Blog Post

KNX Secure in a Nutshell: Fragen & Antworten

Security, yeah yeah
I want some security
I want security, yeah
Without it I’m at a great loss
Yes I am, now
Security, yeah, yeah
And I want it any cost, yes I do now

Security, Etta James

Am meisten lernen wir, wenn wir es Anderen beibringen. Das hier schreibe ich demnach nicht für euch, sondern für mich, um Neues dazu zu lernen. Wenn ihr auch etwas hierbei lernt, seid ihr selber Schuld!

Disclaimer:

Wie immer: Alle Angaben sind ohne Gewähr! Der Rechtsweg ist ausgeschlossen.
Letzter Stand: April 2020.

Seien wir ehrlich: Das ursprüngliche Design zu Übertragungszwecken im KNX-Standard war schlicht und einfach nicht auf Sicherheit bei der Übermittlung ausgelegt. Das fehlende Bewusstsein für Sicherheitsthemen allgemein betrifft sicherlich nicht nur KNX grundsätzlich, sondern auch andere Technologie-Bereiche, die zu jener Zeit dem allgemeinen Zeitgeist folgten.

Die KNX Vereinigung mag sich da aus Marketing-Gründen etwas anderes einreden und im gleichen Atemzug auf Positionpapiere mit Empfehlungen auf VPN sowie mechanischen Schutz verweisen. Dennoch ist jedem Blinden mit Krückstock klar: Sobald ein Angreifer Zugang zu meinem konventionellen KNX-IP-Device oder der Busleitung selbst hat, sind (Man-In-the-Middle)-Attacken) kaum noch zu verhindern. In den heutigen Zeiten und dem aktuellem (Technologie-)Umfeld ist dieser „Nicht-mehr-Stand-der-Technik“ unbestreitbar und gilt als nicht mehr akzeptabel.

Aber verzaget nicht: Hilfe ist auf dem Weg – Die Erweiterung von KNX: KNX SECURE!

KNX Secure ist die ganzheitliche Implementierung einer sicheren Verschlüsselung sowie Authentifizierung bei der KNX-Kommunikation auf allen Medien. Ein wirksamer Schutz gegen (Smart-Home-)Hacker?

KNX Secure Grundlagen


Was ist KNX Secure?

KNX Secure beschreibt im weiteren Sinne die Spezifikation zur sicheren Kommunikation in einer KNX-Installation. Der im Jahre 2016 veröffentliche Entwurf ist eine mehrjährige Weiterentwicklung des KNX-Standards als Reaktion auf zunehmende Kritik von Sicherheitsforschern an der Anfälligkeit des Buses (durch Kommunikation im Klartext) für potentielle (physikalische) Angriffe von Außenstehenden und somit einen erhöhten Druck aus der allgemeinen Öffentlichkeit. KNX Secure umfasst als Grundbegriff die Definition von „KNX IP Secure“ sowie „KNX Data Secure“.

Was ist KNX IP Secure?

KNX IP Secure ist ein Mechanismus zur Authentifizierung und Verschlüsselung von KNX-Daten innerhalb von IP-Netzen.

Was ist KNX Data Secure?

KNX Data Secure ist ein Mechanismus zur Authentifizierung und Verschlüsselung von Kern-Daten auf dem KNX-Bus.

Kann ich KNX IP Secure und KNX Data Secure in Kombination einsetzen?

Ja, das ist sogar ratsam!

Warum brauche ich KNX Secure?

Konventionelle KNX-Kommunikation findet in der Regel in Klartext statt. Somit ist sie für jeden mit Zugriff auf das Transportmedium (Übertragungsleitung) einsehbar/manipulierbar. KNX Secure ermöglicht einen sicheren Betrieb einer KNX-Installation, indem es durch wirksame Verschlüsselung, den Zugriff auf die KNX-Nachrichten-Übertragung für Unbefugte abschottet.

Was benötige ich für KNX Secure?

  1. Aktuelle ETS (ab Version 5.7)
  2. KNX-Schnittstelle mit Long-Frame-Support (zur initialen, sicheren Inbetriebnahme von KNX-Secure-Geräten)
  3. KNX-Secure-Geräte

Was bietet KNX IP Secure?

KNX-Schnittstellen (KNX-IP-Interface/KNX-IP-Router), die KNX-IP-Secure-fähig sind, können so konfiguriert werden, dass die sowohl der Zugriff (Programmierung/Parametrierung) auf diese Geräte selbst als auch die IP-Kommunkation auf diesen Geräten nur noch den berechtigten Teilnehmern möglich ist.

Was bietet KNX Data Secure?

