Du bringst hier einiges durcheinander!
Hier get es um ekey und dies ist in der standalone sowie multi Version nicht vernetzt und stellt ein geschlossenes System dar welches beim richitgen Finger ein Signal an den Türöffner gibt. Da kannst du über die Ferne kein Fingerprint auslesen. Generell werden auch keine Fingerabdrücke gespeichert sondern biometrische Daten aus denen du kein Fingerabdruck generieren kannst.
Es ist einfach nach alter Detektivmanier den kompletten Finderabdruck von der Haustürklinke zu erstellen als irgendetwas aus dem ekey auzulesen!
Sobald ekey mit einem künstlichen Finger gehakt wurde werden wir es in den Medien lesen!

Und warum will hier jeder die ganze Geschichte mit KNX-verstöpseln? Bin gespannt wie lange das nur via potentialfreie Kontakte geht oder ob das ganze zum "Komfortgewinn" nicht doch mal noch über eine API via LAN/WLAN genutzt werden kann.

Weil es praktisch ist auf dem Glastaster in der Küche oder Büro den Türöffner zu legen?

Gibt es doch auch schon: https://www.voltus.de/sicherheitstec...anschluss.html

Also dann hast doch die Verbindung des ekey bis ins Internet, wo sich Leute dann hermachen können das zu hacken.

Der ekey UDP Konverter kann nicht "rückwärts" verwendet werden, d.h. er sendet per UDP z.B. welcher Finger gerade drübergezogen wurde, es lässt sich aber z.B. nicht per LAN die Tür öffnen.

Ja weil das so gerade programmiert ist oder weil es HW-seitig ausgeschlossen ist in die andere Richtung an die Daten zu kommen? Alles was Software an der Stelle ist kann eben potentiell verändert und gehackt werden.

Ich nutze das Internet ja auch und fände mache Sachen ja auch sehr bequem via Web zu bedienen, einfach gemacht ist es ja häufig. Aber da ich der Sicherheit im Internet eben kein Vertrauen schenke verzichte ich auf solche Funktionalitäten solange es denn mein Komfortgefühl verträgt.

Aber zu glauben, dass das alles sicher ist und nur Einbahnstrasse funktioniert ist mir nicht möglich.

moment moment .... Ekey selber soll gar nicht an KNX, lediglich der Türöffner könnte an KNX / TKS-IP angehängt werden, damit man die Türe über z.B. Glastaster / App öffnen kann. Grundwissen in Sicherheit ist sowieso essentiell, wenn man so etwas machen möchte.

Die Diskussion mit fasi ging nur um die Sicherheit von Fingerprint-Lösungssysteme wie Ekey VOR ORT. Hier geht es nicht um KNX selber bzw. öffnen von Türe via KNX / Internet.

Ja bei der Sicherheit der eigenen biometrischen Merkmale geht es darum den Speicherort der Merkmale möglichst nicht mit dem Internet zu verbinden. Und bei ekey ist das für mich solange der Fall wie der nur via potentialfreien Kontakt eine Schnittstelle bietet. Sowie das ganze via LAN administriert oder via LAN mit Komfortsystemen verbunden ist, ist die Sicherheit der biometrischen Merkmale gefährdet.

Die Risiken Strom auf den Türöffner neben dem ekey-Relais auch noch per KNX zu geben ist ne ganz andere Geschichte

Mir reicht das theoretische Scenario von pitschr im Beitrag #29 schon völlig aus (hehe, das kam nicht von mir!) ... der Fingerprint ist woanders als im ekey gespeichert worden (z.B. bei der EInreise nach USA, bei Google, Apple, ...) und man kann damit einen gleichwertigen Fingerprint generieren:

Der Fingerprint muss noch nichtmal 1:1 identisch sein ... ein (sehr) ähnlicher Abdruck mit ausreichend Übereinstimmung reicht schon aus ...
Und ob die Daten bei Apple wirklich auf dem Phone bleiben, werden wir erst wissen, wenn irgendjemand zweifelsfrei nachweisen kann, dass Sie geleakt worden sind ... oder kennt Ihr den Quellcode und habt den auseinandergenommen?

Der Angriff auf Ekey erfolgt dann schon mit dem getürkten Abdruck ... der muss garnicht erst aus dem Ekey ausgelesen werden ...

Wie wahrscheinlich das ist? Keine Ahnung ... sicher bis auf weiteres nicht durch die üblichen Strolche, aber auch die passen sich an ... schaut euch die Entwicklung der herkömmlichen Schlösser/Schlüssel an und immer wieder wurden die neue "total sicheren" System geknackt ... bis heute ...

Gruss

fasi

Wie soll er Abdruck gefälscht werden? ekey hat eine sog. Lebenderkennung.

echt jetzt?
Fingerprint und Lebenderkennung ist nicht hackbar?
Wurde schon längst vom ccc belegt. Hier gibts schon yt videos dazu.

Ich denke die Diskussion pro/contra Fingerprint führt zu nichts. Entweder man will es oder eben nicht.

