Sicherheit von DoorPi mit RFID, iButtons, ...

  • Morgen wieder. Jetzt gehe ich zum Opernball.


    Stunden später. So, jetzt in Kürze - denn ich habe keine Lust auf diese Diskussion. Ich habe genügend andere Baustellen.


    1. Niveau. Der Spruch "Wenn einer rein will, findet er auch einen Weg" hat das Niveau gesetzt, das ich nicht teilen will. Fertig.


    2. Sicherheit von RFID. Ich staune immer, was einem so Alles in den Mund gelegt wird. Weder lese ich aus meiner Kritik an RFID-Systemen eine pauschale Ablehnung dieser Technologie, noch den Zweifel daran, dass diese mit genügend Aufwand sicher gemacht werden kann.
    Abgesehen aber davon, dass auch kommerziell erhältliche kryptografisch abgesicherte Systeme immer wieder Schwächen zeigen (etwa beim Schlüsselaustauschprotokoll), sind die meisten für den Privatgebrauch genutzten RFID-Systeme eher auf der primitiven Seite einzuordnen.


    3. Quellen RFID: https://hdms.bsz-bw.de/files/729/RFID_Abschirmungstest.pdf und darin erwähnte Paper. Weniger informativ: https://books.google.de/books?id=8StlAQAAQBAJ



    4. Sicherheit von iButtons: http://www.oreilly.de/buecher/…0120-smarthome-hacks.html. Seite 150, letzter Absatz.


    So long.


    pah

















    LG


    pah

  • Lieber pah.


    Zu 1: Das ist Deine freie Entscheidung. Die Frage ist dabei immer nur, wie Du sie rüberbringst. Schaue ich mir Deine Antwort auf Fraeggle's Post an, hätte dieser durchaus den Grund sich angegriffen zu fühlen. Übrigens halte ich die Aussage nach wie vor für eine Tatsache. Wir haben ein Haus in Holzständerbauweise. Theoretisch könnte sich ein Einbrecher also einfach mit einer Kettensäge ein Loch in die Wand sägen. Eine in der Praxis wohl eher ungeeignete Methode, aber er wäre im Haus. Und nichts anderes sagt der Satz aus. Ich halte es auch nach wie vor für erheblich wahrscheinlicher, dass ein Einbrecher mit einem langen Schraubendreher im Ärmel durch die Nachbarschaft zieht und Fenster aufhebelt, als dass mich jemand gezielt verfolgt um für das Eindringen meine RFID Daten auszulesen. Aber das ist meine persönliche Meinung und für mich ist es selbstverständlich, dass es auch völlig andere gibt.


    Zu 2: Dir will niemand etwas in den Mund legen. Aber nach nochmaliger durchsuche Deiner Beiträge zum Thema RFID konnte ich für mich leider keinen anderen Schluss ziehen. Anderen Lesern ging es anscheinend ähnlich. Und eine inhaltlich tiefergehende Diskussion hast Du durch Deine ablehnende, nach meinem Gefühl schon aggressiven Haltung gar nicht erst zugelassen. Mag sein ich bin da etwas empfindlich. Aber wer den Ansatz konstruktive Diskussion mit lapidaren, aggressiven Sätzen in Keim zu ersticken versucht und später nach mehr Niveau zu verlangen, handelt meiner Meinung nach etwas zynisch.


    Zu 3: Danke für die Infos. Insbesondere der Abschirmungstest ist interessant.


    Zu 4: Leider liegt mir Dein Buch nicht vor. Aber als Autor kannst Du uns bestimmt den beschriebenen Absatz und die zugehörigen Quellen bereitstellen.



    Zurück zum Thema. Du hast völlig recht, dass für die meisten, privaten (und auch kommerziell) genutzten Zutrittssysteme absolut unzureichend sichere Technologien genutzt werden. Ich habe keine Zahlen, gehe aber davon aus, dass in den Überwiegenden Fällen lediglich die Seriennummer ausgelesen wird. Und diese zu clonen ist, wie Du schon richtig beschrieben hast, überhaupt kein Problem.


    Wir verwenden für die Zutrittskontrolle zu nicht sensiblen Bereichen eine zertifikatsbasierte Authentifizierung über RFID. Nicht unmöglich zu knacken, aber wohl auch nicht einfach zu kopieren. Hier ist für uns auch nicht mehr Aufwand nötig, ist der Faktor Mensch doch das schwächste Glied in der Kette. Es gibt keine Schleusen, Fremde können also mit ins Gebäude wenn die Türe geöffnet wird. Eine intern beauftragte Studie hat auch ergeben, dass der Diebstahl eines Tag's wahrscheinlicher ist als der Versuch ihn zu kopieren. Z.B. in Pausen außerhalb des Unternehmens, wenn die Mitarbeiter vergessen den Tag nicht mehr offen zu tragen. Das alles benötigt aber einen gezielten Angriff und einen gewissen Aufwand. Als Unternehmen ist man immer im Fokus und ein Angriff ist wahrscheinlich. Unsere Cyber Crime Unit geht z.B. immer davon aus, dass das Unternehme bereits erfolgreich angegriffen wurden. Sensible Bereiche werden anders abgesichert. Ich gehe da jetzt mal nicht ins Detail, aber Möglichkeiten sind hier z.B. Schleusen, ein zweiter Tag, der niemals das Unternehmen verlassen darf, ein Sicherheitsdienst der biometrische Daten prüft oder eine Mehrfaktor Authentifizierung. Hier rechtfertigt aber auch der Nutzen den Aufwand.


