Ankündigung

Einklappen
Keine Ankündigung bisher.

KNX Secure Gerätetausch

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    KNX Secure Gerätetausch

    Hallo zusammen,

    der Austausch von nicht-Secure Geräten z.B. im Fall eines Defekts ist ja relativ problemlos. Am Ersatzgerät die Programmiertaste drücken und in ETS einfach die Adresse und das Applikationsprogramm des alten Gerätes aufspielen, fertig.
    Aber wie läuft das eigentlich bei Secure Geräten? Müssen die in ETS neu eingerichtet werden und das alte Gerät rausgelöscht werden oder gibt es da eine Option, um den Schlüssel eines Gerätes zu ändern? Ich konnte dazu in ETS 6.0.5 bisher nichts finden. Aber ich kann mir auch nicht vorstellen, dass in dem Fall wirklich alle Parameter und Gruppenadressen händisch abgeglichen werden müssen...
    Stichworte: -
    #2
    Gibt bestimmt so eine spezielle Kopierfunktion wo dann auch GA-Zuordnungen und Parameter erhalten bleiben. Ggf auch nur als Extra-App Ergänzung für die ETS.

    Aber interessante Frage.
    ----------------------------------------------------------------------------------
    "Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten."
    Albert Einstein
    • Likes 1

    Kommentar

      #3
      Das läuft eigentlich genau so wie bei nicht-secure-Geräten.

      Die ETS erkennt beim Download (Adresse + Applikation), dass das Austauschgerät eine andere Seriennummer als das alte hat, fragt zur Sicherheit nochmal nach, ob man das wirklich austauschen will und dann - wenn noch nicht vorhanden - nach dem Zertifikat.
      • Likes 4

      Kommentar

        #4
        Danke euch. Leider verhält es sich in meinem Fall nicht ganz so wie von Klaus Gütter beschrieben. Beim Download (Adresse + Programm) bringt ETS folgende Fehlermeldung:
        Programmieren(Alle): fehlgeschlagen

        Das Gerät ist mit einem in diesem Projekt nicht bekannten Schlüssel gesichert.
        Wenn Sie sicher sind, dass das richtige Projekt geöffnet ist und das Gerätezertifikat vorliegt, können Sie durch Rücksetzen auf Werkseinstellungen am Gerät gemäß Produktdokumentation wieder Zugriff erhalten.
        Das Gerät habe ich gemäß Produktdokumentation wieder zurückgesetzt, aber das hat leider nicht geholfen.

        Das Gerät war zuvor beim Hersteller zur Reparatur, die Retoure hat die selbe Seriennummer wie das alte Gerät, aber ich ich vermute, dass der Hersteller entweder ein neues Zertifikat eingespielt hat oder einfach ein Neugerät genommen hat und diesem die alte Seriennummer eingespielt hat.
        In beiden Fällen würde die von Klaus Gütter beschriebene Erkennung in ETS wohl fehlschlagen, da die eindeutige Zuordnung Seriennummer / Zertifikat aufgehoben wäre.

        Kommentar

          #5
          Hilft ein Werksreset beim Gerät? (ach so, hast du ja geschrieben...)

          Sollte das Gerät die gleiche Seriennummer haben wie das alte Gerät aber einen anderen FDSK (das wäre allerdings sehr überraschend), müsstest du das alte Zertifikat löschen und das neue einfügen.

          Kommentar

            #6
            Zitat von Klaus Gütter Beitrag anzeigen
            Hilft ein Werksreset beim Gerät? (ach so, hast du ja geschrieben...)

            Sollte das Gerät die gleiche Seriennummer haben wie das alte Gerät aber einen anderen FDSK (das wäre allerdings sehr überraschend), müsstest du das alte Zertifikat löschen und das neue einfügen.
            Wo in ETS kann ich das alte Zertifikat einsehen (zum Abgleich), löschen und das neue einfügen? Ich kann hier leider weder unter Eigenschaften/Einstellungen noch Eigenschaften/Informationen etwas finden...

