Guía paso a paso
Motorola TETRA AIE en DMO: TalkGroups cifrados y sin cifrar al mismo tiempo
Configura el cifrado de voz AIE (algoritmo TEAs) en una radio Motorola TETRA para que, en modo DMO, un mismo walkie pueda operar simultáneamente con TalkGroups cifrados y TalkGroups en claro, usando Tetra CPS DEPOT.
AIE (Air Interface Encryption) es el cifrado de voz de las radios Motorola TETRA, basado en el algoritmo TEAs (Tetra Encryption Algorithm). Este método te permite activar el cifrado en el codeplug y, lo más importante, combinar TalkGroups cifrados y TalkGroups en claro en la misma radio y en el mismo modo DMO: unos TGs viajarán cifrados con TEA y otros se mantendrán en claro.
⚠️ Importante: antes de tocar el CPS necesitas haber cargado las claves AIE en la radio mediante un KVL (Key Variable Loader) y la radio disponer de un frimware TEAs. Sin claves cargadas y sin el frimware TEAs, activar el cifrado en el codeplug no servirá de nada: la radio no tendrá con qué cifrar. Este manual asume que ya dispones de las claves cargadas (en nuestro ejemplo, 32 claves) , la radio dispone de un frimware TEAs y se centra en la programación del codeplug para activar el AIE y repartir TGs cifrados y en claro.
Qué necesitas antes de empezar
Reúne el siguiente material antes de iniciar el proceso:
- El software Motorola Tetra CPS DEPOT, con acceso al modo Lab.
- Una radio con las claves AIE ya cargadas mediante KVL (en este ejemplo, 32 claves disponibles) y una radio con frimware TEAs cargado.
- Tener claro qué TalkGroups quieres cifrados y cuáles en claro, ya que la estructura de carpetas y TGs se organiza en función de esto.
- Cable USB o RS-232 para la comunicación con la radio.
💡 Consejo: anota de antemano qué grupo de claves (Key Group) usará cada TalkGroup cifrado. Con 3 TGs cifrados, por ejemplo, es habitual usar 3 Key Groups distintos (KG 1, KG 2, KG 3), mientras que los TGs en claro se dejan con NO_KG.
Fase 1 de 3
Desbloquear el cifrado AIE en modo Lab
Activa Enhanced_Security a 1 en el modo Lab
En Tetra CPS DEPOT entra en el modo Lab (acceso avanzado a la estructura interna del codeplug). Dentro del árbol de bloques, localiza el campo Enhanced_Security y establece su valor en 0x01.
Este campo es el interruptor maestro que desbloquea todas las opciones de cifrado AIE en el resto del codeplug. Si lo dejas en 0x00, algunas de las opciones que necesitas en los pasos siguientes permanecerán inaccesibles o sin efecto.

Fase 2 de 3
Configurar Security y DMO Security para el uso mixto
Activa los cifrados de aire en el nodo Security
Ve al nodo Codeplug > Security. Aquí debes marcar las casillas que habilitan el cifrado en el interfaz de aire:
- SCK Air If Encryption
- DMO SCK
- DMO SCK OTAR
- DCK Air If Encryption
- GCK Air If Encryption and OTAR
- Non Secured Call Tones
El resto de campos del nodo (Permanent Disable, PIN, Covert Mode, etc.) se pueden dejar con sus valores por defecto, ya que no afectan al reparto de TGs cifrados/en claro.


