KNX Data Secure: Шифрование на прикладном уровне для чувствительных групповых адресов и исполнительных устройств
KNX Data Secure шифрует отдельные телеграммы непосредственно на шине KNX TP — защищая обмен данными по чувствительным групповым адресам на прикладном уровне независимо от физической среды или конфигурации безопасности IP-магистрали. Это подходящая мера безопасности везде, где физический доступ к шине TP является реальной угрозой.
Обзор KNX Data Secure
KNX Data Secure применяет шифрование AES-128-CBC и аутентификацию HMAC-SHA256 на прикладном уровне KNX — то есть отдельные телеграммы KNX TP на шине шифруются. Это отличается от KNX IP Secure, который шифрует пакеты KNXnet/IP на магистрали Ethernet, но оставляет телеграммы шины TP в открытом виде.
| Характеристика | KNX Data Secure | KNX IP Secure |
|---|---|---|
| Защищает | Телеграммы шины KNX TP (прикладной уровень) | Пакеты KNXnet/IP (уровень IP) |
| Алгоритм | AES-128-CBC + HMAC-SHA256 | AES-128-CBC + HMAC-SHA256 |
| Область ключа | Уникальный ключ на устройство | Магистральный ключ (проектный) |
| Физическая угроза | Физический доступ к шине | Доступ к сети Ethernet |
| Обратная совместимость | Да — небезопасные устройства сосуществуют на одной шине | Нет — все IP-маршрутизаторы должны поддерживать Secure |
Угрозы, устраняемые Data Secure: прослушивание шины TP с помощью накладного монитора шины (злоумышленнику нужен физический доступ к кабельному лотку или распределительной коробке), инжекция телеграммы злоумышленником, подключившим вредоносное устройство KNX к шине, и добавление вредоносных устройств на линию TP, пытающихся управлять защищёнными исполнительными устройствами. Без Data Secure: любое устройство KNX на шине может отправлять телеграммы записи на любой групповой адрес, включая адреса управления дверным замком.
Варианты использования: когда требуется Data Secure
KNX Data Secure не требуется для всех цепей — он добавляет накладные расходы на телеграммы и требует совместимых устройств на стороне отправителя и получателя. Приоритет Data Secure для цепей, где несанкционированная телеграмма может иметь последствия для физической безопасности или защиты.
Data Secure настоятельно рекомендуется
- Исполнительные устройства контроля доступа (реле дверного замка, электрозамок, магнитный замок)
- Интерфейс KNX панели сигнализации (команды постановки/снятия с охраны)
- Триггер KNX для видеорегистратора (включение/выключение записи)
- Интерфейсы KNX для противопожарных клапанов и дымовых заслонок
- Управление эвакуационным освещением через KNX
- Правительственные и банковские установки — все исполнительные устройства
Data Secure редко требуется
- Стандартное управление освещением офиса или жилого помещения (низкий риск)
- Управление уставкой температуры HVAC (низкое влияние на безопасность)
- Управление положением жалюзи/штор (конфиденциальность, не безопасность)
- Кнопки сценариев в неограниченных зонах
- Групповые адреса учёта энергии (только чтение, без исполнительного устройства)
Совместимые устройства
KNX Data Secure требует, чтобы и отправляющее устройство (кнопка или логический контроллер), и принимающее устройство (исполнительное устройство) поддерживали Data Secure. Зашифрованная телеграмма от защищённой кнопки не может быть обработана незащищённым исполнительным устройством — исполнительное устройство отбрасывает её как нераспознанный формат.
Примеры устройств, поддерживающих Data Secure
Switch actuators: MDT AKS-0816.02 — 8×16A Data Secure switch actuator MDT AKS-0424.02 — 4×16A Data Secure switch actuator Gira 2094-00 — 8-channel Data Secure switch actuator ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure Push-buttons / inputs: Gira 2093-00 — Push-button with Data Secure support MDT BE-GT2W.02 — Glass push-button with Data Secure ABB M4120-01 — 4-gang binary input with Data Secure Logic / coupling: Gira X1 — Logic processor and gateway with Data Secure MDT SCN-IP100.02 — IP router with Data Secure gateway function Weinzierl KNX IP Interface 740 — with Data Secure support Check: KNX Secure logo (lock icon) in device datasheet ETS6: Data Secure capable devices show padlock icon in device catalog and in the device properties panel
Настройка Data Secure в ETS6
Data Secure настраивается в ETS6 для каждого устройства индивидуально. ETS6 генерирует уникальные случайные ключи для каждого устройства и загружает их в процессе стандартной полной конфигурации устройства. Ключи доступны только для записи — их невозможно прочитать из сконфигурированного устройства по соображениям безопасности.