    Für mein privates Haus versuche ich ähnliche Überlegungen anzustellen. Es macht für mich keinen Sinn, die Vordertüre auf Militär Standard abzusichern, wenn Statistisch mehr als 80% der Einbrüche über Fenster erfolgen. Ich muss also auch hier in Schutz investieren. Es macht für mich auch keinen Sinn die elektronische Zugangskontrolle mit einem riesen Aufwand zu sichern, wenn die Türe selbst mechanisch unzureichend geschützt ist oder sich das System hinter dem Lesegerät leicht angreifen lässt.


    Ich stelle mir daher die folgenden Fragen (ohne Anspruch auf Vollständigkeit):


    • Wie wahrscheinlich ist es, dass mich ein potentieller Einbrecher ausreichend lange ausspäht, um überhaupt Kenntnis eines elektronischen Schließsystems zu erlagen?

      • Welches System lässt sich besser tarnen um nicht sofort erkannt zu werden? (RFID vs. iButton)
    • Wie wahrscheinlich ist es, dass dieser Einbrecher dann in der Lage ist das System anzugreifen?
    • Und auf welchem Wege würde er das machen?

      • Diebstahl des physikalischen Schlüssels (wie auch immer der aussieht)
      • Auslesen möglicher Informationen aus dem Schlüssel (RFID / NFC)
      • Angriff auf das Lesegerät (RFID / NFC / iButton)
      • Angriff auf das Backend System
      • Angriff auf das Terminal (mechanisch)
    • Welche Möglichkeiten bestehen, die Komponenten zu schützen und wie hoch ist der Aufwand?

      • Schutz vor Auslesen durch Schirmung (RFID / NFC)
      • Schutz vor Clonen durch Verschlüsselung (RFID / NFC)
      • Schutz des Readers durch entsprechende Protokolle (z.B. SKI oder CoA, simples Abschalten und Aktivierung durch bestimmte Ereignisse)
      • Schutz des Backend (Zentrale Systeme, Router, WLAN, weitere Funksysteme, Sozial Engineering)
      • Schutz des Terminals (sofern dadurch überhaupt eine Umgehung der Authentifizierung erreicht werden kann
    • Welchen Nutzen habe ich eigentlich von einem Schlüssellosen Schließsystem?

      • Und bleibt der Nutzen erhalten, wenn ich das System absichere? (Einschalten des Lesers oder verstecken des iButton Anschluss)
    • Rechtfertigt der Nutzen das Risiko bzw. den Aufwand das System zu schützen?


    Ich habe mal bewusst keine Antworten dahinter geschrieben. Jeder wird sie anders beantworten. Und das ist gut so. Ich würde mich über eine sachliche Diskussion freuen, welche Raum für die Meinung aller Beteiligter lässt und auch Fehleinschätzungen erlaubt, welche auf konstruktiver Ebene korrigiert werden können.

  • Zu 1: Das ist Deine freie Entscheidung. Die Frage ist dabei immer nur, wie Du sie rüberbringst. Schaue ich mir Deine Antwort auf Fraeggle's Post an, hätte dieser durchaus den Grund sich angegriffen zu fühlen.

    Hallo AndyGR42.
    Ich stehe über solche aussagen.... Weil ich selber wie du auch schon erlebt habe welche mittel Einbrecher mittlerweile anwenden. Hab ich auch in dem Thread beschrieben gehabt. Ich gebe dir auch recht, dass eine andere Meinung erst gar nicht zugelassen wurde.


    Wobei bei interressanterweise in dem RFID_Abschirmungstest.PDF sogar meine Aussage der geringen Reichweite bei den 125kHz RFID bestätigt wird. Aber egal....


    So nun mal anders.
    Beide Systeme haben ihre Vor- und Nachteile. Interressant sind die iButtons bestimmt. Habe vor mich mal näher damit zu beschäftigen. Nachteil dort finde ich den "offenen" und "sichtbaren" Zugang. 64 Bit (48Bit reine SN-Nummer) ist auch sehr statlich. Nur kann ich je nach System und ZEIT
    ohne eine Kopie eines Buttons mich mit 2 Drähten (ja man braucht trotzdem 2) und einem kleinen Rechner rein Häcken. Ja dies wurde schon so gemacht. Allerdings in diesem Test mit einer kleinen Spanne von möglichen Kombinationen. Empfehlenswert wäre eine Zeitliche Erhöhung der Sperre nach mehrmaligem Falschen Code. z.B. nach 3 fehlern eine Sperre von 1Min. dannach 3Min usw....
    Dadurch wird ein Bruteforce Hack ziemlich unattraktiv.


