eine Gigaset S850A GO Sendestation, die die Telefondaten vom Router holt.

Es sind 6 Mobilteile von Gigaset angeschlossen:

4 * E720HX
2 * E720H


2)

Die Gigaset S850 A GO Sendestation tut genau das was sie soll.

Ich hätte nur gern die Verbindung zwischen dem Mobilteil und der Sendestation mit aktueller Technik sehr gut verschlüsselt.

Ich überlege daher den Austausch der S 850 A GO Sendestation gegen eine Gigaset BasicLine IP

https://www.idealo.de/preisvergleich/OffersOfProduct/209637545_-basicline-ip-gigaset.html


3)

die Hotline von Gigaset hat die Frage, ob der Tausch der Geräte zu einer besseren Verschlüsselung führt, nicht beantwortet.

Was sagt die Netzgemeinde dazu ? Auf welche Standards kommt es an ? Gibt es evtl. andere Geräte bzw. andere Hersteller die besser verschlüsseln ?

Danke


##########
Ich hoffe, ich habe die richtige Kategorie im Forum erwischt - es gibt irgendwie keine Kategorie "DECT - Telefonie"

 

[conf_t]

Bei DECT hat es in den letzten 15 Jahren zwar Weiterentwicklungen gegeben (z. B. im Umfeld von CAT-iq und den DECT-Sicherheitsstandards), für den Privatbereich sind aber keine großen Sprünge bei der Funkverschlüsselung bekannt geworden. Daher würde ich nicht automatisch davon ausgehen, dass eine aktuelle Basisstation die DECT-Verbindung wesentlich besser absichert als eine S850A GO. Einen konkreten technischen Vergleich der beiden Modelle habe ich leider auch nicht gefunden.

Solange du nicht gerade eine Arztpraxis, Anwaltskanzlei, Forschungsabteilung, Behörde oder ein Unternehmen mit besonderen Compliance-Anforderungen betreibst, würde ich die bestehende Lösung weiter nutzen, wenn sie zuverlässig funktioniert.

Aus meiner Sicht ist wichtiger, dass die VoIP-Verbindung zum Provider abgesichert ist, also SIP über TLS (oft auch als SIPS bezeichnet) sowie möglichst SRTP für die Sprachübertragung verwendet werden. Das hängt allerdings nicht nur von der FritzBox bzw. der Basisstation ab, sondern auch davon, was der jeweilige Provider unterstützt.

Die von der BasicLine IP beworbenen VoIP-Sicherheitsfunktionen (TLS, SIPS, SRTP) bringen in deinem Aufbau allerdings keinen nennenswerten Vorteil. Solange die FritzBox die SIP-Konten bzw. Rufnummern verwaltet und die Gespräche selbst beim Provider anmeldet, erfolgt die VoIP-Kommunikation über die FritzBox. Die Basisstation fungiert dann lediglich als DECT-Basis. Die eigenen VoIP-Verschlüsselungsfunktionen der Basisstation würden erst relevant, wenn diese die SIP-Accounts direkt beim Provider registriert. Und die Fritzbox kann ebenfalls verschlüsseltes VoiP.

Es wird als bei der Basicline massiv mit Funktionen beworben, die du gar nicht nutzt.

Wichtiger wären für DECT die Punkte, da schweigt sich der Hersteller aus:

• DECT Security Certification
• AES-verschlüsseltes DECT
• CAT-iq 3.x
• verbesserte Luftschnittstellen-Verschlüsselung
• DSAA2/DSC2

 

[kutjub]

Sind dir die Versschlüsselungsmethoden der Geräte bekannt?
Was verstehst du denn unter "besserer" Verschlüsselung?

 

[siebengescheit]

Versschlüsselungsmethoden der Geräte bekannt

nein

ich habe auch auf der Sendestation mittels webbrowser nichts bzw. keine Einstellung gefunden

