Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifikasyon Süreci'nden geçmiş Cihazlardır.
Devreye alma işlemi sırasında, Sertifikalı Cihaz'ın kendisini onaylaması gerekir. Diğer bir deyişle, ürünün iddia ettiği şey olduğunu ve orijinal bir ürün olduğunu kanıtlaması gerekir. Bu nedenle, tüm Matter cihazlar, onay anahtarı çiftini ve ilişkili bir sertifika zincirini kapsayan kimlik bilgilerine sahiptir. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alma işlemi altındaki cihaz, DAC'yi Komisyon Üyesi'ne sunduktan sonra Komisyon Üyesi aşağıdakileri onaylar:
- sertifikalı bir üretici tarafından üretilmişse
- cihazın orijinal olması
- Matter uygunluk testini geçmesi gerekir.
Üretici, geliştirme aşamasında tam onay süreci olmadan cihazlarını test edebilir. Test kullanıcılarına, cihazın test aşamasında olduğu, henüz sertifika almadığı ve piyasaya sürülmediği açıkça bildirilmelidir. Üretici, üretim aşamasına girdiğinde hazırlayıcının ekosistemi tüm onaylama şartlarını zorunlu kılmalıdır.
Onaylama, SSL/TLS için kullanılan yaygın olarak benimsenen sunucu kimlik doğrulama sertifikalarına benzer şekilde, Kök Sertifika Yetkilileri ve Ara Sertifikalardan yararlanan bir Ortak Anahtar Altyapısı (PKI) kullanır. Bu sürece Cihaz Onay Sertifikası Zinciri adı verilir.
Cihaz Onayı PKI'sı
DAC, X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Ortak anahtar altyapısı sertifikası ve sertifika iptal listesi (CRL) içeren X.509 v3, Matter tarafından kullanılan RFC5280 ile belirtilir. Şunları içerir:
- Ortak Anahtar
- Düzenleyen
- Konu
- Sertifika Seri Numarası
- Geçerlilik süresi, son kullanma tarihinin belirsiz olabileceği durumlarda
- İmza
Tedarikçi kimliği ve ürün kimliği, DAC konusundaki MatterDACName özellikleridir.
DAC, cihaz başına benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.
DAC'nin imzası, PAA tarafından da verilen Product Attestation Intermediate Certificate (PAI) ile doğrulanır. Ancak bir satıcı, ürün başına (PID'ye özel), ürün grubu başına veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.
Güven zincirinin kökünde, Ürün Onay Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'den gelen imzaları doğrular. Matter güven deposunun birleştirilmiş olduğunu ve komisyon üyeleri tarafından güvenilen PAA sertifikaları kümesinin merkezi bir güvenilir veritabanında (Dağıtılmış Uygunluk Defteri) tutulduğunu unutmayın. Güvenilen kümede PAA girişi için Alliance tarafından yönetilen bir sertifika politikasının karşılanması gerekir.
PAI, aşağıdakileri içeren bir X.509 v3 sertifikasıdır:
- Ortak Anahtar
- Düzenleyen
- Konu
- Sertifika Seri Numarası
- Geçerlilik süresi, son kullanma tarihinin belirsiz olabileceği durumlarda
- İmza
Satıcı kimliği ve ürün kimliği (isteğe bağlı), DAC konusundaki MatterDACName öğesinin özellikleridir.
Son olarak, PAA zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:
- İmza
- Ortak Anahtar
- Düzenleyen
- Konu
- Sertifika Seri Numarası
- Geçerlilik
Ek Onay Belgeleri ve Mesajları
Onay sürecinde çeşitli belgeler ve mesajlar yer alır. Aşağıdaki öğeler, işlevleri ve yapıları hakkında kısa bir genel bakış sunar. Aşağıdaki resim, hiyerarşilerini anlamanıza yardımcı olur.
| Doküman | Açıklama |
|---|---|
| Sertifika Beyanı (CD) | CD, Matter cihazının Matter protokolüne uygunluğunu kanıtlamasına olanak tanır.
Matter
Sertifika süreçleri tamamlandığında, Alliance, cihaz türü için bir CD oluşturur. Böylece satıcı, bunu donanım yazılımına ekleyebilir. CD'de diğer bilgilerin yanı sıra şunlar yer alır:
|
| Donanım yazılımı bilgileri (isteğe bağlı) | Donanım yazılımı bilgileri, CD sürüm numarasını ve donanım yazılımındaki bileşenlerin (ör. işletim sistemi, dosya sistemi, önyükleyici) bir veya daha fazla özetini içerir. Özetler, yazılım bileşenlerinin karma değeri veya yazılım bileşenlerinin imzalı manifestlerinin karma değeri olabilir. Satıcı, tek tek karma değerlerden oluşan bir dizi yerine, bileşenlerinin yalnızca "karma değerlerin karma değerini" Firmware Bilgileri'ne dahil etmeyi de seçebilir. Firmware Bilgileri, Onay Süreci'nde isteğe bağlı bir öğedir ve satıcının Onay anahtar çiftini işleyen güvenli bir önyükleme ortamı olduğunda geçerlidir. |
| Onay bilgileri | Komisyon üyesinden komisyon başkanına gönderilen ileti. Onay Bilgileri, Onay Öğeleri'ni içeren bir TLV ve bir Onay İmzası'nı birleştirir. |
| Onay Öğeleri | Bu, aşağıdakileri içeren bir TLV'dir:
|
| Onay Yarışması | Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) oturum oluşturma sırasında elde edilen ve prosedürü daha da güvenli hale getirmek ve yeniden oynatılan imzaları önlemek için kullanılan bant dışı sorgulama. CASEPASE oturumundan veya devam ettirilen bir CASE oturumundan gelir. |
| Onay TBS (imzalanacak) | Onay öğelerini ve onay sorgulamasını içeren mesaj. |
| Onay İmzası | Cihaz tasdik özel anahtarı kullanılarak imzalanmış, tasdik TBS'nin imzası. |
Onay Prosedürü
Delege, komisyon alan kişinin onaylanmasından sorumludur. Aşağıdaki adımları uygular:
- Komisyon üyesi, rastgele 32 baytlık bir onaylama nonce'ı oluşturur. Kriptografi jargonunda nonce (bir kez kullanılan sayı), kriptografik prosedürde oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
- Yetkilendiren, nonce'ı DUT'a gönderir ve AttestationInformation'ı ister.
- DUT, Onay Bilgileri'ni oluşturur ve Onay Özel Anahtarı ile imzalar.
- Komisyon üyesi, DAC ve PAI sertifikasını cihazdan kurtarır ve PAA sertifikasını Matter güven deposundan arar.
- Komisyon üyesi, onay bilgilerini doğrular. Doğrulama koşulları:
- DAC sertifika zinciri, PAI ve PAA'da iptal kontrolleri de dahil olmak üzere doğrulanmalıdır.
- DAC'deki VID, PAI'deki VID ile eşleşmelidir.
- Onay imzası geçerlidir.
- Cihaz doğrulama öğelerindeki nonce, Komisyon Üyesi tarafından sağlanan nonce ile eşleşiyor.
- Sertifika Beyanı İmzası, Alliance'nın iyi bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerli hale getirilir.
- Donanım yazılımı bilgileri (varsa ve Komisyon Üyesi tarafından destekleniyorsa) Dağıtılmış Uygunluk Defteri'ndeki bir girişle eşleşir.
- Ayrıca, Cihaz Temel Bilgileri Kümesi, Sertifika Beyanı ve DAC arasında ek VID/PID doğrulamaları da yapılır.