Er her brugere af Danalock digital dørlås?

Alt om software, sikkerhed, kryptering m.m. Spørg og der er sikkert en der kan hjælpe.
Besvar
Brugeravatar
Kleth
Platin Member
Platin Member
Indlæg: 5290
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 971 times
Been thanked: 725 times

Er her brugere af Danalock digital dørlås?

Indlæg af Kleth » 20. jun 2018, 10:19

Jeg er i overvejelsen om at skifte en af vores låse ud med en Danalock V3, så jeg ikke behøver at skulle have lavet flere nøgler til afkommet m.fl.
For at få en Danalock V3 på indernettet skal der anvendes en bridge, der er Danabridge software til Android og IOS, men det skal jo køre på noget hardware. Der kan bestilles en Danabridge dims, der desværre først leveres i august 2018, men der står også at den kan anvendes med Amazon Alexa, Philips Hue og Apple Homekit. Det er så her at jeg får tunnelsyn:
Hvis jeg læser dokumentationen rigtigt, så skal jeg have "Homekit" udgaven for at kunne bruge låsen med en Philips Hue bridge, men "Homekit" udgaven virker kun med IOS iflg. producenten :mad:

Er der nogen her som har en Danalock V1/V2/V3 der er på nettet? Hvordan er den koblet med husets WIFI og hvilken bridge fjernstyrer den?
Jeg kunne også vælge en Z-wave udgave, men en Z-Wave bridge er en tand dyrere og jeg ved endnu intet om Z-Wave udstyr og jeg er p.t. mest interesseret i de muligheder der er for at få en Danalock V3 på indernettet, så jeg kan fjern- låse og åbne.

Det her skal ikke være (endnu) en paranoiatråd, jeg skulle mene at jeg har en ret god ide om det (IT-)sikkerhedsmæssige perspektiv :thumbup:
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”

DB89
Gold Member
Gold Member
Indlæg: 849
Tilmeldt: 22. sep 2012, 19:13
Interesser: Blankvåben, luftpistol
Geografisk sted: Fredericia, Danmark
Has thanked: 97 times
Been thanked: 119 times

Re: [Spørgsmål]Er her brugere af Danalock digital dørlås?

Indlæg af DB89 » 20. jun 2018, 19:34

Recordere.dk er vist ved at teste den, som der kommer en artikel ud af.

Brugeravatar
Kleth
Platin Member
Platin Member
Indlæg: 5290
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 971 times
Been thanked: 725 times

Re: [Spørgsmål]Er her brugere af Danalock digital dørlås?

Indlæg af Kleth » 21. jun 2018, 06:35

Vi bruger Danalock V3 i vores gadget/innovationsrum på kontoret, men den er ikke på nettet, så man skal være tæt på den for at kunne betjene den. Den virker fortrinligt og på trods af klientellet er den endnu ikke blevet hacket :giggle: min udfordring er om hvordan jeg får den fjernbetjent over nettet, om jeg skal have en Danabridge for at kunne koble den med Philips Hue og om det udelukkende er Homekit udgaven der kan koble med Philips Hue. Mit håb er at kunne bruge en Philips Hue bridge i stedet for en Danabridge og stadig kunne betjene låsen fra både Android og IOS.
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”

Brugeravatar
Wildlife
Platin Member
Platin Member
Indlæg: 1537
Tilmeldt: 30. sep 2010, 19:09
Interesser: Sejlads, Jagt & Fiskeri
Geografisk sted: Skanderborg
Has thanked: 393 times
Been thanked: 333 times

Re: [Spørgsmål]Er her brugere af Danalock digital dørlås?

Indlæg af Wildlife » 21. jun 2018, 10:41

Personligt har jeg ikke meget tiltro til låsesystemer der kobler på nettet og kan betjenes med en app på en telefon.

Det betyder at nøglen til din lås ligger på nogen andres computer og når de bliver hacket, er der andre der har nøglen til din lås..
"Never underestimate the power of stupid people in large groups."

Brugeravatar
Kleth
Platin Member
Platin Member
Indlæg: 5290
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 971 times
Been thanked: 725 times

Re: [Spørgsmål]Er her brugere af Danalock digital dørlås?

