Kamstrups el-målere har 20 nøgler til både kryptering og rollebaseret adgangsstyring

Illustration: Jakob Møllerhøj
Hos målerproducenten Kamstrup bliver krypteringsnøgler også brugt til rollebaseret adgangsstyring.

For at begrænse risikoen for hacking har den danske el-målerproducent Kamstrup blandt andet fokus på at kryptere kommunikation. Det vil også sige data sendt til og fra virksomhedens smart-elmålere.

Det fortalte Carsten Nielsen, head of product management ved Kamstrup,om under et indlæg på it-sikkerhedskonferencen Infosecurity 2018, der løber af stablen i København i disse dage.

Hver måler har således 20 unikke krypteringsnøgler, som blandt andet bruges til end-to-end-kryptering. Altså så data ikke kan læses eller manipuleres undervejs til og fra målerne.

Det betyder også, at data er krypteret uafhængig af den underliggende kommunikationsinfrastruktur som 3G/4G eller andet.

Head of product management ved Kamstrup Carsten Nielsen holdt et indlæg under overskriften 'Sikring af kritisk infrastruktur - adskiller det sig fra alt andet?' Svaret var i det store og hele et nej. Illustration: Jakob Møllerhøj

»Hvad det er for en infrastruktur er egentlig lidt ligegyldigt. Det kunne godt være brevduer, og så er det sikkert alligevel,« lød det fra Carsten Nielsen under indlægget med titlen 'Sikring af kritisk infrastruktur - adskiller det sig fra alt andet?' (Svaret var ‘nej').

Kamstrup anvender en AES128-GCM variant til kryptering i applikationslaget.

At det er nødvendigt at sikre elmålere og andre systemer på forskellig vis eksemplificerede Carsten Nielsen ved at nævne, at smart-målere udover at sende data om el-forbrug også kan modtage ny firmware og diverse kommandoer.

Eksempelvis en kommando om at slukke for strømmen, hvis nu brugeren ikke har betalt sin elregning.

Praktisk for el-selskabet, men det kan selvsagt også udgøre en potentiel trussel i forhold til et større cyberangreb, hvis nu en svaghed i systemet betyder, der kan slukkes for alle Kamstrups elmålere i eksempelvis København.

I forhold til cybertrusler kunne Carsten Nielsen fortælle, at Kamstrup oplever rigtigt mange login-forsøg fra russiske og kinesiske ip-adresser.

»Hvem det så er, der står bag de ip-adresser, det kan jeg jo ikke sige,« sagde han og påpegede samtidigt, at en nationalstat måske godt kunne have interesse i at kunne slukke for hele strømmen i Storkøbenhavn.

Rollebaseret adgang med nøgler

For at undgå, at uvedkommende fifler med en el-måler for at få gode hacker-idéer i forhold til alt fra at snyde med el-regningen til at masseslukke for strømmen i en by, så sender Kamstrups målere en alarm, hvis de bliver forsøgt tilgået uretmæssigt.

En tekniker kan dog have al mulig grund til at skulle rode med en måler, eksempelvis for at fejlsøge.

Og det kan han eller hun gøre uden problemer ved at anvende en af de tyve krypteringsnøgler, som målerne fra Kamstrup genkender.

Udover kryptering, så anvender virksomheden nemlig også nøglerne til styring af den rollebaserede adgang.

Så når en tekniker tilgår en måler, så har vedkommende typisk en laptop med en eller flere krypteringsnøgler, der giver rettigheder i forhold til tekniker-rollen. Og hvis der kommunikeres i en anden sammenhæng med måleren på afstand, eksempelvis med henblik på at slukke den, så foregår det via en anden nøgle.

»Han (teknikeren, red.) skal have den eller de rigtige krypteringsnøgler med ud til måleren, når han står derude, ellers er han lige så hjælpeløs som en hacker,« fortalte Carsten Nielsen i et kort, efterfølgende interview med Version2.

Som nævnt anvender Kamstrups smart-målere forskellige nøgler. Så teknikeren kan altså ikke gå videre til måleren hos naboen og genanvende en nøgle.

