Attestierung

Zertifizierte Geräte sind Geräte, die den Connectivity Standards Alliance (Alliance) Matter-Zertifizierungsprozess durchlaufen haben.

Während der Inbetriebnahme muss sich ein zertifiziertes Gerät selbst zertifizieren. Mit anderen Worten: Es muss nachgewiesen werden, dass es sich um das angegebene Produkt handelt und dass es sich um ein Originalprodukt handelt. Daher haben alle Matter Geräte Anmeldedaten die das Attestierungsschlüsselpaar und eine zugehörige Zertifikatskette umfassen. Das Device Attestation Certificate (DAC) ist Teil dieser Kette. Sobald die Ein Gerät, das in Betrieb genommen wird, stellt dem zuständigen Beauftragten den DAC vor. Letzterer wird bestätigen Sie Folgendes:

  • es von einem zertifizierten Hersteller stammt.
  • es sich um ein echtes Gerät handelt.
  • Er hat Matter Compliance-Tests bestanden.

Während der Entwicklungsphase kann der Hersteller seine Geräte testen ohne den vollständigen Bestätigungsprozess. Tester sollten explizit darüber informiert werden, Das Gerät wird gerade getestet und wurde noch nicht zertifiziert und nicht auf den Markt gebracht. Sobald ein Hersteller in die Produktionsphase eintritt, sollten alle Attestierungsanforderungen vom Anbietersystem erzwungen werden.

Die Attestierung verwendet eine Public-Key-Infrastruktur (PKI), die Root nutzt. Zertifizierungsstellen und Zwischenzertifikaten, ähnlich wie die gängige Serverauthentifizierungszertifikate für SSL/TLS. Dieser Prozess ist die Geräteattestierungs-Zertifikatskette.

PKI für die Geräteattestierung

Der DAC ist ein X.509 v3-Zertifikat. Die erste Version von X.509 wurde veröffentlicht in 1988 von ITU-T. Das von Matter verwendete X.509 v3-Zertifikat mit Public-Key-Infrastruktur und Zertifikatssperrliste (Certificate Revocation List, CRL) ist in RFC5280 spezifiziert. Es enthält:

  • Öffentlicher Schlüssel
  • Aussteller
  • Betreff
  • Seriennummer des Zertifikats
  • Gültigkeit, wobei der Ablauf unbestimmt sein kann
  • Unterschrift

Anbieter-ID und Produkt-ID sind Attribute von MatterDACName im DAC Person.

Der DAC ist für jedes Gerät eindeutig und dem eindeutigen Attestierungsschlüsselpaar zugeordnet. innerhalb des Produkts. Es wird von einer Zertifizierungsstelle ausgestellt, die mit dem Gerätehersteller verknüpft ist.

Die Signatur des DAC wird anhand der Produktattestierung (Zwischenstufe) validiert Zertifikat (PAI), das auch von einer PAA ausgestellt wird. Ein Zulieferunternehmen kann jedoch eine PAI pro Produkt (PID-spezifisch), Produktgruppe oder für all seine Produkte.

Die Produktzertifizierungsstelle bildet die Grundlage der Vertrauenskette. (PAA) Der öffentliche Schlüssel der Zertifizierungsstelle (CA) validiert Signaturen von der PAI. Der Matter-Trust Store ist föderiert und die von den Aufsichtsbehörden als vertrauenswürdig eingestuften PAA-Zertifikate werden in einer zentralen vertrauenswürdigen Datenbank (Distributed Compliance Ledger) verwaltet. Eintrag einer PAA innerhalb des vertrauenswürdigen Satzes die Einhaltung einer Zertifikatsrichtlinie erfordert, die vom Alliance

Public-Key-Infrastruktur für die Attestierung von Matter
Abbildung 1: Public-Key-Infrastruktur für die Attestierung von Rechtsangelegenheiten

Die PAI ist auch ein X.509 v3-Zertifikat, das Folgendes enthält:

  • Öffentlicher Schlüssel
  • Aussteller
  • Betreff
  • Seriennummer des Zertifikats
  • Gültigkeit, wobei der Ablauf unbestimmt sein kann
  • Unterschrift

Anbieter-ID und Produkt-ID (optional) sind Attribute von MatterDACName in DAC-Subjekt.

Schließlich ist die PAA das Root-Zertifikat in der Kette und ist selbst signiert. Es umfasst:

  • Unterschrift
  • Öffentlicher Schlüssel
  • Aussteller
  • Betreff
  • Seriennummer des Zertifikats
  • Gültigkeit

Zusätzliche Attestationsdokumente und -nachrichten

Der Attestierungsprozess umfasst mehrere Dokumente und Nachrichten. Folgende Elemente bieten einen kurzen Überblick über ihre Funktion und Zusammensetzung. Das Bild unten hilft ihre Hierarchie zu verstehen.

