Ankündigung

Einklappen
Keine Ankündigung bisher.

Unterschied zwischen SDZ & FDSK

Einklappen
Dieser Beitrag wurde beantwortet.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    Unterschied zwischen SDZ & FDSK

    Hallo Zusammen,
    ich bin gerade dabei mein neues Haus mit KNX und der ETS in Betrieb zu nehmen.

    Dazu habe ich viele Secure, aber auch Unsecure Geräte im Einsatz. Da ich natürlich nicht auf die Secure Funktionalität verzichten und mir die ganzen Zertifikate dazu gerne langfristig speichern möchte, ist jetzt die Frage, welche Informationen muss ich genau (natürlich verschlüsselt) sichern.

    Zuerst einmal habe ich mich gefragt, wo ist eigentlich der Unterschied zwischen dem Secure Device Zertifikat (SDZ) und dem Factory Device Setup Key (FDSK).

    Dazu habe ich folgende Informationen zusammentragen können:
    1. Zweck und Verwendung:
      • Secure Device Zertifikat: Wird verwendet, um die Identität und Authentizität des Geräts während der gesamten Lebensdauer des Geräts zu bestätigen und um sichere Kommunikationskanäle zu erstellen.
      • Factory Device Setup Key: Wird hauptsächlich während der initialen Inbetriebnahme und Konfiguration des Geräts verwendet, um sicherzustellen, dass nur autorisierte Personen das Gerät in das KNX-System integrieren können.
    2. Art der Information:
      • Secure Device Zertifikat: Enthält öffentliche Schlüssel und Identitätsinformationen des Geräts.
      • Factory Device Setup Key: Ist ein geheimer Schlüssel, der zur Authentifizierung und initialen Einrichtung verwendet wird.
    3. Lebenszyklus:
      • Secure Device Zertifikat: Gilt während der gesamten Lebensdauer des Geräts und wird bei jeder Kommunikation verwendet, um die Integrität zu gewährleisten.
      • Factory Device Setup Key: Wird hauptsächlich während der ersten Einrichtung verwendet und kann danach in den Hintergrund treten, sobald das Gerät sicher in das System integriert ist.
    Darüber hinaus habe ich natürlich noch die Seriennummern der Geräte.

    Somit würde ich für mich festhalten, dass ich Seriennummer, SDZ und FDSK gemeinsam sicher verwahren sollte.

    Ich habe in der ETS unter Sicherheit z.B. die Möglichkeit gefunden die Gerätebezeichnung, Seriennummer und den FDSK zu exportieren. Das hört sich für mich schon stark danach an, was ich suche. Ich frage mich allerdings:

    1. Wie kann ich auf die Exportierten und verschlüsselten Daten zugreifen? Ich sehe keine Importfunktion?!
    2. Reichen mir wirklich diese Daten oder ist es ratsam auch die SDZ Daten parallel davon abzusichern? Dann wäre natürlich die Frage, warum macht die ETS das nicht automatisch?


    Danke und Grüße​
    Stichworte: -
  • Als Antwort markiert von godlyblade am 02.06.2024, 09:43.
    Da verweise ich nochmal auf die Reportfunktion der ETS
    • Ausgewählte Antwort

    Kommentar

      #2
      SDZ höre ich das erste Mal, woher hast du das?

      Die Aufkleber mit den FDSK kann man abziehen, auf einen Bogen Papier kleben und in den Safe tun. Es gibt auch einen Security Report, wenn man es als PDF sichern will. Die von dir angesprochene Schlüssel-Backup-Datei wird sich eines Tages auch mal importieren lassen.

      Kommentar

        #3
        Hallo,
        hmm das SDZ habe ich wohl irgendwo aufgeschnappt... Ich finde es gerade selber nicht. Aber vielleicht kommt dadurch etwas Licht ins Dunkle. Hier mal ein konkretes Beispiel.

        Enertex gibt bei seinen Geräten folgendes Zertifikat mit:

        Bildschirmfoto 2024-05-31 um 09.43.58.png
        In der ETS sieht das ganze aber folgendermaßen aus:
        Bildschirmfoto 2024-05-31 um 09.45.13.png

        Es handelt sich definitiv um den gleichen IP Router... Ich habe nur einen gekauft und die Seriennummern stimmen auch überein.

        Und das gleiche Verhalten habe ich bei all meinen Geräten, die gedruckten Zertifikate passen nicht zu denen die in der ETS angezeigt werden.

        Was genau meinst du mit Security Report? Wie kann man den ziehen?

        Und das Schlüssel Backup macht ja auch nur Sinn, wenn ich es importieren kann und auch die Schlüssel die selben sind 😁

        Danke für die Hilfe 🙂

        Kommentar

          #4
          Vll meinst du den Security Tool Key?

          Der hat die gleiche Funktion wie der FDSK, nur ist der FDSK halt eben der Factory Wert, wenn du den Tool key zurücksetzt.
          Es dürfen beide nie gleichzeitig aktiv sein.
          Beide sind 16 byte lang.
          Der Tool Key wird automatisch von der ETS gesetzt.

          Bei KNX gibt es eig keine wirklichen Zertifikate in dem Sinn, da alles per AES verschlüsselt ist und evlt noch per Diffi-Hellman ausgehandelt wird (KNX-IP-Secure).

          Gruß Mike
          OpenKNX www.openknx.de | Kaenx-Creator | Dali-GW

          Kommentar

            #5
            Okay, da es so scheint, als wäre für eine Langzeitsicherung nur der FDSK wichtig, ist für mich immer noch die Frage offen, warum speichert die ETS andere Schlüsselwerte ab, als ich über das mitgelieferte Zertifikat eingegeben habe? Und wie gesagt wäre für mich noch die Frage offen, wie ich die Schlüssel nach dem erfolgreichen Export auch irgendwann einmal wieder importieren kann...

            Danke

            Kommentar

              #6
              Der FDSK wird ausschließlich für die sichere Erst Inbetriebnahme des Gerätes benötigt und wird dann durch den durch die ETS generierten Toolkey ersetzt.

              Wird das Gerät irgend wann wieder auf Auslieferzustand zurückgesetzt (manuelle oder durch die ETS) ist der FDSK wieder gültig.

              Wofür brauchst du eine Importfunktion? Meine Geräte habe ich secure in Betrieb genommen aber eine Import Funktion für die ETS habe ich bisher nicht benötigt.

              Eine Export-Funktion ist um so wichtiger um z.B. einen Server z.B. Gira HomeServer mit den durch die ETS generierten Toolkey auszustatten.

              Kommentar

                #7
                Der QR Code enthält die Seriennummer + FDSK + eine Checksumme, das ganze Base32-codiert. In der ETS-Ansicht sind die beiden Bestandteile getrennt aufgeführt.

                Mit Security-Report meine ich den in der Report-Ansicht der ETS

                Kommentar

                  #8
                  Zitat von GGehlfeldt Beitrag anzeigen
                  Der FDSK wird ausschließlich für die sichere Erst Inbetriebnahme des Gerätes benötigt und wird dann durch den durch die ETS generierten Toolkey ersetzt.

                  Wird das Gerät irgend wann wieder auf Auslieferzustand zurückgesetzt (manuelle oder durch die ETS) ist der FDSK wieder gültig.

                  Wofür brauchst du eine Importfunktion? Meine Geräte habe ich secure in Betrieb genommen aber eine Import Funktion für die ETS habe ich bisher nicht benötigt.

                  Eine Export-Funktion ist um so wichtiger um z.B. einen Server z.B. Gira HomeServer mit den durch die ETS generierten Toolkey auszustatten.
                  Ja das ist verstanden. Aber wenn ich (aus welchem Grund auch immer) in 10 Jahren meine IP Secure Geräte in ein neues / anderes Projekt einbinden möchte, dann benötige ich ja den FDSK wieder. Und ich habe gerne alles digital gesichert. Deshalb benötige ich im Idealfall etwas, das ich am besten aus der ETS heraus verschlüsselt exportieren kann, um es dann bei Bedarf wieder in ein anders Projekt zu integrieren... Deshalb dachte ich an eine Import Funktion... Ich kann es gerne auch abtippen, die Frage ist nur, wie kann ich die von der ETS exportierte Datei wieder decrypten?

                  Und die andere Frage bleibt auch, warum unterscheiden sich die FDSK Schlüssel auf den gedruckten von denen in der ETS unter der gleichen Seriennummer abgesicherten Zertifikaten?

                  Vielen Dank!

                  Kommentar

                    #9
                    Zitat von Klaus Gütter Beitrag anzeigen
                    Der QR Code enthält die Seriennummer + FDSK + eine Checksumme, das ganze Base32-codiert. In der ETS-Ansicht sind die beiden Bestandteile getrennt aufgeführt.

                    Mit Security-Report meine ich den in der Report-Ansicht der ETS
                    Das passt, dann brächte ich nur einen Viewer dafür, um mir die Daten auch in 10 Jahren noch anschauen zu können... Oder bietet die ETS das an? Das wäre dann sozusagen meine "Importfunktion" die ich meinte

                    Grüße

                    Kommentar

                      #10
                      Da verweise ich nochmal auf die Reportfunktion der ETS
                      • Ausgewählte Antwort

                      Kommentar

                        #11
                        Zitat von Klaus Gütter Beitrag anzeigen
                        Da verweise ich nochmal auf die Reportfunktion der ETS
                        Alles klar, verstanden. Bin gerade endlich mal dazu gekommen, mir die Report Funktion im Detail anzuschauen. Da stehen dann tatsächlich die gleichen FDSK's drin, wie in den gedruckten Zertifikaten.

                        Das ist ja ideal, dann kann ich ja einfach die eh verschlüsselte Projektdatei archivieren und im Notfall dort alle Schlüssel extrahieren, wenn ich sie denn brauchen sollte.

                        Danke!

                        Kommentar

                        Vorherige template Weiter
                        Lädt...
                        X

                        Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                        Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                        Ich stimme zu