»Det er en nem måde for os at få ført rollebaseret adgang helt ud i måleren.«

Kryptering er en af fem overordnede sikkerhedsprincipper, som ifølge Carsten Nielsen gælder for alt i Kamstrup. De fire andre er rollebaseret adgang, logning, flere lag af sikkerhed og en plan for beredskab og genetablering, skulle uheldet nu være ude, og en bydel eksempelvis står uden strøm.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Ingen sikkerhed via tåbeligt og ubrugeligt hemmeligholdelse, som denne artikel viser.

Ud over at de sikkert så ikke bliver langt ned som den første, så også fra starten at have tænkt ind, at det dog kan ske. At man stadig selv med livrem og seler kan blive lagt ned og ramt, så en nem genetabler også er tænkt ind.

også brug af standard kryptering og sikkerhed tænkt ind fra start.
FLOT UG her fra.

Det eneste som nok bliver lidt dyre i starten, er uddannelse af teknikker, som lige skal bruge et minut eller to mere på at få de rigtige data med. Han kan så sikkert spare tid på, at være sikker på at have fat i den rigtige enhed, og at den ikke er hacker eller pillet ved.

  • 1
  • 3
Henrik Pedersen

Jeg har læst artiklen et par gange og jeg kan ikke helt få det til at gå op...

Vi har 20 nøgler - OK, lidt voldsomt, men 20 nøgler med forskellige adgangsniveauer, det lugter lidt af PKI...

Men så er der unikke nøgler til hver måler når teknikeren er i marken? Ok... Så 20 nøgler pr. måler eller 1. nøgle pr. måler pr. tekniker? Eh...

Og så læser jeg artiklen for tredje gang og bemærker AES-128-GCM men der står ikke noget om asymmetri i nøgleparrene... OK.

Håber det er 20 unikke nøgle pr. måler og der ikke er en eneste symmetrisk "master key" nogle steder - For så begynder det at blive sjovt at åbne en gammel el-måler. Selv hvis den havde tamper-switches med batteri-backup, holdte nøglerne i RAM og generelt opførte sig som en Dankort terminal, så ville det stadig være en sårbarhed over for en fremmed statsmagt som de selv er inde på er et reelt trusselsbillede!

Der ud over: Hvis der er symmetriske masterkeys i systemet, så håber jeg de som minimum er opbevaret stærkt hashed.. Men igen, så kan man jo glemme sin elregning mens man sidder med hardwaren fysisk.

TL;DR - Der står intet om asymetriske master keys. Håber jeg godt nok de anvender ELLER symmetriske pr. boks nøgler, igennem alle 20 styks...

  • 1
  • 0
Claus Bobjerg Juul

lige skal bruge et minut eller to mere på at få de rigtige data med. Han kan så sikkert spare tid på, at være sikker på at have fat i den rigtige enhed

Jeg håber at den pc ikke også anvendes til administrative formål fx at læse mails, for så bliver det for let at kompromittere pc'eren og de certifikater/nøgler der er på den

Jeg håber også at harddisken på pc'eren er krypteret, samt at nøgler der ikke skal bruges til dagens opgaver slettes.

  • 0
  • 0
Jan Heisterberg

Enhver med et minimum af kunde-viden ved, at et indlæg ALTID skal indeholde svaret på det retoriske spørgsmål:
"Og hvad betyder det her så for mig ?"

Det er muligt Kamstrup målerne er state-of-the-art og specifikt beskytter målernes funktionalitet med kryptering som beskrevet.

Men som forbruger ønsker jeg real-time (lokal) adgang til MINE data gennem det interface / port som findes i målerne (modulport).

Og hvordan det sker, på et "normalt" brugerniveau er der ingen som vil oplyse. Jeg har være i dialog med Kamstrup (netop Carsten Nielsen) og fået høflige, imødekommende svar - og en henvisning til dels en leverandør i Schweiz, dels "mit handelsselskab".

Det er jo ikke en løsning!

Hvorfor er dette interface og en tilhørende, velegnet app med logning, ikke til rådighed og let at finde ?
Selvom det er et ansvar for "handelsselskabet", hvorfor er disse oplysninger trods alt ikke tilgængelig fra netselskaberne, som trods alt opsætter målerne ?

