Onay

Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifikasyon Sürecinden geçen Cihazlardır.

Sertifikalı Cihazın kullanıma sunma süreci sırasında kendini onaylaması gerekir. Diğer bir deyişle, ürünün iddia ettiği ürün olduğunu ve orijinal bir ürün olduğunu kanıtlaması gerekir. Bu nedenle tüm Matter Cihazları, Onay anahtar çiftini ve ilişkili bir sertifika zincirini içeren kimlik bilgilerine sahiptir. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alınan cihaz, DAC'yi yetkiliye sunduğunda bu yetkili şu bilgileri onaylar:

  • sertifikalı bir üretici tarafından üretilir.
  • orijinal olması gerekiyor.
  • Matter uygunluk testini geçti.

Geliştirme aşamasında üretici, tam Onay süreci olmadan Cihazlarını test edebilir. Test kullanıcılarına, Cihazın test aşamasında olduğu ve henüz onaylanmamış ve kullanıma sunulmadığı konusunda açıkça bilgi verilmesi gerekir. Bir üretici üretim aşamasına girdikten sonra, tedarik sağlayıcısının ekosistemi tüm Onay gerekliliklerini uygulamalıdır.

Onay, SSL/TLS için kullanılan yaygın şekilde kullanılan sunucu kimlik doğrulaması sertifikalarına benzer şekilde, Kök Sertifika Yetkilileri ve Ara Sertifikalardan yararlanan bir Ortak Anahtar Altyapısı (PKI) kullanır. Bu sürece Cihaz Onay Sertifika Zinciri denir.

Cihaz Onayı PKI

DAC, bir X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Matter tarafından kullanılan Ortak Anahtar Altyapı Sertifikası ve Sertifika İptal Listesi'ne (CRL) sahip X.509 v3, RFC5280 tarafından belirtilmiştir. Şunları içerir:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik (geçerlilik bitiş tarihinin belirsiz olabileceği)
  • İmza

Tedarikçi firma kimliği ve Ürün kimliği, DAC konusundaki MatterDACName özellikleridir.

DAC, her cihaz için benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.

DAC'nin imzası, PAA tarafından da verilen Ürün Onayı Ara Sertifikası'na (PAI) göre doğrulanır. Ancak bir tedarikçi firma ürün başına (PID'ye özel), ürün grubu veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.

Güven zincirinin kök dizininde, Ürün Onay Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'daki imzaları doğrular. Matter güven deposunun federe olduğunu ve komisyonların güvendiği PAA sertifikaları grubunun, merkezi bir güvenilir veritabanında (Dağıtılmış Uyumluluk Hesabı) saklandığını unutmayın. Güvenilir kümeye PAA girebilmek için Alliance tarafından yönetilen bir sertifika politikasına uyulması gerekir.

Matter Onayı Ortak Anahtar Altyapısı
Şekil 1: Matter Onayı Ortak Anahtar Altyapısı

PAI, aynı zamanda aşağıdakileri içeren bir X.509 v3 sertifikasıdır:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik (geçerlilik bitiş tarihinin belirsiz olabileceği)
  • İmza

Tedarikçi firma kimliği ve ürün kimliği (isteğe bağlı olarak), DAC konusundaki MatterDACName özellikleridir.

Son olarak PAA, zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:

  • İmza
  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik

Ek Onay Dokümanları ve İletileri

Onay işleminde birkaç doküman ve mesaj bulunur. Aşağıdaki öğeler, işlevlerine ve bileşimlerine kısa bir genel bakış niteliğindedir. Aşağıdaki resim, hiyerarşilerini anlamaya yardımcı olmaktadır.

