KNX Data Secure · AES-128 · Bus TP · Sicurezza indirizzi di gruppo · ETS6 · 10 min di lettura

KNX Data Secure: Crittografia a livello applicativo per indirizzi di gruppo e attuatori sensibili

KNX Data Secure crittografa i singoli telegrammi direttamente sul bus KNX TP – proteggendo la comunicazione degli indirizzi di gruppo sensibili a livello applicativo, indipendentemente dal mezzo fisico o dalla configurazione di sicurezza del backbone IP. È la misura di sicurezza appropriata quando l'accesso fisico al bus TP rappresenta una minaccia realistica.

Panoramica di KNX Data Secure

KNX Data Secure applica la crittografia AES-128-CBC e l'autenticazione HMAC-SHA256 al livello applicativo KNX — ciò significa che i singoli telegrammi KNX TP sul bus sono crittografati. Questo è diverso da KNX IP Secure, che crittografa i pacchetti KNXnet/IP sul backbone Ethernet ma lascia i telegrammi del bus TP in chiaro.

CaratteristicaKNX Data SecureKNX IP Secure
ProteggeTelegrammi del bus KNX TP (livello applicativo)Pacchetti KNXnet/IP (livello IP)
AlgoritmoAES-128-CBC + HMAC-SHA256AES-128-CBC + HMAC-SHA256
Ambito della chiaveChiave unica per dispositivoChiave backbone (a livello di progetto)
Minaccia fisicaAccesso fisico al busAccesso alla rete Ethernet
RetrocompatibileSì – i dispositivi non sicuri coesistono sullo stesso busNo – tutti i router IP devono supportare Secure

Minacce mitigate da Data Secure: intercettazione del bus TP tramite un monitor a clip (l'attaccante necessita di accesso fisico al canale portacavi o alla scatola di derivazione), iniezione di telegrammi da parte di un attaccante che ha collegato un dispositivo KNX malevolo al bus, e dispositivi malevoli aggiunti alla linea TP che tentano di controllare attuatori protetti. Senza Data Secure: qualsiasi dispositivo KNX sul bus può inviare telegrammi di scrittura a qualsiasi indirizzo di gruppo, inclusi gli indirizzi di gruppo di controllo della serratura della porta.

Casi d'uso: quando è richiesto Data Secure

KNX Data Secure non è richiesto per tutti i circuiti – aggiunge overhead di telegrammi e richiede dispositivi compatibili sia sul lato mittente che ricevente. Dare priorità a Data Secure per i circuiti in cui un telegramma non autorizzato potrebbe avere conseguenze fisiche sulla sicurezza o protezione.

Data Secure fortemente raccomandato

  • Attuatori per controllo accessi (relè serratura porta, serratura elettrica, serratura magnetica)
  • Interfaccia KNX del pannello di allarme (comandi di inserimento/disinserimento)
  • Trigger KNX per NVR CCTV (abilitazione/disabilitazione registrazione)
  • Interfacce KNX per serrande tagliafuoco e smorzatori di fumo
  • Controllo KNX dell'illuminazione di evacuazione
  • Installazioni governative e bancarie – tutti gli attuatori

Protezione dati raramente necessaria

  • Controllo illuminazione standard per uffici o residenziale (basso rischio)
  • Controllo setpoint temperatura HVAC (basso impatto sulla sicurezza)
  • Controllo posizione tapparelle/tende (preoccupazione privacy, non sicurezza)
  • Pulsanti di controllo delle scene in aree non ristrette
  • Indirizzi di gruppo per la misurazione dell'energia (sola lettura, senza attuatore)

Dispositivi compatibili

KNX Data Secure richiede che sia il dispositivo trasmittente (pulsante o controllore logico) che il dispositivo ricevente (attuatore) siano compatibili con Data Secure. Un telegramma crittografato da un pulsante Secure non può essere gestito da un attuatore non Secure – l'attuatore lo scarta come formato non riconosciuto.

Esempi di dispositivi compatibili con Data Secure

Switch actuators:
  MDT AKS-0816.02   — 8×16A Data Secure switch actuator
  MDT AKS-0424.02   — 4×16A Data Secure switch actuator
  Gira 2094-00      — 8-channel Data Secure switch actuator
  ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure

Push-buttons / inputs:
  Gira 2093-00      — Push-button with Data Secure support
  MDT BE-GT2W.02    — Glass push-button with Data Secure
  ABB M4120-01      — 4-gang binary input with Data Secure

Logic / coupling:
  Gira X1           — Logic processor and gateway with Data Secure
  MDT SCN-IP100.02  — IP router with Data Secure gateway function
  Weinzierl KNX IP Interface 740 — with Data Secure support

Check: KNX Secure logo (lock icon) in device datasheet
ETS6: Data Secure capable devices show padlock icon
in device catalog and in the device properties panel

Configurazione Data Secure in ETS6

Data Secure viene configurato in ETS6 per singolo dispositivo. ETS6 genera chiavi casuali uniche per ogni dispositivo e le scarica durante il processo standard di configurazione completa del dispositivo. Le chiavi sono di sola scrittura – non possono essere lette da un dispositivo messo in servizio per motivi di sicurezza.

