Enocean-Sicherheit

[dbf]

Hallo,

zunächst mal: Danke. Ich habe kürzlich gebaut und die Hausbaufirma hat mir eine
Enocean-Installation mit einem guten Dutzend PTM215-Tastern und inetwa ebenso
vielen Aktoren (FSB14 und FSR14-2x hinter einem FAM14) hinterlassen. Sämtliche
Enocean-HW ist jünger als ~1 Jahr. Mit den Anleitungen hier im Wiki konnte ich
die ohne grössere Probleme auf meinem FHEM anlernen (Raspi 3B+ mit Enocean-Pi,
FHEM auf aktuellem Stand/Debian nightly). Ich kann jetzt alle Rolläden,
Steckdosen und Deckenleuchten per Software schalten, extra prima. Auch FHEM
selbst gefällt mir, "everything is a device" fühlt sich für mich vertraut an.

Was mir jetzt im Kopf rumgeht: Wie "sicher" ist meine Installation?

Mit "sicher" meine ich mindestens: Der Man-in-the-middle mag zwar meine
Enocean-Telegramme mitlesen können, aber nicht per Replay-Attacke meine Geräte
übernehmen (also z.B. Licht schalten).

Nach einigem Stöbern im Wiki, im Forum und externen Quellen ([1], [2]) konnte
ich mir zusammenklauben, dass

- meine Installation im gegenwärtigen Zustand anfällig gegen Replay-Attacken
  ist und
- ich die Enocean-Verschlüsselung einschalten muss, um Rolling Codes und damit
  Schutz gegen Replay-Attacken zu haben.

Ist das so, oder habe ich was übersehen?

Ich weiss, dass es ein "teachInSec" gibt und habe einen von der Hausbaufirma
vergessenen PTM215 erfolgreich eingelernt.  Ich kann aber nicht verschlüsselt
mit meinen Aktoren bzw. wohl eher dem FAM14 kommunizieren, jedenfalls nicht
über FHEM, richtig?

Wenn ich also alles verschlüsseln wollte, müsste ich mir ein FGW14-USB einbauen
lassen, meinen FHEM-RasPi daran per USB anschliessen und ausserdem alle PTM215
neu mit Verschlüsselung anlernen (vermutlich mit der PCT14-Software), richtig?

[1] http://www.enocean.com/fileadmin/redaktion/pdf/app_notes/AN509_Overview_of_EnOcean_Security_features.pdf
[2] https://blog.protocolbench.org/enocean/

[westgate]

Hallo dbf,

genau Richtig erkannt.

Ausgangslage:
Standarmäßig sind die EnOcean Telegramme nicht Verschlüsselt.
Das heißt jeder könnte vor deinem Haus Parken, Telegramme aufzeichnen und dann wieder Abspielen um etwas in deinem Haus zu schalten.

Sicherheitsbewertung
Jetzt muss du halt bewerten ob das für dich wirklich ein relevantes Sicherheitsproblem für deine Installation sein kann.

1. Reichweite
Die Reichweite von EnOcean Geräten ist begrenzt. Schafft man es von Auserhalb (Straße) überhaupt Telegramme von dir mitzulesen?

2. Sendehäufigkeit
Anders als beim WLAN sendet eine EnOcean Installation keine SSID aus. EnOcean Telegramme werden im einfachsten Fall nur gesendet wenn du etwas schaltest.
Jemand fährt also gerade beim "EnOcean Wardriving" an deinem Haus vorbei. Da die Reichweite gering ist müsste er genau wenn du Schaltest vorbei fahren um mitzubekomenn das im Haus EnOcean Geräte sind. Ansonsten Fährt er weiter und hat nichts mitbekommen.
Hast du Geräte die ständig Telegramme (Wetterstation oder so) schicken dann kann die Häufigkeit natürlich anders aussehen. Aber eventuell kann man hier ja auch etwas reduzieren.

3. Wo Wohnst du?
Ganz Weit draußen? Oder im Studentenwohnheim der Informatik Fakultät.
Das wird sicher die Chance beeinflussen ob jemand deine EnOcean Installation findet.

4. Welches Riskio besteht für dich bzw. deine Installation, dein Haus?
Kann ein Potentieller Angreifer nur deine Stehlampe ein und Ausschalten ist das maximal Nervig.
Kann er deine Rollos fahren wird es vielleicht schon gefährlicher.
Kann er dein Garagentor oder deine Haustür öffnen wirds noch interessanter.
Kann er dein Haus Abbrennen ist wahrscheinlich Grundsätzlich etwas schief gelaufen wenn man das per Funk steuern kann.


Du siehst also das musst du wirklich mal für dich durchgehen.

Verschlüsselung

FHEM kann die EnOcean Verschlüsselung.
Deine Geräte sollten alle Verschlüsselung unterstützten (Bedienunsanleitung / Katalog).
Du musst Sie halt alle neu mit Verschlüsselung Einlernen.

Wie man das mit FHEM macht habe ich hier beschrieben:
https://wiki.fhem.de/wiki/EnOcean-Verschl%C3%BCsselung


Gruß
Westgate

[Denverro]

Enocean-Sicherheit Ich halte das für eine sehr gute Sache.

[Rebner]

Hallo zusammen,

entschuldigt bitte, dass ich zu diesem Thema auch eine Frage habe.
Ich schaffe es nicht in das Eltako FAM14 einen verschlüsselten Schalter (bspw. Eltako FT55 oder FHEM switch.00) mit dem PCT14 anzulernen. Im unverschlüsselten Zustand wird mir die MAC (FT55 und FHEM subtype switch) sofort angezeigt, im verschlüsselten gar nichts. Könnt ihr mir weiter helfen?

Grüße und danke