Onay

Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifikasyon Süreci'nden geçmiş Cihazlardır.

Devreye alma işlemi sırasında, Sertifikalı Cihazın kendisini onaylaması gerekir. Başka bir deyişle, iddia ettiği şey olduğunu ve gerçek bir ürün olduğunu kanıtlaması gerekir. Bu nedenle, tüm MatterCihazlar, Onay anahtarı çiftini ve ilişkili bir sertifika zincirini kapsayan kimlik bilgilerine sahiptir. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alma işlemi altındaki Cihaz, DAC'yi Komisyon Üyesi'ne sunduktan sonra Komisyon Üyesi şunları onaylar:

  • sertifikalı bir üretici tarafından üretilmişse
  • cihazın orijinal olması
  • Matter uygunluk testini geçmesi gerekir.

Üretici, geliştirme aşamasında tam onay süreci olmadan cihazlarını test edebilir. Test kullanıcılarına, cihazın test aşamasında olduğu, henüz sertifika almadığı ve piyasaya sürülmediği açıkça bildirilmelidir. Üretici, üretim aşamasına girdiğinde hazırlayıcının ekosistemi tüm onaylama şartlarını zorunlu kılmalıdır.

Onaylama, SSL/TLS için kullanılan yaygın olarak benimsenen sunucu kimlik doğrulama sertifikalarına benzer şekilde, kök sertifika yetkililerinden ve ara sertifikalardan yararlanan bir ortak anahtar altyapısı (PKI) kullanır. Bu işleme cihaz onaylama sertifika zinciri adı verilir.

Cihaz Onayı PKI'sı

DAC, X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Matter tarafından kullanılan Ortak Anahtar Altyapısı Sertifikası ve Sertifika İptal Listesi (CRL) ile X.509 v3, RFC5280 tarafından belirtilir. Şunları içerir:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi, son kullanma tarihinin belirsiz olabileceği durumlarda
  • İmza

Tedarikçi kimliği ve ürün kimliği, DAC konusundaki MatterDACName özellikleridir.

DAC, cihaz başına benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.

DAC'nin imzası, PAA tarafından da verilen Product Attestation Intermediate Certificate (PAI) ile doğrulanır. Ancak bir satıcı, ürün başına (PID'ye özel), ürün grubu başına veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.

Güven zincirinin kökünde, Ürün Onaylama Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'den gelen imzaları doğrular. Matter güvenilir sertifika deposunun birleştirilmiş olduğunu ve komisyon üyeleri tarafından güvenilen PAA sertifikaları kümesinin merkezi bir güvenilen veritabanında (Dağıtılmış Uygunluk Defteri) tutulduğunu unutmayın. Güvenilen kümede bir PAA'nın girişi, Alliance tarafından yönetilen bir sertifika politikasının karşılanmasını gerektirir.

Matter Onayı Ortak Anahtar Altyapısı
Şekil 1: Matter Onay Ortak Anahtar Altyapısı

PAI, aşağıdakileri içeren bir X.509 v3 sertifikasıdır:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik süresi, son kullanma tarihinin belirsiz olabileceği durumlarda
  • İmza

Satıcı kimliği ve ürün kimliği (isteğe bağlı), DAC konusundaki MatterDACName öğesinin özellikleridir.

Son olarak, PAA zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:

  • İmza
  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik

Ek Onay Belgeleri ve Mesajları

Onay sürecinde çeşitli belgeler ve mesajlar yer alır. Aşağıdaki öğeler, işlevleri ve yapıları hakkında kısa bir genel bakış sunar. Aşağıdaki resim, hiyerarşilerini anlamanıza yardımcı olur.

