Well, do you really want to start a discussion about reliable, secure crypto based on this implementation?
Sorry, from a crypto point of view it's like a ragged try from a student in the 1990s.
(We can now discuss wether it's nescessary at all!)

I admit my words "preshared-key" and "useless" are provocative and simplified to make it more understandable but the main point - if someone wants "KNX Secure" - this won't withstand any simple security analysis at all. This is very predictable, there are dozens of attack-vectors against it.
This is also not only my opinion, the BSI sorted it out for Smart-meters as not suitable/secure enough AFAIR; talking about that, leading people at ZVEI Kolloquium got upset about what "IT-guys" want to tell them about..
Scary, to ignore analysises and opinions from people with 20yrs more in security..

Makki

Irrtum. Ganz großer Irrtum.

Das Thema ist mittlerweile fast 30 Jahre alt, so alte Säcke mit gut 30 Jahren IT auf dem Buckel wie ich einer bin erinnern sich noch dunkel dran dass das Mitte / Ende der 1980er Jahre aufkam. Irgendein Holländer ist drauf gekommen dass man IT über etliche Meter abhören kann, z.B. die Abstrahlungen von Monitoren, und das Signal kann man auch problemlos Dekodieren und 1:1 mitlesen was sich auf dem Monitor tut.

Und das geht auch mit den Abstrahlungen von Tastaturen, als vor ein paar Jahren die Geschichte mit den Wahlcomputern aktuell war haben die in Holland die Abstrahlungen von den Wahlcomputerdisplays mitgelesen und konnten sehen was jeweils gewählt wurde usw.

Wer mag kann "Tempest" googeln.

Das erforderliche Equipment sollte jeder ordentliche HF-Nachrichtentechner zusammenlöten können, Materialkosten ein paar 100 Euro.

I suppose you are referring to the "Factory Default Setup Key" (FDSK).
This will be different for each individual device and the idea is that this is not exchanged over KNX.
From this key, no further keys are derived.

That was "my conclusion" about all I heard on events from Pamplona to Frankfurt in the last years - and whats written in the KNX-Standard!
So if you have changed it in the meantime to useful a public/private key PKI(?), I revert everything i wrote..
If not, it's a preshared-key.

Makki

Das stimmt, es geht aber ja auch um "KNX Data Security", also eine Absicherung innerhalb der Buskommunikation. Darüber hat Herr Demarest letztes Jahr beim ZVEI berichtet, seine Folien geben leider nur die Basics wieder http://www.knx.de/knx-de/medien-serv...quium-2014.php
Unten bei Download -> KNX Heute und Morgen.
Anscheinend sind die KNX-Hersteller nicht wirklich an einer Verbesserung interessiert, jedenfalls nicht so sehr, dass sie daran aktiv mitarbeiten würden. Wenn es da herstellerübergreifende Arbeitsgruppen gäbe, in denen die fitten Leute aus ganz Europa die nächste Generation erdenken... Stattdessen entwickeln die einen ENET, die andern free@home und was es sonst noch so gibt und binden so Entwicklerkapazitäten für kannibalisierende Produktlinien. Die paar Hanseln in Brüssel sollen dann von den Mitgliedsbeiträgen und den ETS-Gebühren finanziert die KNX-Sache alleine in die Zukunft tragen. Mir fehlt da ein wenig der Teamgeist in der Branche.

Gruß,
Philipp

Who's talking about a pre-shared key?

Ist doch gut, das es mal wenigstens thematisiert wird (was ich schon vor vielen Jahren im Forum hier und auf div. Veranstaltungen angesprochen habe) - und dafür ausgelacht wurde

KNX(net IP) Secure ist ein einziger Designfehler per-se! Preshared-Keys auf allen Teilnehmern waren schon Ende des letzten Jahrtausends "worst practice".
Das war schon vor Jahren klar als ich das erste mal davon hörte und heute umso klarer - kurz bevor es dann vielleicht irgendwann mal in KNX-Geräten dann auch verfügbar ist, ist es also auch schon obsolet.
Aus Security-Sicht eh nutzlos, aus praktischer Sicht nur zusätzlicher Ballast/Aufwand.