    Ich habe gelesen, dass auf den IButtons die SN-Nummersichtbar eingraviert ist. Stimmt das?? Das würde ich Fatal finden. Dann reicht ein unüberdachtes liegenlassen auf dem Tisch und ein damit verbundenes "schaut mal wo ich gerade im Urlaub bin " Foto im Internet.


    Vorteil beim RFID:
    Du musst wissen, wo die Antenne des Readers ist. Ist von Aussen ja oft nicht ersichtlich.


    Trotz allem glaucbe ich nicht dass jemand versuchen wird meinen RFID auszulesen. Derjenige muss wissen, das ich ein solches System verwende, da ich meinen RFID nicht sichtbar am Schlüsselbund mit trage. Ist bei einem IButton aber aufgrund der vielen versch. Arten auch nicht gerade ersichtlich.


    Deinen Hinweis mit der Motorsäge finde ich auch nett. Ich stell mir gerade vor wie einer mit Maske und Motosäge vor geht.... ;)

  • Ich verstehe die Aussage ehrlich gesagt auch nicht. Ich bin an einer Erläuterung interessiert, kann aber ohne auch gut leben :)


    Für mich persönlich hat die Aussage "Wenn einer rein will, findet er auch einen Weg" rein gar nichts mit Niveau zu tun. Das ist eine, zugegebenermaßen provokativ formulierte Aussage.
    Wenn diese nicht zutreffend ist oder wäre, könnte man diese in einer vernünftig geführten Diskussion innerhalb kürzester Zeit widerlegen und damit wäre es erledigt. Das ist in dieser Diskussion aber nicht passiert, und damit steht sie immer noch im Raum.
    Die Aussage sagt ja nicht, dass es keinen Sinn macht, sich über die Sicherheit Gedanken zu machen. Sondern lediglich, dass die durchgeführten Maßnahmen zur Sicherheit sinnvoll in einem vernünftigen Rahmen gewählt sein müssen.
    Ich halte die Aussage daher weiterhin für zutreffend. Egal ob man iButtons, RFID oder sonst etwas (auch den schnöde einfache Schlüssel) zum Zutritt verwendet, wenn jemand in das Haus eindringen möchte, dann kann er dies mit entsprechendem Aufwand auch. Beispiele wurden ja genannt. Zweifelsfrei macht es aber Sinn, das verwendete System so weit abzusichern, dass der Aufwand so hoch wird dass es höchst unwahrscheinlich wird dass jemand diesen betreibt.
    Wenn die Aussage falsch wäre, würde das im Umkehrschluß bedeuten, dass man das Haus so absichern könnte dass es _unmöglich_ wird, in dieses einzudringen, egal welcher Aufwand betrieben wird.


    Im Endeffekt läuft es doch immer auf die Wahrscheinlichkeit hinaus, daher finde ich die Fragen Liste von @AndyGR42 auch höchst sinnvoll. Der erste Punkt, den ein Einbrecher auf sich nehmen müsste um ein elektronisches Zugangssystem zu knacken, ist ja immer erst zu wissen, um was es sich handelt. Und da finde ich es durchaus einen Pluspunkt von RFID, dass dieses im Normalfall erstmal "unsichtbar" ist.
    D.h. er müsste ausreichend lange meinen Hauseingang beobachten, um zu wissen was ich verwende.
    In meinem Fall ist allein schon das höchst unwahrscheinlich, da hier ausschließlich Einfamilienhäuser in relativ dichter Bebauung stehen. Ich wüßte ehrlich nicht, wo ein Einbrecher sich hier unauffällig verstecken könnte, um ungestört meinen Eingang zu beobachten. Das ist aber nur in meinem konkreten Fall so, in anderer Bebauungslage mag das anders sein.
    Im iButton Fall braucht er nur an die Tür herantreten und so zu tun als würde er klingeln wollen, um zu erkennen dass es sich um ein solches System handelt.


    Und dann geht es immer mit der Wahrscheinlichkeit weiter- wie wahrscheinlich ist es, dass er nach Kenntnis des Systems tatsächlich versucht es zu knacken? Ich behaupte, in den allermeisten Fällen gibt es einfachere Möglichkeiten.
    Dazu wieder die persönliche Einschätzung für meinen Fall: Allein hier hin der Straße gibt es mindestens 10 Häuser, die von außen gleichwertig zu meinem Aussehen und ein paar weitere, die den Eindruck erwecken dass "mehr zu holen" sein könnte. Daher ist die Wahrscheinlich dass ein Einbrecher sich Zutritt zu ausgerechnet meinem Haus verschaffen möchte was ein elektronisches Schließsystem hätte, wiederum eher gering.
    Usw usw.


    Und um den Kreis zu schließen: Natürlich macht es immer Sinn, das Haus so gut es geht abzusichern, eben um die Wahrscheinlichkeiten zu verringern. Aber egal ob man RFID oder iButton oder sonst was verwendet- Möglichkeiten gibt es immer. Und vermutlich wäre das in den allermeisten Fällen, das elektronische System zu ignorieren und eine andere Zugangsmöglichkeit zu finden.