Configurazione del dispositivo Data Secure in ETS6

Per-device configuration in ETS6:
  Select device in topology → Properties panel
  Security tab → Data Secure: Enable (checkbox ON)
  Tool access code: set a 6-digit code (prevents unauthorised
  ETS6 parameter access to this device without the code)
  Key: generated automatically by ETS6 (unique per device)

Key properties:
  Generated: 128-bit random key per device
  Stored: in ETS6 project file (encrypted)
  Downloaded: to device during Full Device Configuration
  Cannot be read back: device stores key in write-only memory
  If key lost: must factory reset device to clear it,
  then re-download with new key from ETS6

Tool access code usage:
  Required when accessing device parameters in ETS6
  (prevents unauthorised configuration changes on-site)
  Store tool access codes in password manager
  Document in commissioning record (access-restricted copy)

Livelli di sicurezza degli indirizzi di gruppo

ETS6 consente di assegnare individualmente un livello di sicurezza a ciascun indirizzo di gruppo. Ciò consente di applicare selettivamente la crittografia – proteggendo solo gli indirizzi di gruppo sensibili, mentre gli indirizzi non critici per le prestazioni rimangono non crittografati per ridurre al minimo l'overhead dei telegrammi.

Livello di sicurezzaProtezioneOverheadRaccomandato per
NessunoNessuna sicurezza – telegramma KNX standardNessuno (+0 byte)Compatibilità legacy, valori non sensibili (illuminazione base)
AutenticatoSolo integrità HMAC-SHA256, nessuna crittografia+4 byte tag di autenticazione, +6 byte seqValori sensori temperatura, letture energia – integrità senza riservatezza
RiservatoCrittografia AES-128-CBC + autenticazione HMAC-SHA256+10 byte di overhead totaleControllo serratura porta, attivazione/disattivazione allarme, controllo accessi – protezione massima

Assegnazione raccomandata dei livelli di sicurezza: Indirizzi di gruppo controllo accessi (serratura porta, controllo cancello, serratura elettrica) – Riservato. Indirizzi di gruppo allarme (attivazione, disattivazione, panico) – Riservato. Indirizzi di gruppo setpoint temperatura – Autenticato (previene manomissioni senza overhead completo di crittografia). Indirizzi di gruppo standard accensione/spegnimento illuminazione – Nessuno (nessun beneficio pratico di sicurezza, evita overhead).

Funzionamento misto Secure e Non-Secure sullo stesso bus

I dispositivi KNX Data Secure e i dispositivi standard Non-Secure possono coesistere sulla stessa linea KNX TP senza interferenze. Questa retrocompatibilità consente aggiornamenti di sicurezza incrementali – iniziando dai circuiti a più alto rischio mentre altri rimangono su dispositivi standard Non-Secure.

Regole di funzionamento del bus misto

Secured GAs (Confidential or Authenticated):
  Only Data Secure devices with correct key can send/receive
  Non-Secure devices receive encrypted telegram → cannot decrypt
  → Non-Secure device ignores the telegram (no action)

Non-secured GAs (None security level):
  Both Secure and non-Secure devices participate normally
  Standard KNX telegram — no overhead

Migration strategy for adding security incrementally:
  Phase 1: Add Data Secure actuators for access control circuits
           (replace existing door lock actuators with Data Secure models)
           Update ETS6, download, test
  Phase 2: Replace alarm panel KNX interface with Secure version
  Phase 3: Add Secure push-buttons for access-controlled areas
           (non-Secure push-buttons on same bus still work for
           non-secured GAs — lighting control unchanged)

Coexistence check:
  ETS6 topology scan: Secure devices show padlock icon
  Non-Secure devices show no lock icon
  Group Monitor: secured GAs show encrypted status in ETS6
  (ETS6 decodes them locally — other bus monitors see encrypted)

Impatto sulle prestazioni

KNX Data Secure aggiunge un overhead al telegramma in termini di numero di byte e tempo di elaborazione. Per la maggior parte delle applicazioni di automazione degli edifici, questo overhead è impercettibile per gli utenti — la latenza aggiuntiva è ben all'interno dell'intervallo di tempi di risposta accettabili per il controllo degli attuatori di commutazione.

