KNX Data Secure · AES-128 · Magistrala TP · Bezpieczeństwo adresów grupowych · ETS6 · 10 min czytania

KNX Data Secure: Szyfrowanie warstwy aplikacji dla wrażliwych adresów grupowych i siłowników

KNX Data Secure szyfruje poszczególne telegramy bezpośrednio na magistrali KNX TP – chroniąc komunikację wrażliwych adresów grupowych na warstwie aplikacji, niezależnie od fizycznego medium lub konfiguracji bezpieczeństwa szkieletu IP. Jest to odpowiedni środek bezpieczeństwa, gdy fizyczny dostęp do magistrali TP stanowi realne zagrożenie.

Przegląd KNX Data Secure

KNX Data Secure stosuje szyfrowanie AES-128-CBC i uwierzytelnianie HMAC-SHA256 na warstwie aplikacyjnej KNX – oznacza to, że poszczególne telegramy KNX TP na magistrali są szyfrowane. Różni się to od KNX IP Secure, które szyfruje pakiety KNXnet/IP w szkieletowej sieci Ethernet, ale pozostawia telegramy magistrali TP w postaci jawnej.

CechaKNX Data SecureKNX IP Secure
ChroniTelegramy magistrali KNX TP (warstwa aplikacyjna)Pakiety KNXnet/IP (warstwa IP)
AlgorytmAES-128-CBC + HMAC-SHA256AES-128-CBC + HMAC-SHA256
Zakres kluczaUnikalny klucz na urządzenieKlucz szkieletowy (projektowy)
Zagrożenie fizyczneFizyczny dostęp do magistraliDostęp do sieci Ethernet
Wstecznie kompatybilnyTak – niezabezpieczone urządzenia współistnieją na tej samej magistraliNie – wszystkie routery IP muszą obsługiwać Secure

Zagrożenia eliminowane przez Data Secure: podsłuch magistrali TP za pomocą nakładanego monitora magistrali (atakujący potrzebuje fizycznego dostępu do korytka kablowego lub puszki rozgałęźnej), wstrzykiwanie telegramów przez atakującego, który podłączył złośliwe urządzenie KNX do magistrali, oraz złośliwe urządzenia dodane do linii TP, które próbują sterować zabezpieczonymi siłownikami. Bez Data Secure: każde urządzenie KNX na magistrali może wysyłać telegramy zapisu do dowolnego adresu grupowego, w tym do adresów grupowych sterowania zamkiem drzwi.

Przypadki użycia: kiedy wymagane jest Data Secure

KNX Data Secure nie jest wymagane dla wszystkich obwodów – zwiększa narzut telegramów i wymaga kompatybilnych urządzeń po stronie nadawcy i odbiorcy. Priorytetowo traktuj Data Secure dla obwodów, w których nieautoryzowany telegram może mieć fizyczne konsekwencje bezpieczeństwa lub ochrony.

Data Secure zdecydowanie zalecane

  • Siłowniki kontroli dostępu (przekaźnik zamka drzwi, elektrozaczep, zamek magnetyczny)
  • Interfejs KNX panelu alarmowego (komendy uzbrajania/rozbrajania)
  • Wyzwalacz KNX dla rejestratora CCTV NVR (włączanie/wyłączanie nagrywania)
  • Interfejsy KNX dla klap przeciwpożarowych i oddymiających
  • Sterowanie KNX oświetleniem ewakuacyjnym
  • Instalacje rządowe i bankowe – wszystkie siłowniki

Zabezpieczenie danych rzadko potrzebne

  • Standardowe sterowanie oświetleniem biurowym lub mieszkalnym (niskie ryzyko)
  • Sterowanie temperaturą HVAC (niski wpływ na bezpieczeństwo)
  • Sterowanie położeniem rolet/żaluzji (prywatność, nie bezpieczeństwo)
  • Przyciski sterowania scenami w obszarach nieograniczonych
  • Adresy grupowe pomiaru energii (tylko do odczytu, bez siłownika)

Kompatybilne urządzenia

KNX Data Secure wymaga, aby zarówno urządzenie wysyłające (przycisk lub sterownik logiczny), jak i odbierające (siłownik) były zgodne z Data Secure. Zaszyfrowany telegram z bezpiecznego przycisku nie może być obsłużony przez niezabezpieczony siłownik – siłownik odrzuca go jako nierozpoznany format.