            Kommentar

              #7
              Unter den Projekteigenschaften / Sicherheit findest du eine Liste aller Zertifikate
              • Likes 2

              Kommentar

                #8
                Zitat von Klaus Gütter Beitrag anzeigen
                Unter den Projekteigenschaften / Sicherheit findest du eine Liste aller Zertifikate
                Danke für den Hinweis! Meine Vermutung war korrekt, das gespeicherte Zertifikat stimmt wirklich nicht mehr mit dem des Gerätes überein. Blöderweise kann ich das Zertifikat nicht löschen. Der "Löschen" Button ist ausgegraut, egal, welches Geräte ich auswähle. Gibt es eine andere Möglichkeit, das Zertifikat zu löschen?

                EDIT: ETS verhält sich damit genau so wie in der Hilfe beschrieben:
                Deletion is disabled if the corresponding device has been previously securely downloaded (initial Factory Key needs to be preserved for ETS, e.g. for reprogramming after device - reset)
                (https://support.knx.org/hc/en-us/art...05379-Security)
                Nur passt das halt blöderweise nicht zum Vorgehen des Herstellers...
                Zuletzt geändert von GabrielG; 05.09.2022, 18:15.

                Kommentar

                  #9
                  Das Zertifikat wird noch von einem Gerät verwendet. Solange das der Fall ist wird es sich nicht löschen lassen.
                  • "altes" Gerät kopieren
                  • Kopiertes Gerät mit "Inhalte einfügen" als Kopie (gibt dann unser "neues" Gerät) einfügen, dabei "neues" Zertifikat importieren
                  • Adresse "altes" Gerät merken
                  • "altes" Gerät löschen
                  • Jetzt kann das Zertifikat des "alten" Gerätes gelöscht werden (Es gibt ja jetzt kein Gerät mehr das dieses verwendet)
                  • "neuem" Gerät die gemerkte Adresse geben
                  • "neues" Gerät Adresse und Applikation laden
                  • Alle anderen Geräte bei denen es nach dem Tausch die Notwendigkeit zum programmieren gibt neu laden
                  Vermutlich geht das auch eleganter.
                  Sollte aber so funktionieren.
                  ​​​​​​​
                  • Likes 1

                  Kommentar

                    #10
                    Zitat von HubertUnterfranken Beitrag anzeigen
                    Das Zertifikat wird noch von einem Gerät verwendet. Solange das der Fall ist wird es sich nicht löschen lassen.
                    • "altes" Gerät kopieren
                    • Kopiertes Gerät mit "Inhalte einfügen" als Kopie (gibt dann unser "neues" Gerät) einfügen, dabei "neues" Zertifikat importieren
                    • Adresse "altes" Gerät merken
                    • "altes" Gerät löschen
                    • Jetzt kann das Zertifikat des "alten" Gerätes gelöscht werden (Es gibt ja jetzt kein Gerät mehr das dieses verwendet)
                    • "neuem" Gerät die gemerkte Adresse geben
                    • "neues" Gerät Adresse und Applikation laden
                    • Alle anderen Geräte bei denen es nach dem Tausch die Notwendigkeit zum programmieren gibt neu laden
                    Vermutlich geht das auch eleganter.
                    Sollte aber so funktionieren.
                    Danke für die Idee. Ich habe den Ablauf leicht modifiziert:
                    1. Im Projekt steht das alte Zertifikat und das Gerät im Projekt ist mit dem alten Zertifikat konfiguriert. Zugriff auf das Gerät nicht möglich.
                    2. Altes Gerät kopieren
                    3. Kopiertes Gerät mit "Inhalte einfügen" als Kopie einfügen. Neuen Schlüssel eingeben. Warnung: "Dieses Gerätezertifikat ist bereits <alte Adresse> <altes Gerät> zugeordnet.
                    4. Trotzdem übernehmen.
                    5. Neues Gerät wieder löschen.
                    6. Jetzt kann ich am alten Gerät unter Einstellungen / Sichere Inbetriebnahme wieder ein "Gerätezertifikat hinzufügen" und hier das neue Zertifikat verwenden.
                    7. Jetzt habe ich wieder Zugriff auf das alte Gerät und kann es programmieren
                    8. Im Projekt unter Projekteigenschaften / Sicherheit steht aber weiterhin das alte Zertifikat
                    Moment, ich habe die Schlüssel der anderen Geräte im Projekt unter Projekteigenschaften / Sicherheit mit den FDSKs abgeglichen, die den Geräten beilagen und mit denen ich die Geräte eingerichtet habe. Die FDSKs, die den Geräten beilagen unterscheiden sich durch die Bank weg von denen, die mir ETS anzeigt. Da scheine ich noch ein Verständnisproblem zu haben...

