Homematic Verschlüsselung

[WhyTea]

Hallo

Ich nutze Fhem nun schon seit einiger Zeit. Was als kleine Testinstallation begann ist über die Zeit weiter und weiter gewachsen. Inzwischen umfasst meine Fhem-Umgebung mehr als 50 Homematic Aktoren und Sensoren. Über das Thema Verschlüsselung habe ich immer mal wieder nachgedacht und gelesen das es mit den von mir Verwendeten Geräten funktioniert aber ich tiefer gehend habe ich mich nie damit beschäftigt.
Das möchte ich nun ändern.

Ich habe ein homogenes Umfeld mit ausschließlich folgenden Homematic Geräten.
   
HM-LC-Bl1PBU-FM, HM-CC-RT-DN, HM-SEC-SCo, HM-SEC-RHS, HMLAN, HM-LC-Sw1PBU-FM, HM-ES-TX-WM

Natürlich habe ich zunächst gegoogelt und habe auch einiges gefunden. Unter anderem diesen Blogartikel
http://www.meintechblog.de/2013/12/hmlan-adapter-system-sicherheitsschluessel-aendern/

Ich bin danach vorgegangen und men aktueller Stand ist:
- ich habe einen neuen Schlüssel geniert und in im "Homematic Konfigurator" hinterlegt.
- alle Homematic Geräte habe ich dem "Homatic Konfigurator" hinzugefügt
- in der Fhem Konfiguration habe ich sowohl der vccu als auch meinen beiden hmlan den Schlüssel gegeben (attr HMLAN1 hmKey 01:<geheimer_Schüssel>)

Weiter geht der Blog leider nicht auf das Thema ein allerdings hat mir Google verraten das es noch ein Reading "R-sign" gibt.
Dieses gibt wohl letztlich den Ausschlag ob tatsächlich verschlüsselt wird oder nicht. Nun habe ich mir meine Geräte mal in Fhem angesehen und festgestellt das ich sowohl Geräte habe wo r-sign schon auf on steht allerdings auch einige wo es noch auf off steht. Allerdings hat der HM-ES-TX-WM zum Beispiel das Reading r-sign nicht dafür Readings wie RegL_00., aesCommToDev, aesKeyNbr die nach meinem Verständnis auch etwas mit der Verschlüsselung zu tun haben müssten.

Mir ist bewusst, dass wenn ich die Verschlüsselung nun manuell einschalte ohne das das Gerät den gültigen Schlüssel hat ich es unbrauchbar mache und einschicken muss. Daher zöger ich an dieser Stelle!

Welche Readings sind müssen zwingend vorhanden sein damit eine Verschlüsselung aktiv ist und funktionieren kann?
Wie kann ich überprüfen ob wirklich verschlüsselt wird?
Gibt es eine Möglichkeit zu überprüfen welche Schlüssel in einem Gerät gespeichert sind?

Hat jemand eine andere Schritt-für-Schritt Anleitung die das ganze etwas ausführlicher beschreibt?

Ich hoffe ich habe alle nötigen Informationen mitgegeben und freue mich auf Eure Antworten.

Gruß
Daniel

[darkness]

Hey,

schau mal hier: http://www.fhemwiki.de/wiki/AES_Encryption
Hast du dies schon gesehen?

Damit bin ich auch eingestiegen. Allerdings gibt es keine Verschlüsselung bei den HM-Devices. Es wird nur der Befehl signiert.

Grundsätzlich musst du auch keine Angst haben, Geräte unbrauchbar zu machen. Das wäre nur der Fall, wenn du deinen geheimen Schlüssel vergisst. Solange du diesen aber entsprechend sicherst, kommst du an die Geräte auch dran.

[WhyTea]

Hallo und danke für den Hinweis

Ich habe mir das mal in Ruhe durch gelesen und versuche der Anleitung zu folgen und die Schritte umzusetzen.

Wenn ich dich richtig verstehe sollte es keine Katastrophe zur folge haben wenn ein Gerät noch nicht den passenden Schlüssel hat da ich dann die Schlüsselanforderung einfach wieder raus nehmen kann und dann den richtigen Schlüssel an das Gerät übertragen kann.

Für die Vershlüsselung gibt es drei wichtige Dinge
- das reading "sign"
- regset "expectAES"
- das attr "aesCommReq"

All drei müssen je nach bedarf auf dem Gerät bzw. Channel gesetzt werden.

"sign" bewirkt das ein Empfänger nur noch signierte Befehle annimmt.
"expectAES" bewirkt das ein Sender Befehle signiert
"aesCommReg" bewirkt das die Zentrale nur signierte Informationen annimmt.

Soweit richtig?

Da ich keine Geräte untereinander gepeert habe sondern alle Kommunikatiuoen über die vccu läuft fällt für mich expectAES weg. Richtig?
Um AES-Signierung in meinem bestehenden Umfeld nachträglich zu aktivieren sollte ich also wie folgt vorgehen.

Schritt1: Schlüssel erstellen
Schritt2: Schlüssel der vccu bzw hmlan zuordnen
Schritt3: Schlüssel an alle Geräte übertragen
Schritt4: an allen Geräten bzw. Channels sign auf on stellen
Schritt5: allen Geräten und Channels das attr aesCommReg 1 setzen
Schritt6: FHEM neustarten

Habe ich das nun so richtig verstenden?

Gruß
Daniel

[darkness]

Schritt1: Schlüssel erstellen

ja, und an mehrere Stellen sichern bzw auch ausdrucken.

Schritt2: Schlüssel der vccu bzw hmlan zuordnen

Ja, es reicht aber den Schlüssel einem Gerät zuzuordnen. Ich habe diesen z.B der VCCU zugeordnet

Schritt3: Schlüssel an alle Geräte übertragen

Ja, danach empfiehlt sich ein getConfig

Schritt4: an allen Geräten bzw. Channels sign auf on stellen

auch richtig

Schritt5: allen Geräten und Channels das attr aesCommReg 1 setzen

Ja, wobei das immer drauf ankommt. Entweder das gerät oder der jeweilige Channel. Bei einem Gerät welches mehrere Channel hat muss jeder Channel einzeln eingeschaltet werden.

Schritt6: FHEM neustarten

Ich denke nicht zwingend erforderlich.
expectAES ist für gepeerte geräte

Gruß

[WhyTea]

Danke für die Hilfe!

Gesagt getan und es funktioniert. Einzig die Schlüsselverteilung habe ich nicht per FHEM gemacht sondern mit der Homematic Software.

Nach erfolgreicher Aktivierung haben die Geräte ein neues Reading aesCommToDev mit dem stautus ok