Ripartizione dell'overhead del telegramma

  • Tag di autenticazione: 4 byte (HMAC-SHA256 troncato)
  • Numero di sequenza: 6 byte (contatore di protezione replay)
  • Overhead totale: 10 byte per telegramma protetto
  • Payload massimo telegramma KNX standard: 14 byte
  • Payload massimo telegramma Data Secure: 4 byte (confidenziale)
  • Per commutazione a 1 bit (on/off): payload = 1 bit → overhead irrilevante

Impatto sul tempo di risposta

  • Telegramma KNX standard: 20–100 ms end-to-end
  • Elaborazione aggiuntiva Data Secure: +5–15 ms
  • Tempo di risposta totale protetto: 25–115 ms
  • Soglia di percezione umana per la commutazione della luce: ~150 ms
  • Risultato: l'overhead di Data Secure è impercettibile per la commutazione
  • Per scene multi-telegramma: piccolo ritardo cumulativo – accettabile

Gestione delle chiavi e backup

Le chiavi KNX Data Secure sono memorizzate esclusivamente nel file di progetto ETS6. Se il file di progetto viene perso senza backup, tutti i dispositivi Secure commissionati devono essere ripristinati alle impostazioni di fabbrica e riprogrammati – un notevole sforzo di ripristino su grandi installazioni. La disciplina del backup è il requisito operativo più importante per le implementazioni Data Secure.

Gestione delle chiavi e requisiti di backup

ETS6 project backup (contains all Data Secure keys):
  Backup frequency: after every programming session (daily minimum)
  Backup format: encrypted .knxproj file (ETS6 native)
  Backup locations:
    Primary: encrypted network share (RAID protected)
    Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
    Tertiary: encrypted USB drive in physically secure location
  Password: strong (minimum 20 chars) stored in password manager

Test restore procedure (mandatory before handover):
  Restore backup .knxproj to second ETS6 installation
  Verify: all Data Secure devices listed with keys
  Verify: Group Monitor shows decrypted telegrams after restore
  Document: restore test date and result in commissioning record

Loss recovery (ETS6 project lost, no backup):
  Each Data Secure device must be factory reset
  Factory reset: device-specific procedure (see datasheet)
  Effect: clears Data Secure key AND KNX application
  Reprogram required: Full Device Configuration download
  Time estimate: 1 hour per 10 Data Secure devices
  For 50-device installation: estimated 5 hours minimum

Conformità e norme

KNX Data Secure può far parte delle prove tecniche per la conformità alle normative sulla cybersicurezza applicabili agli edifici e ai loro sistemi di controllo. L'applicabilità specifica dipende dal tipo di edificio e dalla giurisdizione.

Normative e standard pertinenti

  • Direttiva NIS2 (UE 2022/2555): edifici di infrastrutture critiche – documentare le misure di sicurezza KNX come parte del sistema di gestione della cybersicurezza
  • UK Cyber Resilience for Connected Devices (PSTI Act 2024): edifici con sistemi di automazione connessi
  • IEC 62280: sicurezza per i sistemi di comunicazione ferroviaria – riferita per KNX nelle infrastrutture di trasporto
  • ISO 27001: sicurezza delle informazioni – KNX Data Secure come controllo di sicurezza del sistema edificio

Documentazione di sicurezza del cliente

Per progetti governativi e di infrastrutture critiche: preparare un riepilogo dell'implementazione di KNX Data Secure per la revisione della sicurezza da parte del cliente. Includere: elenco degli indirizzi di gruppo protetti e livelli di sicurezza, inventario dei dispositivi con stato Data Secure, procedura di backup del progetto ETS6.

Fornire un estratto del progetto ETS6 (elenco degli indirizzi di gruppo con livelli di sicurezza) al CISO del cliente per l'inclusione nel registro dei rischi e nella documentazione di sicurezza. Non includere i valori delle chiavi in alcuna documentazione destinata al cliente.

Hai bisogno di KNX Data Secure per il controllo accessi o circuiti critici per la sicurezza?

Specifichiamo e mettiamo in servizio attuatori KNX Data Secure con gestione delle chiavi ETS6, assegnazione del livello di sicurezza degli indirizzi di gruppo e documentazione completa di messa in servizio – adatti per edifici regolamentati NIS2 e progetti governativi.

Richiedi un preventivo →
Loading...
Back to top