# Sicherheitsarchitektur
Jedes Gerät verifiziert, jede Verbindung verschlüsselt, jedes Update signiert, von Grund auf.
Smart-Home-Systeme steuern die Dinge, die ein Zuhause zum Laufen bringen: Beleuchtung, Zutritt, Klima und zunehmend Funktionen, die die Sicherheit berühren. Wenn Sie einem System diese Dinge anvertrauen, ist die Frage, wie es abgesichert ist, kein Detail. Sie ist entscheidend dafür, ob Sie ihm vertrauen können.
Dieser Artikel erklärt, wie Voldeno an die Sicherheit herangeht. Er richtet sich an zwei Zielgruppen: an die Installateure, die Voldeno-Systeme aufbauen und warten, und an die technisch interessierten Nutzer, die verstehen möchten, was ihr Zuhause schützt. Wir haben versucht, konkret statt werblich zu bleiben, damit Sie den Entwurf anhand seiner Substanz beurteilen können.
# Der Kerngedanke: Nichts wird standardmäßig vertraut
Die meisten Sicherheitsprobleme vernetzter Produkte laufen auf eines von zwei Versäumnissen hinaus: Entweder vertraut ein Gerät oder Dienst etwas, dem es nicht hätte vertrauen dürfen, oder es sendet sensible Informationen so, dass jemand anderes sie lesen oder verändern kann.
Voldenos Entwurf beruht auf einer einfachen Antwort auf beides: Jedes Gerät und jeder Dienst muss beweisen, wer es ist, bevor ihm vertraut wird, und jede Verbindung, die Konfiguration, Steuerung oder Firmware überträgt, ist verschlüsselt. Keine Komponente im System akzeptiert anonyme Verbindungen, und keine sensiblen Daten reisen in einer Form, die ein Lauscher lesen kann.
Dieses Prinzip wird überall auf dieselbe Weise durchgesetzt, und genau das macht es verlässlich, statt zu einem Flickwerk von Sonderfällen zu werden.
# Ein privater Vertrauensanker: die Voldeno CA
Die Identität im Voldeno-System ist in unserer eigenen Zertifizierungsstelle verankert, der Voldeno CA. Eine Zertifizierungsstelle können Sie sich als die Instanz vorstellen, die digitale "Ausweise" (Zertifikate) ausstellt und für sie bürgt. Die Voldeno CA ist privat für Voldeno, sie ist nicht mit dem öffentlichen Zertifikatssystem verbunden, das Websites nutzen.
Ihre Aufgabe ist bewusst eng gefasst. Sie stellt die Zertifikate aus, die Voldeno-Hubs identifizieren, sie identifiziert die Voldeno Cloud und den Firmware-Dienst, sie stellt die Client-Zertifikate aus, die Voldeno Studio und die mobile App tragen, und sie signiert die Firmware, die auf den Hubs läuft. Weil die Plattform nur Zertifikaten vertraut, die von der Voldeno CA stammen, ist der Kreis der Geräte und Dienste, die an einem System teilnehmen dürfen, klein und streng kontrolliert. Alles, was keine gültigen, von Voldeno ausgestellten Anmeldedaten vorweisen kann, wird schlicht nicht hereingelassen.
Alles Weitere baut auf diesem Fundament auf.
# Der Voldeno Hub: Sicherheit fest in der Hardware verankert
Der Hub ist die Steuerung, die physisch in der Installation sitzt, deshalb muss seine Sicherheit auch dann standhalten, wenn jemand das Gerät in der Hand hält.
Eine eindeutige, nicht klonbare Identität. Jeder gefertigte Hub erhält sein eigenes eindeutiges Zertifikat, signiert von der Voldeno CA und abgeleitet aus der eindeutigen Hardwarekennung des Chips. Keine zwei Hubs teilen sich eine Identität. Genau das erlaubt es der Cloud und den Werkzeugen des Installateurs, einen bestimmten Hub unter allen anderen zu erkennen, und es bedeutet, dass das Wissen um die Identität eines Hub einem Angreifer nichts über einen anderen verrät.
