M-Bus Gateway
Log indBestil gateway
← Tilbage til blog
· AES· Kryptering· HCA· wM-Bus· Sikkerhed

AES-nøgler til krypterede HCA: Sådan håndterer du Engelmann og Techem M-Bus telegrammer

Mange HCA-målere sender krypterede wM-Bus telegrammer. Her er den komplette guide til hvad AES-128 nøgler er, hvordan du får fat i dem, og hvordan du håndterer dem sikkert.

Af M-Bus Gateway-teamet

Wireless M-Bus opererer på det åbne 868 MHz radiobånd — alle inden for rækkevidde kan lytte med. Derfor krypterer mange fabrikanter HCA-målere (Heat Cost Allocators) og vandmålere med AES-128 inden data sendes.

Resultatet er at din gateway modtager telegrammer fint, men ikke kan læse indholdet uden den rigtige nøgle. Denne artikel forklarer hvad AES-nøgler er, hvem der har dem, og hvordan du håndterer dem sikkert.

Hvad er et krypteret wM-Bus telegram?

En wM-Bus-måler sender regelmæssigt et lille datapakke (telegram) over radio. Telegrammet indeholder metadata om måleren (fabrikatskode, serienummer, type) i klartekst — men selve målerværdien er krypteret.

OMS-standarden (Open Metering System) definerer krypteringen: AES-128 i CBC-tilstand med en 16-byte nøgle. Nøglen er unik pr. måler og fastsættes af fabrikanten ved produktion.

Hvem krypterer, og hvem gør ikke?

Ikke alle fabrikanter krypterer:

FabrikatKrypteret som standard?
Engelmann (Hysomed HCA)✓ AES-128
Techem HCA (T1-protokol)Delvist — gammel Techem-protokol, ikke OMS
Kamstrup MULTICAL✓ AES-128 (OMS)
Diehl Sharky✓ AES-128 (OMS)
Sontex SupercalValgfrit
Qundis S.FLOW✓ AES-128

Techem bruger en ældre proprietær T1-protokol der adskiller sig fra OMS. Dekryptering kræver Techem-specifikke algoritmer, ikke standard AES-128.

Hvordan får du fat i nøglerne?

Engelmann HCA

Engelmann (nu del af Hysomed) leverer AES-nøgler på to måder:

  1. Papirliste ved levering — Nøglerne printes på et ark der følger med leverancen. Hvert målers serienummer parres med en 32-tegns hex-nøgle.
  2. CSV-eksport fra Engelmann-portalen — Hvis du har et aktiv Engelmann-driftsabonnement.

Har du mistet nøglerne, skal du kontakte Engelmann direkte. De kræver typisk serienumre, proof of ownership og et par uger.

Kamstrup

Kamstrup leverer nøgler via Metering as a Service (MaaS)-portalen. Du skal have et CVR-registreret kundeforhold. Nøgler kan hentes som CSV.

Generisk OMS-måler fra installatør

Mange VVS-installatører programmerer OMS-nøgler ind i målerne ved installation og gemmer dem i et regneark. Spørg altid installatøren om nøgler inden de forlader ejendommen — det er langt nemmere end at få dem bagefter.

Techem — en særlig udfordring

Techem er et specielt tilfælde. Deres ældre HCA'er (Compat V/VI og Data II) bruger en proprietær T1-protokol, der:

  • Ikke følger OMS-standarden
  • Kræver Techem-specifikke dekrypteringsalgoritmer
  • Er dokumenteret i reverse-engineering projekter (f.eks. wmbusmeters på GitHub)

De nyere Techem-modeller (f.eks. compat V+ og vario4) understøtter OMS og kan dekrypteres med standard AES-128 nøgler — men nøglerne udleveres kun til kunder med en aktiv Techem-serviceaftale.

Skifter du væk fra Techem som operatør, ejer Techem fortsat nøglerne til Techem-målere. Praktisk set betyder det at du enten skal udskifte målerne eller bevare et Techem-dataabonnement.

Sikker opbevaring af AES-nøgler

AES-nøgler er sensitive. En angriber med adgang til nøglerne kan læse al historisk og fremtidig forbrugdata for de pågældende målere.

Hvad du ikke skal gøre:

  • Gemme nøgler i et regneark på din desktop
  • Sende nøgler ukrypteret over e-mail
  • Hardkode nøgler i konfigurationsfiler i et Git-repository

Hvad du skal gøre:

  • Gem nøgler i et password manager (KeePass, 1Password, Bitwarden)
  • Brug et system der krypterer nøgler-i-hvile (vores platform gemmer nøgler krypteret i databasen med filpermission 600)
  • Begræns adgang til nøglerne til de personer der rent faktisk behøver dem

Vores tilgang

Vores gateway gemmer AES-nøgler i en krypteret SQLite-database med restriktive filpermissioner. Nøglerne overføres til gatewayen via en dedikeret krypteret kanal og vises aldrig i klartekst i logfiler eller brugergrænsefladen. API'et returnerer kun has_aes_key: true/false — aldrig nøgle-værdien.

Praktisk workflow: opret måler med nøgle

Når du registrerer en krypteret måler på vores platform:

  1. Opret måleren med fabrikat, serienummer og installatiosdato
  2. Upload nøglen via portalen — den gemmes krypteret og synkroniseres til din gateway
  3. Verifikation — platformen forsøger at dekryptere de seneste telegrammer og bekræfter om nøglen er korrekt
  4. Status-dashboard — du kan altid se dekrypteringsdækning pr. fabrikat (AES-dækning-siden)

Hvis nøglen er forkert, vises måleren som "krypteret — nøgle ugyldig" og du modtager en advarsel.

Hvad hvis du har målere du ikke har nøgler til?

Det sker oftere end man tror, særligt ved overtagelse af eksisterende ejendomme. Mulighederne er:

  1. Kontakt fabrikanten med serienumre og ejendomsdokumentation
  2. Kontakt den tidligere operatør — de har muligvis nøglerne
  3. Udskift målerne — nye målere leveres med nøgler
  4. Brug estimeret forbrug — vores platform kan estimere forbrug baseret på historik, så afregningen ikke blokeres

Estimering er ikke en langsigtet løsning, men sikrer at lejere kan afregnes mens du arbejder på at skaffe nøglerne.

Har du spørgsmål om kryptering, nøglehåndtering eller dekrypteringsdækning på en konkret målerflåde? Kontakt os, så kigger vi på det.