Onay

Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifikasyon Süreci'nden geçmiş Cihazlardır.

Devreye alma işlemi sırasında, Sertifikalı Cihaz'ın kendisini onaylaması gerekir. Başka bir deyişle, ürünün iddia ettiği şey olduğunu ve gerçek bir ürün olduğunu kanıtlaması gerekir. Bu nedenle, tüm Matter cihazlarda, onay anahtarı çiftini ve ilişkili bir sertifika zincirini kapsayan kimlik bilgileri bulunur. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alma aşamasındaki Cihaz, DAC'yi Komisyon Üyesi'ne sunduktan sonra Komisyon Üyesi aşağıdakileri onaylar:

  • sertifikalı bir üretici tarafından üretilmişse
  • cihazın orijinal olduğundan
  • Matter uygunluk testlerini geçmiş olması gerekir.

Üretici, geliştirme aşamasında tam onay süreci olmadan Cihazlarını test edebilir. Test kullanıcılarına, cihazın test aşamasında olduğu, henüz sertifika almadığı ve piyasaya sürülmediği açıkça bildirilmelidir. Üretici, üretim aşamasına girdiğinde hazırlayıcının ekosistemi tüm onaylama koşullarını zorunlu kılmalıdır.

Onaylama, SSL/TLS için kullanılan yaygın olarak benimsenen sunucu kimlik doğrulama sertifikalarına benzer şekilde, kök sertifika yetkililerini ve ara sertifikaları kullanan bir ortak anahtar altyapısı (PKI) kullanır. Bu sürece Cihaz Onay Sertifikası Zinciri adı verilir.

Cihaz Onaylama PKI'sı

DAC, X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Ortak anahtar altyapısı sertifikası ve Matter tarafından kullanılan sertifika iptal listesi (CRL) içeren X.509 v3, RFC5280 tarafından belirtilir. Şunları içerir:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi, son kullanma tarihinin belirsiz olabileceği durumlarda
  • İmza

Tedarikçi kimliği ve ürün kimliği, DAC konusundaki MatterDACName özellikleridir.

DAC, cihaz başına benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.

DAC'nin imzası, bir PAA tarafından da verilen Product Attestation Intermediate Certificate (PAI) ile doğrulanır. Ancak bir satıcı, ürün başına (PID'ye özel), ürün grubu başına veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.

Güven zincirinin kökünde, Ürün Onay Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'den gelen imzaları doğrular. Matter Güven deposunun birleştirilmiş olduğunu ve komisyon üyeleri tarafından güvenilen PAA sertifikaları kümesinin merkezi bir güvenilen veritabanında (Dağıtılmış Uygunluk Defteri) tutulduğunu unutmayın. Güvenilen kümede PAA girişi için Alliance tarafından yönetilen bir sertifika politikasının karşılanması gerekir.

Matter Onay Ortak Anahtar Altyapısı
Şekil 1: Matter Onaylama İçin Genel Anahtar Altyapısı

PAI, aşağıdakileri içeren bir X.509 v3 sertifikasıdır:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi, son kullanma tarihinin belirsiz olabileceği durumlarda
  • İmza

Satıcı kimliği ve ürün kimliği (isteğe bağlı), DAC konusundaki MatterDACName öğesinin özellikleridir.

Son olarak, PAA zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:

  • İmza
  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik

Ek Onay Belgeleri ve Mesajları

Onay sürecinde çeşitli belgeler ve mesajlar yer alır. Aşağıdaki öğeler, işlevleri ve yapıları hakkında kısa bir genel bakış sunar. Aşağıdaki resim, hiyerarşilerini anlamanıza yardımcı olur.