Indlæg af Kleth » 21. jun 2018, 11:04

Wildlife skrev:
21. jun 2018, 10:41
er der andre der har nøglen til din lås..
Den store forskel på en digital lås og en fysisk lås er er at en digital lås, der kan nøglerne tilbagekaldes øjeblikkeligt.
Det er vældig svært at tilbagekalde en fysisk nøgle som er glemt/tabt (i worst case tæt på huset), uden at have ekstra låsecylindere/låse-pin sæt og nøgler liggende. Der ud over kan status på digitallåsen kontrolleres, så der ikke er en som render hjemmefra uden at låse døren.

Derfor er det min overbevisning at en digital lås ikke nødvendigvis er mindre sikker end en fysisk lås og jeg har aldrig skrevet at en digital lås skulle stå some udelukkende single-perimeter sikkerhed.

Fysisk lås
Pros
Kan ikke hackes digitalt.
Anonym

Cons
Fysisk hacking i form af :
  • bankenøgler
  • Rørtang
  • Låsesmedssæt
Tab af nøgle kan være irreversibel for den lås uden omlægning.
Uautoriseret kopiering af nøgler

Digital lås
Pros
(fjern)Administration af adgange.
Kan kobles op med smart home.

Cons
Risiko for at blive (fjern)hacket
Øget eksponering
Flere led af potentielle IT-sårbarheder
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”

Brugeravatar
Wildlife
Platin Member
Platin Member
Indlæg: 1537
Tilmeldt: 30. sep 2010, 19:09
Interesser: Sejlads, Jagt & Fiskeri
Geografisk sted: Skanderborg
Has thanked: 393 times
Been thanked: 333 times

Re: [Spørgsmål]Er her brugere af Danalock digital dørlås?

Indlæg af Wildlife » 21. jun 2018, 11:12

Kleth skrev:
21. jun 2018, 11:04
Wildlife skrev:
21. jun 2018, 10:41
er der andre der har nøglen til din lås..
Den store forskel på en digital lås og en fysisk lås er er at en digital lås, der kan nøglerne tilbagekaldes øjeblikkeligt.
Men kan den tilbagekaldes, hvis der ikke længere er adgang til de centrale administrative systemer ude i skyen?

Eller kan den fungere 100% i "ødrift" uden internetadgang? Hvis den kan fungere uden central database er jeg noget mere tryg ved den :)

Jeg er med i en forening hvor vi har elektronisk aflåsning, hvor databasen ligger lokalt på adressen i en låse-server, den har jeg fin tillid til, da den ikke er på nettet og skal opdateres med nye nøglebrikker/koder manuelt.
"Never underestimate the power of stupid people in large groups."

Brugeravatar
Kleth
Platin Member
Platin Member
Indlæg: 5290
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 971 times
Been thanked: 725 times

Re: [Spørgsmål]Er her brugere af Danalock digital dørlås?

Indlæg af Kleth » 21. jun 2018, 11:45

Intet system er jo fejlfrit :smile:
Som jeg er nået fremt til at det nogenlunde må virke, når låsen i sig selv ikke er koblet på indernettet.
Låsen indeholder en privat nøgle/certifikat som er udstedt af en autoritet som repræsenteres af "serveren".
Når ejeren af låsen udsteder en adgang, sker det gennem serveren til en anden kendt bruger på serveren der i denne brugers keystore vil modtage en nøgle/certifikat som er kompatibel med den private nøgle/certifikat, der er i den fysiske lås. Hvis den nøgle/certifikat revokes, så sker det mellem app'en og serveren
Dermed er sårbarhederne som jeg ser det:
  • at serveren og root- nøgler/certifikater kompromitteres og dermed at der kan udstedes nøgler til alle låse.
  • at udstedte nøgler kan fjernes for det styrende miljø, som app'en udgør og dermed kan bruges frit uden at kunne live tilbagekaldt eller udløbe.
Som jeg jeg har læst, have nogle af de tidlige digitallåse problemer med at der var et fælles master password hardcoded i firmwaren, som hvis det blev afsløret kunne bruges til at tiltvinge sig adgang.
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”

Rednex
Bronze Member
Bronze Member
Indlæg: 174
Tilmeldt: 10. mar 2016, 09:20
Interesser: Skydning og IT
Geografisk sted: Ølstykke
Has thanked: 47 times
Been thanked: 55 times

Re: Er her brugere af Danalock digital dørlås?