Die Bedienungsanleitung S 850 A GO
https://gse.gigaset.com/fileadmin/g...85x_GO/A31008-M2625-B101-2-19_de_AT-DE-LU.pdf

sucht man dort nach Verschlüsselung so betrifft das auf S. 90 und S. 139 nur den Repeater
die technischen Daten auf S. 133 helfen auch nicht weiter

zu S 850 A GO

DECT-Standardwird unterstützt
GAP-Standardwird unterstützt
Kanalzahl60 Duplexkanäle
Funkfrequenzbereich1880-1900 MHz
DuplexverfahrenZeitmultiplex, 10 ms Rahmenlänge
Wiederholfrequenz des Sendepulses100 Hz
Länge des Sendepulses370 μs
Kanalraster1728 kHz
Bitrate1152 kbit/s
ModulationGFSK
Sprachcodierung32 kbit/s
Sendeleistung10 mW mittlere Leistung pro Kanal, 250 mW Pulsleistung
Reichweitebis zu 50 m in Gebäuden, bis zu 300 m im Freien
Stromversorgung Basis230 V ~/50 Hz
Umgebungsbedingungen im Betrieb+5 °C bis +45 °C; 20 % bis 75 % relative Luftfeuchtigkeit
WahlverfahrenMFV (Tonwahl)/IWV (Impulswahl) (wenn vorhanden)
CodecG.711, G.726, G.729AB mit VAD/CNG, G.722
Quality of ServiceTOS, DiffServ
ProtokolleSIP, RTP, DHCP, NAT Traversal (STUN), HTTP

auf S. 111 heißt es zu S 850 A GO:

Sicherheit
Das Telefon unterstützt den Aufbau sicherer Datenverbindungen im Internet mit dem Sicher-
heitsprotokoll TLS (Transport Layer Security). Bei TLS identifiziert der Client (das Telefon) den
Server anhand von Zertifikaten. Diese Zertifikate müssen an der Basis gespeichert sein.
¤ Einstellungen
Netzwerk
Sicherheit
Auf dieser Seite finden Sie die Listen Server-Zertifikate / CA-Zertifikate mit den in der Basis
gespeicherten Zertifikaten.
Die Liste Ungültige Zertifikate enthält Zertifikate, die den Zertifikate-Check bei einem Verbin-
dungsaufbau nicht positiv durchlaufen haben, und Zertifikate aus den Listen Server-Zertifikate
/ CA-Zertifikate, die ungültig geworden sind (z. B. weil ihr Gültigkeitsdatum überschritten ist).
Sie können Zertifikate entfernen und neue Zertifikate auf die Basis laden, sowie ungültige Zerti-
fikate akzeptieren oder ablehnen.

https://asset.conrad.com/media10/ad...rter-bluetooth-freisprechen-headsetanschl.pdf

S. 3 zu S 850 A GO

Standards DECT, GAP, HDSP™, SMS über Festnetz oderIP (RTP), SIP, RTP, STUN, POP3/POP3S,Bluetooth® 2.0

"besserer" Verschlüsselung

ich will eben einfach dass man in der Nachbarschaft nicht ohne weiteres mit irgendwelchen Scannern mithören kann was ich am Telefon bespreche

icht gerade eine Arztpraxis, Anwaltskanzlei, Forschungsabteilung, Behörde oder ein Unternehmen mit besonderen Compliance-Anforderungen

es ist ein Privathaushalt

FritzBox bzw. der Basisstation ab, sondern auch davon, was der jeweilige Provider unterstützt.

Provider Telekom

ich gehe davon aus dass sich Telekom und Fritz!Box abstimmen

DECT die Punkte, da schweigt sich der Hersteller aus

die Bedienungsanleitung der BasicLine - IP

https://gse.gigaset.com/fileadmin/g...icLine_IP/20260203_BasicLine_IP_LUG_DE_ax.pdf

S. 25

DECT-SicherheitseinstellungenDer DECT-Funkverkehr zwischen Basisstationen und Mobilteilen ist standardmäßig verschlüsselt.Mit den folgenden Optionen können Sie die Sicherheitseinstellungen genauer definieren.DECT-Verschlüsselung:1. Aktivieren/deaktivieren Sie die Option: Aktiviert:Alle Anrufe werden verschlüsselt. Deaktiviert:Kein Anruf wird verschlüsselt.Erweiterte Sicherheit - Frühe Verschlüsselung und Re-Keying:1. Aktivieren/deaktivieren Sie die Option: Aktiviertie folgenden Nachrichten werden verschlüsselt:CC-Nachrichten (Call Control) in einem Anruf.Daten, die in einer Frühphase der Signalisierung möglicherweise vertraulich sind, z. B. Wählenoder Versendung von CLIP-Informationen.Der für die Verschlüsselung verwendete Schlüssel wird während des laufenden Anrufs geändert; dies steigert die Sicherheit des Anrufs. Deaktiviert:CC-Nachrichten und Daten aus der Frühphase werden nicht verschlüsselt.

