הצהרה

מכשירים שקיבלו אישור הם מכשירים שעברו את תהליך האישור Connectivity Standards Alliance (Alliance) Matter.

בתהליך ההזמנה, מכשיר שקיבל אישור צריך לאמת את עצמו. במילים אחרות, הוא צריך להוכיח שהוא אכן מה שהוא טוען ושהוא מוצר מקורי. לכן, לכל מכשירי Matter יש פרטי כניסה שכוללים את זוג המפתחות לאימות ושרשרת אישורים משויכת. אישור אימות המכשיר (DAC) הוא חלק מהשרשרת הזו. לאחר שהמכשיר בתהליך 'הזמנה' מציג את DAC לנציב שלו, המכשיר השני יאשר:

  • יוצר על ידי יצרן מוסמך.
  • שהוא מכשיר מקורי.
  • הוא עבר Matter בדיקות תאימות.

במהלך שלב הפיתוח, היצרן יכול לבדוק את המכשירים שלו ללא תהליך האימות המלא. צריך להודיע לבודקים באופן מפורש שהמכשיר נמצא בבדיקה ושהוא עדיין לא אושר ולא הופעל. אחרי שהיצרן נכנס לשלב הייצור, הסביבה העסקית של הגורם האחראי צריכה לאכוף את כל דרישות האימות.

האימות משתמש בתשתית של מפתח ציבורי (PKI) שמשתמשת ברשויות אישורי Root ובאישורי ביניים, באופן דומה לאישורי אימות השרת שנעשה בהם שימוש נרחב, שמשמשים ל-SSL/TLS. התהליך הזה נקרא 'שרשרת אישורי האימות של המכשירים'.

PKI אימות של מכשיר

DAC הוא אישור X.509 v3. הגרסה הראשונה של X.509 פורסמה ב-1988 על ידי ITU-T. X.509 v3 עם אישור תשתית של מפתח ציבורי ורשימת האישורים שבוטלו (CRL) שבשימוש של Matter מצוינת על-ידי RFC5280. היא מכילה:

  • מפתח ציבורי
  • הונפק על ידי:
  • Subject
  • מספר סידורי של האישור
  • תוקף, שבו תפוגת תוקף יכולה להיות סופית
  • חתימה

מזהה הספק ומזהה המוצר הם מאפיינים של MatterDACName בנושא של ה-DAC.

ה-DAC הוא ייחודי לכל מכשיר ומשויך לזוג מפתחות האימות הייחודי במוצר. הוא מונפק על ידי רשות אישורים שמשויכת ליצרן המכשיר.

החתימה של ה-DAC מאומתת בהתאם לאישור ביניים לאימות מוצרים (PAI), שמונפק גם על ידי PAA. עם זאת, הספק יכול לבחור ליצור PAI אחד לכל מוצר (ספציפי ל-PID), לקבוצת מוצרים או לכל המוצרים שלו.

ברמה הבסיסית (root) של שרשרת האמון, המפתח הציבורי של Product Attestation Authority (PAA) Certificate Authority (CA) מאמת חתימות מה-PAI. שימו לב שמאגר האמון של Matter מאוחד, והקבוצה של אישורי ה-PAA שנחשבים למהימנים על ידי הנציבים נשמרת במסד נתונים מרכזי ומהימן (מדריך התאימות המבוזר). רשומה של PAA בקבוצה המהימנה מחייבת עמידה במדיניות אישורים שמנוהלת על ידי Alliance.

תשתית של מפתח ציבורי לאימות עניינים
איור 1: תשתית של מפתח ציבורי לאימות עניינים

PAI הוא גם אישור X.509 v3 שכולל:

  • מפתח ציבורי
  • הונפק על ידי:
  • Subject
  • מספר סידורי של האישור
  • תוקף, שבו תפוגת תוקף יכולה להיות סופית
  • חתימה

מזהה הספק ומזהה המוצר (אופציונלי) הם מאפיינים של MatterDACName בנושא של ה-DAC.

לבסוף, ה-PAA הוא האישור הבסיסי בשרשרת, והוא נחתם בחתימה עצמית. היא כוללת:

  • חתימה
  • מפתח ציבורי
  • הונפק על ידי:
  • Subject
  • מספר סידורי של האישור
  • תוקף

הודעות ומסמכי אימות נוספים

תהליך האימות כולל כמה מסמכים והודעות. הפריטים הבאים הם סקירה כללית קצרה של התפקיד וההרכב שלהם. התמונה הבאה עוזרת להבין את ההיררכיה שלהם.