Jeg skal vel ikke tage på Christiania og få fat i deres hacking - som tidligere omtalt her i mediet ?

P.S.: Hvis der er lødninger derude, så kom her i mediet med dem !

  • 3
  • 0
Søren Larsen

Jeg har være i dialog med Kamstrup (netop Carsten Nielsen) og fået høflige, imødekommende svar - og en henvisning til dels en leverandør i Schweiz, dels "mit handelsselskab".

Det er jo ikke en løsning!

Næ, men i mine øjne er det da det rigtige svar. Hvis du vil have adgang til det du kalder "dine" data, så er det vel noget du skal tage op med dem du køber din el af. Det er dem der kan stille disse data til rådighed for dig som forbruger.
Hvis du have tilsendt et kontoudtog, henvender du dig til din bank og ikke det udviklingshus der har udviklet deres netbank!

  • 1
  • 2
Søren Larsen

Både ved at læse artiklen her samt ved kigge lidt på deres egen hjemmeside vedr. systemets sikkerhed, virker det nu som om de har meget godt styr på det.

"Kamstrups OMNIA system er designet efter såkaldte
defence-in-depth principper, hvilket minimerer den
potentielle skade, der kan udføres med en eventuelt
hacket enhed i netværket. Eksempelvis vil det ikke være
muligt at påvirke systemet eller andre målere med en
hacket elmåler."

Jeg forstår ikke hvorfor alting altid skal drages i tvivl og nedgøres i stedet for at anerkende dem som rent faktisk har gjort deres hjemmearbejde.

  • 1
  • 1
Bjarne Nielsen

Jeg forstår ikke hvorfor alting altid skal drages i tvivl og nedgøres ...

Personligt vil jeg mene, at der er stor forskel på at være i tvivl og på at nedgøre. Det første kan skabe debat, det andet ødelægger den.

... i stedet for at anerkende dem som rent faktisk har gjort deres hjemmearbejde.

Uden at vide det, så er det min klare fornemmelse at Kamstrups teknikere er alt andet end tabt bag af vogn.

Men det lyder på mig som om, at man har givet sig selv en ret umulig opgave, når man dels har enheder, som man ikke kan kontrollere den fysiske adgang til, og dels kobler dem op, så de kan fjern-administreres. Og i særlig grad, når der er tale om kritisk infrastruktur.

Selv den bedste tekniske løsning må ofte give fortabt, når konceptet prøver at være "smart".

Så jeg vil have lov at være skeptisk. Også selvom jeg har tillid til at teknikerne hos Kamstrup kan deres kram.

  • 2
  • 0
Chris Bagge

Hvorfor er dette interface og en tilhørende, velegnet app med logning, ikke til rådighed og let at finde?

Det Kamstrup leverer er en mulighed for juridisk gyldig afregning. Det er dett dit distributionsselskab har bedt om og købt. Kamstrup leverer ikke en datalogger til dig. Det er ikke det de er blevet bedt om og det er der næppe i måleren. Hvis du ønsker den slags data så se f.eks. www.efergy.com. De leverer en løsning der aflæser data hver sjette sekund for ca. 1.000,- kroner.
Hvis måleren stadig har et 'optisk øje' er standarden for formatet specificeret i internationale standarder. Her kan du evt. så købe et aflæsehoved og sætte på måleren.

  • 1
  • 0
Chris Bagge

Men det lyder på mig som om, at man har givet sig selv en ret umulig opgave, når man dels har enheder, som man ikke kan kontrollere den fysiske adgang til, og dels kobler dem op, så de kan fjern-administreres.

Virkeligheden verden er, at målerne ofte er monteret så der ikke normal er fysisk adgang for andre end forbrugerne. Det kræver så at der er adgang til fjernaflæsning og fjernadministration. Der mest sikre er så, som Kamstrup gør, at foretage end-to-end kryptering med unikke nøgler.
Der er masser af udstyr i felten i dag hvor der næsten udelukkende foretages fjernadministration. Det gælder f.eks. benzinstandere og betalingsterminaler. Det kan sagtens gøres men kræver selvfølgelig at man har "lavet sit hjemmearbejde", men det har de nok også gjort.

