EnOcean Secure verwendet einen Rolling Code (inkrementellen Zähler) zusammen mit einer CMAC-Signatur (Cipher-based MAC auf AES-128), um jedes Telegramm zu authentifizieren und Replay-Angriffe zu verhindern - kritisch für sicherheitsrelevante Anwendungen wie Alarmanlagen oder funkgesteuerte Schlösser.

EnOcean Secure kombiniert mehrere Mechanismen: Ein Rolling Code (24 oder 32 Bit) wird bei jedem Senden inkrementiert; eine CMAC-Signatur sichert (Daten + Zähler) mit AES-128 ab; der Empfänger akzeptiert nur Telegramme, deren Zählerwert größer oder gleich dem erwarteten Wert ist (Anti-Replay); der 16 Byte lange Schlüssel wird beim Secure-Teach-In ausgetauscht. Ohne Secure ist klassisches EnOcean grundsätzlich anfällig für Replay-Angriffe, wenngleich die 32 Bit lange Device-ID zufälliges Spoofing erschwert.

Praxistipp: Für Alarm- und Zutrittsanwendungen ausschließlich Secure-fähige Geräte einsetzen und den Rolling-Code-Zähler nicht durch Werksreset versehentlich zurücksetzen.