Indlæg af Rednex » 21. jun 2018, 18:21

Nu har jeg luret lidt på manualerne, og det virker ikke som om den kan køre i permanent ø-mode.

Så vidt jeg kan regne ud, så oprettes og administreres brugerne via deres cloud-service, og oplysningerne synkroniseres så til låsen via ejerens telefon. Spørgsmålet er så om andre brugeres telefoner også kan bruges til synkroniseringen. Altså om ejeren kan oprette en nøgle til naboen fra sin ferie på Costa del Sol, og låsen så opdateres via naboens telefon når han forsøger at låse sig ind?

Det kan nu også laves sikkert nok, så længe cloud-servicen kan holdes sikker, og selve låsen ikke kan kompromitteres.

Brugeravatar
Kleth
Platin Member
Platin Member
Indlæg: 5290
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 971 times
Been thanked: 725 times

Re: Er her brugere af Danalock digital dørlås?

Indlæg af Kleth » 21. jun 2018, 19:25

Rednex skrev:
21. jun 2018, 18:21
Nu har jeg luret lidt på manualerne, og det virker ikke som om den kan køre i permanent ø-mode.

Så vidt jeg kan regne ud, så oprettes og administreres brugerne via deres cloud-service, og oplysningerne synkroniseres så til låsen via ejerens telefon. Spørgsmålet er så om andre brugeres telefoner også kan bruges til synkroniseringen. Altså om ejeren kan oprette en nøgle til naboen fra sin ferie på Costa del Sol, og låsen så opdateres via naboens telefon når han forsøger at låse sig ind?

Det kan nu også laves sikkert nok, så længe cloud-servicen kan holdes sikker, og selve låsen ikke kan kompromitteres.
Rent teknisk er den ikke længere i Ø-mode når en connected device forbinder sig med z-wave, Bluetooth eller NFC mv, da den I princippet bliver bridged. Jeg vil dog ikke tro at der er overførsel af private nøgler mellem klient og lås, da det kunne medføre flere svagheder I forbindelse med overførsel og opsnapning. TPM-chippen burde sagtens kunne holde nøglepar til at serveren ikke behøver at skulle eksekvere den operationelle nøgle-validering.

Jeg er selv ikke specielt bekymret over sikkerheden omkring nøglehåndteringen, det er mere de led jeg ville være nød til at tilføje for at kunne fjernstyre låsen.

Jeg sad og rodede lidt med IFFFT og der er nogle muligheder der, men det lugter mere af orkestrerede API-lag mellem forbundne servere end faktisk bridging mellem teknologier, så hver teknologi skal med IFFFT have hver sin teknologi-bridge.
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”

Rednex
Bronze Member
Bronze Member
Indlæg: 174
Tilmeldt: 10. mar 2016, 09:20
Interesser: Skydning og IT
Geografisk sted: Ølstykke
Has thanked: 47 times
Been thanked: 55 times

Re: Er her brugere af Danalock digital dørlås?

Indlæg af Rednex » 21. jun 2018, 20:28

Jeg indrømmer gerne at jeg ikke har så mange fakta at basere mig på, men det virker på mig til at brugeren oprettes (i et eller andet omfang) i selve låsen. De nævner også i manualen til app'en at man kan tvinge en synkronisering af nøgler igennem, hvis det (mod forventning) ikke er sket af sig selv. Her skal man så være inden for rækkevidde af låsen.

Fra Danalock App User Guide:
31. Pressing "Refresh keys" will force the Danalock app to refresh the keys on the Danalocks closest to your phone. Try this if you are having difficulty connecting with your Danalocks.
Jeg er dog ret sikker på at det er selve låsen, og ikke serveren der laver selve valideringen af nøglen. Det er heller ikke nødvendigvis et problem at sende opdateringer via utroværdige 3. parter (som eksempelvis naboens telefon), så længe man sørger for at signere (og kryptere) datapakkerne fra serveren. Det forhindrer at naboen kan lægge sin egen nøgle i låsen uden det er blåstemplet af serveren.

TPM'en er (igen, uden at have nævneværdigt forstand på det) ikke det samme som et keystore. Den indeholder et unikt nøglepar fra fabrikken, og disse kan ikke udlæses. Nøgleparret kan så bruges til at signere og validere, eller kryptere og dekryptere f.eks. indholdet af storage, men det er svjv ikke muligt at gemme andre nøgler i den.