  • In meinem Fall ist allein schon das höchst unwahrscheinlich, da hier ausschließlich Einfamilienhäuser in relativ dichter Bebauung stehen. Ich wüßte ehrlich nicht, wo ein Einbrecher sich hier unauffällig verstecken könnte, um ungestört meinen Eingang zu beobachten.

    Naja, Ausspähen geht auch remote. An Geldautomaten wurden und werden auch PIN Nummern per Kamera ausgespäht. Die Dinger sind winzig. Auch lässt sich ein RFID Reader leicht durch seine Funksignale aufspüren. Der Diebstahl von Autos mit einem Schlüssellosen Zugangssystem zeigt ja, dass die Täter mit solchen Technik unterwegs sind. Ich verwahre meinen Autoschlüssel seit einiger Zeit in einer RFID dichten Hülle. Ähnlich könnte es auch mit Deiner Haustüre funktionieren. Wenn es der Täter schafft, den Transponder durch die geschlossene Türe auszulesen und das Signal an den Reader weiterleitet, braucht er nicht mal den Transponder zu hacken oder zu clonen.


    Auch wenn ich derzeit nicht konkret plane die Türe elektronisch zu öffnen, würde ich versuchen den Reader (egal ob RFID oder iButton) durch ein bestimmtes Ereignis gezielt zu aktivieren. Damit fällt eine große Angriffsfläche schon einmal weg. Das Ereignis könnte die Eingabe einer PIN sein, ein geheimer Taster, Gesichtserkennung oder simpel ein Zeitfenster. Oder eine Kombination aus verschiedenen Methoden. Damit hätte man dann auch per Definition eine Mehrfaktor Authentifizierung.

    • Offizieller Beitrag

    Ich stehe auch vor der Entscheidung, ob und wie ich einen solchen schlüsselfreien Zugang herstelle. Für mich und die anderen Bewohner des Hauses ist es wichtig, dass der Sicherheitsstandard nicht schlechter wird, als wenn wir weiterhin den Schlüssel benutzen. Eine Mehrfach-Authentifizierung kann dabei die Lösung sein. Allerdings sollte das auch praktikabel sein.


    Ich habe nicht die tiefe Ahnung von RFID oder iButtons, deshalb stelle ich mal die Frage:
    Es gibt Zutritts-Systeme, die rein auf diese RFID-Chips (z.B. Interflex) oder rein auf die iButtons reagieren. Diese Systeme sind im beachtlichen Umfang auch bei Unternehmen für Zeiterfassung und sicherheitskritische Bereiche im Einsatz. Sind bei diesen Systemen zusätzliche Protokolle oder Sicherheitsmerkmale eingebaut oder ist das Sicherheitsrisiko den Unternehmen unbekannt?


    PS: Aktuell benutze ich eine URL vom Handy aus, die nur per WLAN erreichbar ist, um die Tür zu öffnen. Was denkt Ihr darüber?

  • Naja, Ausspähen geht auch remote. An Geldautomaten wurden und werden auch PIN Nummern per Kamera ausgespäht. Die Dinger sind winzig. Auch lässt sich ein RFID Reader leicht durch seine Funksignale aufspüren. Der Diebstahl von Autos mit einem Schlüssellosen Zugangssystem zeigt ja, dass die Täter mit solchen Technik unterwegs sind. Ich verwahre meinen Autoschlüssel seit einiger Zeit in einer RFID dichten Hülle. Ähnlich könnte es auch mit Deiner Haustüre funktionieren. Wenn es der Täter schafft, den Transponder durch die geschlossene Türe auszulesen und das Signal an den Reader weiterleitet, braucht er nicht mal den Transponder zu hacken oder zu clonen.

    Ok, das mit der Kamera ist ein Punkt. Müsste er zwar auch erstmal schaffen das Ding irgendwo dauerhaft anzubringen mit entsprechender Sicht auf den Eingangsbereich, aber denkbar wäre es.
    Wie meinst du das konkret, Transponder durch die geschlossene Türe auslesen?


    Auch wenn ich derzeit nicht konkret plane die Türe elektronisch zu öffnen, würde ich versuchen den Reader (egal ob RFID oder iButton) durch ein bestimmtes Ereignis gezielt zu aktivieren. Damit fällt eine große Angriffsfläche schon einmal weg. Das Ereignis könnte die Eingabe einer PIN sein, ein geheimer Taster, Gesichtserkennung oder simpel ein Zeitfenster. Oder eine Kombination aus verschiedenen Methoden. Damit hätte man dann auch per Definition eine Mehrfaktor Authentifizierung.

    Sehe ich auch so, dass man durch Kombination verschiedener Methoden die Sicherheit deutlich erhöhen kann. Ich finde aber keines der genannten Beispiele praktikabel- solange es länger dauert als den Schlüssel ins Schloss zu stecken und umzudrehen, finde ich es unattraktiv.

    PS: Aktuell benutze ich eine URL vom Handy aus, die nur per WLAN erreichbar ist, um die Tür zu öffnen. Was denkt Ihr darüber?

