Inclusion mode sécurisée / insécurisée

[Rolb]

Bonjour
Merci pour ces retours

Qu'en est il en ce qui concerne la capacité d'un module secure ou non secure de relayer ou pas le message de ces collègues qui ne sont pas dans le même mode que lui ? ( dans le sens réseau maillé et pas possibilité d'envoyer des commandes)

J'imagine qui doit y avoir une subtile différence entre faire le passe plat et recevoir un ordre non ?

Jeedommement

Envoyé de mon E6633 en utilisant Tapatalk

[Jeandhom]

D'après cet extrait du blog de sarakha63.

Alors que se passe-t-il lorsqu’un module est inclus en sécurisé :

Il échange avec la centrale domotique une clé de cryptage
Chaque trame échangée ensuite, le sera après avoir été crypté avec cette clé
Il y a cependant quelques points négatifs:

Il y aura une latence plus grande (oui il faut que les trames soient décryptées à chaque interaction)
Vous aurez deux sous réseaux de maillages.
Ce dernier point est important. En effet, un module qui parle en sécurisé ne pourra pas faire partie du maillage réseau non sécurisé et vice-versa

Par contre, il semble que certains ne soient pas d'accord avec ça.

[fredyl7]

Bonjour,

Je suis persuadé d'avoir inclus mon FIBARO Flood sensor en sécurisé, pourtant je n'ai aucun cadenas visible nul part.
Dans Arbre ZWave je trouve des trucs du genre :

"name" : "Associations in Z-Wave network security mode",
"val" : 7, ?? c'est à dire ??

"isSecurity" : {
"value" : false
},

"isSecured" : {
"enabled" : false,
"value" : false
},
"security" : {
"value" : 0
}

Cela veut dire qu'il n'est pas en sécurisé ? Ou cela n'a rien à voir ?
Certains matériels supportent le sécurisé, d'autre non ? Comment le savoir en fait ?

Merci d'avance et bonne nuit à tous

[Bosquetia]

Hello,

un module est à la norme zwave ou zwave+. C'est à l'acheteur de se renseigner sur le module qu'il achète...

la différence, possibilité d'inclure en mode sécurisé ou pas de possibilité d'inclure en mode sécurisé.

Une fois le module inclut dans un mode, il faut l'exclure et le ré-inclure dans l'autre mode, on ne peut pas passer d'un mode à l'autre.

Dans la partie zwave de jeedom, santé permet de voir l'ensemble des modules...
Il y a un + bleu pour montrer les modules supportant le zwave+
et un cadenas vert ouvert ou fermé en fonction du mode d'inclusion du module, donc sécurisé ou pas.

Enfin il y a aussi la doc qui peut te donner des infos.

[fredyl7]

@Bosquetia Merci beaucoup pour ta réponse détaillée,
mais justement je n'ai vu aucun cadenas, cf capture et mes annotations en bleu/orange

Merci d'avance pour vos lumières

sante_zwave_00.png (65.94 Kio) Consulté 1898 fois

Hello,

un module est à la norme zwave ou zwave+. C'est à l'acheteur de se renseigner sur le module qu'il achète... = ok

la différence, possibilité d'inclure en mode sécurisé ou pas de possibilité d'inclure en mode sécurisé. = ok

Une fois le module inclut dans un mode, il faut l'exclure et le ré-inclure dans l'autre mode, on ne peut pas passer d'un mode à l'autre. = yes, vu dans le forum

Dans la partie zwave de jeedom, santé permet de voir l'ensemble des modules... = yes, j'ai vu
Il y a un + bleu pour montrer les modules supportant le zwave+ = ok, l'info bulle le dit bien en effet
et un cadenas vert ouvert ou fermé en fonction du mode d'inclusion du module, donc sécurisé ou pas. = c'est ça qui me bloque..
il n'y a aucun cadenas nul part.. ni ouvert ni fermé..

