Spätestens jetzt einen eigenen Sicherheitsschlüssel nutzen!

Problemlösungen und Hinweise von allgemeinem Interesse zur Haussteuerung mit HomeMatic

Moderator: Co-Administratoren

Benutzeravatar
anli
Beiträge: 4326
Registriert: 10.06.2009, 14:01
Wohnort: 20 Min. nördlich von Hannover und bei Bremen
Hat sich bedankt: 1 Mal
Danksagung erhalten: 23 Mal
Kontaktdaten:

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von anli » 02.06.2017, 22:51

dtp hat geschrieben:
anli hat geschrieben:Da geht es aber um die Aktivierung der gesicherten Übertragung im allgemeinen und nicht um das Setzen des Sicherheitsschlüssels.
Der zugehörige Link stammt von Dir, nicht von mir. ;)
Ja, nur ist der Inhalt gegenüber damals geändert worden ;-) Zudem wird es dort leider aktuell nicht korrekt dargestellt.
Herzliche Grüße, anli

Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.

Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)

Einsteiger-Hilfeerweiterter Skript-Parser

jp112sdl
Beiträge: 12085
Registriert: 20.11.2016, 20:01
Hat sich bedankt: 847 Mal
Danksagung erhalten: 2139 Mal
Kontaktdaten:

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von jp112sdl » 20.12.2017, 14:28

Interessant finde ich auch, dass eQ-3 selbst auf seiner Webseite http://www.eq-3.de/service/faq.html?id=156 (Stand immer noch 24.01.14) damit wirbt, dass der voreingestellte Sicherheitsschlüssel noch nicht gehackt wurde:
Werksseitig ist für die Zentrale ein Default-Systemsicherheitsschlüssel hinterlegt, der als Sicherheitsgrundlage ausreichend ist und bisher nicht „gehackt“ wurde.
Wo sich der Key doch recht leicht ergooglen lässt. 8) (Um auch mit der Arduino Lib AskSinPP HM-Geräte nachbauen und die gesicherte Übertragung mit dem Standardschlüssel nutzen zu können.)
Klappt perfekt!

VG,
Jérôme ☕️

---
Support for my Homebrew-Devices: Download JP-HB-Devices Addon

Hans Hauser
Beiträge: 77
Registriert: 21.01.2016, 18:12
Hat sich bedankt: 3 Mal

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von Hans Hauser » 23.12.2017, 11:22

Ich blicke es mit dem Sicherheitsschlüsseln und der gesicherten Verbindung nun überhaupt nicht mehr. :shock:
Ich habe viele Komponenten, leider auch eine Keymatic (Weihnachtsgeschenk meiner Frau). Diese habe ich als einzige Komponente auf verschlüsselte Übetragung gestellt, jedoch den Standardschlüssel unverändert gelassen. Keine Portweiterleitung, Passwort der CCU geändert.

Da vergangene Tage eine „finstere Gestalt“ in einem fetten BMW mit Laptop lange vor unserer Tür geparkt hat und als ich sie aufgemacht habe mit Karacho abgebraust ist meine Frage:

Sollte der Standardachlüssel geändert werden (trotz Nachteile beim Funkverkehr) oder mache ich mir umsonst wegen des Standadschlüssels bei der Kematic einen Kopf?

dondaik
Beiträge: 12886
Registriert: 16.01.2009, 18:48
Wohnort: Steingaden
Hat sich bedankt: 1584 Mal
Danksagung erhalten: 221 Mal

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von dondaik » 23.12.2017, 11:35

warum - wer rein möchte braucht keinen laptop usw .... viel zu umständlich.
-------
!!! der download der handbüchern auf den seiten von eq3 und das lesen der tips und tricks kann das hm-leben sehr erleichtern - das nutzen der suche nach schlagworten ebenso :mrgreen: !!!
wer schreibfehler findet darf sie behalten.

jp112sdl
Beiträge: 12085
Registriert: 20.11.2016, 20:01
Hat sich bedankt: 847 Mal
Danksagung erhalten: 2139 Mal
Kontaktdaten:

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von jp112sdl » 23.12.2017, 11:49

Hans Hauser hat geschrieben: Sollte der Standardachlüssel geändert werden (trotz Nachteile beim Funkverkehr) oder mache ich mir umsonst wegen des Standadschlüssels bei der Kematic einen Kopf?
Meiner Meinung nach sollte der Standardschlüssel unbedingt geändert werden! Es gibt m.W. bisher auch nur ein Proof-of-concept, den Standardschlüssel zu extrahieren, wenn man physischen Zugriff auf die Hardware (Zentral und Gerät) hat. Nur so konnte auch der Standardschlüssel "geknackt" werden.

Durch die Änderung von "Standard" auf "eigenen Schlüssel" ändert sich ja am Funkverkehr nichts. Es gibt dadurch nicht mehr Nachteile.

VG,
Jérôme ☕️

---
Support for my Homebrew-Devices: Download JP-HB-Devices Addon

Hans Hauser
Beiträge: 77
Registriert: 21.01.2016, 18:12
Hat sich bedankt: 3 Mal

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von Hans Hauser » 23.12.2017, 12:01

Vielem Dank an jp112sdl für die fundierte Antwort. Das hilft mir bei meiner Frage weiter und ich werde den Standardschlüssel ändern.