Schlüssel, die auf dem Gerät bleiben. Der private Schlüssel und die Zertifikate jedes Hub werden während der Produktion in einen dedizierten, geschützten Bereich des internen Flash-Speichers des Mikrocontrollers geschrieben. Sie verlassen das Gerät nie und werden nie über das Netzwerk gesendet.
Schutz vor physischer Manipulation. Der Hub basiert auf einem STM32H7-Mikrocontroller, und während der Fertigung wird sein Ausleseschutz aktiviert (RDP Level 1). Ist Level 1 aktiv, sperrt der Chip jeden Zugriff auf seinen internen Flash-Speicher, sobald ein Debugger angeschlossen wird oder der Chip gezwungen wird, aus dem RAM oder dem eingebauten Bootloader zu starten: Jeder Versuch, den Flash über die Debug-Schnittstelle zu lesen, zu löschen oder zu programmieren, scheitert mit einem Busfehler. Wer also einen Hub öffnet und Diagnosewerkzeuge anschließt, kann weder die Firmware auslesen noch die gespeicherten Schlüssel extrahieren. Die Debug-Schnittstelle selbst ist nicht dauerhaft deaktiviert, gewährt aber keinen Zugriff auf geschützten Speicher, und der einzige Weg, den Schutz aufzuheben (zurück auf Level 0), erzwingt zuerst ein vollständiges Löschen des Flash, was Firmware und Schlüssel vernichtet, statt sie preiszugeben. Der Ausleseschutz ist eine Barriere, die Kosten und Aufwand eines physischen Angriffs erhöht, keine absolute Garantie, und er ist eine Schicht unter mehreren.
# Verschlüsselte, authentifizierte Verbindungen
Die Identität eines Geräts nützt nur, wenn sie bei jeder Verbindung tatsächlich geprüft wird. Voldeno verifiziert die Identität auf jeder Verbindung im System.
Hub zur Cloud. Wenn ein Hub sich mit der Voldeno Cloud verbindet, authentifizieren sich beide Seiten gegenseitig mit ihren Zertifikaten (das ist als mutual TLS oder mTLS bekannt). Die Cloud bestätigt, dass der Hub ein echtes Voldeno-Gerät ist, und der Hub bestätigt, dass er mit der echten Voldeno Cloud spricht und nicht mit einem Betrüger. Der gesamte Verkehr zwischen ihnen ist verschlüsselt. Keine Seite tauscht Daten aus, bevor nicht beide ihre Identität bewiesen haben.
Werkzeuge des Installateurs zum Hub. Voldeno Studio ist die Desktop-Anwendung, mit der Installateure Geräte konfigurieren, Logik bauen und Projekte bereitstellen. Wenn es sich über das lokale Netzwerk mit einem Hub verbindet, ist die Verbindung verschlüsselt, und Studio prüft das Zertifikat des Hub gegen die Voldeno CA, bevor es ihm vertraut, sodass der Installateur weiß, dass das Gerät am anderen Ende ein echter Voldeno-Hub ist. Studio trägt außerdem sein eigenes, von Voldeno ausgestelltes Client-Zertifikat. Auf diesem verschlüsselten Kanal wird zusätzlich jede Aktion mit kurzlebigen Tokens autorisiert (dazu gleich mehr), die regeln, was getan werden darf. Mit anderen Worten: Die Verbindung ist sowohl privat als auch zugriffsgesteuert.
Studio und Nutzer zur Cloud. Verbindungen zur Voldeno Cloud für den Fernzugriff sind ebenfalls verschlüsselt und mit von Voldeno ausgestellten Zertifikaten gegenseitig authentifiziert, wobei der Sitzungszugriff durch Tokens gesteuert wird. Die Cloud bedient keine anonymen Clients.
# Wie der Zugriff autorisiert wird: Tokens, die der Hub ausstellt und signiert
Verschlüsselung und Zertifikate klären, wer spricht, Tokens entscheiden, was jede Partei tun darf. Voldeno löst das mit signierten Zugriffstokens (JWTs), und der Entwurf hat eine wichtige Eigenschaft: Die Tokens werden vom Hub selbst ausgestellt und signiert.