Enfin il y a aussi la doc qui peut te donner des infos. = no problemo, j'ai bien compris le message, mais pour débuter c'est pas évident surtout quand des repères simples ne sont pas retrouvés dans l'interface. Et ça ne fait que 4h que je fais du Jeedom, donc je découvre de partout

[fredyl7]

Dans la doc il est indiqué que le cadenas ne s'affiche ouvert/fermé que si COMMAND_CLASS_SECURITY est supporté.
Donc de ce que je vois les Fibaro Flood Sensor supportent COMMAND_CLASS_ZWAVE_PLUS_INFO, mais pas COMMAND_CLASS_SECURITY, sur des zwave+ tout neufs c'est possible ça ?
Du coup ne pas supporter COMMAND_CLASS_SECURITY c'est du non sécurisé d'office ou c'est bien sécurisé comme je l'ai demandé à l'inclusion ? Mais on ne peut pas le vérifier ?

[nechry]

Les modules certifiés à la vente avant le 1 avril 2017 n'étaient pas obligé de supporter la CC Security S2. Toute nouvelle demande de certification à la ZWave alliance maintenant l'exige.
vous pouvez trouver plus de détails ici:
https://z-wavealliance.org/z-wave-allia ... t-devices/

Donc oui, anciennement un module même ZWave+ n'était pas nécessairement sécurisable.

Le cadenas est visible seulement pour les modules qui supporte la CC Security. On peut effectuer des inclusion normal (non sécurisé) et avoir le cadenas ouvert. Si on effectue une inclusion sécurisé et que le module la supporte le cadenas sera visible. Si toute fois il reste ouvert suite à l'inclusion sécurisé effectué avec succès il faut simplement lancer l'action Rafraichir Info du Noeud via l'onglet Action du module, le cadenas fermer devrait pointer son nez.

pour en revenir avec un module tout neuf acheté en décembre mais que la certification était avant avril 2017, bien il n'est vraiment pas obligé de supporter la CC Security. Lorsque je regarde mon écran de santé zwave j'ai dans mon cas moins du tière en zwave+ pour les quels j'ai un cadenas.
si je reprends l'exemple du Flood sensor de fibaro https://products.z-wavealliance.org/products/1354 la certification est de 8/20/2015 donc bien avant. il n'est donc pas tenu de supporter la CC. Attention pas tenu ne signifie pas que le constructeur n'a pas décidé de la supporté. C'est d'ailleurs le cas, en grattant on peut trouver https://products.z-wavealliance.org/pro ... 54/classes que la CC Security est présente, en V1. Leur prochaine itération devra supporter la S2 comme par exemple leur nouveau thermostat https://products.z-wavealliance.org/products/2586

Encore pour certains modules comme un verrou la CC Security était déjà obligatoire. En non Sécurisé le module refuse les commandes.

En espérant que ça réponde à vos questionnement, qui sont très légitimes.

[fredyl7]

Merci beaucoup pour ta réponse @nechry.
Grace à ta réponse, j'ai pu découvrir ton blog, ta contribution au plugin Z-wave officiel , démystifier "Wake Up Interval" et probablement plein d'autres choses lorsque j'aurai un peu plus de temps pour le parcourir.

Donc ok, en fonction de sa date de certification, un périphérique ZWave+ n'est pas obligé de supporter CC Security (v1) et encore moins la nouvelle norme CC Security S2 (bien plus secure qu'en v1), par contre ce n'est pas encore bien clair pour moi tous ces termes et significations effectives, je m'explique :

- Quand tu dis "en grattant on peut trouver https://products.z-wavealliance.org/pro ... 54/classes que la CC Security est présente, en V1", c'est parce qu'ils indiquent Security V1 dans la section Supported Command Classes, c'est bien cela ?