Конфигурация устройства Data Secure в ETS6
Per-device configuration in ETS6: Select device in topology → Properties panel Security tab → Data Secure: Enable (checkbox ON) Tool access code: set a 6-digit code (prevents unauthorised ETS6 parameter access to this device without the code) Key: generated automatically by ETS6 (unique per device) Key properties: Generated: 128-bit random key per device Stored: in ETS6 project file (encrypted) Downloaded: to device during Full Device Configuration Cannot be read back: device stores key in write-only memory If key lost: must factory reset device to clear it, then re-download with new key from ETS6 Tool access code usage: Required when accessing device parameters in ETS6 (prevents unauthorised configuration changes on-site) Store tool access codes in password manager Document in commissioning record (access-restricted copy)
Уровни безопасности групповых адресов
ETS6 позволяет каждому групповому адресу индивидуально назначать уровень безопасности. Это позволяет выборочно применять шифрование — защищая только чувствительные групповые адреса, оставляя некритичные по производительности адреса незашифрованными для минимизации накладных расходов телеграмм.
| Уровень безопасности | Защита | Накладные расходы | Рекомендуется для |
|---|---|---|---|
| Нет | Без безопасности — стандартная телеграмма KNX | Нет (+0 байт) | Совместимость с устаревшим оборудованием, нечувствительные значения (базовое освещение) |
| Аутентифицированный | Только целостность HMAC-SHA256, без шифрования | +4 байта тега аутентификации, +6 байт seq | Значения датчиков температуры, показания энергопотребления — целостность без конфиденциальности |
| Конфиденциальный | Шифрование AES-128-CBC + аутентификация HMAC-SHA256 | +10 байт общих накладных расходов | Управление дверными замками, постановка/снятие с охраны, контроль доступа — максимальная защита |
Рекомендуемое назначение уровней безопасности: Групповые адреса контроля доступа (замок двери, управление воротами, электрозамок) — Конфиденциально. ГА системы сигнализации (постановка/снятие с охраны, тревога) — Конфиденциально. ГА уставки температуры — Аутентифицировано (предотвращает вмешательство без полных накладных расходов шифрования). Стандартные ГА включения/выключения освещения — Нет (нет практической выгоды для безопасности, избегает накладных расходов).
Смешанные Secure и non-Secure на одной шине
Устройства KNX Data Secure и стандартные незащищённые устройства могут сосуществовать на одной линии KNX TP без помех. Эта обратная совместимость позволяет поэтапно повышать безопасность — начиная с цепей с самым высоким риском, оставляя другие на стандартных незащищённых устройствах.
Правила работы смешанной шины
Secured GAs (Confidential or Authenticated):
Only Data Secure devices with correct key can send/receive
Non-Secure devices receive encrypted telegram → cannot decrypt
→ Non-Secure device ignores the telegram (no action)
Non-secured GAs (None security level):
Both Secure and non-Secure devices participate normally
Standard KNX telegram — no overhead
Migration strategy for adding security incrementally:
Phase 1: Add Data Secure actuators for access control circuits
(replace existing door lock actuators with Data Secure models)
Update ETS6, download, test
Phase 2: Replace alarm panel KNX interface with Secure version
Phase 3: Add Secure push-buttons for access-controlled areas
(non-Secure push-buttons on same bus still work for
non-secured GAs — lighting control unchanged)
Coexistence check:
ETS6 topology scan: Secure devices show padlock icon
Non-Secure devices show no lock icon
Group Monitor: secured GAs show encrypted status in ETS6
(ETS6 decodes them locally — other bus monitors see encrypted)Влияние на производительность
KNX Data Secure добавляет накладные расходы телеграммы как по количеству байт, так и по времени обработки. Для большинства приложений автоматизации зданий эти накладные расходы незаметны для пользователей — дополнительная задержка находится в пределах допустимого времени отклика для управления исполнительными устройствами.
Разбивка накладных расходов телеграммы
- Тег аутентификации: 4 байта (HMAC-SHA256 усечённый)
- Номер последовательности: 6 байт (счётчик защиты от повторения)
- Общие накладные расходы: 10 байт на защищённую телеграмму
- Максимальная полезная нагрузка стандартной телеграммы KNX: 14 байт
- Максимальная полезная нагрузка защищённой телеграммы Data Secure: 4 байта (Конфиденциально)
- Для 1-битного переключения (вкл/выкл): полезная нагрузка = 1 бит → накладные расходы несущественны
Влияние на время отклика
- Стандартная телеграмма KNX: 20–100 мс от конца до конца
- Дополнительная обработка Data Secure: +5–15 мс
- Общее защищённое время отклика: 25–115 мс
- Порог восприятия человеком для переключения света: ~150 мс
- Результат: накладные расходы Data Secure незаметны для переключения
- Для многотелеграммных сцен: небольшая совокупная задержка — приемлемо
Управление ключами и резервное копирование
Ключи KNX Data Secure хранятся исключительно в файле проекта ETS6. Если файл проекта утерян без резервной копии, все введённые в эксплуатацию защищённые устройства необходимо сбросить до заводских настроек и перепрограммировать — это серьёзные восстановительные работы на крупных объектах. Дисциплина резервного копирования является единственным важнейшим эксплуатационным требованием для развёртывания Data Secure.
Управление ключами и требования к резервному копированию
ETS6 project backup (contains all Data Secure keys):
Backup frequency: after every programming session (daily minimum)
Backup format: encrypted .knxproj file (ETS6 native)
Backup locations:
Primary: encrypted network share (RAID protected)
Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
Tertiary: encrypted USB drive in physically secure location
Password: strong (minimum 20 chars) stored in password manager
Test restore procedure (mandatory before handover):
Restore backup .knxproj to second ETS6 installation
Verify: all Data Secure devices listed with keys
Verify: Group Monitor shows decrypted telegrams after restore
Document: restore test date and result in commissioning record
Loss recovery (ETS6 project lost, no backup):
Each Data Secure device must be factory reset
Factory reset: device-specific procedure (see datasheet)
Effect: clears Data Secure key AND KNX application
Reprogram required: Full Device Configuration download
Time estimate: 1 hour per 10 Data Secure devices
For 50-device installation: estimated 5 hours minimumСоответствие нормативным требованиям и стандартам
KNX Data Secure может служить частью технического обоснования для соблюдения нормативных требований по кибербезопасности, применимых к зданиям и их системам управления. Конкретная применимость зависит от типа здания и юрисдикции.
Соответствующие нормативные акты и стандарты
- Директива NIS2 (ЕС 2022/2555): здания критической инфраструктуры — документировать меры безопасности KNX как часть системы управления кибербезопасностью
- UK Cyber Resilience for Connected Devices (Закон PSTI 2024): здания с подключёнными системами автоматизации
- IEC 62280: безопасность систем связи на железнодорожном транспорте — используется для KNX в транспортной инфраструктуре
- ISO 27001: информационная безопасность — KNX Data Secure как средство контроля безопасности зданий
Документация по безопасности для клиента
Для государственных проектов и проектов критической инфраструктуры: подготовьте сводку по внедрению KNX Data Secure для проверки безопасности клиентом. Включите: список защищённых групповых адресов и уровней безопасности, перечень устройств с указанием статуса Data Secure, процедуру резервного копирования проекта ETS6.
Предоставьте выдержку из проекта ETS6 (список групповых адресов с уровнями безопасности) CISO клиента для включения в реестр рисков и документацию по безопасности. Не включайте значения ключей в любую документацию, предназначенную для клиента.
Нужен KNX Data Secure для контроля доступа или цепей, критичных для безопасности?
Мы проектируем и вводим в эксплуатацию исполнительные устройства KNX Data Secure с управлением ключами ETS6, назначением уровня безопасности групповых адресов и полной эксплуатационной документацией — подходит для зданий, регулируемых NIS2, и государственных проектов.
Запросить расчёт →