Configura DMO Security para permitir TGs cifrados y en claro a la vez
Entra en DMO Parameters > DMO Security. El campo Key Grouping Method indica cuántas claves se van a manejar (en nuestro caso <10K,3E>); lo dejamos tal como viene, ya que se solo queremos manejar 10 claves.
Como queremos un walkie que reciba algunos TGs en claro y otros cifrados, dejamos:
- Default Key Group:
NO_KG - Default Incoming Minimum Security Class:
Security Class 1 - Default Outgoing Security Class:
Security Class 1
De esta forma, el comportamiento por defecto de la radio es «en claro», y será cada TalkGroup, de forma individual, el que decida si usa cifrado o no (esto lo haremos en la Fase 3, al crear los TGs).
⚠️ Si en lugar de un uso mixto quisieras que TODOS los TGs fuesen cifrados, deberías: asignar un Default Key Group concreto, establecer tanto el Default Incoming Minimum Security Class como el Default Outgoing Security Class en una clase Security Class 2X, y desactivar la opción Accept Clear Calls on Encrypted Radios. Con esa combinación la radio rechazaría cualquier llamada en claro.


Deja Open MNI Security Settings con sus valores por defecto
Dentro de DMO Security > Open MNI Security Settings encontrarás una tabla con Network MCC y Network MNC. Este apartado sirve para asignar claves de seguridad por red (MCC/MNC) a las llamadas de grupo abierto. Como no vamos a establecer claves por defecto en función del MCC o el MNC, lo dejamos tal cual viene, sin modificar.


Selecciona las claves activas en Present Keys
En DMO Security > Present Keys verás una tabla con hasta 10 posiciones (Present Keys 1 a 10). Aunque mediante el KVL hayamos cargado hasta 32 claves en la radio, este nodo solo permite tener 10 claves activas como máximo a la vez (es justo el número de claves disponibles hemos seleccionado en el punto anterior).
De esas 32 claves disponibles, selecciona en cada fila (SCK 1 a SCK 30) las 10 que realmente vas a usar en esta radio. Son estas 10 claves presentes las que quedarán vinculadas a los Key Groups que usaremos después en los TalkGroups cifrados.


Fase 3 de 3
Crear las carpetas y los TalkGroups cifrados y en claro
Crea las DMO Folders List: una para cifrado y otra en claro
Ve a TalkGroups > DMO > DMO Folders List y crea, como mínimo, dos carpetas (puedes crear más si tu organización lo necesita):
- ENC CH — carpeta donde se agruparán los TalkGroups cifrados.
- CLEAR CH — carpeta donde se agruparán los TalkGroups en claro.
Como su propio nombre indica, cada carpeta almacenará únicamente los TGs del tipo correspondiente, lo que facilita luego navegar por el menú de la radio y distinguir de un vistazo qué grupos van cifrados y cuáles no.


Crea los TalkGroups: 3 cifrados y 3 en claro
Ve a TalkGroups > DMO > DMO Talkgroup List y crea 6 TalkGroups repartidos así:
- KEY 1 TG1 / KEY 2 TG2 / KEY 3 TG3 — asignados a la carpeta
1:ENC CH, cada uno con su propio Key Group (KG 1, KG 2 y KG 3 respectivamente) y con Incoming Call Minimum Security Class y Outgoing Call Security Class enSecurity Class 2A. - CLEAR TG1 / CLEAR TG2 / CLEAR TG3 — asignados a la carpeta
2:CLEAR CH, con Key Group enNO_KGy ambas clases de seguridad enSecurity Class 1.
El resto de parámetros (Communication Type Direct, Gateway Selection None, Frequency Channel, Network MCC/MNC, etc.) se configuran igual que en cualquier TG de DMO habitual; lo que marca la diferencia entre un grupo cifrado y uno en claro es exclusivamente la combinación de Key Group + Security Class de cada fila.


💡 Resumen del proceso: claves TEA cargadas por KVL → modo Lab, Enhanced_Security a 1 → Security: activar SCK/DMO SCK/DMO SCK OTAR/DCK/GCK → DMO Security: Default Key Group NO_KG y Security Class 1 para uso mixto (o KG + Clase 2X y Accept Clear Calls desactivado para todo cifrado) → Open MNI Security Settings sin tocar → Present Keys: elegir 10 de las 32 claves → crear carpetas ENC CH y CLEAR CH → crear 3 TGs cifrados (Key Group + Security Class 2A) y 3 TGs en claro (NO_KG + Security Class 1).