- Si oui, je ne comprend pas pourquoi on ne retrouve pas de section "152", avec les différents paramètres associés, dans l'arbre Z-wave de mes périphériques, alors que dans ce même arbre la "définition" existe :

Code : Tout sélectionner

"152" : {
"hex" : "0x98",
"name" : "COMMAND_CLASS_SECURITY"
},

Et que pour les autres "définitions" j'ai les valeurs dans l'arbre (exemple : 128 : COMMAND_CLASS_BATTERY)

Code : Tout sélectionner

"128" : {
"data" : {
"0" : {
"updateTime" : 1514523916,
"help" : "",
"typeZW" : "Byte",
"genre" : "User",
"read_only" : true,
"expected_data" : null,
"poll_intensity" : 0,
"name" : "Battery Level",
"val" : 100,
"pendingState" : null,
"type" : "int",
"data_items" : "Read only",
"value_id" : 72057594077773820,
"units" : "%",
"write_only" : false
},
"updateTime" : 1514523916
},
"name" : "COMMAND_CLASS_BATTERY"
}

- De ce que je comprend (vu que le Cadenas ne s'affiche pas chez moi et pourtant Security v1 est supporté) j'en déduis que les cadenas du plugin zwave Jeedom ne sont fait pour s'afficher qu'en présence de CC Security s2 supporté, c'est bien cela ?

- j'ai vu que mon paramètre "Associations in Z-Wave network security mode" = 7 signifie qu'il échange en crypté en dehors de Lifeline group (cf https://manuals.fibaro.com/flood-sensor/), mais c'est quoi ces group, c'est pour les commander tous en même temps c'est ça ? Y a une doc qui explique cela quelque part ?
(j'ai vu un bout dans la doc du plugin openzwave, mais cela reste peu clair en terme de pratique) = mise en pratique trouvée (il est top ton blog) = https://nechry-automation.ch/2017/02/05 ... ociations/
This parameter defines how commands are sent in specified association groups: as secure or non-secure. Parameter is active only in Z-Wave network security mode. It does not apply to 1st “Lifeline “group.
Available settings:
0 – none of the groups sent as secure
1 – 2nd group ”Control” sent as secure
2 – 3rd group ”Alarm” sent as secure
4 – 4th group „Tamper” sent as secure
Default setting: 7

- je rajoute une question plus large, parce qu'à force de parcourir des docs, je me pose la question : il y a une doc plugin zwave dans laquelle il n'y a pas les cadenas d'indiqué et une doc Openzwave dans laquelle il y a les Cadenas. Mon plugin se nomme zwave (openzwave) et dans les captures de la doc zwave il est indiqué zwave (zwave) et je sais que les docs sont en cours de refonte, donc pour comprendre mon plugin actuel je dois ignorer la doc zwave (zwave) elle est outdated c'est ça ?

Du coup, ça m'embête, mais je reste avec mon questionnement de départ :
est-ce qu'actuellement mes FIBARO Flood sensor communiquent avec ma Jeedom Smart en sécurisé (v1) ou non ?
Car ce paramètre à 7 ne me le dit pas et les infos de COMMAND_CLASS_SECURITY sont inexistants dans mon périphérique.
Donc actuellement j'en conclu que j'ai bien associé en sécurisé, que le périphérique le supporte (v1), mais qu'actuellement je ne suis pas en sécurisé car rien en me le prouve..

J'espère ne pas être trop '"lourd" de questions, mais j'ai envi de comprendre ce que je fais et ne pas faire, dès le départ, un système ouvert à tous mes voisins et pirates amateurs.
Merci d'avance pour ton aide et ton expertise.

Très bonne année 2018 à tous

[nechry]

bon tu as beaucoup de question là, je vais essayer d'y répondre au mieux.
pour commencer pour bien comprendre les groupes d'associations sur mon blog il y a un article qui essai de couvrir au mieu le sujet, donc une petite lecteur de plus pour toi.

ta première question a savoir si le lien entre Supported Command Classes et le fait que je dise que la CC Security est présente, c'est exacte. par contre si tu n'a pas inclue (ou réussie à inclure) en mode sécurisé bien tu n'auras pas de valeurs remonté en CC Security 0x98. la CC reste présente dans la liste des CC supportées. c'est pour ça que tu as une différence dans ton arbre. une des branche liste les CC supportées, l'autre les valeurs (présente) par CC.