ich muss also das Teil kaufen und mir ansehen was ich dort auswählen kann ?

https://www.idealo.de/preisvergleich/OffersOfProduct/209637545_-basicline-ip-gigaset.html#datasheet

zeigt folgende technische Daten der BasicLine - IP

Produkttypen
DECT-Basis, VoIP Telefonanlage, IP-Telefonanlage
Weitere Eigenschaften
Bauart
kompakt
Einsatzbereiche
Business, Home & Small Office
Schnittstellen
1 x RJ-45, 1 x USB-C
max. Teilnehmerzahl gesamt
6
max. Teilnehmerzahl digital
4
Systemfunktionen
DECT-Basisstation, CAT-iq Support
Telefoniefunktionen
Konferenzschaltung, Rufumleitung, Telefonbuch/Kontaktspeicher
Protokolle
HTTPS, SIP, TCP, SRTP, TLS, CAT-iq
Voice Codecs
G.722
Rufnummernspeicher
300 Einträge
Breite
13,2 cm
Höhe
10,5 cm
Tiefe
4,6 cm
Gewicht
0,13 kg

Ergänzung (Mittwoch um 09:26)

von der BasicLine IP beworbenen VoIP-Sicherheitsfunktionen (TLS, SIPS, SRTP) bringen in deinem Aufbau allerdings keinen nennenswerten Vorteil.

ich kann natürlich auch die Sendestation direkt mit dem Provider verbinden - doch geht dann der Vorteil flöten dass ich auf der Fritz!box alle Anrufe sehe

 

[kutjub]

Nach meiner Information besteht die Gefahr, wenn Repeater für DECT eingesetzt werden, die Verschlüsselung unterbrochen werden kann.

Fritz hat eine Verschlüsselung, die momentan ein modernes Verfahren einsetzt.
Wenn es aber ganz sicher sein sollte, dann halt per Kabel

 

[conf_t]

Protokolle HTTPS, SIP, TCP, SRTP, TLS, CAT-iq

Alles bis auf CAT-iq ist für DECT irrelevant, das ist nur für Voip relevant und welcher CAT-iq Version genutzt wird, da schweigen sie sich wie gesagt aus. Da hilft es nicht, wenn du das wieder unter wieder zitierst, die Aussagekraft bleibt: 0


Ich meine der Rest ist genaus aussagelos, weil HTTPS auch nichts aussagt. HTTPS mit SSL 3.0 kann man sich an den Hut schmieren, HTTPS mit TLS 1.3 ist dagegen sicher. Wie gesagt, die TechDoc sind die Bits der PDF nicht wert in der sie stehen.


Bei Telekom dürfte alles im SIP-Trunk und RTP-Stream verschlüsselt sein, ist bei mir zumindest so.

 

[siebengescheit]

1)
Sendestation <-> Mobilteil

Repeater für DECT eingesetzt werden

hier gibt es nur eine Sendestation

CAT-iq ist für DECT irrelevant

also prüfen ob Mobilteile CAT-iq hat und ob Sendestation CAT-iq hat

A) Mobilteile

Mobilteil E 720 H

hier habe ich weder eine Bedienungsanleitung für die zwei Mobilteile in der Version E 720 H noch Angaben zu Cat-iq gefunden

und E 720 HX

diese Mobilteile haben CAT-IQ

https://gse.gigaset.com/fileadmin/g...2x/E720HX/A31008-M2963-B101-1-19_de_DE-LU.pdf

S. 1 (PDF S. 3)

An DECT-Routern mit CAT-iq 2.0
Ihr Gigaset HX-Mobilteil ist nach dem DECT/CAT-iq 2.0 Standard zertifiziert. Dadurch ist auch der
Betrieb an einem DECT-Router mit CAT-iq-Funktionalität möglich.
Das Mobilteil ist geeignet für eine Vielzahl von Routern, z. B. Gigaset-Router, Speedport (Deut-
sche Telekom), TP-Link-Router, Homebox 2 (o2/Telefonica)... . Es unterstützt damit moderne
Telefon-Anschlüsse, z. B. den ALL-IP Anschluss der Deutschen Telekom oder den Anschluss für
IP-Telefonie von o2/Telefonica.
Funktionen des Mobilteils an einem CAT-iq-Router (u. a.):
• voller Zugriff auf das zentrale Telefonbuch im Router als auch auf das im Mobilteil integrierte
lokale Telefonbuch,
• komfortabel telefonieren und Anruflisten nutzen,
• mehrere Leitungen und Rufnummern nutzen (der jeweilige Funktionsumfang ist Länder-,
Netz- und Router-abhängig)
• exzellente Audio-Qualität genießen (zertifizierte HD-VoiceTM-Qualität).
Details finden Sie in der jeweiligen Bedienungsanleitung Ihres Routers.

