Onay

Sertifikalandırılmış Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifikalandırma Süreci'nden geçmiş cihazlardır.

Sertifikalı Cihazların, devreye alma işlemi sırasında kendisini onaylaması gerekir. Başka bir deyişle, iddia ettiği şeyin ne olduğunu ve orijinal bir ürün olduğunu kanıtlamalıdır. Bu nedenle, tüm Matter cihazlarında, Attestation anahtar çiftini ve ilişkili bir sertifika zincirini içeren kimlik bilgileri bulunur. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alma işlemine tabi cihaz, DAC'yi Komiserine sunduğunda Komiser aşağıdakileri onaylar:

  • Sertifikalı bir üretici tarafından üretilmiş olmalıdır.
  • cihazın orijinal olduğunu doğrulayın.
  • Matter uygunluk testini geçmiştir.

Geliştirme aşamasında üretici, cihazlarını tam Sertifikalandırma süreci olmadan test edebilir. Test kullanıcılarına, cihazın test aşamasında olduğu ve henüz sertifika almadığı ve piyasaya sürülmediği açıkça bildirilmelidir. Bir üretici üretim aşamasına girdiğinde, sağlayıcının ekosistemi tüm Attestation şartlarını uygulamalıdır.

Sertifika doğrulama, SSL/TLS için kullanılan yaygın olarak benimsenen sunucu kimlik doğrulama sertifikalarına benzer şekilde, kök sertifika yetkililerinden ve ara sertifikalardan yararlanan bir ortak anahtar altyapısı (PKI) kullanır. Bu sürece cihaz kimlik doğrulama sertifikası zinciri denir.

Cihaz Onaylama PKI

DAC, X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Matter tarafından kullanılan Ortak Anahtar Altyapısı Sertifikası ve Sertifika İptal Listesi (CRL) içeren X.509 v3, RFC5280 tarafından belirtilmiştir. Şunları içerir:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi belirlenmemiş olabilecek geçerlilik
  • İmza

Tedarikçi firma kimliği ve ürün kimliği, DAC öznesinde MatterDACName özelliğinin özellikleridir.

DAC, cihaz başına benzersizdir ve üründeki benzersiz doğrulama anahtar çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.

DAC'nin imzası, yine bir PAA tarafından verilen Ürün Onaylama Ara Sertifikası (PAI) ile doğrulanır. Ancak tedarikçi firma, ürün başına (PID'ye özel), ürün grubu veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.

Güven zincirinin kökünde, Ürün Onaylama Kurumu (PAA) Sertifika Yetkilisi (CA) herkese açık anahtarı, PAI'den gelen imzaları doğrular. Matter güven deposunun birleşik olduğunu ve komiserlerin güvendiği PAA sertifikalarının merkezi bir güvenilir veritabanında (Dağıtılmış Uygunluk Defteri) tutulduğunu unutmayın. Güvenilir gruba PAA girişi için Alliance tarafından yönetilen bir sertifika politikasının karşılanması gerekir.

Matter Attestation Ortak Anahtar Altyapısı
Şekil 1: Matter Attestation Public Key Infrastructure

PAI, aşağıdakileri içeren bir X.509 v3 sertifikasıdır:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi belirlenmemiş olabilecek geçerlilik
  • İmza

Tedarikçi firma kimliği ve ürün kimliği (isteğe bağlı), DAC öznesinde MatterDACName özelliğinin özellikleridir.

Son olarak, PAA zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:

  • İmza
  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik

Ek Onay Belgeleri ve Mesajları

Onay sürecinde çeşitli dokümanlar ve mesajlar bulunur. Aşağıdaki öğeler, işlevlerine ve içeriklerine kısa bir genel bakış sunar. Aşağıdaki resim, hiyerarşiyi anlamanıza yardımcı olur.

