Connected Objet vient de publier la mise à jour de septembre pour la box eedomus.

eedomus

Cette mise à jour apporte principalement le support du protocole Z-Wave sécurisé. Les périphériques qui utilisent cette partie du protocole Z-wave ont leurs transmissions cryptées. Pour l’heure les quelques produits Z-Wave qui utilisent ce système d’encryptage des données sont les serrures

Connected Object indique cependant que cette fonctionnalité ne sera disponible que pour les box eedomus+ (les box d’anciennes générations ne devraient pas bénéficier de cette évolution pour des raisons de contraintes matérielles)

Cette mise à jour est donc une très bonne occasion pour regarder d’un peu plus pret comment fonctionne le protocole Z-wave sécurisé.

La pile de protocole Z-wave:

Le protocole Z-Wave fonctionne dans la bande de fréquence radio ISM (Industriel, Scientifique et Médical)
En Europe c’est la fréquence de 868,42 MHz (et 908.42 MHz aux États-Unis) qui permet des échanges  de données entre les périphériques tels que des capteurs, des prises, des micromodules sans oublier évidement les contrôleurs domotiques.

Le contrôleur domotique (qui peut être un dongle USB, une télécommande, ou une Box domotique) va gérer le réseau Z-Wave. Il attribuera un identifiant unique de 32 bits (le Home_ID) aux autres membres du réseau.

La valeur du Home_ID est inscrite dans la puce Z-Wave du contrôleur par le fabricant et ne peut pas être modifié de façon logiciel. Cela empêche des éventuelles perturbation entre deux réseau Z-wave voisins.

La pile de protocole standard est constituée de 4 couches, La couche Physique, la couche Transport, la couche Réseau, la couche Application.

Zwave_secu02

La couche Physique contient les spécifications qui concernent les couches MAC & PHY, les communications à des fréquences inférieures au GHz et certains aspects du protocole Z-wave comme le formats des trames (Frame)

La couche Transport est principalement utilisée pour tout ce qui est retransmission des paquets, accusé de réception des paquets, réveil des nœuds en mode veille ou l’authentification des paquets.

La couche Réseau s’occupe de toute la partie topologie du réseau, son maillage, des liens entre les nœuds et le contrôleur ou les liens direct entre deux nœuds elle détermine la meilleure route pour atteindre un nœud destinataire, enregistre les nœuds voisins de chaque nœud. Elle maintien une topologie réseau fonctionnelle en cas de perte de nœud et optimise la table de routage.

La couche Application quant à elle, s’occupe de décoder le contenu des trames de la payload, d’interpréter les Classes de Commandes spécifiques pour chaque périphériques et leurs paramètres associés.

Trame_Z-Wave

Dans la version sécurisé du protocole une couche Sécurité vient s’intercaler entre la couche Transport et la couche Application

Zwave_secu01

Cette couche sécurité à pour fonction d’encoder le contenu de la payload et d’ajouter un champ de 8 octets d’authentification. Pour encrypter les données les périphérique qui utilisent le protocole Z-wave sécurisé emploi un mécanisme AES 128 bits.

Lorsqu’une serrure z-wave est inclue dans le réseau Z-Wave pour la première fois: un échange de clé de cryptage a lieu entre le contrôleur de réseau et la serrure pour établir le partage d’une clé symétrique. Cette clé est générée à l’aide du pseudo générateur de nombres aléatoires (PRNG) basé sur le hardware du chip Z-wave.
Ensuite, lorsqu’on envoi une commande de verrouillage ou déverrouillage à la serrure Z-Wave la commande est chiffrée en utilisant la clé de cryptage et une valeur d’authentification est aussi ajoutés à la trame.

Voici les caractéristiques utilisées pour le protocole Z-wave sécurité:

• Message Freshness: 64 bit Nonce
• Clé de réseau aléatoire: de 128 bits (Kn)
• Cryptage: AES-OFB
• Authentification des données: AES-CBCMAC
• Clé Cipher et MAC 128 bits: Dérivé de Kn
• Protocole établissement, Custome Jey comme expliqué ci-dessous.

Zwave_secu03

 

  • Etape 1 : Le contrôleur demande à la serrure si elle est prête pour la procédure d’inclusion
  • Etape 2 : La serrure confirme qu’elle est prête
  • Etape 3 : Le contrôleur demande un nombre arbitraire unique (nonce) qui correspond à la clé temporaire
  • Etape 4 : La serrure renvoi sa clé de cryptage temporaire
  • Etape 6: Le contrôleur encrypte SRC et DST qui sont les identifiants du nœud source et de la destination, LEN qui est la longueur de la payload chiffrée en octets, et enfin C qui sont les octets de données utiles cryptées générés à l’aide de l’algorithme AES en mode OFB
  • Etape 7 La serrure renvoi un message crypté pour confirmer que la nouvelle clé de sécurité est correctement configuré.

A partir de cet instant le contrôleur et la serrure peuvent échanger des informations de façon entièrement sécurisée.

Reste de la mise à jour eedomus

Grâce au support du protocole sécurisé la box eedomus+ améliore ainsi la façon dont elle gère les périphériques sécurisé et notamment

La serrure électronique Deadbolt Lock Door de Vision (ZM1702)

door-lock-zm1702

 

  • La serrure électronique Danalock de Poly Control

Poly-Control-Danalock

Les télécommandes porte clé ZME_KFOB-S sécurisée de Zwave.me

ZME_KFOB

 

Mais l’eedomus supporte aussi d’autre nouveaux périphériques qui utilisent le protocole Z-wave standard

Pour avoir tous les détails sur la mise à jour de septembre des box eedomus et eedomus+ je vous invite à vous rendre sur cette page.

Taggé sur :    

A propos de l'auteur :

Électronicien de formation, j’ai travaillé pendant plus de 10 ans pour un important groupe mondial, leader dans la distributeur de matériel électronique et électrique. L’électronique, la domotique et les nouvelles technologie sont avant tout des passions et ce qui est encore plus intéressant, c’est lorsqu’on peut partager ses passions avec les autres. Aujourd’hui en tant que Directeur de "domogy.com", j’ai l’occasion de partager mon expérience avec les lecteurs du Blog, de proposer mes services pour rendre la domotique accessible à tous et de transmettre mes connaissances au cours de formations domotique.

a écrit 402 articles sur blog.domogy.com.