HMLan-Adapter: System-Sicherheitsschlüssel ändern

Loxone im Einsatz? Dann schau dir unseren LoxKurs an und profitiere von unserem Wissen!

Sicherheit ist für ein Smart Home ein wichtiges Thema, gerade wenn es um darum geht, Türen und Fenster per Funk zu automatisieren. In Verbindung mit FHEM und dem HMLan-Adapter (Affiliate-Link) lassen sich viele HomeMatic-Komponenten ansteuern, darunter auch diejenigen, die eine AES-Signatur voraussetzen.

Dazu zählen der bereits vorgestellte KeyMatic (Affiliate-Link) (Keymatic per HMLan am FHEM-Server anlernen) und der WinMatic (Affiliate-Link) (Bessere Raumluftqualität durch FHEM und Homematic-Adapter), welche durch das nicht abschaltbare AES-Sicherheitsmerkmal vor Manipulation Dritter geschützt werden sollen.

Damit ein entsprechender Schutz auch greift, müssen jedoch zwingend vorab einige Anpassungen an der Konfiguration vorgenommen werden, indem der System-Sicherheitsschlüssel angepasst wird.

Welche Schritte notwendig sind, um die Funkverbindung zwischen den angesprochenen HomeMatic-Geräten im Rahmen der Nutzung durch FHEM abzusichern, wird nachfolgend erläutert.

AES-Signatur soll vor Manipulation schützen

HomeMatic gehört zu einem der Hersteller funkgestützer Systeme, der Wert auf zusätzliche Sicherheitsmerkmale legt. Aus diesem Grund können entsprechende HomeMatic-Komponenten, wie der KeyMatic und der WinMatic ausschließlich mit AES-Signatur angesteuert werden, was bei Nutzung von FHEM einen HMLan-Adapter voraussetzt. Ein CUL/CUN(O) kann dagegen ausschließlich HomeMatic-Komponenten steuern, die keine AES-Signatur voraussetzen.

Eine AES-Signatur bedeutet dabei, dass bei der Funkübertragung zusätzliche identifizierende Informationen zwischen Sender und Empfänger ausgetauscht werden, um sicherzustellen, dass auch tatsächlich nur der eigene HMLan-Adapter entsprechende Schaltvorgänge ausführen kann und kein Fremder. Dabei wird der AES-Schlüssel, welcher bei HomeMatic System-Sicherheitsschlüssel heißt, beim Anlernen vom HMLan-Adapter auf das neu angelernte AES-fähige HomeMatic-Gerät übertragen, so dass dieses nur noch dann schaltet, wenn bei einem Schaltbefehl der gesendete System-Sicherheitsschlüssel des HMLan-Adapters mit dem auf dem HomeMatic-Gerät gespeicherten System-Sicherheitsschlüssel übereinstimmt.

Werksseitig ist der HMLan-Adapter bereits mit einem solchen AES-Schlüssel ausgestattet, der jedoch im Grunde genommen sinnlos ist, sofern er nicht vom Nutzer manuell geändert wird.

Der Knackpunkt dabei ist nämlich, dass der AES-Schlüssel bei den betreffenden HomeMatic-Komponenten zwar noch nicht gehackt und damit augenscheinlich unbekannt ist, jedoch bei allen Geräten werksseitig IMMER identisch ist. Das bedeutet damit gleichzeitig auch, dass ein Fremder, welcher die genutzte hmId über das Mitlesen der Funkmitteilungen ausspioniert, dann theoretisch auch alle per AES-Signatur geschützten Komponenten schalten kann, wenn er einen HMLan-Adapter besitzt.

Um hier einen Riegel vorzuschieben, muss der werkseitig vergebene AES-Schlüssel des HMLan-Adapters zwingend geändert werden. Das Positive daran ist, dass der System-Sicherheitsschlüssel relativ einfach und im Nachhinein noch geändert werden kann, auch wenn die HomeMatic-Komponenten bereits angelernt sind.

Sicheren System-Sicherheitsschlüssel erstellen

Der erste Schritt zu einem sicheren System ist die Erstellung eines persönlichen System-Sicherheitsschlüssels, welcher z.B. unter passwortgenerator.org erzeugt werden kann. Ich würde empfehlen unter „Optionen“ (rechts oben) die Anzahl der Zeichen auf 16 zu erhöhen, damit der Schlüssel lang genug ist, um nicht einfach „erraten“ werden zu können.

Es dürfen KEINE Sonderzeichen gewählt werden, da es sonst zu Problemen kommen kann. Den über den Button „Neues Passwort generieren“ erstellten Schlüssel (in diesem Beispiel Ab3H62HDbpPYC4Kb) sollte man sich unbedingt sofort aufschreiben bzw. ausdrucken und auf die Rückseite seines HMLan-Adapters kleben, sofern sich dieser an einem sicheren, vor Dritten unzugänglichen Ort befindet.

Sollte dieser Schlüssel später nicht mehr auffindbar sein, können die per AES-Signatur angelernten Geräte aus Sicherheitsgründen NICHT MEHR geschaltet und vom Benutzer auch NICHT MEHR in den Werkszustand zurückgesetzt werden.

Die betroffenen Komponenten müssen dann an ELV geschickt werden, welche dann einen kostenpflichtigen Flash-Reset durchführen können. Weitere Informationen, was man tun kann, wenn der Schlüssel vergessen wurde, gibt es hier. Damit es gar nicht erst dazu kommt, hier nochmals der Hinweis, den Schlüssel unbedingt „offline“ sicher zu hinterlegen, damit er später zugreifbar ist, falls die FHEM-Konfiguration einmal das Zeitliche segnen sollte.

System-Sicherheitsschlüssel ändern

Der zweite Schritt zur Änderung des System-Sicherheitsschlüssels wird in der HomeMatic Software „HomeMatic-Komponenten konfigurieren (HomeMatic Konfigurator)“ vollzogen.

Hier empfiehlt es sich, sofern noch nicht geschehen, erst einmal alle gewünschten AES-fähigen Komponenten über die Software anzulernen, da dann bei der nachfolgenden Änderung des System-Sicherheitsschlüssels der daraus generierte AES-Schlüssel automatisch auch auf die HomeMatic-Komponenten übertragen wird.

Wie Geräte über die Software angelernt werden können, wird im Artikel Keymatic per HMLan am FHEM-Server anlernen erklärt. Wer noch keine Erfahrungen mit der Software „HomeMatic Konfigurator“ hat, sollte sich den Artikel auch unbedingt genauer ansehen, da hier auch beschrieben wird, was beim Wechsel des HMLan-Adapters zwischen FHEM und der HomeMatic Konfigurator-Software grundsätzlich beachtet werden muss.

Sind alle gewünschten Geräte über die Software „HomeMatic Konfigurator“ angelernt und tauchen in der Geräteliste auf, kann der im ersten Schritt erzeugte System-Sicherheitsschlüssel im Menüpunkt „Einstellungen“ -> „System-Sicherheitsschlüssel“ eingetragen und mit einem Klick auf „Schlüssel übernehmen“ geändert werden. Im Normalfall wird der aus dem System-Sicherheitsschlüssel generierte AES-Schlüssel dann sofort auf die bereits angelernten AES-fähigen HomeMatic-Komponenten übertragen.

Es kann dabei auch sein, dass einige Geräte dann noch kurz in den Anlernmodus gebracht werden müssen, um die Schlüsseländerung zu vollziehen. Entsprechende Hinweise werden in diesem Fall in der Software angezeigt. Die Änderung des System-Sicherheitsschlüssels kann auch in der Datei C:Dokumente und EinstellungenAll UsersAnwendungsdatenBidcos-Servicekeys (Windows XP) bzw. C:ProgramDataBidcos-Servicekeys (Windows 8) nachvollzogen werden. In der keys-Datei sollte ein entsprechender Eintrag unter „Key 1“ vorhanden sein, in welchem der gewünschte System-Sicherheitsschlüssel hinterlegt ist.

Nicht wundern, der angezeigte Schlüssel ist nicht gleichlautend mit dem vorher eingegebenen, da er in einem anderen Format abgespeichert wird. Da ich zwei HMLan-Adapters (mit dem selben geänderten System-Sicherheitsschlüssel) nutze, besitzt die Datei entsprechend zwei Key-Einträge:

Current Index = 2
Key 0 =
Key 1 = 6167AF6935FC9E6B642A4D751D6B42C9
Key 2 = 6167AF6935FC9E6B642A4D751D6B42C9
Last Index = 1

System-Sicherheitsschlüssel in FHEM hinterlegen

Der dritte und letzte Schritt ist die Anpassung der fhem.cfg, in welcher der neue System-Sicherheitsschlüssel mit dem Attribut hmKey hinterlegt werden muss. Wie im Artikel HMLan-Adapter am FHEM-Server einrichten beschrieben, heißt der HMLan-Adapter in diesem Beispiel ebenfalls HMLAN1 und muss entsprechend um die letzte Zeile ergänzt werden:

define HMLAN1 HMLAN 192.168.177.7:1000
attr HMLAN1 hmId 8D0C2D
attr HMLAN1 hmKey 01:Ab3H62HDbpPYC4Kb

An dieser Stelle ist der unter dem ersten Schritt erstellte System-Sicherheitsschlüssel, in diesem Beispiel Ab3H62HDbpPYC4Kb (siehe oben), zu verwenden. FHEM formatiert den System-Sicherheitsschlüssel bei der Speicherung dann automatisch in das passende Format um und zeigt eine entsprechende Nachricht an (userattr fm_type hmKey set to 01:e1c21c66490818a430175eca1ad89ba9).

Wer möchte, kann den bei dieser Benachrichtigung angezeigten Schlüssel auch in die fhem.cfg übernehmen und den alten Eintrag überschreiben. Dann taucht die Nachricht beim nächsten Speichervorgang nicht mehr auf. Ab sofort sollten alle AES-fähigen Komponenten auch über FHEM mit dem neuen System-Sicherheitsschlüssel angesteuert werden können.

In meinem Fall musste noch eine kleine Anpassung vorgenommen werden, damit es funktioniert. Das liegt wohl daran, dass ich bereits vorher einen weiteren HMLan-Adapter mit einem eigenen (wenn auch gleichen) System-Sicherheitsschlüssel ausgestattet hatte. In diesem Fall sieht der Eintrag für den jetzt zweiten HMLan-Adapter in der fhem.cfg so aus (also nach hmKey den Wert 02 anstatt 01):

define HMLAN1 HMLAN 192.168.177.7:1000
attr HMLAN1 hmId 8D0C2D
attr HMLAN1 hmKey 02:Ab3H62HDbpPYC4Kb

Aus meinem täglichen Leben

Die Anpassung des System-Sicherheitsschlüssels ist meiner Ansicht nach nur ein logischer Schritt, um die zur Verfügung stehenden Sicherheitsmerkmale komplett auszunutzen. Warum man bei Verwendung von Komponenten, die eine AES-Signatur voraussetzen, jedoch nicht standardmäßig gezwungen wird, den System-Sicherheitsschlüssel zu ändern, ist für mich aber schwer begreifbar.

Es ist ja schön, dass der werkseitig vergebene AES-Schlüssel noch nicht geknackt und damit eigentlich sicher ist. Wenn man aber nur im Besitz eines HMLan-Adapters sein muss, um diesen werksseitig bei allen Geräten identischen AES-Schlüssel missbrauchen zu können, um damit Komponenten von Dritten fernsteuern zu können, verstehe ich nicht, weshalb selbst das FHEM Wiki nicht zwingend alleine aus diesem Sicherheitsaspekt heraus IMMER zu einer Änderung des System-Sicherheitsschlüssels rät.

homematic-inside beschreibt dabei sogar Szenarien, weshalb es sinnvoll sein kann, keinen eigenen System-Sicherheitsschlüssel zu nutzen, für mich – unter Berücksichtigung der technischen Hintergründe – ehrlich gesagt mehr als nur fragwürdig.

Daher nochmals der Hinweis: Ändert den System-Sicherheitsschlüssel umgehend, wenn ihr KeyMatic und/oder WinMatic im Einsatz habt!

Einziger Wertmutstropfen, den ich bisher ausmachen konnte, ist, dass man den System-Sicherheitsschlüssel zwar mehrfach ändern, jedoch nachträglich nicht mehr auf den werksseitig voreingestellten System-Sicherheitsschlüssel zurücksetzen kann.

Insgesamt ist die AES-Signatur beim KeyMatic und WinMatic ein adäquates Mittel, um die Sicherheit zu erhöhen. In diesem Zusammenhang ist es etwas schade, dass nicht alle HomeMatic-Aktoren, wie Funk-Zwischenstecker oder Unterputzschalter die AES-Signatur unterstützen. Zwar dauert ein Schaltvorgang bei der Nutzung der AES-Signatur etwas länger, da statt einem insgesamt zwei Nachrichtenpaare zwischen Zentrale und Aktor ausgetauscht werden müssen, die künftige Implementierung der AES-Funktion in mehr Aktoren wäre dennoch wünschenswert. Dann könnte man immer noch selbst entscheiden, ob einem erhöhte Geschwindigkeit bei ausgeschalteter AES-Funktion wichtiger ist als der Sicherheitsaspekt.

Anmerkung: Da es sich bei der Funkübertragung zwischen den AES-fähigen HomeMatic-Geräten um KEINE Verschlüsselung im eigentlichen Sinn, sondern „nur“ um die Nutzung einer sicheren Signatur (Signingrequest-Modus oder AES-Challenge-Response) handelt, können Hacker auch nach der Änderung des System-Sicherheitsschlüssels AES-signierte Schaltvorgänge „mitlesen“, selbst aber keine Schaltvorgänge mehr ausführen, sofern ihnen der System-Sicherheitsschlüssel unbekannt ist.

Affiliate-Links

[easyazon_image align=“none“ height=“82″ identifier=“B0040770N4″ locale=“DE“ src=“https://www.meintechblog.de/wordpress/wp-content/uploads/2015/06/31nhSKZ37L.SL110.jpg“ tag=“meintechblog-131227-21″ width=“110″][easyazon_image align=“none“ height=“82″ identifier=“B00315QNQQ“ locale=“DE“ src=“https://www.meintechblog.de/wordpress/wp-content/uploads/2015/06/419LXMBaugL.SL1108.jpg“ tag=“meintechblog-131227-21″ width=“110″][easyazon_image align=“none“ height=“82″ identifier=“B0024GB8UY“ locale=“DE“ src=“https://www.meintechblog.de/wordpress/wp-content/uploads/2015/06/312BRIE8VHQL.SL110.jpg“ tag=“meintechblog-131227-21″ width=“110″][easyazon_image align=“none“ height=“110″ identifier=“B008LUMEKK“ locale=“DE“ src=“https://www.meintechblog.de/wordpress/wp-content/uploads/2015/06/519UFknCqeL.SL1102.jpg“ tag=“meintechblog-131227-21″ width=“110″]

 

Loxone im Einsatz? Dann schau dir unseren LoxKurs an und profitiere von unserem Wissen!

Verpasse keine Inhalte mehr! Trage dich in den Newsletter ein und folge uns auf Facebook.

Was ist ein Affiliate-Link? Wenn du auf einen Affiliate-Link klickst und über diesen Link einkaufst, bekomme ich vom betreffenden Online-Shop oder Anbieter eine Provision, was mich u.A. bei den laufenden Kosten den Blogs unterstützt. Für dich verändert sich der Preis nicht.

Jörg

hat meintechblog.de ins Leben gerufen, um seine Technikbegeisterung und Erkenntnisse zu teilen. Er veröffentlicht regelmäßig Howtos in den Bereichen Smart Home und Home Entertainment. Mehr Infos

36 Gedanken zu „HMLan-Adapter: System-Sicherheitsschlüssel ändern“

  1. Hallo,
    ich hab hier gleich mal ein Problem bekommen.
    Nach dem ändern des AES Schlüssels in den Sicherheitseinstellungen von der HMLAN Software, steht der Text „Konfigurationsdaten stehen zur Übertragung bereit“ drin.
    Ich kann allerdings machen was ich will, die vorhandenen sender werden nicht mehr gefunden. Der Text zu Übertragung verschwindet nicht und die Kommunikaiton mit den Geräten ist nicht mehr mögich. Ich denke der will den neuen Schlüssel zum ändern der anstehenden Änderung verwenden. Vielleicht ein Software Bug.
    Wie kann ich denn den Lan adapter auf Werkseinstellungen setzen ?

    Oder hast du noch eine Idee wie die Kommunikation wieder möglich ist.
    Also Fhem selbst ist AUS und greift nicht paralell auf den Lan Adapter drauf zu, und die gesicherte Netzwerk-Kommunikation hab ich zuvor wieder aktiviert, da du sonst von Problemen gesprochen hattest.

    Danke für weitere Vorschläge..
    Servus
    Chris

  2. Hallo, hat sich erledigt.
    In der Anleitung steht:
    Wurde ein System-Sicherheitsschlüssel vergeben, sind die angelernten HomeMatic-Komponenten
    in den Auslieferungszustand zurück zu versetzen. Lesen Sie dazu die Beschreibung der Bedienober- fläche (WebUI)
    Dazu ist auch noch gekommen, das der BidCos dienst im Hintergrund gelaufen ist, und der Direkten Kommunikation per IP Adresse immer mal wieder im Weg stand.
    Also hab ich dann auf BisCos umgestellt, nachdem ich gesehen hab das der Service im Hintergrund aktiv ist.

    Grüsse
    Christian

  3. Hallo,
    Ich habe nach deiner Anleitung den key 2 mal geändert doch ich bekomme beim speichern immer eine error meldung.
    Ich habe beide Keys getestet jeweils mit 01: und 02: davor doch es kommt immer der gleiche Fehler.

    define HMLAN1 HMLAN 192.168.1.40:1000
    attr HMLAN1 hmId XXXXXX72
    attr HMLAN1 hmLanQlen 1_min
    attr HMLAN1 wdTimer 25
    attr HMLAN1 hmKey 02:62DE5589E254AAAAAAAAA952E801953B

    so sieht das keys file aus:

    Current Index = 2
    Key 0 =
    Key 1 = B4EAAA0E59D0AAAAAAAA63B176E2AA79
    Key 2 = 62DE5589E254AAAAAAAAA952E801953B
    Last Index = 1

    Fehlermeldung:

    2014.01.14 12:40:39 1: HMLAN_Parse: HMLAN1 new condition disconnected
    2014.01.14 12:40:39 3: Opening HMLAN1 device 192.168.1.40:1000
    2014.01.14 12:40:39 3: HMLAN1 device opened
    2014.01.14 12:40:39 1: HMLAN_Parse: HMLAN1 new condition init
    2014.01.14 12:40:39 3: hmKey set to 02:62de5589e254a883aadba952e801953b
    2014.01.14 12:40:42 3: [STV] defined with host: 192.168.1.5 port: 55000 MAC: b8:27:eb:71:07:10
    2014.01.14 12:40:43 1: configfile: hmKey set to 02:62DE5589E254AAAAAAAAA952E801953B
    2014.01.14 12:40:43 1: Including ./log/fhem.save
    2014.01.14 12:40:44 2: SecurityCheck: WEB,WEBphone,WEBtablet has no basicAuth attribute. telnetPort has no password/globalpassword attribute. Restart fhem for a new check if the problem is fixed, or set the global attribute motd to none to supress this message.
    2014.01.14 12:40:44 0: Server started with 55 defined entities (version $Id: fhem.pl 4603 2014-01-10 12:28:58Z rudolfkoenig $, os linux, user root, pid 3462)
    2014.01.14 12:40:49 3: Device KL.Bewegungsmelder added to ActionDetector with 000:10 time
    2014.01.14 12:40:50 2: CUL_HM set glocken_relais statusRequest
    2014.01.14 12:41:06 1: Including fhem.cfg
    2014.01.14 12:41:06 3: telnetPort: port 7072 opened
    2014.01.14 12:41:06 3: WEB: port 8083 opened
    2014.01.14 12:41:06 3: WEBphone: port 8084 opened
    2014.01.14 12:41:06 3: WEBtablet: port 8085 opened
    2014.01.14 12:41:06 2: eventTypes: loaded 1008 events from ./log/eventTypes.txt
    2014.01.14 12:41:06 1: HMLAN_Parse: HMLAN1 new condition disconnected
    2014.01.14 12:41:06 3: Opening HMLAN1 device 192.168.1.40:1000
    2014.01.14 12:41:09 3: Can’t connect to 192.168.1.40:1000: Connection timed out

    weißt du woran es da scheitern kann?

    1. Hi Thomas,
      es kann anscheinend keine vernünftige Verbindung zum HMLan-Adapter hergestellt werden (Can’t connect to 192.168.1.40:1000: Connection timed out)
      Kontrollier doch mal, ob du die Einstellung „AES Encrypt Lan-Communication“ über die Originalsoftware wieder deaktiviert hast (Details siehe im Artikel hier im Punkt HMLan-Adapter in FHEM „anlernen“)
      Wenn du das bereits berücksichtigt hast, würde ich den HMLan-Adapter einfach mal mehrmals neustarten, manchmal zickt der bei Änderungen herum.

    2. Ich habe jetzt ein paar mal den Adapter als auch fhem selbst neu gestartet aber wenn ich über web die fhem.cfg speichere steht immer Error.
      Im Log sehe ich aber nichts davon

      root@raspberrypi:~# service fhem start
      Starting fhem…
      root@raspberrypi:~# tail -f /opt/fhem/log/fhem-2014-01.log
      2014.01.14 18:00:35 3: Device KL.Bewegungsmelder added to ActionDetector with 000:10 time
      2014.01.14 18:00:36 2: CUL_HM set glocken_relais statusRequest
      2014.01.14 18:00:47 0: Server shutdown
      2014.01.14 18:00:53 1: Including fhem.cfg
      2014.01.14 18:00:54 1: reload: Error:Modul 99_myUtils deactivated:

      2014.01.14 18:00:54 3: telnetPort: port 7072 opened
      2014.01.14 18:00:55 3: WEB: port 8083 opened
      2014.01.14 18:00:55 3: WEBphone: port 8084 opened
      2014.01.14 18:00:55 3: WEBtablet: port 8085 opened
      2014.01.14 18:00:55 2: eventTypes: loaded 1137 events from ./log/eventTypes.txt
      2014.01.14 18:00:55 1: HMLAN_Parse: HMLAN1 new condition disconnected
      2014.01.14 18:00:55 3: Opening HMLAN1 device 192.168.1.40:1000
      2014.01.14 18:00:55 3: HMLAN1 device opened
      2014.01.14 18:00:55 1: HMLAN_Parse: HMLAN1 new condition init
      2014.01.14 18:00:55 3: hmKey set to 02:62de5589aaaaaaaaadba952e801953b
      2014.01.14 18:00:59 3: [STV] defined with host: 192.168.1.5 port: 55000 MAC: b8:27:eb:71:07:10
      2014.01.14 18:01:00 1: configfile: hmKey set to 02:62de5589eaaaaaaaadba952e801953b
      2014.01.14 18:01:00 1: Including ./log/fhem.save
      2014.01.14 18:01:01 2: SecurityCheck: WEB,WEBphone,WEBtablet has no basicAuth attribute. telnetPort has no password/globalpassword attribute. Restart fhem for a new check if the problem is fixed, or set the global attribute motd to none to supress this message.
      2014.01.14 18:01:01 0: Server started with 59 defined entities (version $Id: fhem.pl 4603 2014-01-10 12:28:58Z rudolfkoenig $, os linux, user root, pid 3602)
      2014.01.14 18:01:01 1: HMLAN_Parse: HMLAN1 new condition ok

  4. Hallo,

    Sorry für diese Nachfrage zum HMLan-Adapter.

    Gern würde ich meine Fritzbox 7390 für HomeMatik verwenden.

    Daher die Nachfrage:
    Kann man den HMLan-Adapter nur für wired, AES-verschlüsselte Homematik-Komponenten verwenden oder gehen auch WLAN-Komponenten ohne Verschlüsselung?

    Danke
    Marcus

    1. Meinst du mit WLAN-Komponenten die funkgestützten Homematic-Geräte?…
      Der HMLan-Adapter kann für funkgestützte Homematic-Komponenten genutzt werden, die mit oder ohne AES-Signinatur funktionieren.

  5. Hallo,
    ich habe den AES Key von HMLAN und allen Geräten nach deiner Anleitung geändert und es hat soweit funktioniert. Ich konnte danach auch in FHEM damit arbeiten.
    Nachdem ich mir einen Dimmer zugelegt habe wollte ich den anlernen. Aufgrund des geänderten AES Keys wollte ich mit der Windows Software von Homematic den Key des Dimmers ändern. Ich habe im Lan-Interface Configurator den Haken bei „AES Encrypt LAN Communication“ gemacht und später wieder aus. Der Lan-Interface Configurator wollte darauf von von mir den 32 stelligen AES Key haben.
    Der Key, den ich generiert habe ist aber nur 16 Zeichen lang. Da 32 Zeichen erwartet werden und ich nur 16 eingegeben habe kann ich nicht auf Ok klicken (bleibt ausgegraut). Gebe ich den Schlüssel ein, der in meiner fhem.cfg gespeichert ist (hmKey) und der bisher immer funktioniert hat, fragt mich der LAN-Configurator erneut nach dem Schlüssel. Anscheinend akzeptiert er diesen so nicht.
    Wenn ich nur einen 16 stelligen Schlüssel habe, was muss ich dort eingeben? Und falls es der hmkey ist, warum wird meiner nicht akzeptiert, obwohl er bisher immer funktioniert hat?
    Das Problem ist, dass jetzt die AES Lan Verschlüsselung an ist, ich sie nicht mehr abstellen kann und damit der HMLan auch nicht mehr in fhem benutzbar ist.

    Danke schon maö
    Thomas

    1. Hi Thomas,
      der 32 stellige AES-Key für die LAN-Verschlüsselung (NICHT hmKey) steht auf der Rückseite des HMLan-Adapters.
      Grüße
      Jörg

    2. Danke.
      Ich habe immer den neuen Key probiert. Ich war davon ausgegangen, dass ich diesen nehmen muss, nach dem ich den originalen Key geändert habe.
      Aber mit dem alten Key hats dann tatsächlich funktioniert.
      Danke noch mal.

  6. > Eine AES-Signatur bedeutet dabei, dass bei der Funkübertragung zusätzliche Informationen (Sicherheitsschlüssel) zwischen Sender und Empfänger ausgetauscht werden

    Kleine Korrektur: Signatur. Der Schlüssel wird nicht übertragen. Normalerweise.

    > Dabei wird der AES-Schlüssel, welcher bei Homematic System-Sicherheitsschlüssel heisst

    Ist halt die große Frage. Es ist kein AES-Algorithmus bekannt, der mit dem eingegebenen Schlüssel die versendete Signatur erstellt. Der Schlüssel der Geräte wird eher nicht als AES-Schlüssel verwendet. Sonst könnte man den CUL-Adapter wahrscheinlich verwenden und müsste sich nicht HMLan ans Bein binden.

    > Sollte dieser Schlüssel später nicht mehr auffindbar sein, können die per AES-Signatur angelernten Geräte aus Sicherheitsgründen NICHT MEHR geschaltet […] werden.

    Ohne Einblick in die Funktionsweise der Geräte ist das reine Spekulation.

    > Warum man bei Verwendung von Komponenten, die eine AES-Signatur voraussetzen, jedoch nicht standardmäßig gezwungen wird, den System-Sicherheitsschlüssel zu ändern, ist für mich aber schwer begreifbar.

    Geht mir genauso. HomeMatic will idiotensicher sein und baut dann solche Schnitzer in der Standard-Konfiguration.

    > Es ist ja schön, dass der werkseitig vergebene AES-Schlüssel noch nicht geknackt und damit eigentlich sicher ist.

    Quelle?

    1. Hi Thomas,
      danke für deine Anmerkungen.
      Habe „Sicherheitsschlüssel“ im Artikel an der von dir angegebenen Stelle entfernt, danke für den Hinweis.
      Laut den Betriebsanleitungen von Homematic können angelernte AES-fähige Geräte, deren geänderter Schlüssel verloren wurde, nicht mehr geschaltet werden. Das habe ich mir nicht selbst ausgedacht.
      Eine Quelle, die belegt, dass der werksseitig vergebene AES-Schlüssels sicher ist? Eigentlich bedarf es meiner Meinung nach eher umgekehrt einer Quelle, die das Gegenteil belegt. Da ich diesbezüglich nirgends fündig geworden bin, gehe ich mal stark davon aus, dass meine Aussage korrekt ist. Gerne lass ich mich aber auch vom Gegenteil überzeugen..
      Grüße
      Jörg

    2. > Laut den Betriebsanleitungen von Homematic können angelernte AES-fähige Geräte […] nicht mehr geschaltet werden.

      Ob das stimmt? Wissen wir nicht. Wenn man sich andere ungeprüfte Software anguckt, kann man nur davon ausgehen, dass auch hier der Hersteller irgend etwas erzählt.

      > Eine Quelle, die belegt, dass der werksseitig vergebene AES-Schlüssels sicher ist? Eigentlich bedarf es meiner Meinung nach eher umgekehrt einer Quelle, die das Gegenteil belegt.

      Das köllsche Prinzip „Et hätt noch emmer joot jejange.“ war mir in diesem Zusammenhang noch nicht so geläufig. :-)

  7. Hallo Jörg,
    nachdem ich seit gestern auch Besitzer eines Keymatic mit zugehörigem HM-Lan Konfigurationsadapters bin, habe ich gestern diesen erst montiert, mit den Fernbedienungen gepaired und danach gemäß deiner sehr guten Anleitung den Sicherheitsschlüssel geändert. Leider lässt sich seitdem die Keymatic nicht mehr mit den FB‘s steuern und bei dem Versuch diese neu an die FB anzulernen, erscheint in der Anzeige der Keymatic ein „C“.
    Was muss ich tun, das ich die FB’s wieder nutzen kann, muss die Keymatic wieder in den Werkszustand versetzt werden?
    Gruß und Danke!
    Klaus

    1. Hi Klaus,
      ich würde so vorgehen: Fernbedienung und Keymatic komplett resetten. Die Fernbedienung dann mit FHEM koppeln, welches bereits den gewünschten AES-Key enthält. Danach die Fernbedienung direkt mit dem Keymatic peeren. Zum Schluss dann den Keymatic an FHEM anlernen (zur Bestätigung muss dabei eine Taste an der Fernbedienung gedrückt werden).
      Hoffe damit kommst du weiter!

      Grüße
      Jörg

  8. Hallo,
    ich habe beim setzen eines neuen Keys das Problem das sich zwei Aktoren nicht setzen ließen und immer die Servicemeldung stehen blieb „Konfigurationsdateien stehen zur Übertragung an“ . Ich habe dann alles mögliche ausprobiert das zu lösen, kam aber zu keinem Ergebnis.
    Dann habe ich den Aktor aus der Geräteliste gelöscht mit „Gerät in Werkszustand setzen“, was auch geklappt hat.
    Danach das Gerät mit der Seriennummer neu angelernt -> OK.
    Direkte Geräteverknüpfung eingetragen -> OK
    Diese Direkte Geräteverknüpfung dann bearbeiten -> Noch vor dem Speichern kommen jetzt die Servicemeldungen „Gerätekommunikation war gestört“ und “ Konfigurationsdateien stehen ..“.
    Bin jetzt wieder da wo ich schon mal war.

    Meine Vermutung ist das diese zwei Aktoren noch den Original Key verwenden die Zentrale aber davon ausgeht das diese mit dem neuen Key angesprochen werden. Leider ist in meiner Keys – Datei der Originalschlüssel nicht drin:
    Current Index = 2
    Key 0 =
    Key 1 = 019E9BB19AC6715AD220E67B9A8D9665
    Key 2 = 019E9BB19AC6715AD220E67B9A8D9665
    Last Index = 1

    Hat jemand eine Idee was ich noch probieren könnte bzw. den originalen Schlüssel?

    Viele Grüße
    Uli

  9. define HMLAN1 HMLAN 192.168.177.7:1000
    attr HMLAN1 hmId 8D0C2D
    attr HMLAN1 hmKey 02:Ab3H62HDbpPYC4Kb

    Wenn ich mein system neu aufbau muss ich dann den hmKey eintragen.
    In dem Artikel wo es nur um den HMLAN geht ist das ja auch nicht nötig.
    Verstehen das nicht so richtig wenn ich den AES änder dann bekomme ich doch auch eine neu ID im \Bidcos-Service\keys oder nicht ???

    1. Ich weiss jetzt ehrlich nicht genau, ob ich dein Anliegen bei der in der Tat etwas hölzernen Satzzeichensetzung korrekt beantworten kann. :)
      Wenn du dein System neu aufsetzt, musst du den Sicherheitsschlüssel erstmal nicht zwangsläufig anpassen und benötigst damit auch den hmKey nicht. Wenn du den AES-Key dann nachträglich änderst, bekommst du eine neue ID, welche dann aber zwangsläufig in der Konfiguration als hmKey angegeben werden muss.
      Hoffe das hilft weiter.
      Grüße
      Jörg

    2. Also wenn ich gleich den AES schlüssel änder und mit der geänderten hmID dann mit fhem beginne benötige ich den hmKey nicht?
      Ist der hmKey also nur wichtig wenn ich mit Standart angefangen habe und dann den AES änder ist das o Richtig?

  10. Puh!
    Ich hab mir das soweit durchgelesen und verstehe die Brisanz. Aber irgendwie weiss ich nicht so genau was besser ist…
    Ich fange gerade an und habe FHEM auf Rasp installiert und diesen mit dem HMLan Adapter verbunden. (Alles aus deinem Blog!! Echt spitze!!!)
    Jetzt bin ich auf dieses Security Feature gestoßen. Ob und wann ein Keymatic kommt weiss ich noch nicht, aber macht es nun mehr Sinn die Verschlüsselung JETZT schon zu ändern oder erst später?

    Ich kann nicht abschätzen was sich ändert wenn ich jetzt die Verschlüsselung ändere und später dann iiirgendwann den Keymatic (oder andere AES Kompnenten) hinzufügen will. Ich habe zwar verstanden das bei einem vorhandenen Setup von Hardware sich der Key durch die Geräte syncronisiert.. Aber was ändert sich halt dann wenn ich Nachträglich zB. einen weiteren Keymatic installieren mag.

    Neukauf, Installation & Key Update
    oder
    Neukauf, Installation, Keymatic(s) & dann Key Update

    Viele Grüße

    Tom

    1. Aus technischer Sicht ist es eigentlich egal, zu welchem Zeitpunkt der Key geändert wird. Wenn ich die Wahl hätte, würde ich ihn aber schon alleine aus dem Sicherheitsstandpunkt heraus so schnell wie möglich ändern. Den geänderten Key in jedem Fall zusätzlich offline aufschreiben, damit er auch bei einem etwaigen Datenverlust wiederhergestellt werden kann.
      Grüße
      Jörg

  11. Hallo Jörg,
    darf auch ich doch mal stören ?
    Erst mal Danke für die super Anleitung, hat auch alles super gklappt, habe nur ein einziges Problem.
    Kann also die KM über Fehm steuern, open,lock,unlock funktionieren Allerdings kann ich keinerlei Änderungen an der KM vornehmen, wie z.B. holdTime, oder Drehwinkel, etc.
    Funktioniert das denn bei Dir ?
    Also set keymatic regSet holdTime 1 z.B.
    Merkwürdigerweise scheint die KM die Commands anzunehmen und auszuführen, doch leider sieht man die Änderungen im FHEM nicht.
    Wäre nett, wenn Du das mal teste könntest.
    gruß klaus

    1. Hi Klaus,
      hab den Keymatic gerade nicht in Betrieb, kann deshalb nicht testen. Würde ihn einfach nochmal aus der fhem.cfg rauslöschen (vorher natürlich Backup erstellen) und dann neu anlernen. Evtl. klappt es ja dann besser.
      Grüße
      Jörg

  12. Eine Frage:
    Damit auch niemand mein Licht einschalten kann, ist es auch möglich „normale“ Aktoren auf AES um zu stellen so dass sie nur noch durch den zertifizierten Sender schalten?

  13. Hall Jörg

    Wie muß man vorgehen, wenn man in FHEM einen HM-LAN und einen HM-USB parallelel als IO mit derselben hmID verwenden will. In der Homematic-Konfiguration kann man ja nur jeweils einen davon aktivieren. Muß man jeweils alle Geräte an einem IO anmelden und dann den AES-Key setzen und dann das ganze mit dem anderen IO und demselben Key wiederholen?

    Gruß
    Kurt

  14. Hallo,

    ich habe mir den Artikel jetzt durchgelesen allerdings werde ich aus der Verteilung der Schlüssel nicht schlau.

    In dieser Anleitung steht: „Hier empfiehlt es sich, sofern noch nicht geschehen, erst einmal alle gewünschten AES-fähigen Komponenten über die Software anzulernen, da dann bei der nachfolgenden Änderung des System-Sicherheitsschlüssels der daraus generierte AES-Schlüssel automatisch auch auf die HomeMatic-Komponenten übertragen wird.“

    Wie kann ich das verstehen? Muss ich jetzt jedes Mal bevor ich ein neues Gerät in FHEM einbinde die Werkssoftware verwenden um den neuen AES Schlüssel zu übertragen?

    Gruß
    Manuel

    1. Hi Manuel,
      im Grunde ist es egal, wie du vorgehst. Du kannst die Geräte auch direkt mit FHEM koppeln und über FHEM-Konsolenbefehle parametrieren. Der Blogpost ist schon einige Tage alt, da hatte ich selbst noch nicht so den Durchblick.

      Grüße
      Jörg

  15. Hallo,

    erst einmal ein dickes Dankeschön für die Beiträge in diesem Blog. Mit viel Begeisterung lese ich mir gerade nach und nach die für mich relevanten Beiträge durch.

    Allerdings hätte ich dazu zwei Fragen auf die ich auch nach längere Recherche selbst keine Antwort gefunden habe. Im Abschnitt „Sicheren System-Sicherheitsschlüssel erstellen“ wird zu einem 16-stelligen Sicherheitsschlüssel geraten. Als ich neulich über einen Beitrag (https://blog.ploetzli.ch/2015/on-the-security-of-aes-in-homematic) zur generellen Sicherheit von Homematic gestoplert bin, fragte ich mich ob die 16 Stellen ausreichen um den Sicherheitsschlüssel auf lange Zeit verwenden zu können. Gibt es dazu vielleicht eurerseits eine Empfehlung oder habt ihr eine Quelle die sich mit der sicheren Erstellung eigener Sicherheitsschlüssel beschäftigt? Die zweite Frage wäre: Gibt es eures Wissens nach eine Obergrenze für die Länge des Sicherheitsschlüssels oder weitere Restriktionen außer den bereits erwähnten? Beispielweise maximal XX Stellen, keine Sonderzeichen (0-9, a-z, A-Z), evtl nur Hexadezimalzahlen (wie voreingestellter Schlüssel)

    Vielen Dank schon mal im Voraus und immer weiter so. Ihr macht das wirklich Klasse.

    Grüße
    Andreas

  16. Hallo zusammen,
    ich habe den Sicherheitsschlüssel auch geändert und alles läuft reibungslos. Allerdings stellt sich mir folgende Frage. Zu Reichweitenerhöhung wollte ich einen zweiten HMLAN einbinden. Prinzipiell ja kein Problem, da der geänderte Sichehheitssehlüssel natürlich notiert wurde.
    Allerdings ist der HMLAn und auch der CulStick nicht mehr erhältlich. Statt dessen gibt es nun ein Funkmodul (HM-MOD-RPI-PCB), das entweder auf den RPI mit FHeM gesteckt werden kann oder mit einem RPI ohne FHEM als HMLAN Ersatz verwendet werden kann (http://www.fhemwiki.de/wiki/HM-MOD-RPI-PCB_HomeMatic_Funkmodul_für_Raspberry_Pi). Hat jemand schon Erfahrungen gemacht, wie es sich hier mit der Änderung des Sicherheitsschlüssels verhält?
    Prinzipiell ist das Funkmaul ja eine sehr vielversprechende Alternative zum HMLAN.
    Danke schon mal

  17. Hallo zusammen,
    ich steige auch erst gerade in diese Thematik ein. Es existiert aber bisher nur FHEM auf einem Raspi2 mit CUL. Keymatic wurde noch nicht gekauft und HM-LAN fehlt ebenfalls. Den gibt es eigentlich auch nicht mehr zu kaufen. Wenn ich mir hier nun die benötigte Hardware zusammenkaufe, setzte ich dann auf ein totes Produkt? Gibt es sinnvolle Alternativen die sicher (bzw. gerne sicherer) sind und mit FHEM zusammenarbeiten?
    Beste Grüße
    Jan

  18. Hallo, ist vielleicht schon eine Zeit vergangen und ich hoffe jemand von euch hat eine Idee.
    Ich habe einen HM LAN, bin jetzt dabei auf die CCU2 umzusteigen und alle Geräte umziehen zu lassen. Das gelang bis jetzt auch alles ganz gut, zumindest bei den Standard Geräten. Ich haben nun zwei Melder von dem HM Lan abgemeldet und bekomme diese nicht an die CCU angemeldet, da er von mir diesen Sicherheitsschlüssel haben will. Diesen konnte ich wie beschrieben auch in der keys Datei finden, jedoch funktioniert das mit der Anmeldung nicht. Weder auf dem HM Lan (zurück) auch nicht auf der CCU2.
    Die Datei ist von 2015, ich habe jedoch nie den Code geändert, sodass man annehmen sollte, dass es klappt. Auch der AES Key brachte keinen Erfolg.
    Habt ihr eine Idee und könnt mir helfen??

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert