KNX Data Secure: Szyfrowanie warstwy aplikacji dla wrażliwych adresów grupowych i siłowników
KNX Data Secure szyfruje poszczególne telegramy bezpośrednio na magistrali KNX TP – chroniąc komunikację wrażliwych adresów grupowych na warstwie aplikacji, niezależnie od fizycznego medium lub konfiguracji bezpieczeństwa szkieletu IP. Jest to odpowiedni środek bezpieczeństwa, gdy fizyczny dostęp do magistrali TP stanowi realne zagrożenie.
Przegląd KNX Data Secure
KNX Data Secure stosuje szyfrowanie AES-128-CBC i uwierzytelnianie HMAC-SHA256 na warstwie aplikacyjnej KNX – oznacza to, że poszczególne telegramy KNX TP na magistrali są szyfrowane. Różni się to od KNX IP Secure, które szyfruje pakiety KNXnet/IP w szkieletowej sieci Ethernet, ale pozostawia telegramy magistrali TP w postaci jawnej.
| Cecha | KNX Data Secure | KNX IP Secure |
|---|---|---|
| Chroni | Telegramy magistrali KNX TP (warstwa aplikacyjna) | Pakiety KNXnet/IP (warstwa IP) |
| Algorytm | AES-128-CBC + HMAC-SHA256 | AES-128-CBC + HMAC-SHA256 |
| Zakres klucza | Unikalny klucz na urządzenie | Klucz szkieletowy (projektowy) |
| Zagrożenie fizyczne | Fizyczny dostęp do magistrali | Dostęp do sieci Ethernet |
| Wstecznie kompatybilny | Tak – niezabezpieczone urządzenia współistnieją na tej samej magistrali | Nie – wszystkie routery IP muszą obsługiwać Secure |
Zagrożenia eliminowane przez Data Secure: podsłuch magistrali TP za pomocą nakładanego monitora magistrali (atakujący potrzebuje fizycznego dostępu do korytka kablowego lub puszki rozgałęźnej), wstrzykiwanie telegramów przez atakującego, który podłączył złośliwe urządzenie KNX do magistrali, oraz złośliwe urządzenia dodane do linii TP, które próbują sterować zabezpieczonymi siłownikami. Bez Data Secure: każde urządzenie KNX na magistrali może wysyłać telegramy zapisu do dowolnego adresu grupowego, w tym do adresów grupowych sterowania zamkiem drzwi.
Przypadki użycia: kiedy wymagane jest Data Secure
KNX Data Secure nie jest wymagane dla wszystkich obwodów – zwiększa narzut telegramów i wymaga kompatybilnych urządzeń po stronie nadawcy i odbiorcy. Priorytetowo traktuj Data Secure dla obwodów, w których nieautoryzowany telegram może mieć fizyczne konsekwencje bezpieczeństwa lub ochrony.
Data Secure zdecydowanie zalecane
- Siłowniki kontroli dostępu (przekaźnik zamka drzwi, elektrozaczep, zamek magnetyczny)
- Interfejs KNX panelu alarmowego (komendy uzbrajania/rozbrajania)
- Wyzwalacz KNX dla rejestratora CCTV NVR (włączanie/wyłączanie nagrywania)
- Interfejsy KNX dla klap przeciwpożarowych i oddymiających
- Sterowanie KNX oświetleniem ewakuacyjnym
- Instalacje rządowe i bankowe – wszystkie siłowniki
Zabezpieczenie danych rzadko potrzebne
- Standardowe sterowanie oświetleniem biurowym lub mieszkalnym (niskie ryzyko)
- Sterowanie temperaturą HVAC (niski wpływ na bezpieczeństwo)
- Sterowanie położeniem rolet/żaluzji (prywatność, nie bezpieczeństwo)
- Przyciski sterowania scenami w obszarach nieograniczonych
- Adresy grupowe pomiaru energii (tylko do odczytu, bez siłownika)
Kompatybilne urządzenia
KNX Data Secure wymaga, aby zarówno urządzenie wysyłające (przycisk lub sterownik logiczny), jak i odbierające (siłownik) były zgodne z Data Secure. Zaszyfrowany telegram z bezpiecznego przycisku nie może być obsłużony przez niezabezpieczony siłownik – siłownik odrzuca go jako nierozpoznany format.
Przykłady urządzeń zgodnych z Data Secure
Switch actuators: MDT AKS-0816.02 — 8×16A Data Secure switch actuator MDT AKS-0424.02 — 4×16A Data Secure switch actuator Gira 2094-00 — 8-channel Data Secure switch actuator ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure Push-buttons / inputs: Gira 2093-00 — Push-button with Data Secure support MDT BE-GT2W.02 — Glass push-button with Data Secure ABB M4120-01 — 4-gang binary input with Data Secure Logic / coupling: Gira X1 — Logic processor and gateway with Data Secure MDT SCN-IP100.02 — IP router with Data Secure gateway function Weinzierl KNX IP Interface 740 — with Data Secure support Check: KNX Secure logo (lock icon) in device datasheet ETS6: Data Secure capable devices show padlock icon in device catalog and in the device properties panel
Konfiguracja Data Secure w ETS6
Data Secure jest konfigurowane w ETS6 dla każdego urządzenia osobno. ETS6 generuje unikalne losowe klucze dla każdego urządzenia i pobiera je podczas standardowego procesu pełnej konfiguracji urządzenia. Klucze są tylko do zapisu – ze względów bezpieczeństwa nie można ich odczytać z uruchomionego urządzenia.
Konfiguracja urządzenia Data Secure w ETS6
Per-device configuration in ETS6: Select device in topology → Properties panel Security tab → Data Secure: Enable (checkbox ON) Tool access code: set a 6-digit code (prevents unauthorised ETS6 parameter access to this device without the code) Key: generated automatically by ETS6 (unique per device) Key properties: Generated: 128-bit random key per device Stored: in ETS6 project file (encrypted) Downloaded: to device during Full Device Configuration Cannot be read back: device stores key in write-only memory If key lost: must factory reset device to clear it, then re-download with new key from ETS6 Tool access code usage: Required when accessing device parameters in ETS6 (prevents unauthorised configuration changes on-site) Store tool access codes in password manager Document in commissioning record (access-restricted copy)
Poziomy zabezpieczeń adresów grupowych
ETS6 umożliwia indywidualne przypisanie poziomu zabezpieczeń do każdego adresu grupowego. Pozwala to na selektywne stosowanie szyfrowania – chronione są tylko wrażliwe adresy grupowe, podczas gdy adresy niekrytyczne dla wydajności pozostają nieszyfrowane, aby zminimalizować narzut telegramów.
| Poziom zabezpieczeń | Ochrona | Narzut | Zalecane dla |
|---|---|---|---|
| Brak | Brak zabezpieczeń – standardowy telegram KNX | Brak (+0 bajtów) | Zgodność z legacy, wartości nieczułe (podstawowe oświetlenie) |
| Uwierzytelnione | Tylko integralność HMAC-SHA256, bez szyfrowania | +4 bajty znacznik autoryzacji, +6 bajtów sekwencji | Wartości czujników temperatury, odczyty energii – integralność bez poufności |
| Poufne | Szyfrowanie AES-128-CBC + uwierzytelnianie HMAC-SHA256 | +10 bajtów całkowitego narzutu | Sterowanie zamkiem drzwi, uzbrajanie/rozbrajanie alarmu, kontrola dostępu – najwyższa ochrona |
Zalecane przypisanie poziomów bezpieczeństwa: Adresy grupowe kontroli dostępu (zamek drzwi, sterowanie bramą, zwora elektryczna) – Poufne. Adresy grupowe systemu alarmowego (uzbrajanie, rozbrajanie, panika) – Poufne. Adresy grupowe zadanej temperatury – Uwierzytelnione (zapobiega manipulacji bez pełnego narzutu szyfrowania). Standardowe adresy grupowe włącz/wyłącz oświetlenia – Brak (brak praktycznych korzyści bezpieczeństwa, unika narzutu).
Mieszany tryb Secure i Non-Secure na tej samej magistrali
Urządzenia KNX Data Secure i standardowe urządzenia Non-Secure mogą współistnieć na tej samej linii KNX TP bez zakłóceń. Ta kompatybilność wsteczna umożliwia stopniowe ulepszanie zabezpieczeń – zaczynając od obwodów najwyższego ryzyka, pozostawiając inne na standardowych urządzeniach Non-Secure.
Zasady pracy magistrali mieszanej
Secured GAs (Confidential or Authenticated):
Only Data Secure devices with correct key can send/receive
Non-Secure devices receive encrypted telegram → cannot decrypt
→ Non-Secure device ignores the telegram (no action)
Non-secured GAs (None security level):
Both Secure and non-Secure devices participate normally
Standard KNX telegram — no overhead
Migration strategy for adding security incrementally:
Phase 1: Add Data Secure actuators for access control circuits
(replace existing door lock actuators with Data Secure models)
Update ETS6, download, test
Phase 2: Replace alarm panel KNX interface with Secure version
Phase 3: Add Secure push-buttons for access-controlled areas
(non-Secure push-buttons on same bus still work for
non-secured GAs — lighting control unchanged)
Coexistence check:
ETS6 topology scan: Secure devices show padlock icon
Non-Secure devices show no lock icon
Group Monitor: secured GAs show encrypted status in ETS6
(ETS6 decodes them locally — other bus monitors see encrypted)Wpływ na wydajność
KNX Data Secure dodaje narzut telegramu pod względem liczby bajtów i czasu przetwarzania. Dla większości aplikacji automatyki budynkowej narzut ten jest niezauważalny dla użytkowników – dodatkowe opóźnienie mieści się w zakresie akceptowalnych czasów odpowiedzi dla sterowania siłownikami przełączającymi.