    Das interessiert mich auch. Ich habe gestern in das Webinterface meines FHEM einen Button eingebaut, der eine virtuelle Taste am DoorPi per http-Request drückt, der wiederum den Türöffner betätigt. So dass ich von der Weboberfläche den Türöffner betätigen kann. Bedeutet natürlich, dass jeder der in meinem WLAN ist, die Tür öffnen könnte...

    • Offizieller Beitrag

    Bedeutet natürlich, dass jeder der in meinem WLAN ist, die Tür öffnen könnte...

    jeder der in Deinem WLan ist (und nicht nur Gäste-WLan) und
    - Zugriff auf die Weboberfläche hat, um den Button zu drücken
    - oder die URL kennt


    Der Zugriff zu meinem WLan ist aus meiner Sicht bereits eine Ebene der Authentifizierung und Autorisierung. Durch die Kenntnis der URL ist es für mich eine Zwei-Faktor Aktion der Türöffnung.


    Wenn diese nicht zutreffend ist oder wäre, könnte man diese in einer vernünftig geführten Diskussion innerhalb kürzester Zeit widerlegen und damit wäre es erledigt.

    Das Widerlegen von "Totschlag-Argumenten" ist aufwendig und kostet Kraft. Ich kann das Argument grundsätzlich verstehen, aber im Umkehrschluss könnte man auch die Haustür offen stehen lassen, denn wer rein will, kommt auch rein und so entsteht dabei weniger Sachschaden.

  • jeder der in Deinem WLan ist (und nicht nur Gäste-WLan) und- Zugriff auf die Weboberfläche hat, um den Button zu drücken
    - oder die URL kennt


    Der Zugriff zu meinem WLan ist aus meiner Sicht bereits eine Ebene der Authentifizierung und Autorisierung. Durch die Kenntnis der URL ist es für mich eine Zwei-Faktor Aktion der Türöffnung.

    Ich sehe es auch so, und bin daher auch der Meinung dass dies OK ist. Prinzipiell kann man über die Weboberfläche von FHEM noch ganz andere Sachen machen, je nachdem was alles eingebunden ist...


    Ich kann das Argument grundsätzlich verstehen, aber im Umkehrschluss könnte man auch die Haustür offen stehen lassen, denn wer rein will, kommt auch rein und so entsteht dabei weniger Sachschaden.

    Ja- Im Prinzip geht es bei dem genannten "Totschläger" Argument eben darum, dass man salopp gesagt irgendwann "die Kirche im Dorf lassen muss". Man sichert eben so weit ab wie es sinnvoll erscheint und auch mit entsprechend sinnvollem Aufwand machbar ist. Dann ist die Wahrscheinlichkeit, dass ein erfolgreicher Einbruch stattfindet, entsprechend gering- aber nie gleich Null.
    Da der Aufwand die Tür zu schließen quasi Null ist, und die Tür vermutlich nicht teurer ist als Dinge die im Haus entwendet werden können, wird man das eben im Normalfall auch machen.

  • Wie meinst du das konkret, Transponder durch die geschlossene Türe auslesen?

    Siehe: http://www.heise.de/tr/artikel…-per-Antenne-1165992.html


    Das dürfte mit einem RFID Schlüssel auch funktionieren.


    Sehe ich auch so, dass man durch Kombination verschiedener Methoden die Sicherheit deutlich erhöhen kann. Ich finde aber keines der genannten Beispiele praktikabel- solange es länger dauert als den Schlüssel ins Schloss zu stecken und umzudrehen, finde ich es unattraktiv.

    Naja, wenn Du beim Auflegen der Karte auf den Reader unauffällig einen versteckten Knopf an der Unterseite drückst hält sich der Aufwand ja in Grenzen. Eine PIN ist auch in 3 Sekunden eingetippt. Andererseits bietet ein automatisches System auch weitere Vorteile. Z.B. wenn die Türe immer abgeschlossen wird und nicht nur zugezogen. Oder wenn man Schlüssel an Fremde geben möchte. Einen Transponder kann ich leicht deaktivieren, den Zugang für bestimmte Personen auf einen engen Zeitraum eingrenzen etc.


    Das interessiert mich auch. Ich habe gestern in das Webinterface meines FHEM einen Button eingebaut, der eine virtuelle Taste am DoorPi per http-Request drückt, der wiederum den Türöffner betätigt. So dass ich von der Weboberfläche den Türöffner betätigen kann. Bedeutet natürlich, dass jeder der in meinem WLAN ist, die Tür öffnen könnte...

    Die WLAN Verschlüsselung würde mir nicht reichen. Ich würde mindestens noch die Verbindung mit SSL absichern und eine Authentifizierung gegen den Webserver einrichten. Z.B. mit einem Benutzerzertifikat. Beiden lässt sich leicht mit einer privaten CA oder OpenSSL umsetzen.

    • Offizieller Beitrag

    Verbindung mit SSL

    Die Idee gefällt mir - das werde ich gleich für DoorPi 3 umsetzen, denn der Aufwand ist gering.
    Dann muss sich jeder nur sein Zertifikat selbst erzeugen, denn da weiß ich aktuell noch nicht, wie ich das umsetzen sollte.