Hierarchie von Attestierungsdokumenten
Abbildung 2: Hierarchie von Attestierungsdokumenten
Dokument Beschreibung
Zertifizierungserklärung (CD) Mit der CD kann das Matter-Gerät seine Einhaltung des Matter-Protokolls nachweisen. Wann immer die Matter Zertifizierungsprozesse abgeschlossen haben, Alliance erstellt eine CD für den Gerätetyp sodass der Zulieferunternehmen Firmware-Version. Die CD enthält unter anderem Informationen:
  • VID
  • PID (eines oder mehrere)
  • Serverkategorie-ID
  • Kundenkategorie ID
  • Sicherheitsebene
  • Sicherheit Informationen
  • Zertifizierungstyp (Entwicklung, vorläufig oder offiziell)
  • Unterschrift
Firmware-Informationen (optional) Die Firmware-Informationen enthalten die CD-Versionsnummer und mindestens Digests der Komponenten im z. B. Betriebssystem, Dateisystem, Bootloader. Die Digests können entweder ein Hash der Softwarekomponenten oder ein Hash der signierten Manifeste der Softwarekomponenten.

Die ebenso gut sich dafür entscheiden, Nur in Firmware-Informationen aufnehmen der „Hash-of-Hashes“ von seinen Komponenten anstelle eines Arrays einzelne Hashes.

Firmware Informationen sind ein optionales Element in Attestierungsprozess und wenn ein Anbieter ein sicheres Bootumgebung, die die Attestierungsschlüsselpaar.
Attestierungsinformationen Nachricht des Kommissars an den Kommissar. Die Bestätigung Informationen kombinieren einen TLV mit die Attestierungselemente und eine Bestätigungssignatur.
Attestierungselemente Dies ist ein TLV mit:

  • Zertifikat Erklärung
  • Zeitstempel
  • Bestätigung Nonce
  • Firmware-Informationen (optional)
  • Anbieterspezifisch Informationen (optional)
Identitätsbestätigung Out-of-Band-Herausforderung während Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) Übung Einrichtung und um das Verfahren zusätzlich abzusichern. und wiederholte Signaturen vermeiden. Verfügbar von CASE Sitzung, PASE oder eine fortgesetzte CASE Sitzung.
Bestätigung TBS (muss unterschrieben werden) Nachricht mit der Bestätigung Challenge für Elemente und Zertifizierungen
Unterschrift für die Bestätigung Unterschrift der Bestätigung noch offen mit der Geräteattestierung signiert Privater Schlüssel.

Attestierungsverfahren

Der Commissioner ist für die Bestätigung des Kommissionsmitglieds verantwortlich. Sie führt das Ereignis folgenden Schritten:

  1. Commissioner generiert eine zufällige 32-Byte-Attestierungs-Nonce. Im Bereich Kryptografie Fachjargon ist eine Nonce (eine Zahl wird einmal verwendet) eine Zufallszahl, die im eines kryptografischen Verfahrens und sollte nur einmal verwendet werden.
  2. Der Kommissionsbeauftragte sendet die Nonce an den DUT und bittet um die Bestätigung. Informationen.
  3. DUT generiert die Attestierungsinformationen und signiert sie mit der Attestierung Privater Schlüssel.
  4. Der Commissioner stellt das DAC- und PAI-Zertifikat vom Gerät wieder her und ruft das PAA-Zertifikat aus seiner Matter-Vertrauensstellung ab. speichern.
  5. Die Zertifizierungsstelle prüft die Attestationsinformationen. Für die Validierung gelten folgende Bedingungen:
    • Die DAC-Zertifikatskette muss validiert werden, einschließlich Widerrufsprüfungen auf die PAI und die PAA.
    • Die VID im DAC stimmt mit der VID in der PAI überein.
    • Die Attestierungssignatur ist gültig.
    • Nonce in den Elementen zur Geräteattestierung stimmt mit der Nonce überein, die von der Kommissar.
    • Die Signatur der Zertifikatdeklaration ist mit einem der Bekannte Signatur der Zertifizierungserklärung von Alliance Schlüssel.
    • Übereinstimmungen mit Firmware-Informationen (falls vorhanden und vom Commissioner unterstützt) einen Eintrag im Distributed Compliance Ledger.
    • Weitere VID/PID-Validierungen finden auch zwischen dem einfachen Informationscluster, Zertifizierungserklärung und DAC.