Wir haben uns bewusst dafür entschieden, aber als Standalone gerägt, das heisst unser FP (Biokey) ist autark und öffnet nur die Tür. Es gibt keine Verbindung zu irgendeinem BUS. Zumindest keine direkte. Für uns ein Maximum an Komfort. Da (hauptsächliche meine Frau :-) ) sich schön öfter in der alten Wohnung ausgesperrt hat ,und dies somit verhindert wird.

Da aber der Fingerprint recht easy zu hacken ist (aber hier muss man sich erst die Frage stellen, ob der gemeine Einbrecher sich wirklich die Mühe macht, oder sich nicht einfach nen Backstein schnappt und die Scheibe einwirft - denn das ist leider weniger auffällig, als wenn er minutenlang an der Tür fummelt) haben wir an unsere Türklingel (Rpi mit Touchdisplay) einen Pin-Code der wiederum mit einem weiteren RPi kommuniziert, der dann bei korrektem Pinabgleich den Fingerprint bestromt. Das heißt ohne Pineingabe kein Strom auf der Tür -> nicht hackbar. (Das Pin Eingabefeld ist variabel, sodass die Fingerabdrücke drauf hier nicht auf den Pin zurückzuführen sind)

Also Fingerprint ja/nein, muss jeder für sich entscheiden. Hier gibt es zu viele "extreme" Meinungen. Ich will nichts mehr missen.


Gruß
Stefan


Edith: https://www.youtube.com/watch?v=FsZE6fyF26U hier mal ein Video zur "unhackbaren" Venenerkennung. Ich feier die Szene bzw das Raunen, dass durchs Publikum ging als die Sache mit dem Händetrockner vorgestellt wurde .-)

Ich weis wir sind längst Offtopic aber ich kann das so nicht stehen lassen! Ja du hast recht diverse Fingerprintleser wurden bereits gehackt, allerdings handelt es sich hierbei ausschliesslich um Leser die via Auflegen der kompletten Fingerkuppe funktionieren wie man sie in vielen Smartphones findet. Ekey funktioniert mit einem Zeilenleser über den man den Finger ziehen muss und hier wurden noch keine Hacks veröffentlicht. Daher kann man nicht allgemein sagen das alle Fingerleser davon betroffen sind. Mag sein das es jemand in Zukunft auch bei ekey schaft mit nem "künstlichen" Finger das zu überlisten aber Stand heute ist mir nichts davon bekannt.
Solang der ekey nur via Digitaleingnag ans KNX angeschlossen wird ist auch das kein Problem sofern man den Bus physikalisch gesichert hat. Wer dann noch den Bus ans LAN/WAN/Internet hängt sollte wissen was er tut aber auch hier gibts für den Privatman Standards die einen hohen Schutz bieten aber nicht von jedem unbedarften installiert werden können/sollten.
Auch muss man erwähnen das ekey Möglichkeiten bietet bei Fehlversuchen Events auszulösen, hier könnte man die Sicherheit noch ein Tick erhöhen. Auch könnte man darüber nachdenken den Leser aktiv oder passiv gegen Sabotage bzw. Öffnen zu schützen. Aber grundsätzlich bin ich mir sicher das es einfahchere Methoden gibt um ins Haus zukommen als den Fingerprintleser zu kompromitieren.

Naja, das ist zwar grundsätzlich richtig, aber Otto normalverbraucher/ -fummel ist sicherlich nicht so versiert. Bei vielen scheitert es ja schon daran, überhaupt die Gefahr zu erkennen.... Kannst ja mal ne Umfrage starten, wieviele hier der Forenleser VLANs daheim eingerichtet haben.... Vermutlich wird es schon an der passenden Hardware mangeln, die das out-of-the-box anbietet....

Ich würde mal tippen, dass ein Großteil der KNX Nutzer ein IP Interface nutzen, welches bequemerweise mit dem Heimroutzer/ Fritzxbox verbunden ist. Klar ist zwar kein direkter Port ins Internet offen, jedoch in der Regel WLAN aktiv. Das kann mittlerweile jeder mit ein wenig mühe beim Nachbarn knacken und ist damit im KNX Bus....

Nun mal ehrlich... ich bin auch von Hause aus sehr bequem und möchte die eine oder andere Bequemlichkeit nicht mehr missen, aber man sollte sich doch auch nichts vormachen.. Erst eine WK2 Türe kaufen damit sich Mutti sicher fühlt und dann das Motorschloss in der Klingeldose mit einem Relais schalten. Das ist schon einwenig naiv... Davon gibt es mehr Installationen als man denkt. Denn wenn es um Kohle geht, dann zucken viele zusammen und nehmen die einfache Variante...

Meist sitzt dann noch das Relais in der Ausenstation der Klingel, oder in der Baumarkt Codetastatur. Wer es richtig machen will baut sich eine 2 Faktor Authentifizierung mittels RFID und Fingerscan ein. Selbst Bluetooth vom Handy (oder Handy im WLAN) und Fingerscan hilft da schon.

Das dürfte den WAF aber sehr deutlich senken...