Ankündigung

**abtools** · 13.05.2024, 10:19

Hallo Lars,

Zitat von larsrosen Beitrag anzeigen

Also kann es passieren, das ein neuer FP die selbe ID(eines Fremden Fingers) sendet und die Tür öffnet?

Korrekt, wenn du kein Passwort setzt, könnte die Scanner-Hardware (gegen eine mit IDs anderer Finger/Personen) getauscht werden.

Wenn du das verhindern möchtest, schützt du den Scanner mit einem Passwort, was wie gesagt möglich sein wird.

Zitat von larsrosen Beitrag anzeigen

Wenn das Passwort als Parameter in der ETS hinterlegt wird, ist dieses über ETS auslesbar?

Die ETS-Anwendung ist die "Quelle" des Passworts, weil du es ja dort der Firmware über einen Parameter "mitteilst". Dein ETS-Projekt sollte daher natürlich ebenfalls mit einem Passwort geschützt sein.

Auslesen kannst du das Passwort über die ETS nicht, nein.

Viele Grüße
Andreas

**larsrosen** · 13.05.2024, 10:23

vielen Dank für die Erläuterung

Zitat von abtools Beitrag anzeigen

Auslesen kannst du das Passwort über die ETS nicht, nein.

mumpf

lässt sich das nicht mittels Reconst auslesen?
Meiner Meinung nach lassen sich alle Parameter auslesen?

**mumpf** · 13.05.2024, 10:28

Zitat von benji Beitrag anzeigen

Wenn ich Zugriff auf KNX habe

Ich denke, ohne Secure muss man einfach mit der Sicherheit auskommen, die man sonst mit KNX hat. Wenn ich die Tür über KNX öffnen kann, ist es vollkommen egal, ob man Finger auslesen kann oder andere Finger anlernen kann (über KNX). Ich kann einfach die Tür über KNX aufmachen.
Man hat letztendlich die einfache Sicherheit von KNX (innen) und externem Zugriff (außen). Mehr nicht.

Und wenn man Secure haben will, muss man es auf dem ganzen Signalweg haben. Also als erstes einen Secure-Aktor, der die Tür öffnet.

Gruß, Waldemar

**henfri** · 13.05.2024, 10:30

Wer das knacken will baut sich einen Emulator des Fingerprint, der

Jedes Passwort akzeptiert
IDs durchprobiert

Den hängt er an die Platine und gut.
Da hilft kein Secure.

Aber ganz ehrlich:
Die meisten Einbrecher kommen ohne Laptop. Hatten wir doch schon oft genug.

**benji** · 13.05.2024, 10:30

So sehe ich dies auch.

Ein sehr nützlicher Baustein dazu ist das SCN-Safe von MDT

**abtools** · 13.05.2024, 10:34

Hallo Lars,

Zitat von larsrosen Beitrag anzeigen

lässt sich das nicht mittels Reconst auslesen?
Meiner Meinung nach lassen sich alle Parameter auslesen?

Ich spreche hier von der Standardfunktion der Fingerprint-ETS-Anwendung - diese unterstützt kein Auslesen des Passworts.
Es kann durchaus sein, dass es Mittel und Wege gibt mit direktem Bus-Zugang an die Parameter-Daten eines jeden KNX-Teilnehmers zu kommen.

Um das zu verhindern gibt's dann KNX Secure; wie gesagt aktuell nicht unterstützt, aber ist durchaus etwas, was ich mir in der Zukunft ansehen möchte.
Damit das Sinn macht, müssen dann aber natürlich alle beteiligten KNX-Geräte auch KNX Secure sein.

Meiner Meinung nach, wenn jemand dann schon physischen Zugriff auf dein KNX-Kabel hat, ist er vermutlich ohnehin bereits "im Haus" (Außenleitungen sind ja sicherlich getrennt auf einer anderen Linie) und du hast vermutlich "andere Probleme". ;-)

Aber wie gesagt, KNX Secure ist durchaus etwas, was ich mir ansehen möchte, aber hat für mich aktuell keine Priorität.

Viele Grüße
Andreas

**mumpf** · 13.05.2024, 10:43

larsrosen Soviel ich weiß, kannst Du den gesamten Parameterspeicher eines Gerätes auslesen, damit findest Du auch das Passwort. Und da OpenKNX ein OpenSource-Projekt ist, findest Du bei uns im Repo auch genau, wo das Passwort steht.

Mit Secure können wir das Fingerscanner-Passwort mit dem Geräteschlüssel des KNX-Gerätes verschlüsseln, dann bekommst Du bei der Rekonstruktion ohne Geräteschlüssel nur Datenmüll.

