Onay

Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifika Sürecinden geçmiş Cihazlardır.

Devreye alma işlemi sırasında, Sertifikalı Cihazın kendisini onaylaması gerekir. Başka bir deyişle, ürünün iddia ettiği şey olduğunu ve gerçek bir ürün olduğunu kanıtlaması gerekir. Bu nedenle, tüm Matter cihazlarda, onay anahtarı çiftini ve ilişkili bir sertifika zincirini kapsayan kimlik bilgileri bulunur. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alma aşamasındaki Cihaz, DAC'yi Komisyonerine sunduktan sonra Komisyoner aşağıdakileri onaylar:

  • sertifikalı bir üretici tarafından üretilmişse
  • cihazın orijinal olması
  • Matter uygunluk testini geçmiş olması gerekir.

Üretici, geliştirme aşamasında tam onay süreci olmadan Cihazlarını test edebilir. Test kullanıcılarına, cihazın test aşamasında olduğu, henüz sertifikalandırılmadığı ve piyasaya sürülmediği açıkça bildirilmelidir. Üretici, üretim aşamasına girdiğinde hazırlayıcının ekosistemi tüm onaylama şartlarını zorunlu kılmalıdır.

Onaylama, SSL/TLS için kullanılan yaygın olarak benimsenen sunucu kimlik doğrulama sertifikalarına benzer şekilde, kök sertifika yetkililerinden ve ara sertifikalardan yararlanan bir ortak anahtar altyapısı (PKI) kullanır. Bu sürece Cihaz Onay Sertifikası Zinciri adı verilir.

Cihaz Onaylama PKI'sı

DAC, X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Ortak anahtar altyapısı sertifikası ve Matter tarafından kullanılan sertifika iptal listesi (CRL) içeren X.509 v3, RFC5280 tarafından belirtilir. Şunları içerir:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi (son kullanma tarihi belirsiz olabilir)
  • İmza

Tedarikçi kimliği ve ürün kimliği, DAC konusundaki MatterDACName özellikleridir.

DAC, cihaz başına benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.

DAC'nin imzası, PAA tarafından da verilen Product Attestation Intermediate Certificate (PAI) ile doğrulanır. Ancak bir satıcı, ürün başına (PID'ye özel), ürün grubu başına veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.

Güven zincirinin kökünde, Ürün Onay Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'den gelen imzaları doğrular. Matter güven deposunun birleştirilmiş olduğunu ve komisyon üyeleri tarafından güvenilen PAA sertifikaları kümesinin merkezi bir güvenilen veritabanında (Dağıtılmış Uygunluk Defteri) tutulduğunu unutmayın. Güvenilen kümede PAA girişi için Alliance tarafından yönetilen bir sertifika politikasının karşılanması gerekir.

Matter Onayı Ortak Anahtar Altyapısı
Şekil 1: Matter Attestation Public Key Infrastructure

PAI, aşağıdakileri içeren bir X.509 v3 sertifikasıdır:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi (son kullanma tarihi belirsiz olabilir)
  • İmza

Satıcı kimliği ve ürün kimliği (isteğe bağlı), DAC konusundaki MatterDACName öğesinin özellikleridir.

Son olarak, PAA zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:

  • İmza
  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik

Ek Onay Belgeleri ve Mesajları

Onay sürecinde çeşitli belgeler ve mesajlar yer alır. Aşağıdaki öğeler, işlevleri ve yapıları hakkında kısa bir genel bakış sunar. Aşağıdaki resim, hiyerarşilerini anlamanıza yardımcı olur.

