Z-Wave Sicherheit?

[Carsten]

Hallo,

da ich jetzt auch Z-Wave-Geräte einsetzen möchte, würde mich mal interessieren, wie sicher Z-Wave ist.

In diesem recht überschaubaren Bereich habe ich dazu keine Antwort gefunden.

Ich bin z.B. in der Beschreibung dieser Fernbedienung über diesen Satz gestolpert:

Wenn das Gerät von einem Controller in eine besonders gesicherte Umgebung inkludiert wird, akzeptiert es nur noch entsprechend der Sicherheitskommandoklasse definierte besonders sichere Befehle und sendet Informationen zum Controller ebenfalls besonders gesichert.

Was bedeutet besonders gesicherte Umgebung?
Habe ich mit FHEM ( und ZME_UZB1-Stick ) eine besonders gesicherte Umgebung?
Wer sorgt ( oder müsste sorgen ) für die besonders gesicherte Umgebung? FHEM, der Stick, irgendein Treiber oder ist das konfigurierbar?
Bedeutet eine nicht besonders gesicherte Umgebung eine unsichere Umgebung?

Letztendlich frage ich mich, wieviel Aufwand mein Nachbar treiben muss um meine Steckdose einzuschalten oder meinen Temperaturfühler auszulesen.

Viele Grüße

Carsten

[krikan]

Was bedeutet besonders gesicherte Umgebung?

Keine Ahnung, was das genau bedeutet; ist für mich nichts als Marketing. Ein Handbuch zu dem Gerät habe ich auf die Schnelle nicht gefunden.
Üblicherweise wird bei besonders absicherungsbedürftigen Geräten (bspw. Türschloss) in ZWave die Command Class SECURITY genutzt. Die ist entsprechend sicher (https://code.google.com/p/z-force/). Aber bisher ist die CC SECURITY in Fhem (noch) nicht implementiert. Aber auch ohne Nutzung dieser CC halte ich persönlich ZWave für relativ sicher. Der Aufwand sich einzuklinken ist für einen Normalsterblichen nach meiner Ansicht erheblich: Zwave-Funkkommunikation ist grds. mit einem bekannten, veröffentlichten standardisierten Verfahren "verschlüsselt" (also eigentlich nicht) und schalten können nur untereinander bekannte Geräte. (Achtung: ich bin in diesem Zusammenhang kein Sicherheitsfanatiker).

Gruß, Christian

[Carsten]

Hallo und Danke für die Infos!

Das heißt, Geräte, die die CC Security verwenden, kann man mit FHEM nicht nutzen? Wie erkennt man die vorab?

Gruß

Carsten

[rudolfkoenig]

Meist wird auf dem Beipackzettel zum Geraet die Liste der CCs (== CommandClass) aufgezaehlt, diese Liste findet sich auch in vielen online-Datenbanken.

Wenn ich es richtig verstehe, ist SECURITY, eine Moeglichkeit, Daten zu Verschluesseln, aber keine Pflicht. Ob das Endgeraet nur mit SECURITY verpackte Nachrichten akzeptiert, weiss ich nicht, das waere ein Fall fuer die Konfiguration.

Eine fehlende Implementierung in FHEM muss nicht bedeuten, dass es fuer immer so bleibt, die meisten CCs waren am Anfang ja auch nicht implementiert. Security wird aber aufwendiger sein: die Doku fuer Version eins ist bei mir 18 Seiten lang, andere Klassen sind ueberlicherweise auf 2-3 Seiten beschrieben. Wiess jemand, ob es auch neuere Versionen von CC SECURTITY gibt?

Wg. Sicherheit: bisher koennen mWn nur die Chips von Sigma Designs das Funkprotokoll sprechen, und diese erlauben nicht das mithoeren ohne eine Inklusion durchzufuehren, was mit Knopfdruecken verbunden ist. Sobald jemand das Protokoll auf einem USB-Stick mit freier Firmware nachbaut, wird die Situation anders, d.h. ungesicherte Geraete wird man dann schalten koennen, genauso wie beim HomeMatic.

Soweit ich sehe, verschluesselt die Security Klasse auch den Inhalt, d.h. bietet mehr Sicherheit als HM, das "nur" authentifiziert. Genauso wie beim HM, sind zum Schalten mit Verschluesselung 3 Pakete notwendig statt eins. Ob die Latenz dadurch (wie beim HM) merkbar wird, weiss ich nicht.