Wenn einem Nutzer oder Installateur Zugriff gewährt wird, werden die entsprechenden Tokens auf dem Hub erzeugt und mit dem gerätespezifischen privaten Schlüssel des Hub signiert, mit dem Algorithmus ES256 (demselben Elliptische-Kurven-Schlüssel, der die Identität des Hub trägt). Es gibt zwei Arten: einen langlebigen Refresh-Token, der nur dazu dient, Zugriffstokens zu beschaffen, und einen kurzlebigen Zugriffstoken (rund eine Stunde gültig), der eine Sitzung tatsächlich autorisiert und die Berechtigungen des Nutzers trägt.
Alles, was später einen Token empfängt, sei es das Cloud-Relay oder der Hub bei einer weiteren Anfrage, prüft diese Signatur gegen das Zertifikat des Hub. Und weil dieses Zertifikat selbst von der Voldeno CA ausgestellt ist, ist die Vertrauenskette vollständig: Der Token ist vom Hub signiert, der Signierschlüssel des Hub wird durch sein Zertifikat verbürgt, und das Zertifikat wird durch die Voldeno CA verbürgt. Kein Token wird akzeptiert, sofern er nicht wirklich von genau dem Hub signiert wurde, von dem er zu stammen behauptet, und eine Manipulation am Inhalt eines Tokens macht die Signatur ungültig.
Ebenso wichtig: Der Hub setzt die Berechtigungen im Token bei jeder Aktion durch. Ein Token muss autorisiert sein, überhaupt eine Verbindung zu öffnen, separat autorisiert, den Systemzustand zu lesen, und separat autorisiert, Befehle zu senden. Die App oder das Werkzeug nutzt diese Berechtigungen, um zu entscheiden, was angezeigt wird, aber selbst eine ohne Autorisierung gesendete Anfrage wird vom Hub abgelehnt. Die Oberfläche ist eine Komfortschicht über Regeln, die der Hub unabhängig durchsetzt.
# Firmware-Updates: zwei unabhängige Schutzvorkehrungen
Firmware ist die Software, die den Hub betreibt, und sie durch bösartigen Code zu ersetzen, wäre eines der schädlichsten Dinge, die ein Angreifer tun könnte. Voldeno schützt Updates auf zwei unabhängige Arten, sodass eine Schwäche in einer die andere nicht kompromittiert.
Das Update wird über einen sicheren, authentifizierten Kanal ausgeliefert. Firmware wird vom Voldeno-Firmware-Dienst über eine verschlüsselte, gegenseitig authentifizierte Verbindung (mTLS) bezogen. Der Dienst verlangt ein von der Voldeno CA ausgestelltes Client-Zertifikat und prüft es, bevor er Firmware ausliefert, und der Client prüft den Dienst. Das Image wird dann über den zuvor beschriebenen gesicherten Kanal auf den Hub übertragen.
Das Update ist kryptografisch signiert, und der Hub prüft es. Unabhängig davon, wie es ausgeliefert wurde, ist jedes Firmware-Image von der Voldeno CA signiert. Vor der Installation eines Updates prüft der Hub diese Signatur: Er berechnet einen SHA-256-Hash des Image und prüft die Signatur gegen das Voldeno-CA-Zertifikat in seinem eigenen geschützten Speicher. Nur wenn die Signatur gültig ist, fährt der Hub fort. Fehlt die Signatur, ist sie ungültig oder wurde das Image in irgendeiner Weise verändert oder beschädigt, verweigert der Hub die Installation.
Das ist der beruhigende Teil: Selbst wenn jemand eine Firmware-Datei besäße und versuchte, eine veränderte Version auf einen Hub zu spielen, könnte er die Signatur der Voldeno CA nicht fälschen, und der Hub würde das manipulierte Image ablehnen. Ein Hub führt ausschließlich Firmware aus, die Voldeno tatsächlich hergestellt hat.
# Voldeno Cloud und Fernzugriff
Die Voldeno Cloud ist das Backend, das den Fernzugriff auf Installationen ermöglicht. TLS wird an einem gehärteten Rand terminiert, der mutual TLS für die Parteien erzwingt, die sich mit ihm verbinden: Hubs authentifizieren sich mit ihren gerätespezifischen Zertifikaten, und Voldeno Studio sowie die mobile App authentifizieren sich mit ihren Client-Zertifikaten, alle von der Voldeno CA ausgestellt. Verbindungen zur Cloud sind daher sowohl verschlüsselt als auch gegenseitig authentifiziert, und Sitzungen werden zusätzlich durch die oben beschriebenen signierten Tokens gesteuert.
