Ajax verschlüsselt Daten mithilfe eines firmeneigenen Floating-Key-Protokolls. Dieses Protokoll ist äußerst widerstandsfähig: Selbst mit der Leistungskraft eines Supercomputers würde es Jahre dauern, den Schlüssel mit der Brute-Force-Methode zu knacken.
Angenommen, es würde einem Angreifer gelingen, den Schlüssel zu kompromittieren, so wäre das Protokoll dennoch weiterhin durch den Sitzungszähler geschützt: Bei jeder Kommunikationssitzung zwischen einem Gerät und einer Hub-Zentrale wird ein neuer Verschlüsselungsschlüssel generiert.
Selbst wenn es einem Angreifer gelingt, den Sitzungszähler zu umgehen, wird er durch die Geräteauthentifizierung aufgehalten: Es wird ein sicherer Kommunikationskanal zwischen dem Melder und der Hub-Zentrale aufgebaut, gefolgt von einer ID-Prüfung.
Jedes Gerät verfügt über eine einzigartige ID, die von der Hub-Zentrale erkannt wird.
Wenn die ID-Prüfung des Geräts nicht erfolgreich ist, werden Befehle von der Hub-Zentrale ignoriert.
Außerdem erkennt die Hub-Zentrale, wenn die Verbindung zum Ajax Gerät getrennt wird, falls ein Angreifer es durch ein gefälschtes Gerät zu ersetzen versucht. Die Erkennungszeit hängt vom Gerätetyp ab: 3 Sekunden für kabelgebundene Ajax Geräte und die in den Jeweller Einstellungen festgelegte Zeit für kabellose Geräte. Die Benachrichtigung über den Verbindungsverlust wird sowohl an den zuständigen Sicherheitsdienst als auch an die Systembenutzer gesendet.