    Authentifizierung gegen den Webserver

    Gibt es ja bereits, auch wenn nur eine simple base64 authentication.

  • Das Server Zertifikat muss jeder selbst einspielen. Ansonsten müsstest Du ein Öffentliches kaufen, und das wird teuer :)


    So lange der Nutzkreis bekannt und überschaubar klein ist, kann man sich mit einer eigenen CA behelfen. Die CA erzeugt zunächst ein Root Zertifikat, welches auf allen Clients und dem Server installiert werden muss. Dann erzeugt man ein Webserver Zertifikat mit privatem Schlüssel, welches auf dem Webserver installiert werden muss.


    Alternativ kann man auch einen der öffentlichen Anbieter nutzen. Das geht bei wenige Euro los oder ist auch ganz kostenlos. Dann muss man in der Regel auf den Clients keine Root Zertifikate installieren. Allerdings kann das bei den ganz günstigen Anbieter und älteren Geräte wieder erforderlich sein.


    Ich würde mir für den Türöffner auf dem Smartphone eine App programmieren (lassen), welche dann im Hintergrund noch die Authentifizierung macht. Die App kann man bei Bedarf noch mit einer PIN schützen. Sollte eigentlich auch kein Auftrag für einen Entwickler sein.



    Beispiel für eine CA: https://robpol86.com/root_certificate_authority.html


    Ich würde die aber nicht auf dem gleichen Pi Installieren. Theoretisch geht auch eine Linux VM die man nur bei Bedarf startet. Durch das Root Zertifikat muss die CA für SSL/Auth nicht zwingend online sein. Ich kann dann zwar keine Certificate Revocation List nutzen, aber das dürfte in dem bescheidenen Umfeld zu verschmerzen sein.

  • Einen Transponder kann ich leicht deaktivieren, den Zugang für bestimmte Personen auf einen engen Zeitraum eingrenzen etc.

    Das mit dem Zeitraum eingrenzen ist genau das was ich noch nicht hinbekommen hab....
    Wie gesagt wäre ja auch noch zu überlegen den Zugang bei mehrmaligem falschen übertragen für eine gewisse Zeit zu sperren.


    Ich würde mir für den Türöffner auf dem Smartphone eine App programmieren (lassen), welche dann im Hintergrund noch die Authentifizierung macht. Die App kann man bei Bedarf noch mit einer PIN schützen. Sollte eigentlich auch kein Auftrag für einen Entwickler sein.

    Hört sich auch Interessant an....


    Also ich verwende seit ca 4 Jahren einen RFID Zugang. Gut wenn wir länger als einen Tag weg sind wird ausgeschaltet und zugeschlossen....
    Wobei ich auch festgestellt hab, das die passiven 125 kHz gerade so durch die geschlossene Tür gelesen werden können (na gut von Spule bis Karte etwa 7cm - Dicke der Tür).

  • Ganz ehrlich? Ich habe Bahnhof verstanden...


    Ich hatte in Erinnerung, dass man sich sein eigenes SSL-Zertifikat erzeugen lassen kann. Sollte das nicht für einen solchen Anwendungszweck ausreichen?

    Also. Grundsätzlich gibt es zwei Möglichkeiten Zertifikate zu nutzen. Zertifikate von öffentlichen Herausgebern (öffentliche) und selbst erstellte (private). Um den Unterschied zu verstehen, versuche ich mal vereinfacht zu erklären wie das funktioniert. Man kann Zertifikate für verschiedene Aufgaben nutzen.


    Fangen wir mal mit Dienste wie einer Webseite an. Da hat das Zertifikat im Grunde zwei Aufgaben:


    • Verschlüsselung der Kommunikation
    • Sicherstellung der Identität (was heute fast noch wichtiger ist)

    Zertifikate sind im Grunde ein Vertrauensbeweis. Der Zertifikatsherausgeber stellt bei der Ausstellung eines Zertifikats sicher, dass die angegebene Identität des Anfordernden korrekt ist. Dieser Test kann ganz einfach eine Mail an bestimmte Adressen sein oder eine wirklich intensive Nachforschung. Von diesem Grad des Vertrauens hängt das Zertifikat ab. Z.B. bekommt man eine grüne Browserleiste nur nach einer intensiveren Überprüfung. Was dementsprechend kostet. Der Zertifikatsherausgeber haftet auch bei Fehlern. Der Benutzer muss nun dem Zertifikatsherausgeber vertrauen. Damit dies automatisch passiert, werden die sog. Stamm- und Zwischenzertifikate auf dem System des Benutzers installiert. Ist die dadurch entstehende Kette geschlossen, zeigt z.B. der Browser keinen Fehler an. Der Herausgeber kann Zertifikate auch zurück ziehen. Dazu prüft der Browser z.B. auch die veröffentlichte CRL. Die Stamm- und Zwischenzertifikate der meisten, öffentlichen Herausgeber sind im Betriebssystem installiert und werden über die Updates aktuell gehalten. Nur selten muss man eins manuell installieren. Nicht auf allen Systemen sind immer die aktuellsten Zertifikate installiert. Bei älteren Smartphones oder Java Versionen kann es z.B. zu Problemen kommen.