Entscheidend: Der Hub ist nie direkt dem Internet ausgesetzt. Er hält eine dauerhafte ausgehende Verbindung zur Cloud, und die Cloud fungiert als vertrauenswürdiger Vermittler zwischen dem Hub und autorisierten Clients. Die Cloud akzeptiert keine anonymen Verbindungen, jeder Teilnehmer muss ein Zertifikat vorweisen, für das die Voldeno CA bürgt, bevor Anwendungsdaten ausgetauscht werden.
# Die mobile App: Verbindung über die Cloud
Für Endnutzer ist der alltägliche Weg, mit einem Voldeno-System zu interagieren, die mobile App. Der häufigste Fall ist der Fernzugriff, Sie sind vom Objekt entfernt und möchten etwas prüfen oder bedienen, deshalb ist die App darauf ausgelegt, sich über die Voldeno Cloud zu verbinden, statt den Hub direkt dem Internet auszusetzen. (Ist das Smartphone im selben lokalen Netzwerk wie der Hub, gehört auch eine direkte LAN-Verbindung, automatisch über mDNS erkannt, zum Entwurf.)
Die Verbindung ist gegenseitig authentifiziert und an Voldenos eigene CA gebunden (Pinning). Jede Verbindung, die die App aufbaut, sowohl die Anfrage zum Token-Refresh als auch die Live-Datenverbindung, ist mit TLS gesichert, und die App vertraut ausschließlich der Voldeno CA. Sie greift nicht auf den allgemeinen Vertrauensspeicher des Smartphones zurück, kann also nicht durch ein beliebiges Zertifikat getäuscht werden, dem das Gerät zufällig vertraut. Die App prüft das Zertifikat des Servers gegen die gepinnte Voldeno CA, einschließlich des Hostnamens, und legt ihr eigenes Client-Zertifikat vor, weil die Voldeno-Server mutual TLS verlangen. Beide Seiten beweisen ihre Identität, bevor Daten fließen.
Es gibt keine Passwörter. Jede Installation, mit der der Nutzer gekoppelt ist, wird durch einen langlebigen Refresh-Token repräsentiert, gespeichert im iOS-Schlüsselbund, dem geschützten Anmeldedatenspeicher des Betriebssystems. Die App sendet nie ein Passwort, sie tauscht den Refresh-Token gegen einen kurzlebigen Zugriffstoken und nutzt diesen, um die Verbindung zu öffnen. Refresh-Tokens werden bei jeder Verwendung rotiert, sodass ein abgefangener Token nur begrenzten Wert hat, und Zugriffstokens laufen ohnehin schnell von selbst ab. Geht ein Smartphone verloren, bedeutet der Zugriffsentzug schlicht, diese Installation zu widerrufen oder neu zu koppeln.
Wie im Abschnitt zur Autorisierung beschrieben, werden diese Tokens vom Hub selbst ausgestellt und signiert und tragen die Berechtigungen des Nutzers, die der Hub bei jeder Aktion durchsetzt. Die App nutzt die Berechtigungen, um zu entscheiden, ob sie nur lesende oder interaktive Bedienelemente anzeigt, aber der Hub ist die Komponente, die jede Operation tatsächlich erlaubt oder verweigert.
Wie die Cloud alles verbindet. Das Ergebnis sind zwei unabhängig gesicherte Verbindungen, verbunden durch die Cloud. Der Hub hält seine eigene, gegenseitig authentifizierte Verbindung zur Cloud über sein eindeutiges gerätespezifisches Zertifikat, und die App hält ihre eigene, gegenseitig authentifizierte und token-autorisierte Verbindung zur Cloud. Die Cloud leitet Nachrichten nur zwischen einer App und genau dem Hub weiter, für den ihr Token gültig ist. Ein für eine Installation ausgestellter Token lässt sich nicht nutzen, um eine andere zu erreichen, und weil der Hub hinter der Cloud bleibt, ist er nie anonym aus dem offenen Internet erreichbar.
