KNX Data Secure: Crittografia a livello applicativo per indirizzi di gruppo e attuatori sensibili
KNX Data Secure crittografa i singoli telegrammi direttamente sul bus KNX TP – proteggendo la comunicazione degli indirizzi di gruppo sensibili a livello applicativo, indipendentemente dal mezzo fisico o dalla configurazione di sicurezza del backbone IP. È la misura di sicurezza appropriata quando l'accesso fisico al bus TP rappresenta una minaccia realistica.
Panoramica di KNX Data Secure
KNX Data Secure applica la crittografia AES-128-CBC e l'autenticazione HMAC-SHA256 al livello applicativo KNX — ciò significa che i singoli telegrammi KNX TP sul bus sono crittografati. Questo è diverso da KNX IP Secure, che crittografa i pacchetti KNXnet/IP sul backbone Ethernet ma lascia i telegrammi del bus TP in chiaro.
| Caratteristica | KNX Data Secure | KNX IP Secure |
|---|---|---|
| Protegge | Telegrammi del bus KNX TP (livello applicativo) | Pacchetti KNXnet/IP (livello IP) |
| Algoritmo | AES-128-CBC + HMAC-SHA256 | AES-128-CBC + HMAC-SHA256 |
| Ambito della chiave | Chiave unica per dispositivo | Chiave backbone (a livello di progetto) |
| Minaccia fisica | Accesso fisico al bus | Accesso alla rete Ethernet |
| Retrocompatibile | Sì – i dispositivi non sicuri coesistono sullo stesso bus | No – tutti i router IP devono supportare Secure |
Minacce mitigate da Data Secure: intercettazione del bus TP tramite un monitor a clip (l'attaccante necessita di accesso fisico al canale portacavi o alla scatola di derivazione), iniezione di telegrammi da parte di un attaccante che ha collegato un dispositivo KNX malevolo al bus, e dispositivi malevoli aggiunti alla linea TP che tentano di controllare attuatori protetti. Senza Data Secure: qualsiasi dispositivo KNX sul bus può inviare telegrammi di scrittura a qualsiasi indirizzo di gruppo, inclusi gli indirizzi di gruppo di controllo della serratura della porta.
Casi d'uso: quando è richiesto Data Secure
KNX Data Secure non è richiesto per tutti i circuiti – aggiunge overhead di telegrammi e richiede dispositivi compatibili sia sul lato mittente che ricevente. Dare priorità a Data Secure per i circuiti in cui un telegramma non autorizzato potrebbe avere conseguenze fisiche sulla sicurezza o protezione.
Data Secure fortemente raccomandato
- Attuatori per controllo accessi (relè serratura porta, serratura elettrica, serratura magnetica)
- Interfaccia KNX del pannello di allarme (comandi di inserimento/disinserimento)
- Trigger KNX per NVR CCTV (abilitazione/disabilitazione registrazione)
- Interfacce KNX per serrande tagliafuoco e smorzatori di fumo
- Controllo KNX dell'illuminazione di evacuazione
- Installazioni governative e bancarie – tutti gli attuatori
Protezione dati raramente necessaria
- Controllo illuminazione standard per uffici o residenziale (basso rischio)
- Controllo setpoint temperatura HVAC (basso impatto sulla sicurezza)
- Controllo posizione tapparelle/tende (preoccupazione privacy, non sicurezza)
- Pulsanti di controllo delle scene in aree non ristrette
- Indirizzi di gruppo per la misurazione dell'energia (sola lettura, senza attuatore)
Dispositivi compatibili
KNX Data Secure richiede che sia il dispositivo trasmittente (pulsante o controllore logico) che il dispositivo ricevente (attuatore) siano compatibili con Data Secure. Un telegramma crittografato da un pulsante Secure non può essere gestito da un attuatore non Secure – l'attuatore lo scarta come formato non riconosciuto.
Esempi di dispositivi compatibili con Data Secure
Switch actuators: MDT AKS-0816.02 — 8×16A Data Secure switch actuator MDT AKS-0424.02 — 4×16A Data Secure switch actuator Gira 2094-00 — 8-channel Data Secure switch actuator ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure Push-buttons / inputs: Gira 2093-00 — Push-button with Data Secure support MDT BE-GT2W.02 — Glass push-button with Data Secure ABB M4120-01 — 4-gang binary input with Data Secure Logic / coupling: Gira X1 — Logic processor and gateway with Data Secure MDT SCN-IP100.02 — IP router with Data Secure gateway function Weinzierl KNX IP Interface 740 — with Data Secure support Check: KNX Secure logo (lock icon) in device datasheet ETS6: Data Secure capable devices show padlock icon in device catalog and in the device properties panel
Configurazione Data Secure in ETS6
Data Secure viene configurato in ETS6 per singolo dispositivo. ETS6 genera chiavi casuali uniche per ogni dispositivo e le scarica durante il processo standard di configurazione completa del dispositivo. Le chiavi sono di sola scrittura – non possono essere lette da un dispositivo messo in servizio per motivi di sicurezza.