https://www.gigaset.com/at_de/gigaset-e720hx/

• Universal-Mobilteil zur Erweiterung von:
  • DECT/Gap-Routern
  • Routern mit DECT/Cat-iq 2.0
  • Gigaset DECT-Basisstationen

B)
Sendestation

S 850 A GO

https://www.connect.de/testbericht/gigaset-communications-s850a-go-3040168-2460.html

CAT-iq (vb) Gesamtsystem	－
DECT-Verschlüsselung / seniorengerecht / Outdoor-tauglich

https://gse.gigaset.com/fileadmin/g...8x/S85x_GO/A31008-M2625-T101-2-8U19_en_GR.pdf

kein cat-iq

also austauschen ?

der Zugriff auf den Router zeigt die S 850 A GO Sendestation an

ich glaube aber dass die S 850 A GO und die GO BOX 100 baugleich sind

die GO BOX 100 hat cat-iq

also nicht austauschen ?



2)
Telekom <-> Provider

Telekom dürfte alles ... verschlüsselt sein

ich glaube das auch aber mein Ziel ist erst mal Sendestation <-> Mobilteil

 

[conf_t]

Da fängt es an, die sichereren Cat-iq Versionen gehen ab 2.1 los.

https://de.wikipedia.org/wiki/CAT-iq
https://de.wikipedia.org/wiki/Digital_Enhanced_Cordless_Telecommunications#Sicherheit

Also Handteil und Basisstation müssen schon beide die gleichen Verschlüsselungen unterstützen, sonst gehen die auf den kleinsten gemeinsamen Nenner.

 

[siebengescheit]

den vorstehenden

Handteil und Basisstation müssen schon beide die gleichen Verschlüsselungen

sicher

es sind 6 Mobilteile
2 davon nur gelegentlich benutzt
die beiden gelegentlich benutzten werden die E 720 H wo ich keine Infos finde
die vier genutzten werden die E 720 HX

ich kopiere die Telefonbücher um und benenne die Mobilteile um

Die Basisstation tausche ich aus.

sichereren Cat-iq Versionen gehen ab 2.1

dann haben die vier Mobilteile wenigstens CAT-iq 2.0

aber es ist doch traurig irgendwie dass da nicht die neueste Version von CAT-iq läuft

####

irgendwie kümmert sich gigaset nicht mehr um Aktualität, verkauft wird altes Zeugs zu hohem Preis

und so frage ich mich welche Alternativen es ggf. gibt bei andern Herstellern

 

[conf_t]

Habe nach dem Siemens Gigaset verkauft hat denen den Rücken zugewandt.... 1 2 Produkte getestet und alleine die Haltbarkeit war mies.

 

[siebengescheit]

Gigaset verkauft hat denen den Rücken zugewandt.

ging nach China

wir haben hier die E 720 H_ Seniorentelefone genommen weil die den früheren Telefonen ähnlich waren und so tat sich mein Vater leichter

 

[User007]

Hi...

Sorry, mag etwas OT sein, aber ich bin echt neugierig:

ich will eben einfach dass man in der Nachbarschaft nicht ohne weiteres mit irgendwelchen Scannern mithören kann was ich am Telefon bespreche

Was erwartest Du denn, dass sich "jemand aus der Nachbarschaft" so viel Aufwand macht um Deine/Eure fernmündliche Privatkommunikation abzuhören - hast Du/habt Ihr "Feinde" oder bist Du/seid Ihr so überragend "wichtig", dass sich dieser Aufwand lohnen könnte/würde?
M. Mg. n. "konstruierst" Du Dir hier ein Problem herbei, wo keins existiert! 🤷‍♂️
​

ging nach China

Na ja, die Administration ist da jetzt, aber Geräte werden nach wie vor hier im Bocholter Werk produziert.

​

---

Btw.:​

1 2 Produkte getestet und alleine die Haltbarkeit war mies.

