HM-TC-IT-WM-W-EU mit aktiviertem AES -> Daten werden nicht aktualisiert

Terran · March 5, 2017, 2:33pm

Folgendes Problem:
Ich habe mein System komplett neu aufgebaut (homegear 0.6. mit openhab2 auf einem Raspi 3 mit HM-MOD-RPI-PCB). Es funktioniert soweit ganz wunderbar, nur ist mir aufgefallen, dass die ausgelesenen Werte der Thermostaten sich nie ändern und völligen Blödsinn anzeigen.
Heute hatte ich mal etwas Zeit da herum zu spielen und das Logfile beobachtet. Dort kam immer wieder die Meldung, dass wegen der AES Verschlüsselung die Broadcast-Pakete des HM-TC-IT-WM-W-EU verworfen werden. Nun habe ich testhalber die Verschlüsselung deaktiviert und schon werden die auch auf dem Display angezeigten Werte in openhab angezeigt (bzw. deren Entsprechung in “config print”).

In der homematicbidcos.conf gibt es ja den Schalter, mit dem die AES Broadcast Pakete aktiviert werden können, versehen mit einem Sicherheitshinweis. Mir erschließt sich dabei nicht, warum Broadcast Pakete weniger sicher sein sollen als Unicast Pakete, beide werden über das gleiche, leicht abhörbare Medium übertragen. Schon gar nicht erschließt es sich mir, was für einen Sicherheitsgewinn das ignorieren dieser Pakete bringen soll, die Geräte senden diese Pakete ja trotzdem. Gibt es hierzu Hintergrundinformationen?

Terran · March 5, 2017, 2:47pm

Ich glaube, ich habe die Meldung falsch verstanden, die Broadcast Pakete sind gar nicht verschlüsselt, oder? Dann würde der Schalter Sinn machen.

Wäre es denkbar die Ausnahmegenehmigung auf Gerätetyp-Basis zu machen? Denn das Gleiche trifft wohl auch auf die Thermostate zu, dort habe ich das gleiche Problem… Sprich, von einigen Geräten sind unverschlüsselte Statusupdates mit bestimmten Daten erlaubt.

pmayer · March 5, 2017, 5:43pm

Hi @Terran,

schau mal hier: https://wiki.fhem.de/wiki/AES_Encryption
Dort ist recht gut erklärt, was AES bei den homematic-Geräten macht.

so long,
p

Terran · March 5, 2017, 7:24pm

hi @pmayer

vielen Dank für den Link. Mein Problem erklärt sich daraus nur indirekt, da das Thema Broadcasts dort nicht behandelt wird, aber beschrieben ist, welche Datenpakete gesichert übertragen werden, und da gehören Statusupdates eben nicht dazu. Hier könnte man wohl den Hebel ansetzen und eben diese Datenpakete ohne Signatur erlauben, denn die sind ja nie signiert. Es muss dann aber sichergestellt werden, dass sie nur die tatsächlich erlaubten Daten enthalten…

pmayer · March 5, 2017, 7:26pm

Du kannst auch mal das Video von @sathya vom 30C3 angucken. Dort wird homematic-AES komplett aufs Kreuz gelegt:

Terran · March 5, 2017, 7:31pm

Cool, vielen Dank, das schaue ich mir grad mal an

Terran · March 5, 2017, 8:30pm

Sehr informativ was die Paketdekodierung angeht und wie man das System angreifen kann. Mir hat auch die Motivation gefallen und das Ergebnis kenne ich ja schon länger

Letztendlich bleibt es aber bei meinem Anliegen (jetzt sogar noch mehr). Ich möchte nicht auf die Authentifizierung mittels AES verzichten, aber eben auch die aktuellen Sensorwerte haben, die aber als Broadcast Pakete gesendet werden. Ich bin mir auch immer noch nicht sicher, ob die Broadcast Pakete nun signiert sind oder nicht, ich vermute mal aber eher nicht.

pmayer · March 5, 2017, 8:46pm

Das kann glaube am besten @sathya beantworten.

sathya · March 17, 2017, 11:37am

Nein sind sie leider nicht. Falls du AES einschalten möchtest und die Broadcast-Werte dennoch verarbeitet werden sollen, gibt es den Parameter processBroadcastWithAesEnabled in der homematicbidcos.conf.

Viele Grüße

Sathya