Die dedizierte mobile App ist für iOS und Android verfügbar. Beide bauen auf demselben cloud-vermittelten, zertifikatsgebundenen, token-autorisierten Modell auf, das hier beschrieben ist.
# Was das in der Praxis bedeutet
Vom technischen Detail befreit, gibt Ihnen Voldenos Ansatz einige Zusicherungen, die sich leicht formulieren und leicht vertreten lassen:
- Jeder Hub hat eine eindeutige, an seine Hardware gebundene Identität, geschützt gegen Extraktion, selbst wenn das Gerät physisch manipuliert wird.
- Alles auf der Leitung ist verschlüsselt und authentifiziert. Konfigurations-, Steuerungs- und Firmware-Verkehr zwischen Hub, den Werkzeugen des Installateurs, der mobilen App und der Cloud kann von Außenstehenden nicht gelesen oder unbemerkt verändert werden.
- Der Zugriff wird durch signierte, kurzlebige Tokens gesteuert, die der Hub selbst ausstellt und durchsetzt, sodass die Berechtigungen halten, selbst wenn ein Client sich fehlverhält.
- Firmware kann nicht heimlich ersetzt werden. Updates werden auf dem Gerät signiert und geprüft, sodass ein Hub nie Software ausführt, die Voldeno nicht gebaut hat.
- Der Hub ist nie dem offenen Internet ausgesetzt. Fernzugriff funktioniert, indem der Hub zur Cloud hinausreicht, wo ihn nur authentifizierte, autorisierte Clients treffen können.
- Das Vertrauen ist geschlossen, nicht offen. Es werden nur Zertifikate der Voldeno CA akzeptiert, was das System streng kontrolliert hält.
Kein Sicherheitsentwurf macht gute Gewohnheiten überflüssig. Installateure sollten Voldeno Studio und die Hub-Firmware aktuell halten und die Konten und Anmeldedaten schützen, mit denen Systeme verwaltet werden, Nutzer profitieren von derselben Sorgfalt. Die Plattform ist aber so gebaut, dass die schwierigen Teile, Geräteidentität, Verschlüsselung, Authentifizierung, Autorisierung und Firmware-Integrität, standardmäßig streng und konsistent gehandhabt werden. Genau das erlaubt es Ihnen, ein Voldeno-System in ein Zuhause zu setzen und darauf zu vertrauen, dass es über seine Lebensdauer vertrauenswürdig bleibt.
# Häufig gestellte Sicherheitsfragen
Ist die Verbindung zwischen meinem Hub und der Cloud sicher? Ja. Der Hub und die Voldeno Cloud authentifizieren sich gegenseitig mit Zertifikaten (mutual TLS), bevor sie Daten austauschen, und der gesamte Verkehr zwischen ihnen ist verschlüsselt. Die Cloud bestätigt, dass der Hub echt ist, und der Hub bestätigt, dass er mit der echten Voldeno Cloud spricht und nicht mit einem Betrüger.
Kann jemand meine Daten lesen oder verändern, während sie über das Netzwerk reisen? Nein. Konfigurations-, Steuerungs- und Firmware-Verkehr zwischen Hub, Voldeno Studio, der mobilen App und der Cloud ist während der Übertragung verschlüsselt. Ein Lauscher sieht nur verschlüsselte Daten, und veränderter Verkehr wird abgelehnt.
Was verhindert, dass eine gefälschte oder veränderte Firmware auf meinem Hub installiert wird? Jedes Firmware-Image ist von der Voldeno CA signiert, und der Hub prüft diese Signatur gegen das auf dem Gerät gespeicherte Zertifikat, bevor er irgendetwas installiert. Ist das Image nicht signiert, verändert oder beschädigt, verweigert der Hub es. Ein Hub führt ausschließlich Firmware aus, die Voldeno tatsächlich hergestellt hat.
Was passiert, wenn jemand physischen Zugriff auf einen Hub erhält? Der Mikrocontroller des Hub läuft mit aktiviertem Ausleseschutz (RDP Level 1). Solange dieser aktiv ist, lässt der Chip nicht zu, dass ein angeschlossener Debugger seinen internen Flash liest, löscht oder programmiert, sodass jemand mit dem Gerät in der Hand weder die Firmware auslesen noch die gespeicherten Schlüssel extrahieren kann. Der Schutz lässt sich nur durch ein vollständiges Löschen des Flash entfernen, was diese Inhalte vernichtet, statt sie preiszugeben.