היררכיה של מסמכי אימות (attestation)
איור 2: היררכיה של מסמכי אימות
מסמך תיאור
הצהרת אישור (CD) ה-CD מאפשר למכשיר Matter להוכיח שהוא תואם לפרוטוקול Matter. בסיום Matterתהליך האישור, Alliance יוצר תקליטור לסוג המכשיר כדי שהספק יכלול אותו בקושחה. התקליטור כולל פרטים נוספים:
  • מזהה של מכשיר וידאו
  • PID (אחד או יותר)
  • מזהה קטגוריית שרת
  • מזהה קטגוריית לקוח
  • רמת אבטחה
  • מידע בנושא אבטחה
  • סוג האישור (פיתוח, זמני או רשמי)
  • חתימה
מידע על הקושחה (אופציונלי) המידע בקטע קושחה מכיל את מספר גרסת ה-CD ותקציר אחד או יותר של הרכיבים בקושחה, כמו מערכת ההפעלה, מערכת הקבצים ותוכנת האתחול. התקצירים יכולים להיות גיבוב (hash) של רכיבי התוכנה או גיבוב של המניפסטים החתומים של רכיבי התוכנה.

הספק יכול גם לבחור לכלול בפרטי הקושחה רק את ה-hash-of-hashes של הרכיבים שלו, במקום מערך של גיבובים ספציפיים.

פרטי הקושחה כוללים רכיב אימות אופציונלי שבו יש רכיב אימות (attestation).
פרטי האימות (attestation) הודעה שנשלחה מהנציבות אל הממונה. פרטי האימות (attestation) משלבים בין TLV שמכיל את רכיבי האימות וחתימת האימות.
רכיבי אימות (attestation) זה קובץ TLV שכולל:

  • הצהרת אישור
  • חותמת זמן
  • אימות (attestation) Nonce
  • מידע על הקושחה (אופציונלי)
  • מידע ספציפי לספק (אופציונלי)
אתגר האימות (attestation) אתגר מחוץ למסגרת שנגזר במהלך הקמת סשן Certificate Authenticated Session Establishment (CASE)/Passcode Authenticated Session Establishment (PASE) ומשמש לאבטחה נוספת של התהליך ולמניעת חתימות חוזרות. מגיע מסשן CASE, מסשן PASE או מסשן CASE שמתחדש.
TBS של אימות (לחתימה) הודעה שמכילה את רכיבי האימות ואת אתגר האימות.
חתימת אימות (attestation) החתימה של ה-TBS לאימות (attestation), שחתומה באמצעות המפתח הפרטי לאימות מכשירים.

תהליך האימות (attestation)

הנציב אחראי לבדוק את הנציבות. היא מבצעת את השלבים הבאים:

  1. הנציב יוצר קוד אימות (attestation) אקראי בגודל 32 בייטים. בז'רגון קריפטוגרפיה, צופן חד-פעמי (מספר שמשתמשים בו פעם אחת) הוא מספר אקראי שנוצר בתהליך הקריפטוגרפי ומיועד לשימוש פעם אחת.
  2. הנציב שולח את הצופן החד-פעמי (nonce) ל-DUT ומבקש את פרטי האימות.
  3. DUT יוצר את פרטי האימות וחותם עליהם באמצעות המפתח הפרטי לאימות.
  4. הנציב משחזר את אישור ה-DAC ואישור ה-PAI מהמכשיר, ומחפש את אישור ה-PAA ממאגר האמון של Matter.
  5. הנציב מאמת את פרטי האימות (attestation). אלה התנאים לאימות:
    • צריך לאמת את שרשרת האישורים של DAC, כולל בדיקות ביטול ב-PAI וב-PAA.
    • VID ב-DAC תואם ל-VID שב-PAI.
    • חתימת האימות תקינה.
    • הצופן החד-פעמי (nonce) ברכיבי האימות של המכשירים תואם חד-פעמי (nonce) שסופק על ידי הנציב.
    • החתימה על הצהרת אישור תקפה באמצעות אחד ממפתחות החתימה המוכרים של הצהרת האישור של Alliance.
    • פרטי הקושחה (אם הם קיימים ונתמכים על ידי הנציב) תואמים לרשומה ביומן התאימות המבוזר.
    • אימותים נוספים של VID/PID מתרחשים גם בין אשכול המידע הבסיסי של המכשיר, הצהרת האישורים וה-DAC.
הקודם
עמלה
הבא
פרוטוקול Thread ו-IPv6