Meine 2ct dazu.

Makki

Sehr schön dass dieses Problem aufgegriffen wird. Dann war meine Aussage nicht angebracht, da gebe ich dir vollkommen recht.

Allerdings ist die Aussage auch erst 3 Monate alt und von einem Erscheinungstermin sehe ich auch nichts. Als ich mich Anfang des Jahres intensiv mit dem Thema beschäftigt habe, war so etwas noch kein Thema. Hier sah die KNX gefühlt auch keinen großen Handlungsbedarf, zumindest nicht auf KNX-Seite. "Damals" sah man die Probleme eher bei ungeschützten Leitungen oder Einbruch-Szenarien über die Ip-Welt, zumindest was meine Recherchen anbelangt hat.

Wenn die Komponenten verfügbar sind würde ich sicher nicht meine komplette Anlage austauschen. Ich könnte mir aber durchaus vorstellen in Bereichen die von außen zugänglich sind oder bei Zutritts-Themen auf die neue Komponenten-Generation zu setzen.

Solange das ein Switch nicht kann, ist AFAIK das IEEE 802.1X recht witzlos. Von daher ist es nicht ganz Äpfel mit Birnen verglichen. Ist ja aber auch nur ein Beispiel. Gibt sicher noch mehr.

Wie du schon geschrieben hast: Mammutaufgabe.

Das mit irgendwelchen Softwareanwendungen zu vergleichen ist natürlich Apfel und Birne. Das Protokoll ist sicher relativ fix eingebaut. Allerdings müssen dann alte Geräte getauscht werden, wenn man es komplett sicher haben will.

Würde mich mal interessieren, wer hier seine Aktorik und Sensorik komplett wechselt, wenn am Tag X sichere Komponenten verfügbar sind

Und wann haben die damit angefangen und wieviele Hersteller sind auf den Zug schon aufgesprungen?

Für mein befinden hat sich KNX zu lange in Sicherheit gewägt und kommt "in ein paar Jahren" (Wann war nochmal der Release-Termin für ETS5.5?, sofern die Hersteller mitziehen, mit einem ersten Konzept auf den Markt (das dann sicherlich noch ausreichend Kinderkrankheiten haben wird). Toll. Zug verpasst?

Beispiel IEEE 802.1X ... Das konnte mit einem Patch schon Windows 2000.

Richtig. Aber wenn die Kommunikation verschlüsselt erfolgt, dann hat er Datensalat mitgeschnitten. *Lecker*

Richtig. Und keiner hat gesagt das oben genannte Untersuchung jetzt gleich ein Sicherheitsleck darstellt. Ich hatte nur mehr oder weniger zum Ausdruck gebracht: "Wow, wenn da sso einfach geht, bin ich gespannt was wir in 5-10 Jahren vorgesetzt bekommen".


Auch richtig erkannt. Das "stören" von Telegrammen dürfte aber nicht sooo schwierig sein.

Oder stört die Heizung/Klimaanlage/.... Schnell hat man da mal einen "Konkurrenten" (bezogen von Firmenkonkurrenz) lahm gelegt (Klima im Serverraum abgeschaltet, Störungsmeldung unterdrückt, ...). Weil Heizung und Klima an KNX ist ja heute nicht als "sicherheitskritisch" anzusehen.


Tellerrand und so. KNX wird nicht nur im EFH eingesetzt.

Schon wieder Tellerrand und so... Mein letzter Arbeitgeber war, kurz bevor ich die Firma gewechselt habe, kurz davor das gesamte Firmennetzwerk auf Zertifikatbasis abzusichern. Hast du kein Zertifikat, nimmt das Netzwerk dich nicht an. Hast du eines, wird der komplette Traffik verschlüsselt.
Und ich hab weder beim FBI noch CIA noch bei der Bundeswehr gearbeitet.