Ist jeder Hub eindeutig, oder teilen sich alle dieselben Schlüssel? Jeder Hub wird mit seinem eigenen eindeutigen Zertifikat und privaten Schlüssel gefertigt, signiert von der Voldeno CA und an genau diesen Chip gebunden. Keine zwei Hubs teilen sich eine Identität, sodass die Kompromittierung eines Geräts keinen anderen preisgibt.
Wie meldet sich die App ohne Passwort an, und ist das sicher? Statt eines Passworts hält die App einen langlebigen Token im geschützten Schlüsselbund des Smartphones und tauscht ihn für jede Sitzung gegen einen kurzlebigen Zugriffstoken. Diese Tokens werden von Ihrem Hub selbst ausgestellt und signiert und tragen Ihre Berechtigungen, der langlebige Token wird bei jeder Verwendung ersetzt. Weil die Tokens mit dem eigenen Schlüssel des Hub signiert sind, können sie weder gefälscht noch verändert werden.
Kann ich mein System vom Smartphone aus steuern, wenn ich unterwegs bin, und ist das sicher? Ja. Die App verbindet sich über die Voldeno Cloud, statt Ihren Hub dem Internet auszusetzen. Die Verbindung ist verschlüsselt und gegenseitig authentifiziert, an Voldenos eigene Zertifizierungsstelle gebunden, und die Cloud leitet Verkehr nur zwischen Ihrer App und genau dem Hub weiter, für den Sie autorisiert sind. Der Hub prüft unabhängig, ob Ihre App jede Aktion ausführen darf.
Was ist die Voldeno CA, und warum ist sie wichtig? Die Voldeno CA ist unsere eigene private Zertifizierungsstelle. Sie stellt die Zertifikate aus, die Hubs, die Cloud und die Apps identifizieren, und sie signiert Firmware. Die Plattform vertraut nur Zertifikaten, die von dieser CA ausgestellt wurden, was den Kreis der ins System zugelassenen Geräte und Dienste streng kontrolliert hält.
Muss ich (oder mein Installateur) etwas tun, um sicher zu bleiben? Die Plattform übernimmt Geräteidentität, Verschlüsselung, Authentifizierung, Autorisierung und Firmware-Integrität automatisch. Ihr Teil ist unkomplizierte betriebliche Sorgfalt: Halten Sie Voldeno Studio und die Hub-Firmware aktuell und schützen Sie die Konten und Anmeldedaten, mit denen das System verwaltet wird.
# Glossar
Zertifikat - Ein digitaler "Ausweis" für ein Gerät oder einen Dienst. Es enthält eine Identität und einen kryptografischen Schlüssel und ist von einer vertrauenswürdigen Instanz signiert, sodass andere seine Echtheit prüfen können. Voldeno-Hubs, die Cloud, Voldeno Studio und die mobile App tragen jeweils Zertifikate.
Zertifizierungsstelle (CA) - Die vertrauenswürdige Instanz, die Zertifikate ausstellt und signiert. Voldeno betreibt eine eigene private CA (die Voldeno CA), sodass nur Geräte und Dienste, die sie freigegeben hat, vom System als vertrauenswürdig gelten.
Certificate Pinning - Nur einer bestimmten, bekannten Zertifizierungsstelle vertrauen (hier der Voldeno CA), statt der langen Liste von Stellen, denen ein Smartphone oder Computer standardmäßig vertraut. Das engt das Vertrauen auf Voldenos eigene PKI ein und blockiert Identitätsvortäuschung durch anderweitig "gültige" Zertifikate.
Privater Schlüssel - Die geheime Hälfte der Anmeldedaten eines Geräts, gepaart mit seinem Zertifikat. Er darf das Gerät nie verlassen. Auf einem Voldeno-Hub liegt der private Schlüssel im geschützten internen Speicher und wird nie über das Netzwerk gesendet.
