HMIP SGTIN/Key

[rvjr]

Hallo zusammen,

ich beginne grad ein wenig mit HMIP an einer CCU3 zu basteln, und so langsam stelle ich mir die Frage wie das Protokoll eigentlich funktioniert:

• wie archiviert ihr die Aufkleber mit den Keys, und wann braucht man die jemals? Anlernen geht bei der CCU doch einfach indem man den Anlernmodus startet und die Taste am HMIP Geraet drueckt, oder?

• ich hab irgendwo gelesen, dass das Anlernen per Taste nur geht, wenn die CCU am Internet haengt. Das wundert mich etwas; weiss jemand von euch wie dieser Prozess funktioniert? Wann werden die Keys ausgetauscht? Ist die Anlernphase dann eigentlich unsicher, weil die Geraete da den Key austauschen und sich "pairen"? Wird der Key dann als symmetrischer Schluessel fuer alle Kommunikation benutzt? Warum geht das nur wenn die CCU Internet hat, was holt sie sich da fuer Informationen aus dem Netz?

Vielleicht kann mir ja jemand einen Weg zu einem etwas besseren Einblick weisen.

Danke & Gruss, Rainer

[Baxxy]

Meine "Klebchen" sind alle in einer großen Tüte. Diese ist der Dokumentation des Systems (A4 Hefter) beigelegt. Hinten auf den Aufklebern habe ich Einbauort und Funktion vermerkt.

Man braucht die Aufkleber nur wenn man Geräte anlernen möchte und der Zentrale kein Internetzugang zur Verfügung steht, oder wenn eQ-3 mal den Keyserver abschaltet.

[rvjr]

Ohje, Keyserver? Du meinst da gibts einen Server der fuer jede SGTIN den Encryption Key hat, und den freizuegig an eine CCU verschickt die den grad braucht? Das hoert sich irgendwie so an als koennte man sich diese "Sicherheit" sparen, oder nicht?

[Xel66]

Du meinst da gibts einen Server der fuer jede SGTIN den Encryption Key hat

Glaubst Du wirklich im Ernst, dass die verschlüsselte Kommunikation auf solch platten Funktionen beruht? Der Schlüssel wird für jede Kombination von Hardware und Funkmodul berechnet. Das heißt, es ist gebunden an Hardwareadressen und diese Maßnahme ist einmalig beim Anlernen erforderlich. Allenfalls muss dieser Vorgang wiederholt werden, wenn sich das Funkmodul wechselt (CCU-Tausch etc.). Das ist das Rekeying.

Das hoert sich irgendwie so an als koennte man sich diese "Sicherheit" sparen, oder nicht?

Wäre es so einfach, dann ja. Da es aber eben anders funktioniert, eben nicht.

Gruß Xel66

[shartelt]

hol Dir lieber ein sicheres System bitte

[rvjr]

Das war ja eher nur als Scherz gemeint… aber gibt es denn irgendwo eine Doku wie das Verfahren abläuft? Oder ist das “security by obscurity”?

[McPan]

Da gibt's auf der Homematic-Webseite eine PDF-Vorlage. Die kann man sich runterladen und, zumindest bei noch leerem Blatt, am PC interaktiv beschriften. Da kann mann dann auch die Aufkleber draufpappen.

Ich hab die Vorlagen dann nach Gerätetypen angelegt und nebst Aufklebern abgeheftet. Das Ganze dann zusätzlich nochmal eingescannt.

[MichaelN]

aber gibt es denn irgendwo eine Doku wie das Verfahren abläuft? Oder ist das “security by obscurity”?

Google kennste?

[NickHM]

Hallo

als HMIP eingeführt wurde und oft die Frage kam, warum eine Internetverbindung gebraucht wurde, gab es u.a. folgende Erklärungen
- der Key wird auf den eq-3 Servern berechnet aber nicht gespeichert. Die Kommunikation findet anschließend ja lokal statt, wozu sollte der eq-3 Server also den Key brauchen?
- die Berechnung findet auf de eq-3 Servern statt, weil die CCU Hardware zu leistungsschwach ist. Ob das jetzt mit der CCU3 immer noch so ist, ist wieder eine andere Frage.

[Fonzo]

Ist die Anlernphase dann eigentlich unsicher, weil die Geraete da den Key austauschen und sich "pairen"?

Die Anlernphase und die Art des Austauschs der Keys hat sich der Hersteller eQ-3 patentieren lassen und findet verschlüsselt statt.
Das System wird regelmäßig mit externen Penetrationstest durch Experten gecheckt und wurde vom VDE zertifiziert.

aber gibt es denn irgendwo eine Doku wie das Verfahren abläuft?

Da sich das Anlernverfahren der Hersteller eQ-3 hat patentieren lassen, wirst Du keine Informationen finden, wie das bis ins Detail funktioniert, sondern einfach darauf vertrauen müssen, das externe Experten das zur Zeit als sicher einstufen. Wenn Dir trotz der externen Experten da das Vertrauen als Nutzer fehlt, solltest Du schlicht so ein System nicht nutzen.

Die Datenübertragung erfolgt über IPv6 und wird mit AES und CCM verschlüsselt.
Siehe RFC 4309 für CCM, bzw. Beschreibung AES.