  • 1
  • 0
Jan Heisterberg

@Søren Larsen
Hvis jeg vil kende noget til mine bankkonti, mit mobilforbrug, og meget andet, så bruger jeg en egnet app eller en webpage. Markedsdrevne virksomheder uden denne "service" overlever ikke længe.
Men, selvfølgelig, el er et semi-monopol, som sætter egentlige markedskræfterne ud af kraft.

Problemet er ikke et Kamstrup-problem, men et problem med delt ansvar - og så er der som bekendt 2% til hver.

Nu vil dagene vise, om der kommer flere forslag til problemets løsning.
Måske er kr.1000,- den rigtige pris, men jeg har ikke mange små elektronikapparater til den pris, så .......

Bekendtgørelsen om el-målere er krystalklar, men der er ingen tilsynsmyndighed som gør el-leverandøren så ansvarlig, at han løfter sit ansvar.

Når Kamstrup får "knubs", så er det fordi målerne bærer deres brand.

Det er helt analogt til en nylig katastrofal skibsbrand, hvor det med stor sandsynlighed er afskiberen af den famøse container som er ansvarlig, MEN hvor rederiet igen, og igen, nævnes - og de er meget sandsynligt ansvarsfri.

  • 1
  • 0
Bjarne Nielsen

Virkeligheden verden er, at målerne ofte er monteret så der ikke normal er fysisk adgang for andre end forbrugerne. Det kræver så at der er adgang til fjernaflæsning og fjernadministration.

Der er tale om bekvemmelighed, ikke en naturlov. Og så det er rimeligt at gøre sig proportionalitetovervejelser - det kommer alt sammen an på trusselmodellen.

Og de problemer man kan forårsage bliver nogle størrelsesordener større, når man går fra fjernaflæsning til fjernadministration. Forklar mig lige, hvorfor der er nødvendigt med skriveadgang til måler? Og forklar derefter, hvorfor at det ikke kan klares med fysisk adgang indenfor normal kontortid? Eller noget tilsvarende ikke kan opnås med andre midler, siden det nu er så vigtigt?

Bekvemmelighed, ikke nødvendighed.

En bekvemmelighed som potentielt gør det muligt at sidde på den anden side af havet, og tænde og slukke for hele bydele.

Det kan sagtens gøres men kræver selvfølgelig at man har "lavet sit hjemmearbejde", men det har de nok også gjort.

Nu er jeg bekendt med en god del af hvad dette "hjemmearbejde" indebærer igennem mit arbejde, og jeg er ikke et sekund i tvivl om, at de snildt vil kunne forhindre Hr. og Fru Danmark i at fifle. De har sandsynligvis også gjort det godt nok til, at sådan nogle som os finder noget mere udbytterigt at tage os til.

Men når man skaber muligheder for at tænde og slukke for hele bydele fra den anden side af havet, så er det ikke længere nok at have "lavet sit hjemmearbejde".

Hvorfor gøre det kompliceret, når man kan gøre det simpelt? Man kan ikke udnytte noget, som ikke er der.

PS: jeg er ikke specielt sur på elmålere - jeg er f.eks. meget mere bekymret over at medicinsk udstyr partout skal være "smart". Det er for dumt.

  • 2
  • 0
Jens Madsen

Jeg frygter mest hacking af mennesker. Selvom teknologien er nok så sikker, så er sikkerheden ikke bedre end det svageste led - og det er mennesker. Med 20 nøgler, lugter det som 20 indgange, hvor der alle er mennesker, som er et svagt led. Symetriske nøgler er utroligt sikre - men, på den anden side, så er et svagt led ofte også mere sårbart end ved asymmetriske nøgler. De to kodninger supplerer hinanden, og her ser ud til, at det kun bruges symetriske nøgler. Da jeg ikke går ud fra, at det er muligt at få måleren til at tælle forkert, gå baglands, eller nulstille den, så mener jeg dog, at det er en rigelig sikkerhed for en elmåler. Skulle der være fejlaflæsning, vil den blive justeret ved den næste, for måleren må jo ikke kunne justeres, tilbagestilles, eller måle forkert. Det er der, at den største sikkerhed ligger - og så kan man lade upålidelige mennesker læse displayet, og overlevere dataene på en åben linje.