Im Privaten... seh ich ein. Aber im Businessbereich wird oftmals sogar der USB-Port am Rechner geblockt (hatte ich schon bei einem Tochterkonzern des großen Autobauers aus Stuttgart (der mit dem Stern) gesehen). Da ist das Sichern des Netzwerks gegen unbefugtes "anstöpseln" nicht weit davon entfernt.


So ist es. Nur ist es in vielen anderen Bereichen schon recht einfach möglich zu verschlüsseln. Im KNX Umfeld ist es noch eine Mammutaufgabe.

Verschließt sie doch nicht. Einfach mal googlen statt kritisieren:

http://www.knx.org/knx-en/training/k...ions/index.php

Oder:

Statement Joost Demarest, Technischer Direktor der KNX Association
KNX: Sicherheit ist die Zukunft
Der KNX-Standard wird ständig
weiterentwickelt, unter anderem
in Sachen Sicherheit. Hierfür stehen
ab der ETS-Version 5.5 zwei
neue Mechanismen zur Verfügung:
KNX Data Security und
KNXnet IP Secure. Data Security
erlaubt es ausgewählte Laufzeitkommunikation
unabhängig
vom verwendeten Medium (TP,
Powerline, Funk oder IP) zu verschlüsseln
und die Absender zu
authentifi zieren. IP Secure ist
auf das Internet-Protokoll beschränkt
und funktioniert hier
wie eine zusätzliche Sicherheitshülle.
Durch die Anwendung
der neuen Mechanismen wird
Datenintegrität, Authentizität
und Freshness gewährleistet und
eine KNX-Gebäudeautomation
damit sicher und wirksam gegen
Cyber-Attacken wie Abhören,
Man-in-the-middle-Angriffe oder
Replay-Angriffe geschützt. Um
eine Abwärtskompatibilität mit
bestehenden Anlagen zu gewährleisten,
wird auch ein gemischter
Betrieb von verschlüsselter
und unverschlüsselter Kommunikation
möglich sein. Für eine
Nachrüstung von KNX Data Security
für sicherheitsrelevante
Funktionen eines Gebäudes müssen
daher lediglich die an den
Funktionen beteiligten Geräte
ausgetauscht werden.

Letztendlich hat der KNX-Standard die selben Probleme wie alle Produkten die Daten unverschlüsselt übertragen.
Am Ende vom Tag schränkt es die Flexibilität ein, da einige Dienste nicht oder nur mit entsprechendem Aufwand über KNX abgebildet werden können.

Ich könnte mir gut vorstellen, dass ein Produkt mit dem auch sicherheitskritische Anwendungen wie Alarm, Rauchmelder und Zutrittskontrolle abgebildet werden können, eine deutlich bessere Verbreitung finden würde.

Ich bin gespannt wie lange die KNX.org die Augen vor diesem Problem noch verschließen will.

Bitte Mitloggen und Manipulieren(also verändern von Telegrammen oder selbst Telegramme auf den Bus bringen) unterscheiden.

mitloggen ist heute von ALLEM möglich. Insbesondere Netzwerkkabel oder die Abstrahlung eines PC's. mitloggen der KNX Befehle auf dem Bus bringt dem Angreifer jetzt g Bau was?
achja er sei welche Gruppenadressen es gibt.

das Manipulieren oder bewusste "Injektionen" von eigenen Befehlen oder KNX Telegrammen ist deutlichst aufwendiger. Und selbst wenn, dann schaltet Dir jemand das Licht und jetzt?! Vor allem wer sollte den Aufwand treiben?! Der vermeintliche Einbrechenr schmeist nen Stein durch Deine Terrasse und ist weg, bevor das erste KNX Telegramm Objektes wurde ;-)


Ps: Also Bitte wer sichert den Netzwerkkabel oder andere Infeastruktur gegens abhören?! Da fällt mir nur Bundeswehr u.ä. ein. Für den Privatbereich völlig unnötig, im Businessbereich ebenfalls nicht notwendig und bei den anderen wo es sich lohnen würde, gibt's am Ende genug andere Einfalltore. Einfach mal bei Heise.de bisschen suchen :-)