Configurazione del dispositivo Data Secure in ETS6
Per-device configuration in ETS6: Select device in topology → Properties panel Security tab → Data Secure: Enable (checkbox ON) Tool access code: set a 6-digit code (prevents unauthorised ETS6 parameter access to this device without the code) Key: generated automatically by ETS6 (unique per device) Key properties: Generated: 128-bit random key per device Stored: in ETS6 project file (encrypted) Downloaded: to device during Full Device Configuration Cannot be read back: device stores key in write-only memory If key lost: must factory reset device to clear it, then re-download with new key from ETS6 Tool access code usage: Required when accessing device parameters in ETS6 (prevents unauthorised configuration changes on-site) Store tool access codes in password manager Document in commissioning record (access-restricted copy)
Livelli di sicurezza degli indirizzi di gruppo
ETS6 consente di assegnare individualmente un livello di sicurezza a ciascun indirizzo di gruppo. Ciò consente di applicare selettivamente la crittografia – proteggendo solo gli indirizzi di gruppo sensibili, mentre gli indirizzi non critici per le prestazioni rimangono non crittografati per ridurre al minimo l'overhead dei telegrammi.
| Livello di sicurezza | Protezione | Overhead | Raccomandato per |
|---|---|---|---|
| Nessuno | Nessuna sicurezza – telegramma KNX standard | Nessuno (+0 byte) | Compatibilità legacy, valori non sensibili (illuminazione base) |
| Autenticato | Solo integrità HMAC-SHA256, nessuna crittografia | +4 byte tag di autenticazione, +6 byte seq | Valori sensori temperatura, letture energia – integrità senza riservatezza |
| Riservato | Crittografia AES-128-CBC + autenticazione HMAC-SHA256 | +10 byte di overhead totale | Controllo serratura porta, attivazione/disattivazione allarme, controllo accessi – protezione massima |
Assegnazione raccomandata dei livelli di sicurezza: Indirizzi di gruppo controllo accessi (serratura porta, controllo cancello, serratura elettrica) – Riservato. Indirizzi di gruppo allarme (attivazione, disattivazione, panico) – Riservato. Indirizzi di gruppo setpoint temperatura – Autenticato (previene manomissioni senza overhead completo di crittografia). Indirizzi di gruppo standard accensione/spegnimento illuminazione – Nessuno (nessun beneficio pratico di sicurezza, evita overhead).
Funzionamento misto Secure e Non-Secure sullo stesso bus
I dispositivi KNX Data Secure e i dispositivi standard Non-Secure possono coesistere sulla stessa linea KNX TP senza interferenze. Questa retrocompatibilità consente aggiornamenti di sicurezza incrementali – iniziando dai circuiti a più alto rischio mentre altri rimangono su dispositivi standard Non-Secure.
Regole di funzionamento del bus misto
Secured GAs (Confidential or Authenticated):
Only Data Secure devices with correct key can send/receive
Non-Secure devices receive encrypted telegram → cannot decrypt
→ Non-Secure device ignores the telegram (no action)
Non-secured GAs (None security level):
Both Secure and non-Secure devices participate normally
Standard KNX telegram — no overhead
Migration strategy for adding security incrementally:
Phase 1: Add Data Secure actuators for access control circuits
(replace existing door lock actuators with Data Secure models)
Update ETS6, download, test
Phase 2: Replace alarm panel KNX interface with Secure version
Phase 3: Add Secure push-buttons for access-controlled areas
(non-Secure push-buttons on same bus still work for
non-secured GAs — lighting control unchanged)
Coexistence check:
ETS6 topology scan: Secure devices show padlock icon
Non-Secure devices show no lock icon
Group Monitor: secured GAs show encrypted status in ETS6
(ETS6 decodes them locally — other bus monitors see encrypted)Impatto sulle prestazioni
KNX Data Secure aggiunge un overhead al telegramma in termini di numero di byte e tempo di elaborazione. Per la maggior parte delle applicazioni di automazione degli edifici, questo overhead è impercettibile per gli utenti — la latenza aggiuntiva è ben all'interno dell'intervallo di tempi di risposta accettabili per il controllo degli attuatori di commutazione.