Podział narzutu telegramu
- Znacznik uwierzytelniający: 4 bajty (HMAC-SHA256 obcięty)
- Numer sekwencyjny: 6 bajtów (licznik ochrony przed powtórzeniem)
- Całkowity narzut: 10 bajtów na zabezpieczony telegram
- Maksymalny ładunek standardowego telegramu KNX: 14 bajtów
- Maksymalny ładunek telegramu Data Secure: 4 bajty (poufny)
- Dla przełączania 1-bitowego (włącz/wyłącz): ładunek = 1 bit → narzut nieistotny
Wpływ na czas odpowiedzi
- Standardowy telegram KNX: 20–100 ms end-to-end
- Dodatkowe przetwarzanie Data Secure: +5–15 ms
- Całkowity czas odpowiedzi zabezpieczonej: 25–115 ms
- Próg percepcji człowieka dla przełączania światła: ~150 ms
- Wynik: narzut Data Secure jest niezauważalny przy przełączaniu
- Dla scen wielotelegramowych: małe opóźnienie skumulowane – akceptowalne
Zarządzanie kluczami i kopia zapasowa
Klucze KNX Data Secure są przechowywane wyłącznie w pliku projektu ETS6. Jeśli plik projektu zostanie utracony bez kopii zapasowej, wszystkie uruchomione urządzenia Secure muszą zostać zresetowane do ustawień fabrycznych i przeprogramowane – co stanowi poważny wysiłek naprawczy w dużych instalacjach. Dyscyplina tworzenia kopii zapasowych jest najważniejszym wymogiem operacyjnym dla wdrożeń Data Secure.
Zarządzanie kluczami i wymagania dotyczące kopii zapasowych
ETS6 project backup (contains all Data Secure keys):
Backup frequency: after every programming session (daily minimum)
Backup format: encrypted .knxproj file (ETS6 native)
Backup locations:
Primary: encrypted network share (RAID protected)
Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
Tertiary: encrypted USB drive in physically secure location
Password: strong (minimum 20 chars) stored in password manager
Test restore procedure (mandatory before handover):
Restore backup .knxproj to second ETS6 installation
Verify: all Data Secure devices listed with keys
Verify: Group Monitor shows decrypted telegrams after restore
Document: restore test date and result in commissioning record
Loss recovery (ETS6 project lost, no backup):
Each Data Secure device must be factory reset
Factory reset: device-specific procedure (see datasheet)
Effect: clears Data Secure key AND KNX application
Reprogram required: Full Device Configuration download
Time estimate: 1 hour per 10 Data Secure devices
For 50-device installation: estimated 5 hours minimumZgodność i normy
KNX Data Secure może stanowić część dowodu technicznego zgodności z przepisami cyberbezpieczeństwa dotyczącymi budynków i ich systemów sterowania. Konkretna stosowalność zależy od typu budynku i jurysdykcji.
Odpowiednie przepisy i normy
- Dyrektywa NIS2 (UE 2022/2555): budynki infrastruktury krytycznej – udokumentować środki bezpieczeństwa KNX jako część systemu zarządzania cyberbezpieczeństwem
- UK Cyber Resilience for Connected Devices (PSTI Act 2024): budynki z połączonymi systemami automatyki
- IEC 62280: bezpieczeństwo systemów łączności kolejowej – przywołana dla KNX w infrastrukturze transportowej
- ISO 27001: bezpieczeństwo informacji – KNX Data Secure jako kontrola bezpieczeństwa systemu budynku
Dokumentacja bezpieczeństwa klienta
Dla projektów rządowych i infrastruktury krytycznej: przygotuj podsumowanie wdrożenia KNX Data Secure do przeglądu bezpieczeństwa przez klienta. Uwzględnij: listę zabezpieczonych adresów grupowych i poziomów bezpieczeństwa, inwentarz urządzeń ze statusem Data Secure, procedurę tworzenia kopii zapasowej projektu ETS6.
Przekaż klientowi CISO fragment projektu ETS6 (lista adresów grupowych z poziomami bezpieczeństwa) do włączenia do rejestru ryzyka i dokumentacji bezpieczeństwa. Nie umieszczaj wartości kluczy w żadnej dokumentacji przeznaczonej dla klienta.
Potrzebujesz KNX Data Secure do kontroli dostępu lub obwodów krytycznych dla bezpieczeństwa?
Specyfikujemy i uruchamiamy siłowniki KNX Data Secure z zarządzaniem kluczami ETS6, przypisaniem poziomu bezpieczeństwa adresów grupowych oraz pełną dokumentacją uruchomieniową – odpowiednie dla budynków regulowanych NIS2 i projektów rządowych.
Poproś o wycenę →