Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifika Sürecinden geçmiş cihazlardır.
Sertifikalı cihazın devreye alma işlemi sırasında kendisini onaylaması gerekir. Diğer bir deyişle, iddia ettiği ürün olduğunu ve orijinal ürün olduğunu kanıtlaması gerekir. Dolayısıyla, tüm Matter Cihazları, Onay anahtar çiftini ve ilişkili bir sertifika zincirini kapsayan kimlik bilgilerine sahiptir. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alma altındaki cihaz, DAC'yi ilgili temsilciye sunduğunda temsilci şunları onaylar:
- sertifikalı bir üretici tarafından üretildi.
- orijinal bir cihaz.
- Matter uygunluk testini geçti.
Geliştirme aşamasında üretici, tam onay süreci olmadan cihazlarını test edebilir. Test kullanıcıları, Cihazın test aşamasında olduğu ve henüz onaylanıp kullanıma sunulmadığı konusunda açıkça bilgilendirilmelidir. Üretici üretim aşamasına geçtikten sonra, sağlayıcısının ekosistemi tüm onay koşullarını uygulamalıdır.
Onay, SSL/TLS için kullanılan geniş çapta benimsenen sunucu kimlik doğrulaması sertifikalarına benzer şekilde, Kök Sertifika Yetkilileri ve Ara Sertifikalardan yararlanan bir Ortak Anahtar Altyapısı (PKI) kullanır. Bu işleme Cihaz Onayı Sertifika Zinciri denir.
Cihaz Onayı PKI
DAC, bir X.509 sürüm 3 sertifikasıdır. X.509'un ilk sürümü, 1988'de ITU-T tarafından yayınlandı. Matter tarafından kullanılan Ortak Anahtar Altyapı Sertifikası ve Sertifika İptal Listesi'ne (CRL) sahip X.509 v3, RFC5280 tarafından belirlenir. Şunları içerir:
- Ortak Anahtar
- Düzenleyen
- Konu
- Sertifika Seri Numarası
- Sona erme tarihinin belirsiz olabildiği geçerlilik
- İmza
Tedarikçi kimliği ve ürün kimliği, DAC konusundaki MatterDACName özellikleridir.
DAC her cihaz için benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.
DAC'nin imzası, yine bir PAA tarafından da verilen Ürün Onayı Ara Sertifikası (PAI) için doğrulanır. Bununla birlikte tedarikçi, ürün (PID'ye özel), ürün grubu veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.
Güven zincirinin kökünde, Ürün Onay Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'den gelen imzaları doğrular. Matter güven deposunun birleşik olduğunu ve komisyon mercilerinin güvendiği PAA sertifika grubunun merkezi bir güvenilir veritabanında (Dağıtılmış Uygunluk Defteri) tutulduğunu unutmayın. PAA'nın güvenilir gruba girebilmesi için Alliance tarafından yönetilen bir sertifika politikasının karşılanması gerekir.
PAI aynı zamanda aşağıdakileri içeren bir X.509 v3 sertifikasıdır:
- Ortak Anahtar
- Düzenleyen
- Konu
- Sertifika Seri Numarası
- Sona erme tarihinin belirsiz olabildiği geçerlilik
- İmza
Tedarikçi kimliği ve ürün kimliği (isteğe bağlı olarak), DAC konusundaki MatterDACName özellikleridir.
Son olarak PAA, zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:
- İmza
- Ortak Anahtar
- Düzenleyen
- Konu
- Sertifika Seri Numarası
- Geçerlilik
Ek Onay Belgeleri ve Mesajları
Onay sürecinde birçok belge ve mesaj bulunur. Aşağıda, işlevlerine ve yapısına kısa bir genel bakış verilmiştir. Aşağıdaki resim, bu hiyerarşilerin anlaşılmasına yardımcı olur.
| Doküman | Açıklama |
|---|---|
| Sertifika Beyanı (CD) | CD, Matter cihazının Matter protokolüyle uyumlu olduğunu kanıtlamasına olanak tanır.
Matter
Sertifika Süreçleri tamamlandığında
Alliance, Tedarikçi'nin bu cihazı donanım yazılımına dahil
etebilmesi için
cihaz türü için bir CD oluşturur. CD diğer bilgilerin yanı sıra
şu bilgileri içerir:
|
| Donanım Yazılımı Bilgileri (isteğe bağlı) | Donanım Yazılımı Bilgileri, CD Sürüm Numarasını ve donanım yazılımındaki işletim sistemi, dosya sistemi, bootloader gibi bir veya daha fazla bileşen özetini içerir. Özetler, yazılım bileşenlerinin karması veya yazılım bileşenlerinin imzalı manifestlerinin karması olabilir. Sağlayıcı da Donanım Yazılımı Bilgilerine, tek tek karmalardan oluşan bir dizi yerine, yalnızca Donanım Yazılımı Bilgilerine "karma karmaları" eklemeyi seçebilir. Donanım Yazılımı Bilgi, test ortamında anahtar uygulama işleminin onaylandığı ortamda yürütülen isteğe bağlı bir öğedir. |
| Onay Bilgileri | Komisyon Delegesi'nin gönderdiği mesaj. Onay Bilgileri, Onay Öğeleri ile Onay İmzası'nı içeren bir TLV'yi birleştirir. |
| Onay Öğeleri | Bu, şunları içeren bir TLV'dir:
|
| Onay Görevi | Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) oturumu sırasında türetilen bant dışı görev, süreci daha da güvenli hale getirmek ve imzaların tekrarlanmasını önlemek için kullanılır. CASE oturumu, PASE oturum veya devam ettirilen CASE oturumundan gelir. |
| Onay TBS (imzalanacak) | Onay Öğeleri ve Onay Görevi'ni içeren mesaj. |
| Onay İmzası | Cihaz Onayı Özel Anahtarı kullanılarak imzalanan Onay TBS'nin imzası. |
Onay Prosedürü
Komisyon temsilcisinin onayından sorumludur. Aşağıdaki adımları yürütür:
- Yetkili, 32 baytlık rastgele bir onay tek seferlik rastgele sayısı oluşturur. Kriptografi jargonunda, tek seferlik bir sayı (bir kez kullanılan sayı), kriptografik prosedürde oluşturulmuş rastgele bir sayıdır ve bir kez kullanılması amaçlanır.
- Yetkili, tek seferlik rastgele sayıyı DUT'ye gönderir ve onay bilgilerini ister.
- DUT, Onay Bilgileri'ni oluşturur ve Onay Özel Anahtarı'yla imzalar.
- Yetkili, Cihazdan DAC ve PAI sertifikasını kurtarır ve Matter güven deposunda PAA sertifikasını arar.
- Yetkili, onay bilgilerini doğrular. Doğrulama koşulları şunlardır:
- PAI ve PAA'daki iptal kontrolleri dahil olmak üzere DAC sertifika zinciri doğrulanmalıdır.
- DAC'deki VID, PAI üzerindeki VID ile eşleşir.
- Onay İmzası geçerli.
- Cihaz Onayı Öğelerindeki Nonce, Komisyoncu tarafından sağlanan tek seferlik rastgele sayı ile eşleşir.
- Sertifika Beyan İmzası, Alliance ürününün iyi bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerli olur.
- Donanım Yazılımı Bilgileri (mevcutsa ve Yetkili tarafından destekleniyorsa), Dağıtılmış Uygunluk Defterindeki bir girişle eşleşir.
- Ek VID/PID doğrulamaları da Cihaz Temel Bilgi Kümesi, Sertifika Beyanı ve DAC arasında gerçekleştirilir.