Onay Belgesi Hiyerarşisi
Şekil 2: Onay Belgesi Hiyerarşisi
Belge Açıklama
Sertifika Beyanı (CD) <0x CD, Matter cihazının Matter protokolüne uygunluğunu kanıtlamasına olanak tanır. Matter Sertifika süreçleri tamamlandığında, Alliance, cihaz türü için bir CD oluşturur. Böylece satıcı, bunu donanım yazılımına ekleyebilir. CD'de diğer bilgilerin yanı sıra şunlar yer alır:
  • VID
  • PID (bir veya daha fazla)
  • Sunucu Kategorisi Kimliği
  • İstemci Kategorisi Kimliği
  • Güvenlik seviyesi
  • Güvenlik Bilgileri
  • Sertifika Türü (geliştirme, geçici veya resmi)
  • İmza
Donanım yazılımı bilgileri (isteğe bağlı) <0x Donanım yazılımı bilgileri, CD sürüm numarasını ve donanım yazılımındaki bileşenlerin (ör. işletim sistemi, dosya sistemi, önyükleyici) bir veya daha fazla özetini içerir. Özetler, yazılım bileşenlerinin karma değeri veya yazılım bileşenlerinin imzalı manifestlerinin karma değeri olabilir.

Satıcı, tek tek karma değerlerden oluşan bir dizi yerine, bileşenlerinin yalnızca "karma değerlerin karma değerini" Firmware Bilgileri'ne dahil etmeyi de seçebilir.

Firmware Bilgileri, Onay Süreci'nde isteğe bağlı bir öğedir ve satıcının Onay anahtar çiftini işleyen güvenli bir önyükleme ortamı olduğunda geçerlidir.
Onay bilgileri Komisyon üyesinden komisyon başkanına gönderilen ileti. Onay Bilgileri, Onay Öğeleri'ni içeren bir TLV ve bir Onay İmzası'nı birleştirir.
Onay Öğeleri Bu, aşağıdakileri içeren bir TLV'dir:

  • Certificate Declaration
  • Zaman damgası
  • Attestation Nonce
  • Donanım yazılımı bilgileri (isteğe bağlı)
  • Tedarikçiye özel bilgiler (isteğe bağlı)
Onay Yarışması <0x0A Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) oturumu oluşturma sırasında elde edilen ve prosedürü daha da güvenli hale getirmek ve yeniden oynatılan imzaları önlemek için kullanılan bant dışı sorgulama. CASE oturumundan, PASE oturumundan veya devam ettirilen bir CASE oturumundan gelir.
Onay TBS (imzalanacak) Onay öğelerini ve onay sorgulamasını içeren mesaj.
Onay İmzası Cihaz tasdik özel anahtarı kullanılarak imzalanmış, tasdik TBS'nin imzası.

Onay Prosedürü

Delege, komisyon alan kişinin onaylanmasından sorumludur. Aşağıdaki adımları uygular:

  1. Yetkili, rastgele 32 baytlık bir onaylama nonce'ı oluşturur. Kriptografi jargonunda nonce (bir kez kullanılan sayı), kriptografik prosedürde oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
  2. Komisyon üyesi, tek seferlik rastgele sayıyı DUT'a gönderir ve onay bilgilerini ister.
  3. DUT, Onay Bilgileri'ni oluşturur ve Onay Özel Anahtarı ile imzalar.
  4. Komisyon üyesi, DAC ve PAI sertifikasını cihazdan kurtarır ve PAA sertifikasını Matter güven deposundan arar.
  5. Komisyon üyesi, onay bilgilerini doğrular. Doğrulama koşulları:
    • DAC sertifika zinciri, PAI ve PAA'da iptal kontrolleri de dahil olmak üzere doğrulanmalıdır.
    • DAC'deki VID, PAI'deki VID ile eşleşmelidir.
    • Onay imzası geçerlidir.
    • Cihaz doğrulama öğelerindeki nonce, Komisyon Üyesi tarafından sağlanan nonce ile eşleşiyor.
    • Sertifika Beyanı İmzası, Alliance'nın iyi bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerli hale getirilir.
    • Donanım yazılımı bilgileri (varsa ve Komisyon Üyesi tarafından destekleniyorsa) Dağıtılmış Uygunluk Defteri'ndeki bir girişle eşleşir.
    • Ayrıca, Cihaz Temel Bilgileri Kümesi, Sertifika Beyanı ve DAC arasında ek VID/PID doğrulamaları da yapılır.
Önceki
Komisyon
Sonraki
Mesaj dizisi ve IPv6