HMLAN AES Key ändern?

[herrmannj]

Hi Martin,

ganz genau. Finde Deine Haltung was das angeht übrigens vorbildlich.

Mein Gefühl war das der TO sich, absolut gerechtfertigt, Gedanken zur Sicherheit seiner Installation macht ohne die Risiken richtig zu werten zu können und so ein Forum soll helfen. Mir ist klar wie das mit den ungefragten Ratschlägen ist, trotzdem:

AES zwischen FHEM und dem HMLAN ist ein theoretischen Problem, die gleiche Zeit echt aufs Netzwerk verwendet ist ganz praktische Sicherheit! Natürlich habe ich keine Ahnung was dort schon getan wurde, aber aus Erfahrung: dort kann man wirklich nicht genug (Zeit/Wissen) investieren.

FHEM nach außen absichern! Zugang zu FHEM übers WAN wirklich eher dreimal durchdenken & planen. Wenn möglich VPN.  

Bzgl der Funkschnittstelle sehe ich das einen Tick differenzierter. HM/Keymatic gehört aktuell zu dem Sichersten was man kaufen kann. AES ist schon mal gut. Für einen Einbrecher, glaube ich, ist es Stand heute einfach uninteressant sich da know how anzueignen, gemessen an der Anzahl der Häuser/Wohnungen viel zu selten. Nur, wenn ich heute eine Keymatic in die Haustür einbaue dann kann die schon mal 10-15 Jahre da drin sein. Solange wie sie halt funktioniert.

15 Jahre: dann haben wir 2027. Schon möglich das (Achtung Buzzword:-) "Smart Home" dann nicht mehr die Ausnahme sondern eher normal ist. Wenn das so kommen sollte dann werden bad guys mit genug Know How und einem SDR um (und in ;-) die Häuser ziehen.

Dem (Funk-)AES stehe ich mit einiger Skepsis gegenüber. AES funktioniert und ist sicher! Soweit ich weiß sind derzeit keine Schwachstellen bekannt. Aber nur und ausschließlich, wenn es wirklich korrekt programmiert ist. Genau da liegt der Hase im Pfeffer. Programmierer welche die Math dahinter auch wirklich verstehen sind echt, echt selten. Der Rest (99%) der Programmierer schreibt aus existierenden Bibliotheken ab (ansonsten halt mal stackoverflow) und funktionieren bedeutet das der Compiler keine Fehler mehr meldet auf der anderen Seite was ankommt. Wenn dann wirklich mal einer der (guten & seltenen) Security Jungs genau hinschaut, oft Jahre später, dann fallen die zum Großteil durch ... (gerade heute wieder: Android & SSL Zufallszahlen & Fork -> fail).

deswegen Tip 2: keinesfalls darauf verlassen! Unbedingt so planen das die Keymatic nicht der ausschließliche Schutz ist. Das Backup darf selbstredend dann auch nicht aus der HM Familie stammen. Bei einem mechanischen Schloss ist ja auch jedem klar das sich ein Metall-Schlüssel nachmachen lässt, genau die gleiche Haltung ist hier angebracht.

viele Grüße
Jörg

[dero]

So, hier ist mein geplanter "Hotfix" für das Problem:

- RPi über WLAN mit Router verbunden. FHEM läuft auf dem RPi.
- HMLan direkt am RPi über LAN verbunden, quasi als geschlossenes Mini-Netz.
- RPi und HMLan hänger an einer USV.
- Beides im Haus unter meinen Socken versteckt.

Falls Einbrecher kommen, bin ich als geschützt gegen Manipulation, da RPi+HMLan völlig autark sind. Einbrecher können also auch durch eine Überspannung auf der LAN-Leitung die Anlage nicht killen (war meine Befürchtung, dass die 220V auf die Ethernetkabel geben und damit alles zum Schmelzen bringen.)

