Atest

Certyfikowane urządzenia to urządzenia, które przeszły Connectivity Standards Alliance (Alliance) proces certyfikacji Matter.

W trakcie procesu uruchamiania certyfikowane urządzenie musi potwierdzać swoje działanie. Innymi słowy, musi udowodnić, że jest tym, czym się podaje, i że jest to produkt oryginalny. Oznacza to, że wszystkie urządzenia z Matter mają dane uwierzytelniające, które obejmują parę kluczy atestu i powiązany łańcuch certyfikatów. Elementem tego łańcucha jest certyfikat atestu urządzeń (DAC). Gdy urządzenie oddane do użytku przedstawi komisarza DAC komisarzowi, ten podmiot potwierdzi, że:

  • został wyprodukowany przez certyfikowanego producenta.
  • to oryginalne urządzenie.
  • przeszedł Matter testów zgodności.

Na etapie programowania producent może testować swoje urządzenia bez pełnego procesu atestu. Testerzy powinni zostać wyraźnie poinformowani, że Urządzenie jest w trakcie testów, nie ma jeszcze certyfikatu ani nie zostało wprowadzone na rynek. Gdy producent rozpocznie fazę produkcyjną, ekosystem komponentu udostępniającego powinien egzekwować wszystkie wymagania dotyczące atestów.

Atest używa infrastruktury klucza publicznego (PKI), która wykorzystuje główne urzędy certyfikacji i certyfikaty pośrednie w sposób podobny do powszechnie stosowanych certyfikatów uwierzytelniania serwera używanych na potrzeby SSL/TLS. Ten proces jest nazywany łańcuchem certyfikatów atestu urządzeń.

Infrastruktura klucza publicznego atestu urządzenia

DAC jest certyfikatem X.509 v3. Pierwsza wersja X.509 została opublikowana w 1988 roku przez ITU-T. Certyfikat X.509 w wersji 3 z certyfikatem infrastruktury klucza publicznego oraz listą odwołanych certyfikatów (CRL) używany przez Matter jest określony w dokumencie RFC5280. Zawiera ona:

  • Klucz publiczny
  • Wystawca
  • Podmiot
  • Numer seryjny certyfikatu
  • ważność, której ważność może być nieokreślona;
  • Podpis

Identyfikator dostawcy i identyfikator produktu to atrybuty elementu MatterDACName w podmiocie DAC.

Kod DAC jest unikalny dla każdego urządzenia i powiązany z unikalną parą kluczy atestu w usłudze. Jest on wystawiany przez urząd certyfikacji powiązany z producentem urządzenia.

Podpis DAC jest weryfikowany za pomocą certyfikatu pośredniego atestu produktu (PAI), który jest również wystawiany przez PAA. Dostawca może jednak utworzyć jeden materiał PAI na produkt (właściwy dla PID), grupę produktów lub dla wszystkich swoich produktów.

U podstaw łańcucha zaufania służy klucz publiczny urzędu certyfikacji urzędu certyfikacji (CA) Product Attestation Authority (PAA) weryfikuje podpisy z PAI. Pamiętaj, że magazyn zaufania Matter jest sfederowany, a zestaw certyfikatów PAA zaufanych przez komisarza jest utrzymywany w centralnej, zaufanej bazie danych (księga zgodności rozproszonej). Wprowadzenie PAA w zbiorze zaufanych wymaga spełnienia wymagań dotyczących certyfikatu zarządzanej przez Alliance.

Infrastruktura klucza publicznego poświadczania spraw
Rysunek 1. Infrastruktura klucza publicznego poświadczania spraw

PAI to także certyfikat X.509 w wersji 3, który zawiera:

  • Klucz publiczny
  • Wystawca
  • Podmiot
  • Numer seryjny certyfikatu
  • ważność, której ważność może być nieokreślona;
  • Podpis

Identyfikator dostawcy i identyfikator produktu (opcjonalnie) to atrybuty elementu MatterDACName w podmiocie DAC.

I wreszcie PAA to certyfikat główny w łańcuchu, który jest samodzielnie podpisany. Obejmują one:

  • Podpis
  • Klucz publiczny
  • Wystawca
  • Podmiot
  • Numer seryjny certyfikatu
  • Poprawność

Dodatkowe dokumenty i wiadomości atestowe

Proces poświadczania składa się z kilku dokumentów i komunikatów. Poniżej przedstawiliśmy krótkie omówienie ich funkcji i struktury. Poniższy obraz pokazuje ich hierarchię.