Przykłady urządzeń zgodnych z Data Secure

Switch actuators:
  MDT AKS-0816.02   — 8×16A Data Secure switch actuator
  MDT AKS-0424.02   — 4×16A Data Secure switch actuator
  Gira 2094-00      — 8-channel Data Secure switch actuator
  ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure

Push-buttons / inputs:
  Gira 2093-00      — Push-button with Data Secure support
  MDT BE-GT2W.02    — Glass push-button with Data Secure
  ABB M4120-01      — 4-gang binary input with Data Secure

Logic / coupling:
  Gira X1           — Logic processor and gateway with Data Secure
  MDT SCN-IP100.02  — IP router with Data Secure gateway function
  Weinzierl KNX IP Interface 740 — with Data Secure support

Check: KNX Secure logo (lock icon) in device datasheet
ETS6: Data Secure capable devices show padlock icon
in device catalog and in the device properties panel

Konfiguracja Data Secure w ETS6

Data Secure jest konfigurowane w ETS6 dla każdego urządzenia osobno. ETS6 generuje unikalne losowe klucze dla każdego urządzenia i pobiera je podczas standardowego procesu pełnej konfiguracji urządzenia. Klucze są tylko do zapisu – ze względów bezpieczeństwa nie można ich odczytać z uruchomionego urządzenia.

Konfiguracja urządzenia Data Secure w ETS6

Per-device configuration in ETS6:
  Select device in topology → Properties panel
  Security tab → Data Secure: Enable (checkbox ON)
  Tool access code: set a 6-digit code (prevents unauthorised
  ETS6 parameter access to this device without the code)
  Key: generated automatically by ETS6 (unique per device)

Key properties:
  Generated: 128-bit random key per device
  Stored: in ETS6 project file (encrypted)
  Downloaded: to device during Full Device Configuration
  Cannot be read back: device stores key in write-only memory
  If key lost: must factory reset device to clear it,
  then re-download with new key from ETS6

Tool access code usage:
  Required when accessing device parameters in ETS6
  (prevents unauthorised configuration changes on-site)
  Store tool access codes in password manager
  Document in commissioning record (access-restricted copy)

Poziomy zabezpieczeń adresów grupowych

ETS6 umożliwia indywidualne przypisanie poziomu zabezpieczeń do każdego adresu grupowego. Pozwala to na selektywne stosowanie szyfrowania – chronione są tylko wrażliwe adresy grupowe, podczas gdy adresy niekrytyczne dla wydajności pozostają nieszyfrowane, aby zminimalizować narzut telegramów.

Poziom zabezpieczeńOchronaNarzutZalecane dla
BrakBrak zabezpieczeń – standardowy telegram KNXBrak (+0 bajtów)Zgodność z legacy, wartości nieczułe (podstawowe oświetlenie)
UwierzytelnioneTylko integralność HMAC-SHA256, bez szyfrowania+4 bajty znacznik autoryzacji, +6 bajtów sekwencjiWartości czujników temperatury, odczyty energii – integralność bez poufności
PoufneSzyfrowanie AES-128-CBC + uwierzytelnianie HMAC-SHA256+10 bajtów całkowitego narzutuSterowanie zamkiem drzwi, uzbrajanie/rozbrajanie alarmu, kontrola dostępu – najwyższa ochrona

Zalecane przypisanie poziomów bezpieczeństwa: Adresy grupowe kontroli dostępu (zamek drzwi, sterowanie bramą, zwora elektryczna) – Poufne. Adresy grupowe systemu alarmowego (uzbrajanie, rozbrajanie, panika) – Poufne. Adresy grupowe zadanej temperatury – Uwierzytelnione (zapobiega manipulacji bez pełnego narzutu szyfrowania). Standardowe adresy grupowe włącz/wyłącz oświetlenia – Brak (brak praktycznych korzyści bezpieczeństwa, unika narzutu).

Mieszany tryb Secure i Non-Secure na tej samej magistrali

Urządzenia KNX Data Secure i standardowe urządzenia Non-Secure mogą współistnieć na tej samej linii KNX TP bez zakłóceń. Ta kompatybilność wsteczna umożliwia stopniowe ulepszanie zabezpieczeń – zaczynając od obwodów najwyższego ryzyka, pozostawiając inne na standardowych urządzeniach Non-Secure.

Zasady pracy magistrali mieszanej

Secured GAs (Confidential or Authenticated):
  Only Data Secure devices with correct key can send/receive
  Non-Secure devices receive encrypted telegram → cannot decrypt
  → Non-Secure device ignores the telegram (no action)

Non-secured GAs (None security level):
  Both Secure and non-Secure devices participate normally
  Standard KNX telegram — no overhead

Migration strategy for adding security incrementally:
  Phase 1: Add Data Secure actuators for access control circuits
           (replace existing door lock actuators with Data Secure models)
           Update ETS6, download, test
  Phase 2: Replace alarm panel KNX interface with Secure version
  Phase 3: Add Secure push-buttons for access-controlled areas
           (non-Secure push-buttons on same bus still work for
           non-secured GAs — lighting control unchanged)

Coexistence check:
  ETS6 topology scan: Secure devices show padlock icon
  Non-Secure devices show no lock icon
  Group Monitor: secured GAs show encrypted status in ETS6
  (ETS6 decodes them locally — other bus monitors see encrypted)

Wpływ na wydajność

KNX Data Secure dodaje narzut telegramu pod względem liczby bajtów i czasu przetwarzania. Dla większości aplikacji automatyki budynkowej narzut ten jest niezauważalny dla użytkowników – dodatkowe opóźnienie mieści się w zakresie akceptowalnych czasów odpowiedzi dla sterowania siłownikami przełączającymi.

