Skip to content

KNX Secure

KNX Secure protège ton installation KNX contre les accès non autorisés et les manipulations. Il s'appuie sur deux mécanismes :

  • KNX Data Secure protège l'appareil lui-même contre les modifications de configuration non autorisées (Secure Commissioning), et permet aussi optionnellement de chiffrer les télégrammes KNX individuels sur le bus TP.

  • KNX IP Secure chiffre le trafic IP, la connexion entre la KNX Bridge et les clients IP comme ETS.

Une installation typique utilise KNX Secure pour empêcher les accès non autorisés via IP, ce qui nécessite l'activation de Data Secure. Cependant, le chiffrement des télégrammes KNX sur le bus ajoute une complexité importante et est rarement utilisé. Tant que personne d'extérieur ne peut accéder au câble bus KNX vert, tu peux t'en passer.

KNX SecureData Securemandatory for KNX SecureIP Securerequires Data SecureSecureCommissioningrequiredSecured GroupAddressesoptionalIP SecureTunnelingrequired (with IP Secure)
Panneau KNX Secure avec code QR FDSK

Factory Default Setup Key (FDSK)

Chaque appareil KNX Secure possède un Factory Default Setup Key (FDSK) unique. Le FDSK de l'Atios KNX Bridge est affiché sur la page de paramètres KNX (par exemple ALODDQ-DW4XY3-W5LL77-LLRM7W-22OZE4-3FJBRH) et figure aussi sous l'appareil.

Prérequis

  • ETS 6.0 ou supérieur
  • Fichier knxprod : KNX Bridge v3.0 ou supérieur
  • Firmware KNX Bridge 3.1.0 ou supérieur

Secure Commissioning

Première Atios KNX Bridge

  1. Dans le Catalogue en ligne ETS, navigue vers le fabricant Atios AG, sélectionne Atios KNX Bridge, Version 3.0 ou supérieure et glisse-la dans la topologie de ton projet.
  2. Définis un mot de passe de projet lorsque c'est demandé.
  3. Quand ETS t'invite à ajouter le FDSK, ouvre le Web Interface.
  4. Navigue vers KNX → Secure et copie le FDSK affiché sous le code QR (par exemple ALOG2M-E4XZO2-CCEC53-L4B6XA-TSKIG4-DFBXTF), puis colle-le dans ETS.
  5. Secure Commissioning et Secure Tunneling sont activés par défaut.
  6. Fais un clic droit sur la KNX Bridge dans ETS, puis sélectionne Download Individual Address suivi de Download Application.

Tu as déjà une Atios KNX Bridge dans le projet ETS

  1. Dans le Catalogue en ligne ETS, navigue vers le fabricant Atios AG, sélectionne Atios KNX Bridge, Version 3.0 ou supérieure et glisse-la dans la topologie de ton projet.
  2. Définis un mot de passe de projet lorsque c'est demandé.
  3. Quand ETS t'invite à ajouter le FDSK, clique sur Later.
  4. Supprime la KNX Bridge que tu viens de glisser.
  5. Clique sur ta KNX Bridge existante dans la topologie.
  6. Va dans Properties → Info → Application et clique sur Mise à jour au bas du panneau.
  7. Ajoute le FDSK à l'appareil existant via Properties → Settings → Add Device Certificate.
  8. Fais un clic droit sur la KNX Bridge dans ETS et sélectionne Download Application.

INFO

Tu devras peut-être d'abord régler Secure Commissioning sur active pour faire apparaître le bouton Add Device Certificate.

Lors de la mise à jour d'une KNX Bridge existante

Ne change pas le programme d'application via la ComboBox. Cela effacerait tous tes accessoires et paramètres. Si cela arrive par accident, clique immédiatement sur Undo.

Panneau ETS Properties Info Application avec le bouton Update en vert et la ComboBox en rouge

Tunneling IP Secure

IP Secure chiffre la communication IP entre l'Atios KNX Bridge et les clients IP. Il protège contre quiconque ayant accès au réseau pourrait tenter de lire ou d'injecter des télégrammes IP.

Comment connecter des clients (par exemple Home Assistant) à l'Atios KNX Bridge

  1. Déplie le nœud Tunnel Address de l'Atios KNX Bridge dans la vue Topology.
  2. Sélectionne le tunnel que le client doit utiliser.
  3. Glisse-dépose chaque adresse de groupe que le client doit pouvoir recevoir ou envoyer.
  4. Exporte le fichier keyring via Properties → Settings → Export Interface Information.
  5. Importe le fichier keyring dans le client.

WARNING

Le Tunnel 4 est réservé à Matter/HomeKit. Utilise un autre tunnel pour les clients tiers.

Pourquoi c'est nécessaire : le fichier keyring contient le code d'authentification, les clés de chaque adresse de groupe glissée dans le tunnel, et l'identifiant utilisateur nécessaires pour ouvrir la connexion IP chiffrée entre la Bridge et le client.

Adresses de groupe sécurisées (optionnel)

Par défaut, ETS active automatiquement la sécurité sur les adresses de groupe quand tous les appareils connectés ont Secure Commissioning activé. Tu peux forcer ETS à activer ou désactiver la sécurité pour chaque adresse de groupe.

Les adresses de groupe sécurisées ne sont nécessaires que si quelqu'un pouvait accéder physiquement à ton bus KNX. Pour des installations résidentielles typiques, il n'est pas nécessaire de sécuriser les adresses de groupe individuelles, car cela ajoute une complexité importante.

Adresses de groupe sécurisées de l'Accessory Manager

  1. Active la sécurité sur l'adresse de groupe (si ETS ne l'a pas fait automatiquement).
  2. Glisse-dépose l'adresse de groupe sur le Tunnel 4 (Matter/HomeKit).
  3. Retélécharge l'Application sur tous les appareils connectés pour mettre à jour leurs listes d'adresses sources valides.
  4. Exporte le fichier keyring depuis ETS via Project Details → Security → Backup Keyring.
  5. Ouvre le Web Interface et importe le fichier keyring (KNX).

Adresses de groupe sécurisées pour la passerelle KNX-DALI

  1. Active la sécurité sur l'adresse de groupe (si ETS ne l'a pas fait automatiquement).
  2. Retélécharge l'Application sur l'Atios KNX Bridge.
  3. Retélécharge l'Application sur tous les appareils connectés.

Pourquoi c'est nécessaire : le Web Interface gère tes accessoires Matter et les mappe à des adresses de groupe KNX. Pour envoyer des commandes ou lire l'état des adresses de groupe sécurisées, les accessoires ont besoin des clés de chiffrement, stockées dans le keyring. Attribuer une adresse de groupe au Tunnel 4 indique aussi à ETS d'ajouter l'adresse de tunnel comme émetteur valide sur tous les appareils connectés et de mettre à jour leurs tables de filtrage. Sans cette attribution, la Bridge n'a pas la clé pour l'adresse et les télégrammes chiffrés n'atteignent pas l'actionneur.

Mise à jour du keyring après modifications sécurisées

Toute modification de la configuration sécurisée dans ETS nécessite :

  1. La réexportation du keyring depuis ETS.
  2. La réimportation dans le Web Interface KNX Bridge, et dans tout autre système tiers connecté utilisant KNX Secure.