Onay Belgesi Hiyerarşisi
Şekil 2: Onay Belgesi Hiyerarşisi
Doküman Açıklama
Sertifika Beyanı (CD) CD, Matter cihazının Matter protokolüne uygunluğunu kanıtlamasına olanak tanır. Matter Sertifikalandırma işlemleri tamamlandığında, Alliance, tedarikçinin donanım yazılımına ekleyebilmesi için cihaz türüne göre bir CD oluşturur. CD'de diğer bilgilerin yanı sıra şunlar yer alır:
  • VID
  • PID (bir veya daha fazla)
  • Sunucu Kategorisi Kimliği
  • İstemci Kategori Kimliği
  • Güvenlik seviyesi
  • Güvenlik Bilgileri
  • Sertifika Türü (geliştirme, geçici veya resmi)
  • İmza
Donanım Yazılımı Bilgileri (isteğe bağlı) Donanım Yazılımı Bilgileri, CD sürüm numarasını ve donanım yazılımındaki bileşenlerin (ör. işletim sistemi, dosya sistemi, önyükleme yükleyici) bir veya daha fazla özetini içerir. Özet, yazılım bileşenlerinin karması veya yazılım bileşenlerinin imzalanmış manifestlerinin karması olabilir.

Üretici, tek tek karmalar dizisi yerine yalnızca bileşenlerinin "karma-karması"nı donanım yazılımı bilgilerine eklemeyi de tercih edebilir.

Donanım yazılımı bilgileri, doğrulama sürecinde isteğe bağlı bir öğedir ve üreticinin doğrulama anahtar çiftini işleyen güvenli bir önyükleme ortamına sahip olduğunda geçerlidir.
Onay Bilgileri Temsilci tarafından Temsilci'ye gönderilen mesaj. Onay Bilgileri, onay öğelerini ve onay imzasını içeren bir TLV'yi birleştirir.
Onay Öğeleri Bu, aşağıdakileri içeren bir TLV'dir:

  • Sertifika Beyan
  • Zaman damgası
  • Attestation Nonce
  • Donanım Yazılımı Bilgileri (isteğe bağlı)
  • Tedarikçiye özgü bilgiler (isteğe bağlı)
Onay Zorluğu Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) oturumu oluşturulurken türetilen ve işlemin güvenliğini daha da artırmak ve yeniden oynatılan imzaların önüne geçmek için kullanılan bant dışı istem. CASE oturumundan, PASE oturumundan veya devam ettirilen bir CASE oturumundan gelir.
Onay TBS (imzalanacak) Attestation Elements ve Attestation Challenge'ı içeren mesaj.
Onay İmzası Cihaz Onay Özel Anahtarı kullanılarak imzalanan Onay TBS'sinin imzası.

Onay Prosedürü

Temsilcinin kimliğini doğrulamaktan Temsilci sorumludur. Aşağıdaki adımları yürütür:

  1. Komisyon üyesi, rastgele bir 32 baytlık doğrulama tek seferlik kimliği oluşturur. Kriptografi jargonunda, tek kullanımlık sayı (nonce), kriptografik işlemde oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
  2. Komisyon Üyesi, tek seferlik kimliği DUT'a gönderir ve Attestation Information'ı ister.
  3. DUT, Attestation Bilgilerini oluşturur ve Attestation Özel Anahtarı ile imzalar.
  4. Komisyon üyesi, DAC ve PAI sertifikasını cihazdan kurtarır ve PAA sertifikasını Matter güven mağazasından arar.
  5. Komiser, Onay Bilgileri'ni doğrular. Doğrulama koşulları şunlardır:
    • PAI ve PAA'daki iptal kontrolleri dahil olmak üzere DAC sertifika zinciri doğrulanmalıdır.
    • DAC'deki VID, PAI'deki VID ile eşleşiyor.
    • Onay imzası geçerli.
    • Cihaz Onaylama Öğeleri'ndeki tek seferlik sayı, Komisyon Üyesi tarafından sağlanan tek seferlik sayıyla eşleşmiyor.
    • Sertifika Beyan İmzası, Alliance'nin bilinen Sertifika Beyan imza anahtarlarından biri kullanılarak geçerlidir.
    • Donanım yazılımı bilgileri (mevcutsa ve Komiser tarafından destekleniyorsa) Dağıtılmış Uyumluluk Defteri'ndeki bir girişle eşleşiyor.
    • Cihaz Temel Bilgileri Kümesi, Sertifika Beyannamesi ve DAC arasında da ek VID/PID doğrulamaları yapılır.
Önceki
Komisyon
Sonraki
Mesaj dizisi ve IPv6