KNX-Secure-Geräte können so konfiguriert werden, dass sowohl der Zugriff (Programmierung/Parametrierung) auf diese Geräte selbst als auch die Behandlung aller (oder ausgewählter) KNX-Telegramme auf Nutzdatenebene ausschließlich den berechtigten Teilnehmen zugänglich ist.

Wogegen kann mich KNX Secure schützen?

Bei korrekter und vollständiger Umsetzung bietet KNX Secure Schutz gegen (angreifende) Unbefugte, die ggf. Zugang zum Übertragungsmedium/Leitung (IP-Netzwerk/WLAN, Busleitung, Busteilnehmer) erlangt haben. Durch kontrollierte Authentifizierung und Verschlüsselung (AES 128 Bit CCM) werden so die Datenaktualität (gegen Replay-Attacken), Datenintegrität sowie Vertraulichkeit der Nutzdaten gewahrt. Der Unbefugte kann so die Daten weder mitlesen, noch manipulieren.

Wie erkenne ich KNX Secure-fähige Geräte?

Die offizielle (verpflichtende) Kennzeichnung ist ein „X“ in einem Rechteck als Symbolaufdruck auf dem Gerät. Häufig werden auch abweichende Symbole wie ein „S“ in einem Rechteck, ein Schild-Symbol, oder ein Schloss-Symbol verwendet.

Wird KNX Secure auch von ETS Inside unterstützt?

Ja, ETS Inside ist vollständig KNX Secure kompatibel.

KNX Secure in der Praxis (im Projekt)


Wie nehme ich KNX-Secure-Geräte in Betrieb?

  1. ETS-Projekt mit Password absichern
  2. KNX-Secure-Gerät importieren
  3. Eingabe des „Factory Device Setup Key (FDSK)“
  4. Parametrierung/Programmierung des KNXS-Geräts über (Long-Frame-)Schnittstelle

Was ist der „Fabrikschlüssel“ (FDSK)?

Der gerätespezifische Schlüssel (FDSK) ist eine werksseitige, eindeutige Zeichenkette für jedes Secure-Gerät. Es wird von der ETS einmalig zur Erstellung weiterer (digitaler) Schlüssel (Werkzeugschlüssel/Laufzeitschlüssel) zur sicheren Kommunikation innerhalb des Projekts verwendet. Bei Verlust des FDSK kann das Gerät nicht im sicheren Modus in Betrieb genommen werden. Bei Reset auf Werkseinstellungen muss der FDSK zur sicheren Inbetriebnahme erneut innerhalb des Projekts eingegeben werden.

Was ist „Sichere Inbetriebnahme“?

Geräte, die im Secure Mode („Sichere Inbetriebnahme“) betrieben werden, unterstützen KNX-Secure-Features.

Kann ich KNX-Secure-Geräte mit Non-Secure-Geräten in der selben Installation mischen?

Ja, sichere Kommunikation ist allerdings nur unter den Secure-Geräten möglich!

Kann ein KNX-IP-Secure-Router im Secure-Mode betrieben mit einem Non-Secure-Router kommunizieren?

Nein. KNX-IP-Secure-Kommunikaton ist vollständig verschlüsselt und kann nicht von Non-Secure-Routern interpretiert werden.

Kann ich ein KNX-Secure-Gerät gänzlich unverschlüsselt (unsicher/konventionell) in Betrieb nehmen/betreiben?

Ja, der sichere/verschlüsselte Betrieb wird nicht zwingend vorausgesetzt.

Kann ich auch lediglich einzelne, ausgewählte Gruppenadressen/Telegramme absichern?

Ja, das geht auf Gruppenadressen-Ebene, alle Teilnehmer/Nutzer dieser Telegramme müssen dann im Secure-Modus arbeiten.

Wird bei KNX Data Secure wirklich alles komplett verschlüsselt?

Nein, es wird nur der Nutzdatenbereich (Application Layer) verschlüsselt, Gruppenandresse sowie Physikalische Adresse (Transportation Layer) werden weiterhin im Klartext übertragen.

Kann KNX Secure auch bei KNX-RF (Funk) eingesetzt werden?

Ja, mit entsprechenden KNX-(RF)-Secure-Geräten, z. B. dem DU 1 RF KNX von Theben.

Kann ich verhindern, dass jemand mit Zugriff auf mein IP-Netzwerk meine Geräte umprogrammiert?

Ja, eine abgesicherte KNX-Secure-Schnittstelle kann nur von berechtigten Projekt-Teilnehmern (ETS) genutzt werden.

Wie können Visu/Logikserver & Co. eine sichere Tunnel-Verbindung zur/über KNX-Secure-Schnittstelle herstellen?

Im ETS-Projekt verwendeten Schlüssel können sicher exportiert und im externen Visu/Logik-Gerät (soweit unterstützt) importiert werden.