    Der Dienst (in unserem Fall der Webserver) braucht für die Verschlüsselung ein eigenes Zertifikate mit einem sog. privaten Schlüssel. Ist dieses Zertifikat von einer der öffentlichen Herausgeber, deren Stamm- und Zwischenzertifikate installiert sind, kann der Browser die Inhalte problemlos entschlüsseln. Wenn nicht, bekommt man eine rote Browserzeile und eine Warnung. Die kann man im Browser ignorieren, andere Anwendungen wie Mail Programme oder Chats verweigern oft ganz die Verbindung.


    Wenn man nun das Server Zertifikat selbst erstellt, sei es über eine eigene CA oder ganz einfach per OpenSSL, müssen die Stammzertifikate auf allen Geräten installiert werden, damit man keine der oben genannten Probleme bekommt. Alternativ kauft man eins der günstigen Zertifikate (geht so ab 30€/Jahr für ein ordentliches los) eines öffentlichen Herausgebers und muss in der Regel auf keinem Gerät etwas installieren.



    Eine andere Aufgabe von Zertifikaten ist die Authentifizierung. Sehr viele Systeme arbeiten im Hintergrund mit einer zertifikatsbasierten Authentifizierung. Dies ist sehr sicher, da mit hohen Verschlüsselungen und langen Schlüsseln gearbeitet werden kann. Zudem ist das meist auch eine 2 Faktor Authentifizierung, da das Zertifikate oft selbst verschlüsselt auf einer Smartcard gespeichert wird. Ich brauche dann also die SmartCard (Besitz) und den PIN um diese zu öffnen (Wissen). Diese Art der Authentifizierung ist aber recht komplex und benötigt, zumindest wenn wichtige Daten damit verschlüsselt werden, eine Infrastruktur zur sicheren Speicherung der privaten Schlüssel. Sonst kann es passieren, dass die Daten nicht mehr zu entschlüsseln sind.


    Für so ein Projekt wie DoorPi oder Hausautomation würde ich mir selbst eine CA aufsetzen und die nötigen Zertifikate generieren. Das Verteilen der Stammzertifikate auf die par Geräte ist keine wirkliche Arbeit.

  • Das mit dem Zeitraum eingrenzen ist genau das was ich noch nicht hinbekommen hab....Wie gesagt wäre ja auch noch zu überlegen den Zugang bei mehrmaligem falschen übertragen für eine gewisse Zeit zu sperren.

    Den Zeitraum einzugrenzen ist recht einfach. Schalte einfach die Stromversorgung ab :) Dann wäre der Reader auch nicht mehr durch seine Funksignale zu lokalisieren. Abschalten oder immer längere Pausen bei Fehleingaben benötigt mehr Intelligenz im Backend. Ich fürchte, das wird mit den einfachen Readern nicht gehen.

    Hört sich auch Interessant an....
    Also ich verwende seit ca 4 Jahren einen RFID Zugang. Gut wenn wir länger als einen Tag weg sind wird ausgeschaltet und zugeschlossen....
    Wobei ich auch festgestellt hab, das die passiven 125 kHz gerade so durch die geschlossene Tür gelesen werden können (na gut von Spule bis Karte etwa 7cm - Dicke der Tür).

    Die Autodiebe arbeiten da mit speziellen Antennen. Angeblich kann man auf diese Weise ja auch die üblichen 50-100cm Reichweite bei den gängigen remote coupling Systeme auf mehrere Meter verlängern. Da wäre ich nicht überrascht wenn man einen Transpondern auslesen könnte, der kurz hinter der Türe im Flur auf den Schuhschrank liegt.

  • 1. RFID-Systeme.
    Diese beiden Artikel zeigen, wie einfach man sogar als Unkundiger einen RFID-Sniffer bauen und Transponder auch aus größerer Entfernung auslesen kann. Und zwar auch dann, wenn man nicht weiß, wer einen solchen Transponder in der Hosentasche stecken hat.


    http://hackaday.com/2012/05/27…d-cards-from-afar-easily/
    https://www.bishopfox.com/reso…fid-hacking/attack-tools/


    Gerade die große Verbreitung von RFID wird dazu führen, dass entsprechende Sniffer immer besser werden. Es ist also in einer Worst-Case Analyse davon auszugehen, dass ein solcher RFID-Sniffer in wenigen Jahren in der Werkzeugkiste eines jeden professionellen Einbrechers zu finden sein wird.


    Durch entsprechende kryptografisch abgesicherte Verfahren (signierte Challenge-Response, etwa wie bei HomeMatic oder bei ZigBee) kann man zwar dafür sorgen, dass das Sniffen nichts ausmacht. Aber: Es kommt relativ häufig vor, dass in diesen Verfahren prinzipielle Fehler gefunden werden. Speziell ZigBee, um nur ein Beispiel aus dem Herbst 2015 zu nennen:


    http://www.heise.de/security/m…offenen-Haus-3010287.html
    http://fortune.com/2015/08/07/zigbee-hacked/


    Ich habe derzeit ein Team von Studenten an einer experimentellen Sicherheitsstudie sitzen, die ersten Ergebnisse lassen mir die Haare zu Berge stehen. Das soll nicht heißen, dass ich RFID-Systeme für prinzipiell ungeeignet halte. Aber sie sind, das ist erwiesene und vielfach abgesicherte Tatsache, weniger sicher als der mitgeführte gute alte Hausschlüssel.