[krikan]

Wg. Sicherheit: bisher koennen mWn nur die Chips von Sigma Designs das Funkprotokoll sprechen, und diese erlauben nicht das mithoeren ohne eine Inklusion durchzufuehren, was mit Knopfdruecken verbunden ist.

Insbesondere, was das Mithören ohne Inklusion und ohne SD-Chip angeht, bin ich unsicher: Der Hauptenwickler von Openzwave hat gerade hier https://groups.google.com/d/msg/openzwave/qxpO-f1aOcI/WnW7YvqTh8wJ wieder etwas zum Mitsniffen geschrieben; demnach wäre es mit Aufwand möglich. Sprechen in Form von Schalten, ist mir noch nicht begegnet.

Hatte auch gehofft, dass meine schon abgeschwächte Aussage "Zwave-Funkkommunikation ist grds. mit einem bekannten, veröffentlichten standardisierten Verfahren "verschlüsselt" (also eigentlich nicht) " mehr Widerspruch erfährt  . Verstehe die Passage von Paetz in seinem Z-Wave Buch dazu nicht wirklich (->Google bemühen).

[Carsten]

Hallo Rudi,

auch Dir danke für die Infos!

Dass das prinzipiell implementierbar sein müsste, ist mir bewußt, aber auch, dass mir selbst dazu wohl das Know-How fehlt.
Ich hab in erster Linie für die Fibaro Rauchmelder ( 002 ) auf Z-Wave erweitert und mir jetzt zum Vorabtesten einen Wallplug zugelegt. Durch die Erweiterung auf Z-Wave erschließt sich mir aber jetzt auch eine große neue Produktpalette und ich fühl mich in den Z-Wave-Shops gerade wie ein Kind im Bonbonladen und möchte möglichst vermeiden, mir direkt am Anfang Problemfälle ins Haus zu holen, bevor ich den Standard begriffen habe. 

Gruß
Carsten

[rudolfkoenig]

@krikan: ich habe nicht an SDR gedacht, damit geht das natuerlich auch ohne HW.

[krikan]

Wiess jemand, ob es auch neuere Versionen von CC SECURTITY gibt?

Mir ist bisher auch bei den neuesten Produkten nur Version 1 der CC SECURITY bekannt. Die im Forum erwähnte Liste http://220.135.186.178/zwave/example/ zeigt auch nur 1 als Latest, und die Liste scheint gut gepflegt.

[krikan]

Stoße bei den neueren Zwave-Geräten häufiger auf die vom Themeneröffner zitierte (oder ähnliche) Aussagen:

Wenn das Gerät von einem Controller in eine besonders gesicherte Umgebung inkludiert wird....

Im Zusammenhang mit Zwave Plus / Gen5 / ZWave Chipsatz 500 wird auch häufiger von AES-128 Security geschrieben, ohne aber näher auf die Bedeutung einzugehen (z.B.: http://aeotec.com/z-wave-500-series-module-chip).

Auf http://products.z-wavealliance.org wird in den "Z-Wave Protocol Implementation Conformance Statement" der einzelnen Zwave-Produkte jeweils angeben:
- Supports Z-Wave Network Security? (Yes/No)
- Supports Z-Wave AES-128 Security? (Yes/No)
Darum vermute ich derzeit, dass es neben der Class SECURITY noch ein anderes Sicherheitsmerkmal bei Zwave Gen5 geben könnte.

Kann mir jemand den praktischen Unterschied bei den obigen beiden Fragen erklären oder mir einen Link mit weiteren Erläuterungen für ZWave-Nutzer zum Thema AES-128 und ZWave 500 geben? Alles was ich dazu gefunden habe, ist recht oberflächlich und die Aussagen ähneln sich sehr (Marketing?).

Danke, Christian

[rudolfkoenig]

Christian, ich fuerchte in diesem Forum sind wir beide die ZWave "Cracks", und ich kann dir nicht weiterhelfen. Frag mal im Forum bei zwave.de nach, da gibt es manchmal verstaendliche Antworten.

[krikan]

Dann werde ich mal dort nachfragen und berichten.