Auf das Voting in den KNX Groups haben wir zeitlich keinen Einfluss. Wir haben auch nicht damit gerechnet, dass sich das soweit rauszieht. Alle Hersteller warten schließlich darauf.

In meinem Kopf zwitschert es ja öfters mal und ein Vögelchen hat mir vorhin so etwas gesagt:
"Die Gira IP Router gibt es schon länger Secure Ready und man kann bestehende Geräte updaten" Anmerkung aus der gesunden Seite meines Kopfs: JAAHAAA, aber erst ab I14 und ich habe nur Geräte unter I14... Kann man hier nach lesen: https://www.gira.de/gebaeudetechnik/...ip-router.html

Da sind sie wieder die Probleme... Gira kann es auch noch nicht.
Wir liefern die Geräte erst aus, wenn es funktioniert.

Ich habe es noch nicht ganz verstanden.

Da die KNX Taster schon laufen ist es für KNX data secure zu spät. Welchen Vorteil hätte man, wenn z. B der Router wenigstens IP secure macht?

Müsste man die Anbindung von z. B iobroker auch auf secure anpassen?

Wenn ich mich per VPN nach Hause verbinde und dann über den raspy und visu das knx steuere hab ich doch mit IP secure nichts gewonnen oder?

die IP Seite, wo die Angriffszenarien erheblich einfacher und wahrscheinlicher sind, wäre abgesichert.
wenn man secure kommunizieren will, ja. Sonst würde man halt wie bisher kommunizieren.
Wenn Du einen Angreifer von Außen meinst, ja. Von Innen (also alles was im eigenen LAN hängt), kann den Busverkehr im Klartext lesen und sich leicht aufschalten.

Innentäter kann man bei einem privaten Haushalt ja ausschließen, da die Familie kein Interesse hat sich selbst zu hacken.
Scheinbar habe ich eine Woche zu früh meinen IP-Router von Gira gekauft. Ab der Revision I14 wäre er sogar secure ready gewesen. Shit happens. Meine ist natürlich, wie kann es denn auch anders sein, kleiner als 14 ????.

Clever von Gira so einen Kunstbegriff in den Markt zu werfen. Denn den Begriff secure ready gibt es offiziell nicht. Dieser beschreibt nichts anderes, als dass die Hardware grundsätzlich in der Lage ist, die höheren Anforderungen von KNX Secure an Rechenleistung und Speicher zu erfüllen. Mit einem Update kann man aber keinen IP Router von unsecure zu secure so einfach ertüchtigen, es sei denn, der Hersteller bringt ein Update-Tool heraus mit dem man einen individuellen Key in die FW schreiben kann. Ich bezweifle stark, dass dies jemals ein Unternehmen tun wird. Weiterhin besteht eine Anforderung von KNX Secure darin, dass der individuelle Key auf dem Gerät stehen muss (erfolgt üblicher Weise auf dem Typenschild). Ein Hersteller wird ebenfalls nicht sicherstellen können, dass ein nachträglich zugesandtes Typenschild auch auf das Gerät geklebt wird. Aus diesen Gründen wird nur ein Einschicken des Geräts zur Ertüchtigung desselben auf KNX Secure übrig bleiben...

"Innentäter" können auch Geräte im Heimnetzwerk sein. Fernseher, HiFi, Handys, WiFi-Zwischenstecker,...
Nein, das Heimnetzwerk ist nicht automatisch vertrauenswürdig.

Ich kenne zwar die I14 versions Geräte nicht, jedoch würde ich annehmen, daß der Key bei der Produktion in einem Bereich im Gerät geschrieben wurde, welcher nicht durch ein Update überschrieben oder gelöscht wird (z.B. im Bootloader oder einem speziellen Config Bereich).
Der Key kann also durchaus schon auf und IM Gerät sein, ohne das die Software hierfür bei Auslieferung fertig war.
Selbst wenn die Spezifikation bezüglich des Keyformates zum entsprechenden Zeitpunk nicht fest stand, kann man vorausgesetzt der Roh-Key wurde entsprechenden lange gewählt, der Key später passend daraus abgeleitet werden.
Die beste Lösung für solche Probleme ist es meist ohnehin einen entsprechenden Key aus Signaturdaten der Hardware abzuleiten. Viele Prozessoren haben hierzu entsprechende Hardware Signaturen im Silizium zum Zeit Ihrere Herstelleung verpasst bekommen, z.B. Produktions LOT, Einheit, Position, WaverNr ....)
Dieses Vorgehen kann es z.B. für Angreifer schwieriger machen, zu versucht eine 1zu1 Kopie des Zielsystems zu erstellen, da es eben jede Hardware nur einmal gibt (jeder Prozessor ist quasi durch seinen eigene Signatur einzigartig)

Hört auf mit der Spekuliererei - dem ist nicht so!

Da bin ich sehr gespannt wie dieses Thema ausgeht

Ich auch.

Lol

Gira liefert jetzt schon seit einiger Zeit die Router mit I14 aus.

Eine Firmware mit KNX Secure ist zwar noch nicht veröffentlicht, läuft aber ohne Probleme.