Ripartizione dell'overhead del telegramma
- Tag di autenticazione: 4 byte (HMAC-SHA256 troncato)
- Numero di sequenza: 6 byte (contatore di protezione replay)
- Overhead totale: 10 byte per telegramma protetto
- Payload massimo telegramma KNX standard: 14 byte
- Payload massimo telegramma Data Secure: 4 byte (confidenziale)
- Per commutazione a 1 bit (on/off): payload = 1 bit → overhead irrilevante
Impatto sul tempo di risposta
- Telegramma KNX standard: 20–100 ms end-to-end
- Elaborazione aggiuntiva Data Secure: +5–15 ms
- Tempo di risposta totale protetto: 25–115 ms
- Soglia di percezione umana per la commutazione della luce: ~150 ms
- Risultato: l'overhead di Data Secure è impercettibile per la commutazione
- Per scene multi-telegramma: piccolo ritardo cumulativo – accettabile
Gestione delle chiavi e backup
Le chiavi KNX Data Secure sono memorizzate esclusivamente nel file di progetto ETS6. Se il file di progetto viene perso senza backup, tutti i dispositivi Secure commissionati devono essere ripristinati alle impostazioni di fabbrica e riprogrammati – un notevole sforzo di ripristino su grandi installazioni. La disciplina del backup è il requisito operativo più importante per le implementazioni Data Secure.
Gestione delle chiavi e requisiti di backup
ETS6 project backup (contains all Data Secure keys):
Backup frequency: after every programming session (daily minimum)
Backup format: encrypted .knxproj file (ETS6 native)
Backup locations:
Primary: encrypted network share (RAID protected)
Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
Tertiary: encrypted USB drive in physically secure location
Password: strong (minimum 20 chars) stored in password manager
Test restore procedure (mandatory before handover):
Restore backup .knxproj to second ETS6 installation
Verify: all Data Secure devices listed with keys
Verify: Group Monitor shows decrypted telegrams after restore
Document: restore test date and result in commissioning record
Loss recovery (ETS6 project lost, no backup):
Each Data Secure device must be factory reset
Factory reset: device-specific procedure (see datasheet)
Effect: clears Data Secure key AND KNX application
Reprogram required: Full Device Configuration download
Time estimate: 1 hour per 10 Data Secure devices
For 50-device installation: estimated 5 hours minimumConformità e norme
KNX Data Secure può far parte delle prove tecniche per la conformità alle normative sulla cybersicurezza applicabili agli edifici e ai loro sistemi di controllo. L'applicabilità specifica dipende dal tipo di edificio e dalla giurisdizione.
Normative e standard pertinenti
- Direttiva NIS2 (UE 2022/2555): edifici di infrastrutture critiche – documentare le misure di sicurezza KNX come parte del sistema di gestione della cybersicurezza
- UK Cyber Resilience for Connected Devices (PSTI Act 2024): edifici con sistemi di automazione connessi
- IEC 62280: sicurezza per i sistemi di comunicazione ferroviaria – riferita per KNX nelle infrastrutture di trasporto
- ISO 27001: sicurezza delle informazioni – KNX Data Secure come controllo di sicurezza del sistema edificio
Documentazione di sicurezza del cliente
Per progetti governativi e di infrastrutture critiche: preparare un riepilogo dell'implementazione di KNX Data Secure per la revisione della sicurezza da parte del cliente. Includere: elenco degli indirizzi di gruppo protetti e livelli di sicurezza, inventario dei dispositivi con stato Data Secure, procedura di backup del progetto ETS6.
Fornire un estratto del progetto ETS6 (elenco degli indirizzi di gruppo con livelli di sicurezza) al CISO del cliente per l'inclusione nel registro dei rischi e nella documentazione di sicurezza. Non includere i valori delle chiavi in alcuna documentazione destinata al cliente.
Hai bisogno di KNX Data Secure per il controllo accessi o circuiti critici per la sicurezza?
Specifichiamo e mettiamo in servizio attuatori KNX Data Secure con gestione delle chiavi ETS6, assegnazione del livello di sicurezza degli indirizzi di gruppo e documentazione completa di messa in servizio – adatti per edifici regolamentati NIS2 e progetti governativi.
Richiedi un preventivo →