  • 0
  • 0
Jens Madsen

Jeg har lige fået opsat en ny naturgas måler. Det er med mekanisk tællerværk, og den erstattede den gamle med elektronisk tæller fra Flonidan. Gas-manden, fortalte at den var ligeså nøjagtig, og ligeså sikker.

Imidlertid, så fik naturgasselskabet ombyttet min målers målernummer, så cifrene var forkert.

Spørgsmålet er, om Kamstrup har overvejet de menneskelige fejl som sker i virkeligheden, eller om sikkerheden er ren af ren akademisk karakter.

Jeg kæmper stadigt med DGD om at bytte cifre.

  • 0
  • 0
Chris Bagge

men du kan have asymmetrisk nøgleudveksling.


Asymmetrisk kryptering har et stort problem med autencitet. Hvad er din sikkerhed for at din modpart er den han udgiver sig for at være? Der er meget få udstedere af certifikater der kan garantere ægtheden af den organisation som de udsteder et certifikat til. For at få sikkerhed her er du nødt til at have dit eget rod- certifikat.
Hvis du håndterer dine nøgler sikkert nok, så er der ingen grund til at påtage sig kompleksiteten af asymmetrisk kryptering. Der er rigtigt meget IoT udstyr hvor regnekraft og lagerplads er et problem.

  • 0
  • 0
Chris Bagge

Med 20 nøgler, lugter det som 20 indgange, hvor der alle er mennesker, som er et svagt led.

Der er helt sikkert ikke 20 forskellige roller der har adgang til det hele. Da der her tales om rollebaseret adgang, så er der formodentligt et sæt nøgler for hver rolle. Hver rolle har kun adgang til en meget begrænset funktionalitet, og for de fleste ofte kun i et begrænset tidsrum. Nøgler skal kunne opdateres. Derfor har du ofte to versioner af en nøgle hvis gyldighedsperiode overlapper hinanden. Herudover er der også brug for nøgler til at kryptere nøgler når de overføres til måleren, key encryption keys.

  • 0
  • 0
Chris Bagge

Og forklar derefter, hvorfor at det ikke kan klares med fysisk adgang indenfor normal kontortid?


Full disclosure - Jeg arbejder med standardisering af fjernaflæsning af forbrugsmålere, og har været involveret i det i mere end 10 år.
Hvis du ønsker fysisk adgang til målerne er der et problem. Der er rigtigt mange af os der har måleren siddende 'inde' og vi vil ikke have en 'målermand' farende rundt inde i vores hjem mens vi er på arbejde. Hvis det skal være muligt skal rigtigt mange målere flyttes 'ud' og ledninger / rør lægges om. Det bliver rigtigt, rigtigt dyrt, og der er kun en til at betale for det, forbrugeren.
Systematisk fjernaflæsning af målere startede i Frankrig. Da samfundet ændrede sig, så der ikke længere var en 'concierge' (portvagt) så kunne "målermanden" ikke længere komme ind og aflæse måleren. I Frankrig er det værkets problem at få aflæst sin måler. Derfor begyndte de at indføre 'lokal' fjernaflæsning så målerne kunne aflæses udvendigt på bygningen / på en stolpe ude ved lågen.
Vi har så her i Danmark haft et system med et papkort. Det virker fortrinligt her i landet og der er ikke nogen særligt god business case på at indføre fjernaflæsning af målere her i landet,tvært imod, men det er et EU krav.
Metoden med et papkort virker bare ikke i et land som Frankrig. De har prøvet. Højst en femtedel indsender papkortet og det er ofte ulæseligt. Det er deres virkelighed. Har det fra folk der arbejder med det i Frankrig.

  • 0
  • 0
Bjarne Nielsen

Hvis du ønsker fysisk adgang til målerne er der et problem.

Tak for at du tog dig tiden til at svare.

Jeg er med på, at placering af målere er en udfordring i forhold til aflæsning - min egen er af årsager, som nok fortaber sig et sted i kæden af tidligere ejere, placeret temmelig upraktisk. Det kunne nu sagtens laves om, hvis det havde været et krav, og sandt at sige, så var ulempen med papirbaseret aflæsning ikke større end at jeg aldrig har fået gjort noget ved det.