Kann ein KNX-IP-Secure-Gerät zur gleichen Zeit einzelne gesicherte (verschlüsselte) sowie ungesicherte (Klartext) Tunnel bereitstellen?

Nein, entweder sind alle Tunnel des Geräts gesichert (Secure Tunneling) oder alle konventionell bereitgestellt. Eine Mischform ist nicht möglich.

Was ist das „Gerätezertifikat“?

Gerätezertifikat = FDSK (inkl. Seriennummer)

Wie kann ich meine Installation komplett/lückenlos/verschlüsselt absichern?

Bitte ausschließlich KNX-Secure-(Kompatible)-Geräte einsetzen!

Kann ich auf das ETS-Passwort bei Einsatz von KNX-Secure-Geräten verzichten?

Nein, sobald ein KNX-Secure-Gerät im Projekt aufgenommen wird, muss ein ETS-Projekt-Passwort zwingend vergeben werden!

Was ist das „Inbetriebnahme-Passwort“ + „Authentifizierungscode“ der KNX-Secure-IP-Schnittstellen/Router?

Diese Token werden von der ETS automatisch an alle KNX IP Secure-Geräte vergeben und werden von der ETS zur sicheren Inbetriebnahme/Programmierung benötigt.

Kann ich ich ein (neues/zusätzliches) einzelnes Gerät mit einem anderen ETS-Projekt(-file) sicher in die bestehende KNX-Secure-Installation integrieren?

Nein, die gesamte (gesicherte) Parametrierung muss über das selbe ETS-Projekt (Schlüsselsammlung) verwaltet werden.

Kann ich bei Verlust des ETS-Projekt-Passworts die KNX-Secure-Installation noch (anderweitig) anpassen?

Nein. Bei Passwort-Verlust müssen sämtliche KNX-Secure-Komponenten manuell/physisch zurückgesetzt und in einem neuen Projekt komplett neu (mit dem individuellen FDSK) programmiert werden!

Kann ich bei Verlust des FDSK das jeweilige Gerät sicher neu in Betrieb nehmen?

Nein. Ohne das FDSK kann das zurückgesetzte Gerät nur noch unsicher betrieben werden.

Kann der Hersteller auf Anfrage mir den (verlorenen) FDSK meines Geräts mitteilen?

Nein.

Können ältere KNX-Geräte auf KNX-Secure per Upgrade aktualisiert werden?

Nein, in der Regel sind Modifikationen an der Hard-/Firmware des Geräts erforderlich.

Kann ich die verschlüsselte Kommunikation im Gruppenmonitor (entschlüsselt) mitlesen?

Ja, allerdings nur innerhalb des jeweiligen, offenen Projektes dieser Installation. Ausserhalb des Projekts sind die Nutzdaten chiffriert.

Können (konventionelle) Non-Secure Koppler verschlüsselte Telegramme übertragen/weiterleiten?

Ja, sofern sie „Extended Frames“ unterstützen.

Kann ich meine (Außen-)Linie (TP) mit Secure-Routern/Kopplern gegenüber meiner Non-Secure-Linie (Innen) gegenüber direkten Angriffen von Außen über die Bus-Leitung komplett absichern?

Nein, verschlüsselte KNX Data Secure Telegramme erfordern Secure-Geräte auf allen Seiten des Kommunikationsflusses.

Warum sind derzeit (2020) nur relativ wenige KNX-(Data)-Secure-Geräte erhältlich?

Die Erweiterung des Standards ist noch relativ jung und die Hersteller-Prozesse benötigen Zeit zur Anpassung. Mehr KNX-Secure-fähige Produkte werden bald verfügbar sein.

Schlussbemerkung


Hast du weitere Fragen, Anmerkungen, (Korrektur-)Vorschläge? Her damit im Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwandte Themen

#Corona – Intermezzo

Wir erleben alle derzeit bewegte Zeiten. Wir hoffen euch und eure Nächsten bei…

KNX: ETS 5 – Tipps & Tricks & FAQs (Demo/Lite/Professional)

Yeah bitches! Was KNX/ETS-Know-How angeht, sind wir the hottest shit on the internetz™®©!11!! Nur…

Speedtest Chart
UPDATE | Raspberry Pi: Internet-Geschwindigkeit-Tests automatisieren (quick & dirty)

Unser Erster Beitrag zur Internet-Geschwindigkeitsmessung ist auf sehr viel Zuspruch gestoßen – die dort…

Schicksalsschlag: Unser Plan zur Notfall-/Nachlass-Vorsorge

„Das einzig Gute am eigenen Tod ist es, dass man ihn selbst verpasst.“ So…

KNX: „ETS Inside“ – UPDATE – Endlich brauchbare Alternative zu „ETS Professional“?