Benutzeravatar
Roland M.
Beiträge: 9736
Registriert: 08.12.2012, 15:53
System: CCU
Wohnort: Graz, Österreich
Hat sich bedankt: 251 Mal
Danksagung erhalten: 1356 Mal

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von Roland M. » 23.12.2017, 12:54

Hallo!
jp112sdl hat geschrieben:Durch die Änderung von "Standard" auf "eigenen Schlüssel" ändert sich ja am Funkverkehr nichts. Es gibt dadurch nicht mehr Nachteile.
Na ja, der größte ist wohl, dass man die einzelnen Geräte nicht mehr lokal zurücksetzen kann!
Schmiert die CCU ab und man hat kein aktuelles Backup, kann man sie nur kostenpflichtig einschicken...


Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
  • Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
  • Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
  • Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
  • Fehlermeldungen genau abschreiben, besser noch...
  • Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!

-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...

NickHM
Beiträge: 3729
Registriert: 23.09.2017, 12:04
Hat sich bedankt: 65 Mal
Danksagung erhalten: 119 Mal

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von NickHM » 23.12.2017, 13:42

Guten Morgen

es macht schon ein wenig Arbeit den Schlüssel zu ändern und entsprechend damit umzugehen

- neuen Schlüssel niemals vergessen oder sicher hinterlegen
- ein aktuelles (funktionierendes) Backup vorhalten

Nach Änderung des Schlüssels müssen Konfigurationsdaten an alle Funk Geräte übertragen werden. das machen die 230V versorgten Geräte meist selbst. Bei allen Batteriebetriebenen Geräten muss ein mal die Konfig Taste gedrückt werden. Da macht je nach Einbauort richtig Arbeit.

(Manche (alle?) batteriebetriebenen Geräte holen sich die KOnfig Daten innerhalb von 24 h ??)

jp112sdl
Beiträge: 12085
Registriert: 20.11.2016, 20:01
Hat sich bedankt: 847 Mal
Danksagung erhalten: 2139 Mal
Kontaktdaten:

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von jp112sdl » 23.12.2017, 13:48

NickHM hat geschrieben:Guten Morgen

es macht schon ein wenig Arbeit den Schlüssel zu ändern und entsprechend damit umzugehen

- neuen Schlüssel niemals vergessen oder sicher hinterlegen
- ein aktuelles (funktionierendes) Backup vorhalten

Nach Änderung des Schlüssels müssen Konfigurationsdaten an alle Funk Geräte übertragen werden. das machen die 230V versorgten Geräte meist selbst. Bei allen Batteriebetriebenen Geräten muss ein mal die Konfig Taste gedrückt werden. Da macht je nach Einbauort richtig Arbeit.

(Manche (alle?) batteriebetriebenen Geräte holen sich die KOnfig Daten innerhalb von 24 h ??)
Die Arbeit macht man sich ein Mal - und je eher man damit beginnt, also je weniger Geräte man hat, um so schneller ist man fertig und für künftige Einbindungen von Geräten ist nichts weiter nötig.

Man sollte auch nicht alles "gesichert" übertragen. Schon allein wegen des DC und der etwas höheren Latenz. Hans hat nur seine Keymatic "gesichert". Ich nur den Garagentor-Aktor. Und da hält sich dann das Umstellen auf einen neuen Schlüssel in Grenzen.

Anschließend erstellt man einmalig ein neues Backup, damit man jetzt was für den Notfall hat. Alle folgenden (un)regelmäßigen Backups beinhalten ja eh immer dann den neuen Schlüssel.

Ich seh das alles irgendwie total unkompliziert und unaufwendig...

VG,
Jérôme ☕️

---
Support for my Homebrew-Devices: Download JP-HB-Devices Addon

Benutzeravatar
Roland M.
Beiträge: 9736
Registriert: 08.12.2012, 15:53
System: CCU
Wohnort: Graz, Österreich
Hat sich bedankt: 251 Mal
Danksagung erhalten: 1356 Mal

Re: Spätestens jetzt einen eigenen Sicherheitsschlüssel nutz

Beitrag von Roland M. » 23.12.2017, 14:29

Hallo!
jp112sdl hat geschrieben:Man sollte auch nicht alles "gesichert" übertragen. Schon allein wegen des DC und der etwas höheren Latenz. Hans hat nur seine Keymatic "gesichert". Ich nur den Garagentor-Aktor. Und da hält sich dann das Umstellen auf einen neuen Schlüssel in Grenzen.
Sorry, aber meinem Verständnis nach sind Sicherheitsschlüssel und Art der Übertragung zwei völlig verschiedener Paar Schuhe!
Auch einem Gerät, welches nicht gesichert überträgt (die Übertragungsart wird ja sogar je Kanal ausgewählt!), wird ein Sicherheitsschlüssel hinterlegt.
Somit auch hier: trotz "Standard"-Übertragungsart kein lokales Reset möglich!


Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
  • Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
  • Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
  • Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
  • Fehlermeldungen genau abschreiben, besser noch...
  • Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!

-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...

Antworten

Zurück zu „HomeMatic Tipps & Tricks - keine Fragen!“