Frage zu AES Verschlüsselung

Michi240281 · 02 Februar 2014, 16:41:45

Hallo allerseits,

habe in einem Artikel gelesen, dass das HM System erst dann wirklich etwas Sicherheit bietet, wenn man den AES Schlüssel des HM LAN Adapters ändert, da wohl alle HM LANs im Auslieferungszustand denselben default Schlüssel eingetragen haben.

Nun habe ich dazu jedoch 2 Fragen:

1. Um den HMLAN mit Fhem zu nutzen, muss man doch die AES Verschlüsselung abschalten?!?!? War doch so! Oder nur dann, wenn man neue Geräte pairen will?

2. Wird der neue AES Schlüssel dann auf die bereits angelernten Geräte übertragen oder muss man danach alles neu anlernen?

Dirk · 02 Februar 2014, 16:52:23

Hallo Michi240281,

Zitathabe in einem Artikel gelesen, dass das HM System erst dann wirklich etwas Sicherheit bietet, wenn man den AES Schlüssel des HM LAN Adapters ändert, da wohl alle HM LANs im Auslieferungszustand denselben default Schlüssel eingetragen haben.

Nicht dass du hier die AES-Verschlüsselung auf Netzwerkebene und die AES-Signierung der Funkkommunikation verwechselst.
Die AES-Netzwerkverschlüsselung des HM-Lan-Adapters muss man für die Nutzung mit FHEM abschalten.

Den AES-Schlüssel für die AES-Signierung der Funkkommunikation sollte man für sicherheitsrelevante Dinge (Keymatic, Winmatic) ändern.

Zitat1. Um den HMLAN mit Fhem zu nutzen, muss man doch die AES Verschlüsselung abschalten?!?!?

Ja, dieser muss für FHEM abgeschaltet werden
http://www.fhemwiki.de/wiki/HM-CFG-LAN_LAN_Konfigurations-Adapter#AES_Encryptet_LAN_Communication

Zitat2. Wird der neue AES Schlüssel dann auf die bereits angelernten Geräte übertragen oder muss man danach alles neu anlernen?

Hier meinst du den AES-Schlüssel für die Funk-Signierung. Und ja, dieser wird nach Änderung an die angelernten Geräte übertragen
http://www.fhemwiki.de/wiki/AES_Encryption

Das sind zwei verschiedene AES-Schlüssel.

Gruß
Dirk

Michi240281 · 02 Februar 2014, 18:50:18

Hallo Dirk,

du hast Recht, ich hatte tatsächlich den Eindruck, dass es 2 AES Schlüssel gibt! Gut, dass ich jetzt Gewissheit habe!

Ok, dann kann ich den Schlüssel ja demnächst mal ändern. Ich werde zwar nie Keymatic oder Winmatic verwenden, aber es nutzen ja glaube ich auch andere Geräte (Türkontakt, Bewegungsmelder....) die AES Verschlüsselung.

Mal sehn, ob ich dazu ne Anleitung finde.

Besten Dank schonmal!!

betateilchen · 02 Februar 2014, 18:56:56

Code Auswählen

set <name> securityMode paranoia

man kann wirklich alles übertreiben...

Michi240281 · 02 Februar 2014, 19:13:55

Zitat von: betateilchen am 02 Februar 2014, 18:56:56
Code Auswählen Erweitern
set <name> securityMode paranoia

man kann wirklich alles übertreiben...

?

Dirk · 02 Februar 2014, 19:24:22

Betateilchen meinte nur, dass man es mit der Sicherheit auch übertreiben kann.
Meine Keymatic würde ich aber mit dem Standardschlüssel nicht meine Wohnungstür schließen lassen. Bei einfachen Lampen usw. kann man es sich aber überlegen.

Mit einem HM-LAN, FHEM und bekannter ID des "anzugreifenden" HM-Lan-Adapters und des Zielaktors kann man, sofern dort der Standartschlüssel gesetzt ist diesen Aktor fremdsteuern, auch wenn AES Aktiviert ist. Der Standartschlüssel ist nämlich in ALLEN Homematic-Geräten gleich.

Zitatich hatte tatsächlich den Eindruck, dass es 2 AES Schlüssel gibt!

Gibt es ja auch. einen für die LAN Verschlüsselung, die muss aus sein für FHEM und einen für die Signierung der Funkbefehle.
Und das 2. ist keine Verschlüsselung sondern nur eine Signierung. Mitlesen kann jeder die Befehle, Schalten durch die Signatur nur der, der auch den Schlüssel kennt.