Hierarchia dokumentów atestów
Rys. 2. Hierarchia dokumentów atestu
Dokument Opis
Deklaracja certyfikacyjna CD umożliwia urządzeniu Matter potwierdzenie zgodności z protokołem Matter. Po zakończeniu procesu certyfikacji Matter Alliance tworzy dysk CD dla typu urządzenia, aby dostawca mógł dołączyć go do oprogramowania układowego. Dysk CD zawiera między innymi następujące informacje:
  • Identyfikator VID
  • PID (jeden lub więcej)
  • Identyfikator kategorii serwera
  • Identyfikator kategorii klienta
  • Poziom bezpieczeństwa
  • Informacje o bezpieczeństwie
  • Typ certyfikatu (rozwojowa, tymczasowy lub oficjalny)
  • Podpis
Informacje o oprogramowaniu (opcjonalnie) Informacje o oprogramowaniu zawierają numer wersji dysku CD i co najmniej jeden skrót składników oprogramowania, takich jak system operacyjny, system plików czy program rozruchowy. Skrót może być albo skrótem komponentów oprogramowania, albo haszem podpisanych plików manifestu.

Dostawca może też uwzględnić w informacjach o oprogramowaniu układowym tylko „szyfry haszów” jego komponentów, a nie tablicę poszczególnych haszów.

Oprogramowanie firm Atbo Information to opcjonalny element, w przypadku, gdy w procesie atestacyjnym w środowisku atestowym jest opcjonalny element, w przypadku, gdy w środowisku atestacyjnym używany jest opcjonalny element.
Informacje o atestach Wiadomość wysłana przez komisarza do komisarza. Informacje o atestach łączą plik TLV zawierający elementy atestu i podpis atestu.
Elementy atestu To jest TLV zawierający:

  • Deklaracja certyfikatu
  • Sygnatura czasowa
  • Atestacja Jednorazowa
  • Informacje o oprogramowaniu (opcjonalnie)
  • Informacje o dostawcy (opcjonalnie)
Wyzwanie dotyczące atestu Wyzwanie poza zakresem jest wywoływane podczas rozpoczynania sesji Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) i wykorzystywane do dalszego zabezpieczania procedury i unikania ponownego odtwarzania podpisów. Pochodzi z sesji CASE, PASE lub wznawianej sesji CASE.
Atest – do podpisania Komunikat zawierający elementy atestu i test zabezpieczający atest.
Podpis atestu Podpis atestu TBS podpisany za pomocą prywatnego klucza atestu urządzenia.

Procedura atestu

Komisarz jest odpowiedzialny za poświadczanie komisarza. Wykonuje te czynności:

  1. Komisarz generuje losową 32-bajtową liczbę jednorazową atestu. W żargonie kryptograficznym liczba jednorazowa (używana tylko raz) to losowa liczba wygenerowana w procedurze kryptograficznej, która ma zostać użyta tylko raz.
  2. Komisarz wysyła wartość jednorazową do DUT i żąda informacji o atestacji.
  3. DUT generuje informacje o atestach i podpisuje je kluczem prywatnym atestu.
  4. Komisarz odzyskuje certyfikat DAC i PAI z urządzenia oraz wyszukuje certyfikat PAA w magazynie zaufania Matter.
  5. Komisarz weryfikuje informacje dotyczące atestu. Warunki weryfikacji:
    • Łańcuch certyfikatów DAC musi przejść weryfikację, w tym kontrole unieważnienia PAI i PAA.
    • Identyfikator VID na DAC jest taki sam jak w urządzeniu PAI.
    • Podpis atestu jest prawidłowy.
    • Liczba jednorazowa w elementach atestu urządzenia jest zgodna z wartością jednorazową podaną przez komisarza.
    • Podpis deklaracji certyfikatu jest prawidłowy przy użyciu jednego z dobrze znanych kluczy podpisywania deklaracji certyfikacyjnej Alliance.
    • Informacje o oprogramowaniu (jeśli są dostępne i obsługiwane przez komisarza) pasują do wpisu w księdze rozproszonej zgodności.
    • Między klastrem podstawowych informacji o urządzeniu, Deklaracja certyfikacyjna a DAC mają miejsce dodatkowe weryfikacje VID/PID.
Wstecz
Prowizja
Dalej
Wątek i IPv6