Der ringer en lille advarselsklokke hos mig, når de skriver at de beskytter transmissionen af data med AES-256. Selvom det er en sikker kryptering, så er den jo symmetrisk, og det må betyde at begge ender har den samme nøgle - et master password om man vil. Med mindre de bruger f.eks. Diffie-Hellman til at udveksle nøgler i begyndelsen af hver samtale. Men så ville jeg nok bare have valgt at bruge TLS, i stedet for at kode min egen krypterede protokol.

Jeg er altid nysgerrig på nye gadgets, men der går nok en rum tid endnu før jeg "tør" hoppe på IoT-bølgen. Jeg synes erfaringerne hidtil har været, at folk/firmaer der historisk har været dygtige til at lave hardware samtidig er umådeligt ringe til at lave software. Især når det handler om software som skal begå sig på det store farlige internet.

Derudover synes jeg også det er et problem med den slags gadgets, at de kun virker så længe producenten gider holde backenden kørende. Nogle producenter er gode, andre er knapt så gode, men man ved det jo reelt først den dag de slukker for strømmen og din gadget kun kan bruges som brevvægt.

Jeg har selv et Conlan kodetastatur på døren, som jeg roder lidt med at lave et interface til. Det fungerer sådan set fint i dagligdagen, men det kan f.eks. knibe med at huske at få slettet midlertidige koder når de ikke længere skal bruges. Hertil kommer at man skal huske at notere hvilke pladser man uddeler til hvem, og det får jeg ikke altid gjort.

Tastaturet har RS-422 interface, og det er da også lykkedes mig at lytte med når man låser op. Jeg har dog ikke haft held med to-vejs kommunikation med de billige kina-interfaces jeg har købt. Planen var at lave noget software som (udover at holde styr på hvilke koder og pladser som er i brug), også vil kunne håndtere midlertidige og recurring koder.

Brugeravatar
Kleth
Platin Member
Platin Member
Indlæg: 5290
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 971 times
Been thanked: 725 times

Re: Er her brugere af Danalock digital dørlås?

Indlæg af Kleth » 21. jun 2018, 22:02

Rednex skrev:
21. jun 2018, 20:28
Fra Danalock App User Guide:
31. Pressing "Refresh keys" will force the Danalock app to refresh the keys on the Danalocks closest to your phone. Try this if you are having difficulty connecting with your Danalocks.
:thumbup: hvor fandt du den? Jeg har ledt efter noget mere dybdegående for jeg finder mest installationsvejledninger.
Refresh hvad og hvor fra? Det kan dreje sig om både nøgler til adgang, kommunikation o.a.
Rednex skrev:
21. jun 2018, 20:28
Jeg er dog ret sikker på at det er selve låsen, og ikke serveren der laver selve valideringen af nøglen. Det er heller ikke nødvendigvis et problem at sende opdateringer via utroværdige 3. parter (som eksempelvis naboens telefon), så længe man sørger for at signere (og kryptere) datapakkerne fra serveren.
Jeg er også ret overbevist om at låsen validerer kode/nøgle lokalt, men jeg er ret sikker på at det er en CA i skyen, som udsteder nøgle/certifikat.
Des mere en lås skal kunne modtage af pakker, protokoller gennem et interface, jo mere sårbart bliver det, derfor ville jeg ikke implementere sådan en løsning, men regne med at serveren tog sig af CRL m.v. og udelukkende lade nøglen blive valideret af låsen.
Rednex skrev:
21. jun 2018, 20:28
TPM'en er (igen, uden at have nævneværdigt forstand på det) ikke det samme som et keystore. Den indeholder et unikt nøglepar fra fabrikken, og disse kan ikke udlæses. Nøgleparret kan så bruges til at signere og validere, eller kryptere og dekryptere f.eks. indholdet af storage, men det er svjv ikke muligt at gemme andre nøgler i den.
Det er nu også min opfattelse, jeg kan forestille mig netop at det keypair er centeret i rigtig meget af det processering der eksekveres i en digitallås.
Rednex skrev:
21. jun 2018, 20:28
Der ringer en lille advarselsklokke hos mig, når de skriver at de beskytter transmissionen af data med AES-256. Selvom det er en sikker kryptering, så er den jo symmetrisk, og det må betyde at begge ender har den samme nøgle - et master password om man vil. Med mindre de bruger f.eks. Diffie-Hellman til at udveksle nøgler i begyndelsen af hver samtale. Men så ville jeg nok bare have valgt at bruge TLS, i stedet for at kode min egen krypterede protokol.
Nu er TLS heller ikke problemfri og brugen af TLS vil gøre systemet meget afhængigt af certifikater og deres fornyelse. Der er metoder som f.eks. scrampling til at gøre AES lidt mere sikkert.
Rednex skrev:
21. jun 2018, 20:28
Derudover synes jeg også det er et problem med den slags gadgets, at de kun virker så længe producenten gider holde backenden kørende. Nogle producenter er gode, andre er knapt så gode, men man ved det jo reelt først den dag de slukker for strømmen og din gadget kun kan bruges som brevvægt.
Det er jeg også pænt træt af :razz: , om det så er DVB-C recorder, Blu-ray-afspiller, mediecenter, internet radio, tablet eller telefon, der kommer måske 1-2 eller 3 opdateringer og så er dimsen ude af økosystemet og kan hurtigt bare anvendes som en glorificeret brevvægt eller dør stop :wall:
Der må jeg dog tage hatten af for Apple, deres økosystem har været yderst velfungerende for hhv min arbejdstelefon og vores Apple TV 4Gen, men jeg skal ikke have en model dørlås, som udelukkende kan betjenes fra IOS
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”