Gruß
Dirk

Gruß
Dirk

betateilchen · 02 Februar 2014, 19:27:27

Ich bin eben nur der Meinung, solange man den Unterschied zwischen Signierung und Verschlüsselung und auch die unterschiedlichen Aufgaben/Funktionen der LAN-Seite und der Funktstrecke noch nicht verstanden hat, sollte man besser nicht auf die Idee kommen, irgendwo (!) einen eigenen Schlüssel unterzubringen. Denn dann können wir hier auf den nächsten Thread warten "Hilfe, ich hab mich ausgesperrt!"

Michi240281 · 02 Februar 2014, 20:00:05

@ Betateilchen: Keine Sorge!

Ich werde wohl eh nie Win-/Keymatic nutzen, aber auch für andere Sachen würde ich das gerne nutzen, also später für die Alarmanlage zum Beispiel.

Habe die Anleitung zum ändern des, ich nenne ihn dann mal "AES-Code" gefunden. Scheint einfach zu sein, es kann jedoch auch zu Problemen kommen (Geräte müssen teils neu angelernt werden), weshalb ich es erstmal eh nicht ändern werde.

Eine Frage noch zu dem Thema: Nun nutzen ja auch andere Geräte diese Signierung, die wohl dazu führt, dass Schaltprozesse langsamer ablaufen. Kann man (vllt über die Originalsoftware?) die AES Signierung für jedes Gerät einzeln ein-/ausschalten? Wäre bei Steckdosen z.B. ja vllt nicht schlecht, dann schalten die schneller. Das hat aber ja dann nichts mit dem bidirektionalem Funkverfahren zu tun oder? Oder bekomm ich dann keine Rückmeldungen mehr vom Gerät? Also nach meinem Verständnis sind AES-Signierung und BidCos 2 verschiedene Sachen.

betateilchen · 02 Februar 2014, 20:07:20

Zitat von: Michi240281 am 02 Februar 2014, 20:00:05Kann man (vllt über die Originalsoftware?) die AES Signierung für jedes Gerät einzeln ein-/ausschalten?

Ja. Und das geht sogar über fhem.

Michi240281 · 02 Februar 2014, 20:30:49

Zitat von: betateilchen am 02 Februar 2014, 20:07:20
Ja. Und das geht sogar über fhem.

Und möchtest du mir/uns verraten, wie das geht?

betateilchen · 02 Februar 2014, 20:32:53

Nein. Weil ich der Meinung bin, Du solltest einfach mal die commandref sowie das Einsteigerhandbuch zu Homematic lesen. Da steht das alles drin.

Aber ich gebe Dir gerne ein weiterführendes Stichwort: Register in Homematic Devices setzen.

(http://up.picr.de/17250862yq.png)

(jetzt hab ich es ja doch gesagt...)

Michi240281 · 02 Februar 2014, 21:16:12

Zitat von: betateilchen am 02 Februar 2014, 20:32:53
Nein. Weil ich der Meinung bin, Du solltest einfach mal die commandref sowie das Einsteigerhandbuch zu Homematic lesen. Da steht das alles drin.

Aber ich gebe Dir gerne ein weiterführendes Stichwort: Register in Homematic Devices setzen.

(http://up.picr.de/17250862yq.png)

(jetzt hab ich es ja doch gesagt...)

Danke!!

Werde jetzt mal im Einsteiger pdf den Homematic Abschnitt aufsaugen!

In der command ref steht nichts zu "register"!!!

martinp876 · 03 Februar 2014, 14:32:23

ZitatIn der command ref steht nichts zu "register"!!!

echt?
http://fhem.de/commandref.html#CUL_HMregSet
http://fhem.de/commandref.html#CUL_HMregBulk
get reg all
get regList
...

Michi240281 · 03 Februar 2014, 14:49:31

Zitat von: martinp876 am 03 Februar 2014, 14:32:23
echt?
http://fhem.de/commandref.html#CUL_HMregSet
http://fhem.de/commandref.html#CUL_HMregBulk
get reg all
get regList
...

Ich scrolle ja nicht die komplette reference durch! Habe nach "register" gesucht und keinen Eintrag gefunden. Danke für die Links, aber was da alles steht ist für nen Anfänger einfach nur "Kaudawelsch"!

betateilchen · 03 Februar 2014, 14:50:47

Jeder Anfänger muss durch die Homematic-Hölle gehen. Dagegen ist das Dschungelcamp ein Sonntagsvergnügen.

Die commandref ist übrigens nach Modulen sortiert. Man muss nicht durch die gesamte commandref scrollen.