Så vi taler vel i høj grad om bekvemmelighed. Læg et gebyr på, som svarer til de reelle meromkostninger, og lad folk selv bestemme, om det giver mening at lave om på det. Enten ved at flytte målerne, eller få en, som giver adgang til fjernaflæsning.

Og under alle omstændigheder, så er det ikke noget, som kræver at målerne kan tilgås udefra ... aflæsning kunne lige så godt ske ved at målerne sender aflæsningen efter at være blevet opfordret til det af brugerne ved tryk på en stor fed knap - eller med intervaller, hvis størrelse er under brugerens kontrol.

Men i øvrigt så gik mit spørgsmål såmænd ikke så meget på aflæsning, for hvis vi kan blive enige om, at målerne ikke behøver at blive aflæst i nær-realtid (og at det er noget, som måleren har en mening om), så er fjernaflæsning på f.eks. månedsbasis fint med mig (så ved du først at familien har været på ferie, når vi kommet hjem igen).

Næh, mit spørgmål gik på, hvorfor man ville kunne fjern-opdatere målerne? Her er mit spørgsmål i sammenhæng:

Forklar mig lige, hvorfor der er nødvendigt med skriveadgang til måler? Og forklar derefter, hvorfor at det ikke kan klares med fysisk adgang indenfor normal kontortid?

Dels fordi at jeg ikke kan se det store behov for fjern-opdatering; fjern-aflæsning må være langt hyppigere - og dels fordi at farerne ved fjern-opdatering er så mange større end ved fjern-aflæsning.

  • 1
  • 0
Bjarne Nielsen

Asymmetrisk kryptering har et stort problem med autencitet. Hvad er din sikkerhed for at din modpart er den han udgiver sig for at være?

Faktisk er det lige omvendt.

Du tænker nok på internet-certifikater, og der er sandt at sige meget "hand-waving" involveret i det. Men etablerer man sin egen PKI - og det behøver ikke være mere fancy end at man selv laver og distribuerer de public keys som trust baseres på - så er det en helt anden snak.

Public keys er - per definition - ikke hemmelige, og de private keys som de modsvarer, kan sikres vilkårligt godt, f.eks. med de kun tages ud af pengeskabet i den korte tid, hvor man certificerer nye nøgler.

Autentification baseret på symmetriske nøgler kræver derimod delte hemmeligheder. En hemmelighed, som er nødt til at være tilgængelig på måleren, hvergang der skal autentificeres - og med fysisk adgang til måleren, så er det til at kompromittere.

Hvis du begiver dig ned af den vej, så skal du i det mindste sørge for at hemmeligheden ikke er delt med mere end en måler, og at hemmeligheden (som svømmer rundt på alle enheder med behov for at tilgå måleren) reelt holdes hemmelig.

I bund og grund er en hemmelighed kun hemmelig så længe man ikke fortæller den videre, så "delt hemmelighed" er langt end ad vejen en selvmodsigelse.

Om du kan forlade dig på symmetriske nøgler kommer derfor i høj grad an på din trusselsmodel, men at sige at asymmetriske nøgler skulle have problemer i forhold til symmetriske nøgler lige præcis ved autentifikation, er jeg ikke enig i.

  • 1
  • 0
Anne-Marie Krogsbøll

https://www.altinget.dk/artikel/juraprofessor-giv-mig-dine-maalerdata-og...

Lidt off topic, men alligevel lidt i samme uhyggelige boldgade: Så en paneldebat om privacy på CNN i forgårs. En kvindelig paneldeltager fortalte, at hun ved tilmelding til et nyt fitnesscenter forleden blev afkrævet dna-test!!! Begrundelse: Ellers kunne de ikke rådgive hende om den rette ernæring. Adspurgt kunne de ikke svare på, om data blev givet videre til andre formål. Uanset hvad: Sindsygt at sige ja til dna-test ved tilmelding til fitnesscenter.

Kan vi så virkeligt ikke alle sammen blive enige om, at verden er af lave, og at det er gået for vidt?

  • 3
  • 0
Log ind eller Opret konto for at kommentere