Ahja: Hat jemand eine USV-Empfehlung für Rpi (5V) und HMLan (7,5V)?

dero

[chiefjoejj]

Hi,
habe ein kleines Problem. Ich habe eben über die Windows-Software "HomeMatic-Komponenten konfigurieren" den werksseitigen System-Sicherheitsschlüssel meines HMLan-Adapters geändert. Der neue System-Sicherheitsschlüssel (16 stellig, ohne Sonderzeichen) scheint daraufhin automatisch auf meinen Keymatic und den HM-Bewegungsmelder übertragen worden zu sein, welcher ebenfalls AES unterstützt. In der Windows-Software konnte ich daraufhin auch Änderungen (Tür-Auf-Haltezeit) des Keymatic anpassen, so dass die Kommunikation zwischen HMLan und Keymatic augenscheinlich funktioniert. Zurück in FHEM kann ich wie bisher alle meinen nicht-AES-fähigen Homematic-Geräte schalten und bekomme auch den Status meines per AES verbundenen HM-Bewegungsmelders angezeigt. Nur kann ich über FHEM jetzt nicht mehr den Keymatic steuern. Wenn ich über FHEM z.B. den "set_open"-Befehl an den Keymatic absetze, sehe ich auf dessen Display, dass eine Übertragung stattfindet, er schaltet aber nicht, als ob die Keys nicht zueinander passen. Hat jemand eine Idee, woran das liegen könnte bzw. was ich bei der Konfiguration vergessen habe?

Grüße
Jörg

[martinp876]

Hallo Jörg,

der key musn im HMLAN hinterlegt werden. Man kann 3 keys hinterlegen.
Hast du den neuen Key hinterlegt? Attribute hmKey

Wie genau HMLAN feststellt, welcher key genutzt wird habe ich nicht verstanden. Wenn man es einträgt entsprechend den Setting der PC SW sollte  es funktionieren.

Gruss Martin

[chiefjoejj]

Hi Martin,
danke für den Hinweis mit dem Attribut hmKey. Wenn ich den Key (in der Windows-Software als DDb56c2NJaR7XzEE eingegeben) als Attribut in FHEM hinterlege, formatiert FHEM ihn in das Format 01:71afb07c8a6f90cf07b5596a2e7aac02 um. Damit klappt es nicht. Muss ich den Key, den ich in der Windows-Software eingegeben habe vorher noch irgendwie selbst manuell umformatieren (hex oÄ), bevor ich ihn in FHEM hinterlege?
Grüße
Jörg

[martinp876]

Jörg,

du kannst den key, den du in der WinSW eingibst auch in FHEM eingeben. Beide kodieren den Key nach AES. In FHEM wird dieser dann als/in key angezeigt. Der orginale Wert wird aus Sicherheitsgründen nicht gespeichert (darf nicht).
In der Windows-SW wird dies in einem file unter BidCos -... keys oder so ... gespeichert.

wenn du gleich den AES kodierten Key in FHEM eingibst wird nicht umkodiert - FHEM erkennt das (am Format)

Die Kommunikation mit der win-sw funktioniert mit allen Devices? Dann sollte es funktionieren die keys aus dem File zu übernehmen

Gruss Martin

[chiefjoejj]

Juhu!
Also es klappt jetzt. In der Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bidcos-Service\keys waren zwei identische Schlüssel unter Key 1 und Key 2 hinterlegt. Das liegt evtl. daran, da ich neulich schon mit dem selben PC meinen anderen HMLan mit dem selben Key ausgestattet habe?
Jetzt habe ich jedenfalls in FHEM "attr HMLAN1 hmKey 02:71afb07c8a6f90cf07b5596a2e7aac02" hinterlegt und "attr HMLAN1 hmKey 01:71afb07c8a6f90cf07b5596a2e7aac02" herausgelöscht und jetzt führt der Keymatic die Befehle von FHEM endlich aus. TAUSEND DANK für die Hinweise, ohne die ich sicher verzweifelt wäre!!! Jetzt muss ich nur noch mal den Sicherheitsschlüssel anpassen, damit ihn wirklich nur ich kenne..
Grüße
Jörg

[chiefjoejj]

Habe mal ein kleines Howto geschrieben, wie man auch nachträglichen den System-Sicherheitsschlüssel (und damit den AES-Schlüssel) ändern kann: http://www.meintechblog.de/2013/12/hmlan-adapter-system-sicherheitsschluessel-aendern/
Evtl. hilft das ja jemandem beim Einrichten.
Grüße
Jörg