Onay Belgesi Hiyerarşisi
Şekil 2: Onay Belgesi Hiyerarşisi
Doküman Açıklama
Sertifika Beyanı (CD) CD, Matter cihazının Matter protokolüne uyduğunu kanıtlamasını sağlar. MatterSertifikasyon İşlemleri tamamlandığında Alliance, cihaz türü için bir CD oluşturur. Böylece tedarikçi firma bu CD'yi donanım yazılımına ekleyebilir. CD diğer bilgilerin yanı sıra şunları içerir:
  • VID
  • PID (bir veya daha fazla)
  • Sunucu Kategorisi Kimliği
  • Müşteri Kategorisi Kimliği
  • Güvenlik Düzeyi
  • Güvenlik Bilgileri
  • Sertifika Türü (geliştirme, geçici veya resmi)
  • İmza
Donanım Yazılımı Bilgileri (isteğe bağlı) Donanım Yazılımı Bilgileri, CD Sürüm Numarasını ve donanım yazılımındaki işletim sistemi, dosya sistemi, bootloader gibi bir veya daha fazla bileşenin özetini içerir. Özetler, yazılım bileşenlerinin bir karması veya yazılım bileşenlerinin imzalı manifestlerinin karması olabilir.

Tedarikçi firma, bağımsız karmalar dizisi yerine Donanım Yazılımı Bilgileri'ne yalnızca bileşenlerinin "karmalarını" eklemeyi tercih edebilir.

Donanım yazılımı bilgileri, onay işlemi güvenli bir anahtar işleminde tedarikçi çifti tarafından gerçekleştirilen isteğe bağlı
bir öğedir.
Onay Bilgileri Komisyon Kurulu Başkanı'na gönderdiği mesaj. Onay Bilgileri, Onay Öğelerini içeren bir TLV'yi ve Onay İmzası'nı birleştirir.
Onay Öğeleri Bu, aşağıdakileri içeren bir TLV'dir:

  • Sertifika Beyanı
  • Zaman damgası
  • Onay İşlemsiz
  • Donanım Yazılımı Bilgileri (isteğe bağlı)
  • Tedarikçiye Özel bilgiler (isteğe bağlı)
Onay Yarışması Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) oturumu kurulurken elde edilen bant dışı meydan okuması, prosedürü daha da güvenli hale getirmek ve tekrar oynatılan imzalardan kaçınmak için kullanılır. CASE oturumu, PASE oturumu veya devam ettirilen CASE oturumundan gelir.
Onay TBS (imzalanacak) Onay Öğelerini ve Onay Yarışması'nı içeren mesaj.
Onay İmzası Cihaz Onayı Özel Anahtarı kullanılarak imzalanmış Onay TBS'sinin imzası.

Onay Prosedürü

Müdür, komisyon üyesini onaylamaktan sorumludur. Aşağıdaki adımları yürütür:

  1. Yetkili, rastgele 32 baytlık onay tek seferlik rastgele sayısı oluşturur. Kriptografi jargonunda tek seferlik rastgele bir sayı (bir kez kullanılan sayı), kriptografi prosedüründe oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
  2. Yetkili, tek seferlik rastgele sayıyı DUT'a gönderir ve Onay Bilgilerini ister.
  3. DUT, Onay Bilgileri'ni oluşturur ve Onay Özel Anahtarı ile imzalar.
  4. Yetkili, cihazdan DAC ve PAI sertifikasını kurtarır ve Matter güven deposundan PAA sertifikasını arar.
  5. Yetkili, onay bilgilerini doğrular. Doğrulama koşulları şunlardır:
    • PAI ve PAA'daki iptal kontrolleri dahil olmak üzere DAC sertifika zinciri doğrulanmalıdır.
    • DAC üzerindeki VID, PAI üzerindeki VID ile eşleşir.
    • Onay İmzası geçerlidir.
    • Cihaz Onay Öğelerindeki Nonce, Komisyoncu tarafından sağlanan tek seferlik rastgele sayıyla eşleşiyor.
    • Sertifika Beyanı İmzası, Alliance ürününün bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerlidir.
    • Donanım Yazılımı Bilgileri (mevcutsa ve Yetkili tarafından destekleniyorsa), Dağıtılmış Uyumluluk Defteri'ndeki bir girişle eşleşir.
    • Cihaz Temel Bilgi Kümesi, Sertifika Beyanı ve DAC arasında ek VID/PID doğrulamaları da gerçekleşir.
Önceki
Komisyon
Sonraki
Mesaj dizisi ve IPv6