Dans l'article sur les associations groups j'explique aussi ta question en relation au param no 7. a savoir qu'en temps normal des modules peuvent être associer entre eux s'ils ont le même niveau de sécurité ou plus grand. Ice ce que ça signifie c'est que si tu as ton module sensor en sécurisé et que tu souhaite faire des associations vers des module non sécurisé ça sera possible en modifiant le param 7 et dire que par exemple le group 2 va envoyer des messages non sécurisés. autrement, les modules ajouté au grp 2 ne vont pas comprendre les messages comme ils vont arriver en sécurisés et que le module ne sait pas les décoder.

La doc n'a pas vraiment été mise à jours depuis un bon moment et la notion cadenas existe depuis un très bon moment (au moins 2016 voir avant) donc elle devrai être présente. et oui elle est en refonte avec un nouveau format mais pas au niveau du contenue. due moins c'est ce que j'ai vue et compris.

Il existe 2 CC spécifiques Security:

• Security 0 COMMAND_CLASS_SECURITY 0x98
• Security 2 COMMAND_CLASS_SECURITY_2 0x9F

Le cadenas est normalement visible si un module est inclue avec succès en mode sécurisé et qu'il supporte la CC Security S0.
En général en zwave on à une mise à jour de la CC, mais là ici c'est vraiment une nouvelle CC complètement différente.
La Security 2 COMMAND_CLASS_SECURITY_2 0x9F ou S2 pour faire simple n'est actuellement pas encore supporté dans openzwave
voir: https://github.com/OpenZWave/open-zwave/issues/1360

Donc le Cadenas encore une fois s'affiche seulement en présence de la CC Security 0 0x98, et n'est pas en relation avec la S2, comme elle est pas encore implémenté dans la librairie openzwave.

Mais les modules en S2 supporte aussi en plus la S0 et donc on va aussi avoir le Cadenas dans le cas d'inclusion effectué avec succès en Secure. On le voit encore une fois dans le thermostat Fibaro https://products.z-wavealliance.org/pro ... 86/classes

je pense il faudra faire un article plus complet sur le Blog avant longtemps tes questions sont très bonnes et tu n'es par le seul à les avoir.

[fredyl7]

Encore merci beaucoup pour tes réponses j'y vois beaucoup plus clair.

En conclusion (et pour ne pas abuser trop de ton temps) :

- en effet un article dans ton blog est une très bonne idée, car pour le moment je n'ai rien trouvé qui décrive correctement (en détails) comment se fait cette association "sécurisée" et comment vérifier à coup sûr qu'elle est en place. Mais si j'en trouve un, je m'empresserai de poster le lien ici.

- donc le COMMAND_CLASS_SECURITY 0x98 (Security 0) dans l'arbre confirme bien que mon périphérique peut gérer la sécurité v0
mais l'absence de valeur signifie que l'association n'est actuellement pas sécurisée.
--> je l'ai fais pourtant en sécurisé pour les 2 modules, donc je vais les supprimer et le refaire pour voir si je n'ai pas fait une erreur quelque part.

Mais du coup, qu'est-ce qui peut faire échouer une association sécurisée (sans message d'erreur en plus) ?

[Jeandhom]

Merci fredyl7 pour tes questions intéressantes, et merci à nechry pour tes réponses riches et détaillées.