                    Das, was mir der Hersteller als "FDSK" verkauft sind sechs Blöcke mit je sechs Zeichen. Das, was mit ETS6 in den Projekteigenschaften als "Fabrikschlüssel (FDSK)" verkauft ist eine Zeichenkette mit 32 Zeichen, beides sieht nicht mal annähernd ähnlich aus. Wie passt das zusammen? Ich habe mal gehört, dass es Werkzeugschlüssel und Laufzeitschlüssel gibt, aber hier steht zweimal FDSK und nicht Werkzeugschlüssel...
                    • Likes 1

                    Kommentar

                      #11
                      Die Begrifflichkeit Zertifikat/FDSK wird gerne mal durcheinandergehauen.
                      • Was unter "Sicherheit" in den "Projekteigenschaften" der ETS zu sehen ist ist die Seriennummer und getrennt der FDSK (Fabrikschlüssel)
                      • Was der Hersteller in sechs Blöcken mit je sechs Zeichen zur Verfügung stellt für die Eingabe in der ETS ist ein Zertifikat
                      • Das Zertifikat ist eine Kombination aus Seriennummer UND dem FDSK zusammengefasst.
                        (Mit etwas Mühe kann man daraus auch wieder Seriennummer und FDSK extrahieren).

                      Wegen Werkzeugschlüssel und Laufzeitschlüssel:
                      Das kenn ich so nicht.

                      Etwas vereinfacht:
                      Es gibt den FDSK für die Erstinbetriebnahme durch die ETS.
                      Dann erstellt die ETS einen Toolkey den es für die weitere Kommunikation verwendet, der FDSK wird dann normal nicht mehr verwendet (Außer das Gerät wird in den Auslieferungszustand zurückgesetzt z .B.).
                      • Likes 1

                      Kommentar

                        #12
                        Evtl. sollte man es einfach mal ausschreiben? Schreibt man FDSK aus, wird nämlich der Factory-Default-Setup-Key daraus.
                        Dieser wird nach der 1. Inbetriebnahme durch den Projekt Schlüssel ersetzt.
                        Dieser Beitrag enthält keine Spuren von Sarkasmus... ich bin einfach so?!
                        • Likes 1

                        Kommentar

                          #13
                          Die 6*6 Zeichen und der QR-Code sind Seriennummer (6 Byte) + FDSK (16 Byte) konkateniert und dann BASE32 codiert. Im letzten Zeichen versteckt sich noch eine CRC4-Checksumme.
                          • Likes 1

                          Kommentar

                            #14
                            Zitat von Klaus Gütter Beitrag anzeigen
                            Die 6*6 Zeichen und der QR-Code sind Seriennummer (6 Byte) + FDSK (16 Byte) konkateniert und dann BASE32 codiert. Im letzten Zeichen versteckt sich noch eine CRC4-Checksumme.
                            Ok, danke euch für die Erklärungen! Wenn die 6*6 Zeichen Seriennummer + FDSK + Checksumme zusammenkodiert sind ergibt das Ganze für mich Sinn. Dann verstehe ich nur nicht, warum der Hersteller Kunden (in dem Fall mich) auf die falsche Fährte führt, indem er im Produktbeipackzettel die 6*6 Zeichen FDSK nennt. Siehe Anhang mit verwischten Credentials.
                            You do not have permission to view this gallery.
                            This gallery has 1 photos.

                            Kommentar

                              #15
                              Vielleicht hat "Zertifikat" nicht mehr hingepasst?

                              Kommentar

                              Vorherige template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu