KNX Data Secure

cbeham · 13. Oktober 2022 um 12:43

Tagchen Zusammen,

ich beschäftige mich gerade mit KNX Data Secure, weil ich 2 neue LK mit Data Secure Funktion erhalten habe.

Meine Frage nun:
Tausche ich auch später meinen IP Router gegen Secure aus, macht das dann bei IPS Probleme?
Müsste ich etwas umstellen?

Danke und lg
Chri

paresy · 13. Oktober 2022 um 13:07

Können deine Geräte auch alle KNX Data Secure? Wenn nein, ist es eh egal, weil du die GAs dann wahrscheinlich ohne Secure betreiben wirst. Sofern du in der ETS an deinen GAs aber das schöne blaue Schild Symbol hast, nutzt du KNX Data Secure und dann bitte weiter lesen:

IP-Symcon muss dann ebenfalls KNX Data Secure beherrschen, da das IP Gateway (egal ob Secure oder nicht) sich nicht um KNX Data Secure kümmert. Wenn du KNX IP Secure hinzufügst, dann werden die ohnehin schon mit KNX Data Secure verschlüsselten Pakete nochmal über KNX IP Secure verschlüsselt. (Auch hier muss IP-Symcon zusätzlich KNX IP Secure beherrschen).

Support für KNX IP Secure und KNX Data Secure kommt mit IP-Symcon 6.4. Wir haben dafür die ersten Beta Versionen übrigens auf der Light+Building letzte Woche vorgestellt. Am Ende importierst du nur den Schlüsselbund aus der ETS nach IP-Symcon und der Rest ist Magic als wenn es gar keine Verschlüsselung geben würde.

paresy

cbeham · 13. Oktober 2022 um 13:22

Ok, vielen Dank Michael.

Also wen ich nun irgendwann meinen IP Router in einen Secure Data IP Router wechsle hat das noch keine Auswirkung solange nicht alle GA mit Data Secure kommunizieren. Richtig?

Wenn aber bei nur einer oder mehreren GA das blaue Schild angezeigt wird, heißt das das IPS diese Adresse nicht mehr lesen kann?

paresy · 13. Oktober 2022 um 13:46

Nein. Wenn du ein IP Secure Gateway hast, dann ist die Strecke von IP-Symcon zum Gateway verschlüsselt. Auf dem Bus läuft alles unverschlüsselt. Wenn an der GA das blaue Schild ist, dann ist auch auf dem Bus die Kommunikation verschlüsselt.

Für beides wirst du die 6.4 brauchen. Ansonsten kannst du nichts empfangen oder schreiben. (Zumindest die verschlüsselten GAs)

presy

Slummi · 15. Juni 2023 um 19:12

Ich nutze mal diesen Thread, auch wenn er schon etwas älter ist.
Ich habe mir das Webinar zur 6.4 und KNX Secure angesehen und bin ein wenig verwirrt.

Wie kann ich denn Data Secure ohne IP Secure in IPS nutzen?
Der normale Splitter KNX/IP (UDP) bietet keine Möglichkeit zum Hinterlegen eines Schlüsselbundes.
Neu gibt es die Splitter-Typen KNX/IP Secure (TCP) und Symbox mit KNX (Data Secure).

Wenn ich aber weder IP Secure / TCP noch eine Symbox nutze, was mache ich dann?
Data Secure funktioniert ja auch mit alten KNX-Routern/-Interfaces, wenn Long Frames unterstützt werden.

Muss ich jetzt zwingend auf ein Gateway mit IP Secure und TCP wechseln, um Telegramme mit Data Secure in IPS verarbeiten zu können oder ist die Namensgebung für die unterschiedlichen Splitter-Typen nur etwas unglückglich gewählt und ich kann auch bei einem alten Interface einfach auf KNX/IP Secure (TCP) wechseln, um Data Secure nutzen zu können?

paresy · 15. Juni 2023 um 20:44

Ich muss zugeben, dass wir diesen Use-Case einfach nicht betrachtet haben. Bisher war eigentlich immer ein IP Secure Interface verfügbar, wenn auch Data Secure Komponenten genutzt wurden. Ich bin mir auch nicht sicher, ob das überhaupt korrekt funktioniert.

Bei mir in der ETS 6.1 hab ich gerade ein Weinzierl 731 reingezogen und ich kann dort nirgends die sicheren GAs reinziehen. Bei Data Secure ist es aber unabdingbar, dass die teilnehmen Geräte wissen, dass die PA des Gateways (und dort wird es nochmal spannend, da jeder Kanal eine PA hat) dem Gegenüber bekannt sind. (Deswegen die aktuelle Einschränkung auf der SymBox, dass diese verschlüsselte Telegramme empfangen kann, aber noch nicht senden kann, da wir (noch) keine zertifizierte Applikation haben, die einen Tunnel besitzt, auf den du die GAs ziehen kannst)

Hinweis: Die ETS kann über dein „altes“ Interface übrigens verschlüsselte GAs schalten. Aber die ETS greift dafür in die Trickkiste und braucht mehrere Kommandos. Du kannst ja mal im Bus Monitor schauen, was alles passiert, wenn die ETS verschlüsselte Telegramme versendet

paresy

Slummi · 16. Juni 2023 um 06:51

Ah ok, das kann natürlich sein, dass Data Secure in Verbindung mit einer Visualisierung ein Sonderfall ist und aus den von dir genannten Gründen dann doch ein neues Interface erforderlich ist. Ich bin davon ausgegangen, dass ein altes Gateway die verschlüsselten Telegramme einfach weiter reicht, wie normale Telegramme auch.
Betrachtet man den Bus isoliert, dann funktioniert Data Secure auch so, sofern die beteiligten Koppler Long Frames unterstützen.

Ich schaue mir das noch mal genauer an. Erst mal danke für die Info!

tobiasr · 16. Juni 2023 um 10:16

Kann hier kein Secure Dummy helfen?

paresy · 16. Juni 2023 um 10:19

Das wäre wahrscheinlich möglich.

paresy