'Einfache' KNX-Geräte im Vergleich zu KNX-Secure-Geräten
Der Unterschied zwischen „einfachen" KNX-Geräten und KNX-Secure-Geräten besteht darin, dass KNX-Secure-Geräte in der Lage sind, Telegramme zu verschlüsseln und zu entschlüsseln. Diese Technologie bringt zusätzliche Sicherheit für eine KNX-Anlage, sowohl bei der Inbetriebnahme als auch während des Betriebs der KNX-Anlage. KNX-Telegramme, die von KNX-Secure-Geräten verschlüsselt werden, werden als KNX-Secure-Telegramme bezeichnet.
KNX-Secure-Gerät: Axiome
- Ein KNX-Secure-Gerät ist ein KNX-Gerät, das KNX-Telegramme verschlüsseln/entschlüsseln kann.
- Man unterscheidet zwischen zwei Typen von verschlüsselten KNX-Telegrammen.
- Vollständig verschlüsselte Telegramme: Dieser Typ kann nur auf dem KNX-IP-Medium angewendet werden und die auf diesem Typ beruhende Sicherheit wird daher als 'KNX IP Secure' bezeichnet.
- Teilweise verschlüsselte Telegramme: Dieser Typ kann auf jedem KNX-Kommunikationsmedium angewendet werden und die auf diesem Typ beruhende Sicherheit wird als „KNX Data Secure“ bezeichnet.
- KNX IP Secure wird für den Teil der KNX-Anlage verwendet (typischerweise ihre Backbone-Linie), der einem externen IP-Netzwerk, wie dem Internet, ausgesetzt ist.
- KNX Data Secure kann auch für das KNX-IP-Medium verwendet werden, darf aber nur für den Teil der KNX-Anlage verwendet werden, der NICHT einem externen IP-Netzwerk ausgesetzt ist.
- Jedes KNX IP secure und KNX Data secure Telegramm enthält einen MAC, das ist die Abkürzung für Message Authentication Code.
- Secure-Geräte haben einen sicheren Modus, der durch die Eigenschaft 'Sicherer Start' des Geräts im ETS-Projekt dargestellt wird. Nur wenn dieser sichere Modus aktiviert ist, können Telegramme verschlüsselt/entschlüsselt werden.
- Secure-Geräte haben einen Tool-Schlüssel, sofern der Secure-Modus eines Secure-Geräts aktiviert ist. Die ETS kann nur dann mit diesem Gerät kommunizieren, wenn sie den Tool-Schlüssel dieses Geräts kennt.
- Secure-Geräte haben einen FDSK = Factory Default Setup Key (werkseitig voreingestellter Setup-Schlüssel). Der FDSK ist pro Gerät eindeutig und kann nicht geändert oder gelöscht werden.
- Der Tool-Schlüssel eines Secure-Geräts ist normalerweise werkseitig auf seinen FDSK eingestellt.
- Der Tool-Schlüssel eines Secure-Geräts kann jederzeit über einen Master-Reset auf seinen FDSK zurückgesetzt werden. Fragen Sie den Hersteller, wie ein solcher Master-Reset durchzuführen ist.
- Die ETS kann den FDSK des Secure-Geräts nur über sein Zertifikat abrufen.
- Ein Gerätezertifikat ist pro Gerät eindeutig und besteht aus einem 25-stelligen Code, der seine Seriennummer und seinen FDSK enthält.
- KNX-Secure-Gerät: Axiome