[fredyl7]

Bilan des courses :

- redémarrer le daemon du plugin (Z-Wave (openzwave)) fait (enfin) apparaitre le cadenas sur l'association existante et sur la nouvelle que j'ai relancée pourtant en sécurisée (normal ? j'ai fait soigner, rafraîchir de partout, rien n'avait bougé.. j'ai réveillé les détecteurs pour que tout remonte bien, mais il n'y a que le restart du daemon qui change un petit truc)

capt1.png (93.13 Kio) Consulté 1854 fois

- donc j'ai tout ré-essayé, en sécurisé, en non sécurisé, avec l'option "Appliquer le jeu de configuration recommandée à l'inclusion" décochée (là c'est pire, y a plus rien de reconnu), en relançant le Daemon entre chaque action
Et rien n'y fait, soit j'ai pas le cadenas d'affiché (normal le plugin n'a visiblement pas reçu les valeurs pour COMMAND_CLASS_SECURITY 0x98), soit j'ai enfin le cadenas après avoir relancé le daemon du plugin Z-Wave (openzwave)) et dans l'arbre je vois bien les valeurs pour COMMAND_CLASS_SECURITY 0x98 mais à False..

capt2.png (63.61 Kio) Consulté 1854 fois

Code : Tout sélectionner

"152" : {
"data" : {
"0" : {
"updateTime" : 1,
"help" : "",
"typeZW" : "Bool",
"genre" : "System",
"read_only" : true,
"expected_data" : null,
"poll_intensity" : 0,
"name" : "Secured",
"val" : false,
"pendingState" : null,
"type" : "bool",
"data_items" : "Read only",
"value_id" : 72057594187218940,
"units" : "",
"write_only" : false
},
"updateTime" : 1
},
"name" : "COMMAND_CLASS_SECURITY"

Alors là y a un truc.. j'ai relu la doc Fibaro sur l'association, y a rien à faire de spéciale pour être associé sécurisé, faut juste lancer l'association en sécurisé sur le contrôleur Maitre.. donc le plugin zwave (openzwave), et c'est ce que je fais.. mais cela ne passe dans aucun cas, ils sont à 20 cm de la Jeedom smart..
C'est que quelqu'un ne voistpas l'intérêt de sécuriser un Flood sensor et injecte des params en non sécurisé quoi qu'il arrive ?
C'est l'option "Appliquer le jeu de configuration recommandée à l'inclusion" qui induit ça ?

En plus ça grignote bien les piles tous ces tests et réveilles.

Là je sèche..
(avec un détecteur d'inondation c'est peut-être pas plus mal vous me direz )

Bonne nuit à tous.

[kasi]

Est-ce possible que des modules inclus en mode sécurisés passe en mode non sécurisé sous certaines conditions ? C'est ce que je semble constaté sur mon réseau ou il y a un bug d'affichage.

Merci

[kasi]

Je confirme, malgré la sélection de inclusion sécurisé, quand je vais dans santé zwave, plusieurs module ne semble pas en mode sécurisé ce qui créé des problèmes de maillage je pense... Une idée ?

[madcow]

Je confirme, malgré la sélection de inclusion sécurisé, quand je vais dans santé zwave, plusieurs module ne semble pas en mode sécurisé ce qui créé des problèmes de maillage je pense... Une idée ?

Bonjour,
Tente la procédure que j'ai suivie avec succès et qui est résumée par Akenad comme suit (c'est aussi sur le site de nechry) :

[kasi]

Je confirme, malgré la sélection de inclusion sécurisé, quand je vais dans santé zwave, plusieurs module ne semble pas en mode sécurisé ce qui créé des problèmes de maillage je pense... Une idée ?

Bonjour,
Tente la procédure que j'ai suivie avec succès et qui est résumée par Akenad comme suit (c'est aussi sur le site de nechry) :

Je ne comprends pas trop la logique mais ça fonctionne, merci !

[madcow]

Je confirme, malgré la sélection de inclusion sécurisé, quand je vais dans santé zwave, plusieurs module ne semble pas en mode sécurisé ce qui créé des problèmes de maillage je pense... Une idée ?

Bonjour,
Tente la procédure que j'ai suivie avec succès et qui est résumée par Akenad comme suit (c'est aussi sur le site de nechry) :

Je ne comprends pas trop la logique mais ça fonctionne, merci !

Je te rassure moi non plus j'ai pas compris !