Wir wollen uns heute erneut in aller Kürze mit der neuesten Version des KNX…

Ein schwedisches Heim für einen toten Franzosen

Liebe Freunde, es gibt eine gute und eine schlechte Nachricht. Die Gute ist: Ein…

Roborock S50
Automatischer Staubsauger ohne Cloud-Zwang: Roborock S5 im KNX-Smarthome

Sehr lange schlummerte das folgende Projekt auf unserer TODO-Liste. Das Ziel: Integration eines Staubsaugerroboters…

Kostengünstig & Cloud-unabhängig: Smart-Home-Sprachsteuerung mit Snips

Liebe Freunde – es wird euch kaum entgangen sein: Wir haben uns erst vor…

Elektrischer Türöffner im Heimnetzwerk

Nicht selten hat man (in einem Smart-Home) den Wunsch sich selbst oder einem Gast…

Die Sprachsteuerung des „Kleinen Mannes“ (Respeaker Core V2 + Kalliope + Edomi)

Liebe Freunde der Sonne! Ihr habt ein Smart Home mit erlesensten Technik-Spielereien vom Feinsten,…

(Fast) Jedes Haushaltsgerät ins (KNX-)Smart-Home direkt einbinden!

Leider kann man im Leben zum Einen nicht alles vorplanen und berücksichtigen, zum Anderen…

„Visu Porn“: Visualisierung in unserem Smart-Home

Ich schaue mir gerne förmlich recht voyeuristisch andere Visus an. Eine sehr gute Inspirationsquelle…

Magic Mirror im KNX-Smart-Home

Wenn es eine Sache im Internet gibt, die das Pornografie-Angebot übersteigt, dann sind es…

Was kann ein KNX/Smart Home-Einfamilenhaus kosten?

Hier ist die Übersicht aller geplanten und zum Groß-Teil getätigten Ausgaben inkl. Smart-Home-Komponenten unseres…

KNX Visualisierung – Erste Gehversuche

Liebe Freunde der optischen Leckerlies – das hier könnte hässlich werden… Denn heute geht…

Heim-LAN: Netzwerkschrank, Switch, Patchpanel & Co.

Das Netzwerk-Thema ist doch größer, als man es anfangs einschätzt: Nachdem wir die Netzwerkverkabelung…

KNX: ETS-Gruppenadressen – Die geordnete Struktur im Einfamilienhaus

Jedes ernsthaft betriebene KNX-Projekt benötigt eine geordnete Gruppenadressen-Struktur. Es sei denn ihr setzt die…

KNX: „ETS Inside“ – Heilsbringer oder Mogelpackung?

Wir wollen uns heute in aller Kürze mit dem neuen KNX Inbetriebnahme-Tool ETS Inside…

ETS5 Professional (fast) kostenlos? KNX kostengünstig konfigurieren

Liebe KNX-Freunde, ich muss es euch eigentlich nicht erklären: Jede KNX-Installation benötigt zur (initialen)…

Netzwerkleitung verlegen: Schritt-für-Schritt-Anleitung

Letzes Mal sprachen wir über die theoretischen Grundlagen der Netzwerk-Vekabelung (LAN). Wie versprochen beschäftigen…

Cut Wire
Netzwerk-Verkabelung: Von Dummies für Dummies

Beim Thema Netzwerkverkabelung habe ich anfangs auch gedacht:
„Kann nicht so schwierig sein –…

Skizze-Haus
Unser Haus

Übersicht der wichtigsten Kernpunkte unseres Neubaus. Wird laufend aktualisiert! 🙂
teilen twittern teilen merken E-Mail 

Tipps zum (Smart-Home-)Bauen: Lehren & Erkenntnisse – „Lessons Learnt“

Wir machen die Fehler, damit ihr sie nicht mehr machen müsst! 🙂
Hier schreiben wir…

Probleme beim Programmieren mit ETS4/ETS5 in Verbindung mit knxd

So, zwischendurch mal eine Kurzmitteilung von uns. Wir glauben, dass die Info für euch…

In 4 Schritten zum eigenen Smart-Home – Schritt 3.: Ausschreibung/Umsetzung

Es wird Zeit die entbehrungsreichen, langweiligen Tage der Konzeption und Planung hinter sich zu…

Produktgarantie von MDT

Vielleicht habt ihr in unserem letzten Beitrag über unser KNX-Testboard gelesen. Unter anderen haben…

Wissenschaftliche Studie bestätigt: Smart Home hat gravierende Nachteile

Bei all der Euphorie, die heutzutage um das Thema „Vernetztes Zuhause“ herrscht, sollte man…

Familie + Haus
Der erste Schritt – SMARTHOMEBAU.de ist online!

Wir schreiben dieses kleine Blog, um unsere Erfahrungen und Erlebnisse zu teilen. Wir haben…