    2. iButton-Systeme.
    iButtons sind leicht fälschbar. Zwar kann man mit einer Feile innerhalb von 10 Sekunden dafür sorgen, dass die ins Gehäuse eingravierte ID nicht mehr erkennbar ist - aber das visuelle Ablesen dauert sowieso länger, als das elektronische Auslesen. Allerdings erfordert dies einen physischen Kontakt zum iButton - genauso gut kann man von einem Hausschlüssel einen Wachsabdruck machen.


    Prinzipiell ist ein iButton also genau so sicher, wie ein mitgeführter Hausschlüssel. Faktisch gibt es eine leichte Einschränkung - denn aus einem Wachsabdruck den Schlüssel zu rekonstruieren, erfordert Expertenwissen und Zeit. Hingegen kann man auch als Unkundiger einen Mikrocontroller so programmieren, dass er eine beliebige gerade ausgelesene 1-Wire ID korrekt bestätigt.


    3. WLAN-Systeme
    WPA2 als Verschlüsselung kann als sicher gelten. Derzeit kann man also sein FHEM oder DoorPi im eigenen WLAN auch ohne Passwort als einigermaßen sicher ansehen - obwohl kritische Systeme auch hier zusätzlich abgesichert werden sollten, siehe unten. Die Schwachstelle liegt hier im mobilen Endgerät: Ein iPhone oder ein Android-System ist ein weit offenes Scheunentor, das einer Vielzahl von Diensten den Zugang zu höchst persönlichen Daten liefert. Eine weitere Schwachstelle sind die lokalen Router, die das WLAN mit dem offenen Netz verbinden - zu oft kommt es vor, dass ein engagierter Laie seine FritzBox so konfiguriert, dass man problemlos auf das interne Netz zugreifen kann. Dazu gibt es aber - im Gegensatz zu den oben genannten Systemen - eine umfangreiche Literatur.


    4. Stand der Technik
    Nach dem aktuellen Stand der Technik muss ein Zutrittssystem, um als sicher zu gelten, auf einer Kombination aus Besitz und Wissen beruhen. Beispiel: EC-Karte und PIN. Aber Vorsicht: Auf EC-Karten ist die PIN gespeichert - in verschlüsselter Form. In den 90er Jahren war dies ein ein einfaches DES-Verfahren, deshalb mussten Ende der 90er alle EC-Karten ausgetauscht werden. Die Wissenskomponente ist also mit Vorsicht zu genießen, auch deshalb, weil immer noch viele Trottel ihre PINs irgendwo notieren.


    Außerdem geht ein Teil des Komforts verloren, wenn man nach dem Auflegen eines iButtons noch eine PIN eintippen muss - das könnte man also höchstens einsetzen, um eine zweite Sicherheitsstufe einzuführen.


    LG


    pah

  • Hallo pah.


    Willkommen zurück und danke für die Infos. Ich möchte nur noch eines ergänzen. Zwar hast Du mit den iButtons völlig recht, dennoch erscheint ein BrutForce Angriff nicht so abwegig wie auf den ersten Blick. Theoretisch müssten 2^48 Kombinationen ausprobiert werden. Allerdings scheinen die Hersteller die Seriennummern nicht zufällig sondern linear zu verteilen. Es gibt Berichte, dass Schließanlagen mit iButtons mit fortlaufenden Nummern eher die Regel als die Ausnahme sind. Man könnte also mit Hilfe von Informationen wie dem Herstellungszeitraum den Pool sehr stark einschränken. Sicherlich eine eher hypothetische Lücke, aber einfach umzusetzen. Ausgenutzt wurde sie schon zu Demonstrationszwecken. Dabei konnte man sich mit Hilfe eines einzelnen iButton aus der Schließanlage Zutritt zu Bereichen verschaffen, die sonst nicht freigegeben waren, in dem man einfach Nummer vor und nach dem eigenen iButton ausprobiert hat.


    So gesehen ist jedes System irgendwo angreifbar und wir sind wieder bei der Wahrscheinlichkeit des Erfolges. Derzeit ist das Chaosdorf noch mit iButtons gesichert. Ich warte mal ab was die Mitglieder in der nächsten Zeit zu diesem Thema rausfinden und ob die Angriffsversuche auf die eigene Türe irgendwann nicht doch zum Erfolg führen. Ich würde beim Bau einer Sprechstelle zumindest die Möglichkeit für einen zweite Faktor (z.B. keypad) vorsehen. Auch wenn man es vielleicht derzeit nicht nutzt, wäre der mechanische Umbau später ein riesen Aufwand. Und vielleicht finden sich auch noch Anwendungen für das Keypad. Ich fände es ganz hilfreich, Personen mit Hilfe eines temporär gültigen Codes zu ermöglichen.