Podział narzutu telegramu

  • Znacznik uwierzytelniający: 4 bajty (HMAC-SHA256 obcięty)
  • Numer sekwencyjny: 6 bajtów (licznik ochrony przed powtórzeniem)
  • Całkowity narzut: 10 bajtów na zabezpieczony telegram
  • Maksymalny ładunek standardowego telegramu KNX: 14 bajtów
  • Maksymalny ładunek telegramu Data Secure: 4 bajty (poufny)
  • Dla przełączania 1-bitowego (włącz/wyłącz): ładunek = 1 bit → narzut nieistotny

Wpływ na czas odpowiedzi

  • Standardowy telegram KNX: 20–100 ms end-to-end
  • Dodatkowe przetwarzanie Data Secure: +5–15 ms
  • Całkowity czas odpowiedzi zabezpieczonej: 25–115 ms
  • Próg percepcji człowieka dla przełączania światła: ~150 ms
  • Wynik: narzut Data Secure jest niezauważalny przy przełączaniu
  • Dla scen wielotelegramowych: małe opóźnienie skumulowane – akceptowalne

Zarządzanie kluczami i kopia zapasowa

Klucze KNX Data Secure są przechowywane wyłącznie w pliku projektu ETS6. Jeśli plik projektu zostanie utracony bez kopii zapasowej, wszystkie uruchomione urządzenia Secure muszą zostać zresetowane do ustawień fabrycznych i przeprogramowane – co stanowi poważny wysiłek naprawczy w dużych instalacjach. Dyscyplina tworzenia kopii zapasowych jest najważniejszym wymogiem operacyjnym dla wdrożeń Data Secure.

Zarządzanie kluczami i wymagania dotyczące kopii zapasowych

ETS6 project backup (contains all Data Secure keys):
  Backup frequency: after every programming session (daily minimum)
  Backup format: encrypted .knxproj file (ETS6 native)
  Backup locations:
    Primary: encrypted network share (RAID protected)
    Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
    Tertiary: encrypted USB drive in physically secure location
  Password: strong (minimum 20 chars) stored in password manager

Test restore procedure (mandatory before handover):
  Restore backup .knxproj to second ETS6 installation
  Verify: all Data Secure devices listed with keys
  Verify: Group Monitor shows decrypted telegrams after restore
  Document: restore test date and result in commissioning record

Loss recovery (ETS6 project lost, no backup):
  Each Data Secure device must be factory reset
  Factory reset: device-specific procedure (see datasheet)
  Effect: clears Data Secure key AND KNX application
  Reprogram required: Full Device Configuration download
  Time estimate: 1 hour per 10 Data Secure devices
  For 50-device installation: estimated 5 hours minimum

Zgodność i normy

KNX Data Secure może stanowić część dowodu technicznego zgodności z przepisami cyberbezpieczeństwa dotyczącymi budynków i ich systemów sterowania. Konkretna stosowalność zależy od typu budynku i jurysdykcji.

Odpowiednie przepisy i normy

  • Dyrektywa NIS2 (UE 2022/2555): budynki infrastruktury krytycznej – udokumentować środki bezpieczeństwa KNX jako część systemu zarządzania cyberbezpieczeństwem
  • UK Cyber Resilience for Connected Devices (PSTI Act 2024): budynki z połączonymi systemami automatyki
  • IEC 62280: bezpieczeństwo systemów łączności kolejowej – przywołana dla KNX w infrastrukturze transportowej
  • ISO 27001: bezpieczeństwo informacji – KNX Data Secure jako kontrola bezpieczeństwa systemu budynku

Dokumentacja bezpieczeństwa klienta

Dla projektów rządowych i infrastruktury krytycznej: przygotuj podsumowanie wdrożenia KNX Data Secure do przeglądu bezpieczeństwa przez klienta. Uwzględnij: listę zabezpieczonych adresów grupowych i poziomów bezpieczeństwa, inwentarz urządzeń ze statusem Data Secure, procedurę tworzenia kopii zapasowej projektu ETS6.

Przekaż klientowi CISO fragment projektu ETS6 (lista adresów grupowych z poziomami bezpieczeństwa) do włączenia do rejestru ryzyka i dokumentacji bezpieczeństwa. Nie umieszczaj wartości kluczy w żadnej dokumentacji przeznaczonej dla klienta.

Potrzebujesz KNX Data Secure do kontroli dostępu lub obwodów krytycznych dla bezpieczeństwa?

Specyfikujemy i uruchamiamy siłowniki KNX Data Secure z zarządzaniem kluczami ETS6, przypisaniem poziomu bezpieczeństwa adresów grupowych oraz pełną dokumentacją uruchomieniową – odpowiednie dla budynków regulowanych NIS2 i projektów rządowych.

Poproś o wycenę →
Loading...
Back to top