Es ist ein OpenSource projekt. Da ist nichts geheimes dran. Man kann nur die Sicherheitsmechanismen nutzen, die Secure vorsieht. Und so wie ich abtools verstehe, hat er das vor, noch ist es aber nicht implementiert.

Mir reicht es erstmal mit meiner inneren KNX-Sicherheit. Zumindest, um ein paar Versuche zu starten

. Da mein eKey den Geist aufgibt, kommt mir diese Lösung gerade recht.

Gruß, Waldemar

**LostWolf** · 13.05.2024, 10:45

Zitat von abtools Beitrag anzeigen

(Außenleitungen sind ja sicherlich getrennt auf einer anderen Linie)

Bringt dir hier ja nichts, da das KO zum öffnen der Türe vom Fingerlesegerät kommt das außen ist.

**larsrosen** · 13.05.2024, 10:46

Alles gut, ich wollte es nur verstehen. Jeder kann sich selbst ein Bild davon machen.

Da ich für das Gerät ein KNX Kabel an die Tür legen muss und um die Tür zu öffnen das KO des Schaltaktors im Filter freigeben muss, sehe ich das ganze etwas kritischer.

Ich warte bis das Gerät Secure kann und dann erweitere ich meine eKeys.

**mumpf** · 13.05.2024, 10:59

Zitat von LostWolf Beitrag anzeigen

Bringt dir hier ja nichts, da das KO zum öffnen der Türe vom Fingerlesegerät kommt das außen ist.

Ist ja peinlich... aber daran hab ich noch gar nicht gedacht. Du hast natürlich recht. Hier bringt die Außenlinie nichts.

Gruß, Waldemar

**jhmeier** · 13.05.2024, 12:52

An der Stelle fände ich dann die Anbindung des Fingerprints z.B. per RS485 deutlich entspannter. Die Entfernung ist dann weniger relevant und man hätte nur noch den eigentlichen Finger-Scanner außen am Gebäude. Ist der entsprechend mit Passwort gesichert bringt ein Austausch auch nichts.
(Tendenziell hätte man damit dann auch die Möglichkeit mehrere Fingerscanner über ein internes Gerät zu verwalten)

**abtools** · 13.05.2024, 13:00

Hallo jhmeier,

Zitat von jhmeier Beitrag anzeigen

An der Stelle fände ich dann die Anbindung des Fingerprints z.B. per RS485 deutlich entspannter. Die Entfernung ist dann weniger relevant und man hätte nur noch den eigentlichen Finger-Scanner außen am Gebäude. Ist der entsprechend mit Passwort gesichert bringt ein Austausch auch nichts.
(Tendenziell hätte man damit dann auch die Möglichkeit mehrere Fingerscanner über ein internes Gerät zu verwalten)

Die Fingerprint-Hardware unterstützt selbst kein RS485, du bräuchtest also trotzdem noch ein Gerät "beim Scanner" und dann noch zusätzlich ein "zentrales".

Das wäre, insbesondere bei nur einem Scanner, teurer, da hier zwei Geräte nötig wären und man müsste ein eigenes (idealerweise verschlüsseltes) Protokoll über RS485 definieren.

Ich werde daher beim direktem Anschluss an den KNX-Bus (in der Zukunft dann ggf. mit "KNX Secure"-Unterstützung) bleiben.

Viele Grüße
Andreas

**LostWolf** · 13.05.2024, 13:55

Wie groß ist den der Aufwand die LED und die zwei Taster auch ohne die Erweiterungsplatine (da eigene Klingelplatte) zu nutzen?

**abtools** · 13.05.2024, 14:45

Hallo LostWolf,

Zitat von LostWolf Beitrag anzeigen

Wie groß ist den der Aufwand die LED und die zwei Taster auch ohne die Erweiterungsplatine (da eigene Klingelplatte) zu nutzen?

Das ist auf jeden Fall kein Problem, die IOs stehen ja zur Verfügung.

Um ehrlich zu sein gerade noch nicht optimal dokumentiert, das hole ich noch nach.
Aber in jedem Fall wirst du diese IOs (mit eigenen Schaltern/LEDs) nutzen können.

Viele Grüße
Andreas

**LostWolf** · 13.05.2024, 16:17

Dann warte ich mal auf die Doku

So könnte ich mir den Binäreinganng für die Klingel sparen.
(zumindest wenn man die Eingänge/Ausgänge/LED frei mit KOs belegen kann)

Ankündigung

[OpenKNX-Ready] Zutrittskontrolle mit Fingerprint / Fingerabdruck

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar