Der System-Sicherheitsschlüssel

  • Stand: Dienstag, 09 Oktober 2012
  • Artikel:
Die Sache mit dem System-Sicherheitsschlüssel ist eine Geschichte voller Missverständnisse...so, oder so ähnlich könnte man das Thema umschreiben, schaut man sich die zahlreichen Fragen im Forum an. Dieser Artikel soll mal die häufigsten Fragen dazu gesammelt beantworten und ein wenig Licht in die Sache bringen.
Doch zunächst einmal soll geklärt werden, wozu der System-Sicherheitsschlüssel überhaupt da ist, und wann man ihn setzen sollte. Einige Komponenten des HomeMatic- System unterstützen eine gesicherte Übertragung der Daten - das sind speziell solche, die auch in sicherheitsrelevanten Bereichen zum Einsatz kommen, z.b. Tür- Fensterkontakte oder die KeyMatic. Als Grundlage dieser Verschlüsselung dient ein symmetrisches Kryptoverfahren names AES. Bei einer gesicherten Verbindung wird die Authentifikation zwischen Sender und Empfänger mit Hilfe von AES verschlüsselt und mit dem System-Sicherheitsschlüssel signiert. Damit erkennt der Empfänger dann, ob der Sender berechtigt war, diesen Befehl abzusetzen.
Für eine verschlüsselte Übetragung (und Einsatz von AES) ist die Vergabe eines eigenen, indivduellen System-Sicherheitsschlüssels nicht erforderlich - warum?

Alle HomeMatic-Komponenten, die eine gesicherte Übertragung unterstützen, haben bereits von Haus aus einen voreingestellten System-Sicherheitsschlüssel an Bord.
Es ist sogar durchaus sinnvoll, keinen eigenen Sicherheitsschlüssel zu erstellen:
Sollte es einmal passieren, das beim Konfigurieren, Anlernen, Ablernen oder sonstigem rumspielen etwas schief geht (z. B. Zentrale bootet nicht mehr/stürzt permanent ab, und man hat kein Backup mit dem aktuellen Sicherheitschlüssel), kann man sehr einfach alles zurücksetzen (Resetten) und/oder neu anlernen, da auch neue HomeMatic-Komponenten den Default-Sicherheitsschlüssel implementiert haben.

Hat man also einen eigenen, individuellen Sicherheitsschlüssel vergeben, kann ein Wiederherstellen des Systems ohne aktuellem Backup zum Problem werden!

Warum überhaupt ein eigener System-Sicherheitsschlüssel vergeben werden kann, hat folgenden Grund:

Sollte eines Tages der ausgelieferte Schlüssel geknackt und veröffentlich werden, kann man sich auf diese Weise einen neues generieren.
Man muss also abwägen, ob man ein hochsicheres System mit individuellem Schlüssel will, oder ein etwas leichter wartbares mit Default-Schlüssel. Für den Otto-Normal-Einbrecher oder Hacker dürfte es aber selbst mit geknacktem (also bekannten) Defaultschlüssel sehr schwierig sein, auf diesem Wege Unfug anzustellen.

Hat man sich aber dazu entschieden, einen eigenen Sicherheitsschlüssel zu vegeben, kann folgendes Frage-/Antwortspiel dabei helfen:
FrageAntwort
Hat ein Schlüssel Einfluss auf die Sender-Geschwindigkeit bzw. Verarbeitung? Nein. Aber wenn ein HomeMatic Gerät „gesichert“ kommuniziert, werden mehr Pakete übertragen. Das führt zu geringfügigen Verzögerungen und belastet batterie-betriebenen Geräte. Die Einstellung, „standard“ oder „gesichert“ zu übertragen, ist unabhängig von einem vergebenen Sicherheitsschlüssel.
Kann man einen Schlüssel auch im Nachhinein setzen, ohne das man alle Aktoren neu anlernen bzw. Konfigurationsdaten übertragen muss? Ja. Im Anschluss müssen aber die geänderten Konfigurationsdaten an die Aktoren übertragen werden, was je nach Einbausituation sehr aufwendig sein kann. Man sollte den Schlüssel also so früh wie möglich setzen. Ein erneutes Anlernen der Geräte ist nicht notwendig.
Hat der Schlüssel Einfluss auf die AES-Verschlüsselung (KeyMatic mit/ohne Schlüssel genau sicher)? Ja. Aus dem System- Sicherheitsschlüssel wird der AES Schlüssel generiert, mit dem die Authentifizierung abläuft.
Was passiert, wenn man den Schlüssel vergisst? Dazu ein Auszug aus dem Handbuch (WebUI, S. 32, 7.1.11):
Notieren Sie sich Ihren System-Sicherheitsschlüssel und bewahren Sie diesen an einem sicheren Ort auf. Aus Sicherheitsgründen besteht keine Möglichkeit den System-Sicherheitsschlüssel zurückzusetzen oder zu umgehen. Das Setzen des System-Sicherheitsschlüssels wirkt sich auf alle im System installierten Geräte aus.

Es gibt wirklich keine Möglichkeit, den System-Sicherheitsschlüssel in einzelnen Geräten zurückzusetzen. Falls noch alle Geräte angelernt sind, kann man diese in den Werkszustand setzen. Das Setzen in den Werkszustand ist wichtig, da sonst der Sicherheitsschlüssel im Gerät nicht gelöscht wird. Sind alle Geräte abgelernt, kann man seine Zentrale in den Werkszustand setzen (Systemreset). Dann ist auch der Sicherheitsschlüssel weg.
Was passiert, wenn die Zentrale ausgetauscht wird, die dann noch keinen Schlüssel hat? Man sollte immer ein funktionsfähiges Backup bei der Hand haben. Darin ist auch der System-Sicherheitsschlüssel enthalten.

ACHTUNG: Zum Einspielen eines solchen Backups muss der System-Sicherheitsschlüssel eingegeben werden. Das „Vergessen“ des Schlüssels ist an dieser Stelle „tödlich“.
Kann man den Schlüssel im Nachhinein noch ändern bzw. einen neuen vergeben? Was passiert dann mit den Geräten? Ja. Es stehen dann aber Konfigurationsdaten für jede Komponente zur Übertragung an.
Kann man den Schlüssel wieder entfernen? Wenn ja, wie? Ja, z.B. durch Systemreset. Vorher sollte man jedoch dringend alle HomeMatic Geräte in den Werkszustand setzen. Das Setzen in den Werkszustand ist wichtig, da sonst der Sicherheitsschlüssel im Gerät nicht gelöscht wird. Sind alle Geräte abgelernt, kann man seine Zentrale in den Werkszustand setzen (Systemreset). Dann ist auch der Sicherheitsschlüssel weg.
WICHTIGER HINWEIS ZUR VERGABE EINES SICHERHEITSSCHLÜSSELS:

Hat man sich dazu entschieden, einen System-Sicherheitsschlüssel zu vergeben, sollte man prinzipiell darauf verzichten, Sonderzeichen oder Umlaute zu verwenden. Vor allem das kaufmännische Und (&) hatte in einer früheren Firmwareversion so seine Tücken.

Kommentare (0)

Bitte Kommentar schreiben

Bitte einloggen, um einen Kommentar zu schreiben.

Kommentare // TecBase

ocrho

ocrho

01. Oktober, 2013 |

Wieso gibt es auch im Jahre 2013, also gut fünf Jahre nach dem Start von HomeMatic, immer noch keinen Befehl dafür? Die Skriptlösung...