Onay Belgesi Hiyerarşisi
Şekil 2: Onay Belgesi Hiyerarşisi
Belge Açıklama
Sertifika Beyanı (CD) CD, Matter cihazının Matter protokolüne uygunluğunu kanıtlamasına olanak tanır. Matter Sertifika Süreçleri tamamlandığında, Alliance cihaz türü için bir CD oluşturur. Böylece Tedarikçi, CD'yi donanım yazılımına ekleyebilir. CD'de diğer bilgilerin yanı sıra şunlar yer alır:
  • VID
  • PID (bir veya daha fazla)
  • Sunucu Kategorisi Kimliği
  • Müşteri Kategorisi Kimliği
  • Güvenlik düzeyi
  • Güvenlik Bilgileri
  • Sertifika Türü (geliştirme, geçici veya resmi)
  • İmza
Donanım yazılımı bilgileri (isteğe bağlı) Donanım yazılımı bilgileri, CD sürüm numarasını ve donanım yazılımındaki bileşenlerin (ör. işletim sistemi, dosya sistemi, önyükleyici) bir veya daha fazla özetini içerir. Özetler, yazılım bileşenlerinin karma değeri veya yazılım bileşenlerinin imzalı manifestlerinin karma değeri olabilir.

Satıcı, tek tek karma değerlerden oluşan bir dizi yerine, bileşenlerinin yalnızca "karma değerlerin karma değerini" Firmware Bilgileri'ne dahil etmeyi de seçebilir.

Firmware Bilgileri, Onay Süreci'nde isteğe bağlı bir öğedir ve satıcının, Onay anahtar çiftini işleyen güvenli bir önyükleme ortamı olduğunda geçerlidir.
Onay bilgileri Komisyon üyesinden komisyon başkanına gönderilen ileti. Onay Bilgileri, Onay Öğeleri'ni içeren bir TLV ile Onay İmzası'nı birleştirir.
Onay Öğeleri Bu, aşağıdakileri içeren bir TLV'dir:

  • Certificate Declaration
  • Zaman damgası
  • Attestation Nonce
  • Donanım yazılımı bilgileri (isteğe bağlı)
  • Tedarikçiye özel bilgiler (isteğe bağlı)
Onay Yarışması Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) oturum oluşturma sırasında elde edilen ve prosedürü daha da güvenli hale getirmek ve yeniden oynatılan imzaları önlemek için kullanılan bant dışı sorgulama. CASE oturumundan, PASE oturumundan veya devam ettirilen bir CASE oturumundan gelir.
Onay TBS (imzalanacak) Onay öğelerini ve onay sorgusunu içeren mesaj.
Onay İmzası Cihaz tasdik özel anahtarı kullanılarak imzalanmış, tasdik TBS'nin imzası.

Onay Prosedürü

Delege, komisyon alan kişinin onaylanmasından sorumludur. Aşağıdaki adımları uygular:

  1. Komisyon üyesi, rastgele 32 baytlık bir onay nonce'ı oluşturur. Kriptografi jargonunda nonce (bir kez kullanılan sayı), kriptografik prosedürde oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
  2. Komisyon üyesi, nonce'ı DUT'a gönderir ve AttestationInformation'ı ister.
  3. DUT, Onay Bilgilerini oluşturur ve Onay Özel Anahtarı ile imzalar.
  4. Yetkili, DAC ve PAI sertifikasını cihazdan kurtarır ve PAA sertifikasını Matter güven deposundan arar.
  5. Komisyon üyesi, onay bilgilerini doğrular. Doğrulama koşulları:
    • DAC sertifika zinciri, PAI ve PAA'daki iptal kontrolleri de dahil olmak üzere doğrulanmalıdır.
    • DAC'deki VID, PAI'deki VID ile eşleşmelidir.
    • Onay imzası geçerlidir.
    • Cihaz tasdik öğelerindeki nonce, Komisyon Üyesi tarafından sağlanan nonce ile eşleşiyor.
    • Sertifika Beyanı İmzası, Alliance'nın iyi bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerli hale getirilir.
    • Donanım yazılımı bilgileri (varsa ve Komisyon Üyesi tarafından destekleniyorsa) Dağıtılmış Uygunluk Defteri'ndeki bir girişle eşleşir.
    • Ayrıca, Cihaz Temel Bilgileri Kümesi, Sertifika Beyanı ve DAC arasında ek VID/PID doğrulamaları da yapılır.
Önceki
Komisyon
Sonraki
Mesaj dizisi ve IPv6