Rednex
Bronze Member
Bronze Member
Indlæg: 174
Tilmeldt: 10. mar 2016, 09:20
Interesser: Skydning og IT
Geografisk sted: Ølstykke
Has thanked: 47 times
Been thanked: 55 times

Re: Er her brugere af Danalock digital dørlås?

Indlæg af Rednex » 21. jun 2018, 23:18

Kleth skrev:
21. jun 2018, 22:02
:thumbup: hvor fandt du den? Jeg har ledt efter noget mere dybdegående for jeg finder mest installationsvejledninger.
Refresh hvad og hvor fra? Det kan dreje sig om både nøgler til adgang, kommunikation o.a.
Den gemte sig under Support -> App Guides -> Danalock App.
Kleth skrev:
21. jun 2018, 22:02
Jeg er også ret overbevist om at låsen validerer kode/nøgle lokalt, men jeg er ret sikker på at det er en CA i skyen, som udsteder nøgle/certifikat.
Des mere en lås skal kunne modtage af pakker, protokoller gennem et interface, jo mere sårbart bliver det, derfor ville jeg ikke implementere sådan en løsning, men regne med at serveren tog sig af CRL m.v. og udelukkende lade nøglen blive valideret af låsen.

<snip>

Nu er TLS heller ikke problemfri og brugen af TLS vil gøre systemet meget afhængigt af certifikater og deres fornyelse. Der er metoder som f.eks. scrampling til at gøre AES lidt mere sikkert.
Man behøver nu ikke certifikater for at nyde godt af TLS, men der kan jo sagtens være gode grunde til at vælge en mere light-weight løsning - f.eks. batteriforbruget i låsen. Det er en dyr operation at validere et certifikat, og du kan alligevel kun stole på det hvis du checker CRL'en inden du låser døren op. Derfor mistænker jeg at serveren genererer vilkårlige nøgler, som så overføres til låsen via ejerens telefon. Det er der som sådan heller ikke noget farligt i, så længe de kan verificere at listen faktisk kommer fra serveren, og at andre ikke kan opsnappe nøglerne undervejs. Nøglerne kan krypteres på enheden vha. TPM'en.

De skriver at de har fuldt dokumenteret API og SDK som skulle give adgang til det hele. Det kunne være spændende at få fingre i. Det kunne måske løfte lidt af sløret for, hvad der foregår i baggrunden. Det kræver dog man er partner for at få adgang :mad:

Kenned
Platin Member
Platin Member
Indlæg: 2223
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 460 times
Been thanked: 351 times

Re: Er her brugere af Danalock digital dørlås?

Indlæg af Kenned » 26. jun 2018, 08:32

Jeg må indrømme at min primære bekymring ved en elektronisk lås ville være at hvis den bliver hacket, så vil der ikke være synlige tegn på indbrud, og forsikringen vil ikke dække. Så låsen kan bedst bruges i kombination med en anden lås, men så forsvinder det smarte lidt.

Hilsen Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner

Besvar