Ist aber 'ne rein individuell-subjektive Anekdote - bspw. kann ich aus langjährigem Tätigkeitsumgang mit diesen Gerätschaften genau Gegenteiliges vermelden. 😉​

 

[conf_t]

Ja, ist es. Nur eine anekdotische evidenz. Mehr nicht. Daher auch den subjektive Kontext. 😉

 

[siebengescheit]

"jemand aus der Nachbarschaft"

es ist eben immer nur so ein Bauchhgefühl mehr nicht, Streit gibt es nicht aber wir wohnen auf dem Berg oben und die DECT Telefone reichen weit

hier kriegt man bei den Mobilteilen den CAT-IQ Level übrigens raus

https://geizhals.eu/?cat=phonw&xf=5...=true&hloc=at&hloc=de&hloc=eu&hloc=pl&hloc=uk



bei den Feststationen nicht
https://geizhals.de/?cat=telanlzub&xf=1465_DECT-Basisstation&pagesize=30&sort=artikel&promode=true

 

[User007]

[...] nur so ein Bauchhgefühl mehr nicht, [...]

Ja, genau dswg. ist's eher persönlicher "Unsinn".
Bspw. benutz' ich für eine meiner drei Festnetzrufnummern auch noch ein eher "älteres" (😇) Panasonic KX-TG2521GM DECT-Telefon und hab's noch nicht erlebt, dass einer meiner Nachbarn durch eine Bemerkung i-wie zu erkennen gegeben hätte, dass meine fernmündliche Kommunikation "abgehört" worden wäre - der dazu benötigte Aufwand wäre wohl auch durchaus zu immens für einen erhofften Ertrag!​

 

[siebengescheit]

ich habe festgestellt dass die FritzBox die im EG steht CAT-iq 2.0 Unterstützung für DECT anbietet

also muss ich die Mobilteile einfach dort anmelden ....

oder das Teil kaufen

https://www.gigaset.com/de_de/gigaset-ip-base/

DECT-Standards
DECT | GAP | CAT iq 2.0 | CAT iq 2.1 | SUOTA - Software-update-over-the-air

ich hab mich aber arg schwer getan Basisstationen mit dem Standard CAT iq zu finden

 

[TomH22]

ich habe festgestellt dass die FritzBox die im EG steht CAT-iq 2.0 Unterstützung für DECT anbietet

Wenn Du die Fritzbox benutzt, kannst Du im DECT Monitor immerhin sehen, ob ein Mobilteil die „erweiterte Sicherheit“ unterstützt:

https://fritzhelp.avm.de/help/de/FRITZ-Box-7530/avm/024p2/hilfe_fon_dect_moni

Vielleicht hilft das Deinem Bauchgefühl….

Ergänzung (Gestern um 09:13)

Ich habe eben aus Neugier mal etwas recherchiert, es scheint keine Consumer DECT Produkte die DSAA2 (DECT Standard Authentication Algorithm #2) (seit 2012 optionaler Bestandteil von CAT-iq 2.0) dokumentiert unterstützten. Ob sie es inoffiziell doch können, ist möglich, aber eher unwahrscheinlich, denn mit sowas würden sie sicher Werbung machen, denn normalerweise schreiben die Hersteller ja jedes toll klingende Akronym in ihre Produktbeschreibung was sie können.

 

[siebengescheit]

aus Neugier mal etwas recherchiert

genau ... ich frage mich warum die E 720 H_ Mobilteile eine Option Verschlüsselung anzeigen bzw. bieten und was dahinter steckt

wie ist es eigentlich technisch

4 E 720 HX haben neuen Standard CAT IQ 2
2 E 720 HX haben alten Standard - unklar


Was gilt dann:

Lösung 1: der niedrigste Standard aller Geräte ? Die Verbindung zwischen Basis und einem Gerät mit hoher Verschlüsselung richtet sich nach dem Standard des schlechtesten Geräts.

Lösung 2: Wird telefoniert so kommt es auf die Verbindung zwischen Gerät und Basis an. Hat das Gerät eine bessere Verschlüsselung ist die Verschlüsselung des Gesprächs besser.

 

[TomH22]

Das kann Dir letztendlich nur Gigaset beantworten. Rein technisch ist es möglich die Verbindungsparameter je Gerät/Verbindung auszuhandeln, dass passiert beim Sprachcodec (Stichwort HD-Telefonie) auch.

Die Fähigkeiten zu bestimmten Verschlüssungsverfahren und Schlüssellängen (64 vs. 256Bit) werden aber durch die Hardware des DECT Chips bestimmt.