TLS (Transport Layer Security) - Die Standardtechnik, die Daten auf ihrem Weg durch ein Netzwerk verschlüsselt, dieselbe Familie von Schutzmechanismen, die Bank-Websites absichert. Sie hält den Verkehr privat und erkennt Manipulationen.
mTLS (mutual TLS) - Eine stärkere Form von TLS, bei der beide Seiten ihre Identität mit Zertifikaten beweisen, nicht nur eine. Voldeno nutzt mTLS für Verbindungen Hub-zu-Cloud, App-zu-Cloud und Studio-zu-Cloud, sodass jede Partei die andere prüft, bevor Daten ausgetauscht werden.
Zugriffstoken / Refresh-Token - Statt jedes Mal ein Passwort zu senden, hält ein Client einen langlebigen "Refresh-Token" im sicheren Speicher und nutzt ihn, um kurzlebige "Zugriffstokens" zu beschaffen. Der kurzlebige Token ist es, der eine Sitzung tatsächlich autorisiert, sodass er, selbst wenn er einmal offengelegt würde, schnell abläuft. Refresh-Tokens werden bei jeder Verwendung ersetzt.
Token-Signierung (ES256) - Jeder Token wird mit einer digitalen Signatur versiegelt, die der private Schlüssel des Hub mit dem Algorithmus ES256 erzeugt. Ein Empfänger prüft sie mit dem Zertifikat des Hub, sodass ein Token ohne den Schlüssel des Hub weder gefälscht noch verändert werden kann. Das Zertifikat des Hub wird wiederum von der Voldeno CA ausgestellt, was den Token zurück an Voldenos Vertrauensanker bindet.
Berechtigungen (Autorisierung) - Die konkreten Aktionen, die ein Token ausführen darf (etwa Zustand lesen gegenüber Befehle senden). Berechtigungen sind im Zugriffstoken enthalten und werden vom Hub bei jeder Anfrage durchgesetzt, unabhängig davon, was die Oberfläche der App anbietet.
Firmware - Die Software, die auf dem Hub selbst läuft. Weil sie das Gerät steuert, ist ihre Integrität entscheidend, weshalb Voldeno-Firmware vor der Installation signiert und geprüft wird.
Firmware-Signierung / Signaturprüfung - Ein kryptografisches Siegel, das die Voldeno CA auf ein Firmware-Image aufbringt. Vor dem Update prüft der Hub dieses Siegel, passt es nicht, wird das Update abgelehnt. Das verhindert, dass jemand unautorisierte oder veränderte Firmware installiert.
RDP (Ausleseschutz), Level 1 - Eine Schutzfunktion des STM32H7-Mikrocontrollers des Hub. Wenn aktiviert, blockiert der Chip jeden Zugriff auf seinen internen Flash durch einen angeschlossenen Debugger oder einen alternativen Startmodus (Lesen, Löschen und Programmieren scheitern alle mit einem Busfehler), sodass Firmware und Schlüssel nicht ausgelesen werden können. Der Schutz lässt sich nur durch Löschen des Flash aufheben, was dessen Inhalt vernichtet, das dauerhafte Deaktivieren der Debug-Schnittstelle insgesamt ist ein separater, irreversibler Schritt (Level 2), auf den sich Voldeno nicht verlässt.
Schlüsselbund (Keychain) - Apples eingebauter verschlüsselter Speicher für sensible Anmeldedaten unter iOS. Die Voldeno-App bewahrt den langlebigen Token jeder Installation dort auf, statt im gewöhnlichen App-Speicher.
Cloud-Relay / Broker - Ein Modell, bei dem sich zwei Geräte nicht direkt verbinden, sondern jeweils mit einem vertrauenswürdigen Server in der Mitte, der Nachrichten zwischen ihnen weiterreicht. Voldeno nutzt dies für den Fernzugriff: Die App und der Hub verbinden sich jeweils mit der Voldeno Cloud, die Verkehr nur zwischen Parteien weiterleitet, die sich authentifiziert haben und füreinander autorisiert sind.
Voldeno Hub - Die Steuerung vor Ort, die die Installation betreibt.
Voldeno Studio - Die Desktop-Anwendung, mit der Installateure Geräte konfigurieren, Logik bauen, Projekte bereitstellen und Firmware verwalten.
Voldeno Cloud - Der Backend-Dienst, der den Fernzugriff auf Installationen ermöglicht.