Onay Belgesi Hiyerarşisi
Şekil 2: Onay Belgesi Hiyerarşisi
Belge Açıklama
Sertifika Beyanı (CD) CD, Matter cihazının Matter protokolüne uygunluğunu kanıtlamasına olanak tanır. Matter AllianceSertifika Süreçleri tamamlandığında, Alliance cihaz türü için bir CD oluşturur. Böylece Tedarikçi, bunu donanım yazılımına ekleyebilir. CD'de diğer bilgilerin yanı sıra şunlar yer alır:
  • VID
  • PID (bir veya daha fazla)
  • Sunucu Kategorisi Kimliği
  • İstemci Kategorisi Kimliği
  • Güvenlik düzeyi
  • Güvenlik Bilgileri
  • Sertifika Türü (geliştirme, geçici veya resmi)
  • İmza
Donanım yazılımı bilgileri (isteğe bağlı) Donanım yazılımı bilgileri, CD sürüm numarasını ve donanım yazılımındaki bileşenlerin (ör. işletim sistemi, dosya sistemi, önyükleyici) bir veya daha fazla özetini içerir. Özetler, yazılım bileşenlerinin karma değeri veya yazılım bileşenlerinin imzalı manifestlerinin karma değeri olabilir.

Satıcı, tek tek karma değerlerden oluşan bir dizi yerine, bileşenlerinin yalnızca "karma değerlerin karma değerini" Firmware Bilgileri'ne dahil etmeyi de seçebilir.

Firmware Bilgileri, Onay Süreci'nde isteğe bağlı bir öğedir ve satıcının, Onay anahtar çiftini işleyen güvenli bir önyükleme ortamı olduğunda geçerlidir.
Onay bilgileri Komisyon üyesinden komisyon başkanına gönderilen ileti. Onay Bilgileri, Onay Öğeleri'ni içeren bir TLV ile Onay İmzası'nı birleştirir.
Onay Öğeleri Bu, aşağıdakileri içeren bir TLV'dir:

  • Certificate Declaration
  • Zaman damgası
  • Attestation Nonce
  • Donanım yazılımı bilgileri (isteğe bağlı)
  • Tedarikçiye özel bilgiler (isteğe bağlı)
Onay Yarışması Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) oturum oluşturma sırasında elde edilen ve prosedürü daha da güvenli hale getirmek ve yeniden oynatılan imzaları önlemek için kullanılan bant dışı sorgulama. CASE Oturumdan, PASE oturumdan veya devam ettirilen bir CASE oturumdan gelir.
Onay TBS (imzalanacak) Onay öğelerini ve onay sorgusunu içeren mesaj.
Onay İmzası Cihaz Onaylama Özel Anahtarı kullanılarak imzalanmış, Onaylama TBS'nin imzası.

Onay Prosedürü

Delege, komisyon alan tarafın onaylanmasından sorumludur. Aşağıdaki adımları uygular:

  1. Komisyon üyesi, rastgele 32 baytlık bir onay nonce'ı oluşturur. Kriptografi jargonunda nonce (bir kez kullanılan sayı), kriptografik prosedürde oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
  2. Yetkili, nonce'ı DUT'a gönderir ve AttestationInformation'ı ister.
  3. DUT, Onay Bilgilerini oluşturur ve Onay Özel Anahtarı ile imzalar.
  4. Yetkili, DAC ve PAI sertifikasını cihazdan kurtarır ve PAA sertifikasını Matter güven deposundan arar.
  5. Komisyon üyesi, onay bilgilerini doğrular. Doğrulama koşulları:
    • PAI ve PAA'daki iptal kontrolleri de dahil olmak üzere DAC sertifika zinciri doğrulanmalıdır.
    • DAC'deki VID, PAI'deki VID ile eşleşmelidir.
    • Onay imzası geçerlidir.
    • Cihaz doğrulama öğelerindeki nonce, Komisyon Üyesi tarafından sağlanan nonce ile eşleşiyor.
    • Sertifika Beyanı İmzası, Alliance'nın iyi bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerli hale getirilir.
    • Donanım yazılımı bilgileri (varsa ve Komisyon Üyesi tarafından destekleniyorsa) Dağıtılmış Uygunluk Defteri'ndeki bir girişle eşleşir.
    • Ayrıca, Cihaz Temel Bilgileri Kümesi, Sertifika Beyanı ve DAC arasında ek VID/PID doğrulamaları da yapılır.
Önceki
Komisyon
Sonraki
Mesaj dizisi ve IPv6