Zertifizierte Geräte sind Geräte, die den Connectivity Standards Alliance (Alliance) Matter-Zertifizierungsprozess durchlaufen haben.
Während der Inbetriebnahme muss sich ein zertifiziertes Gerät selbst zertifizieren. Mit anderen Worten: Es muss nachgewiesen werden, dass es sich um das angegebene Produkt handelt und dass es sich um ein Originalprodukt handelt. Daher haben alle Matter Geräte Anmeldedaten die das Attestierungsschlüsselpaar und eine zugehörige Zertifikatskette umfassen. Das Device Attestation Certificate (DAC) ist Teil dieser Kette. Sobald die Ein Gerät, das in Betrieb genommen wird, stellt dem zuständigen Beauftragten den DAC vor. Letzterer wird bestätigen Sie Folgendes:
- es von einem zertifizierten Hersteller stammt.
- es sich um ein echtes Gerät handelt.
- Er hat Matter Compliance-Tests bestanden.
Während der Entwicklungsphase kann der Hersteller seine Geräte testen ohne den vollständigen Bestätigungsprozess. Tester sollten explizit darüber informiert werden, Das Gerät wird gerade getestet und wurde noch nicht zertifiziert und nicht auf den Markt gebracht. Sobald ein Hersteller in die Produktionsphase eintritt, sollten alle Attestierungsanforderungen vom Anbietersystem erzwungen werden.
Die Attestierung verwendet eine Public-Key-Infrastruktur (PKI), die Root nutzt. Zertifizierungsstellen und Zwischenzertifikaten, ähnlich wie die gängige Serverauthentifizierungszertifikate für SSL/TLS. Dieser Prozess ist die Geräteattestierungs-Zertifikatskette.
PKI für die Geräteattestierung
Der DAC ist ein X.509 v3-Zertifikat. Die erste Version von X.509 wurde veröffentlicht in 1988 von ITU-T. Das von Matter verwendete X.509 v3-Zertifikat mit Public-Key-Infrastruktur und Zertifikatssperrliste (Certificate Revocation List, CRL) ist in RFC5280 spezifiziert. Es enthält:
- Öffentlicher Schlüssel
- Aussteller
- Betreff
- Seriennummer des Zertifikats
- Gültigkeit, wobei der Ablauf unbestimmt sein kann
- Unterschrift
Anbieter-ID und Produkt-ID sind Attribute von MatterDACName
im DAC
Person.
Der DAC ist für jedes Gerät eindeutig und dem eindeutigen Attestierungsschlüsselpaar zugeordnet. innerhalb des Produkts. Es wird von einer Zertifizierungsstelle ausgestellt, die mit dem Gerätehersteller verknüpft ist.
Die Signatur des DAC wird anhand der Produktattestierung (Zwischenstufe) validiert Zertifikat (PAI), das auch von einer PAA ausgestellt wird. Ein Zulieferunternehmen kann jedoch eine PAI pro Produkt (PID-spezifisch), Produktgruppe oder für all seine Produkte.
Die Produktzertifizierungsstelle bildet die Grundlage der Vertrauenskette. (PAA) Der öffentliche Schlüssel der Zertifizierungsstelle (CA) validiert Signaturen von der PAI. Der Matter-Trust Store ist föderiert und die von den Aufsichtsbehörden als vertrauenswürdig eingestuften PAA-Zertifikate werden in einer zentralen vertrauenswürdigen Datenbank (Distributed Compliance Ledger) verwaltet. Eintrag einer PAA innerhalb des vertrauenswürdigen Satzes die Einhaltung einer Zertifikatsrichtlinie erfordert, die vom Alliance
Die PAI ist auch ein X.509 v3-Zertifikat, das Folgendes enthält:
- Öffentlicher Schlüssel
- Aussteller
- Betreff
- Seriennummer des Zertifikats
- Gültigkeit, wobei der Ablauf unbestimmt sein kann
- Unterschrift
Anbieter-ID und Produkt-ID (optional) sind Attribute von MatterDACName
in
DAC-Subjekt.
Schließlich ist die PAA das Root-Zertifikat in der Kette und ist selbst signiert. Es umfasst:
- Unterschrift
- Öffentlicher Schlüssel
- Aussteller
- Betreff
- Seriennummer des Zertifikats
- Gültigkeit
Zusätzliche Attestationsdokumente und -nachrichten
Der Attestierungsprozess umfasst mehrere Dokumente und Nachrichten. Folgende Elemente bieten einen kurzen Überblick über ihre Funktion und Zusammensetzung. Das Bild unten hilft ihre Hierarchie zu verstehen.
Dokument | Beschreibung |
---|---|
Zertifizierungserklärung (CD) | Mit der CD kann das Matter-Gerät seine Einhaltung des Matter-Protokolls nachweisen.
Wann immer die
Matter
Zertifizierungsprozesse abgeschlossen haben,
Alliance erstellt eine CD
für den Gerätetyp
sodass der Zulieferunternehmen
Firmware-Version. Die CD enthält unter anderem
Informationen:
|
Firmware-Informationen (optional) | Die Firmware-Informationen enthalten
die CD-Versionsnummer und mindestens
Digests der Komponenten im
z. B. Betriebssystem, Dateisystem,
Bootloader. Die Digests können entweder
ein Hash der Softwarekomponenten oder
ein Hash der signierten Manifeste der
Softwarekomponenten. Die ebenso gut sich dafür entscheiden, Nur in Firmware-Informationen aufnehmen der „Hash-of-Hashes“ von seinen Komponenten anstelle eines Arrays einzelne Hashes. Firmware Informationen sind ein optionales Element in Attestierungsprozess und wenn ein Anbieter ein sicheres Bootumgebung, die die Attestierungsschlüsselpaar. |
Attestierungsinformationen | Nachricht des Kommissars an den Kommissar. Die Bestätigung Informationen kombinieren einen TLV mit die Attestierungselemente und eine Bestätigungssignatur. |
Attestierungselemente | Dies ist ein TLV mit:
|
Identitätsbestätigung | Out-of-Band-Herausforderung während Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) Übung Einrichtung und um das Verfahren zusätzlich abzusichern. und wiederholte Signaturen vermeiden. Verfügbar von CASE Sitzung, PASE oder eine fortgesetzte CASE Sitzung. |
Bestätigung TBS (muss unterschrieben werden) | Nachricht mit der Bestätigung Challenge für Elemente und Zertifizierungen |
Unterschrift für die Bestätigung | Unterschrift der Bestätigung noch offen mit der Geräteattestierung signiert Privater Schlüssel. |
Attestierungsverfahren
Der Commissioner ist für die Bestätigung des Kommissionsmitglieds verantwortlich. Sie führt das Ereignis folgenden Schritten:
- Commissioner generiert eine zufällige 32-Byte-Attestierungs-Nonce. Im Bereich Kryptografie Fachjargon ist eine Nonce (eine Zahl wird einmal verwendet) eine Zufallszahl, die im eines kryptografischen Verfahrens und sollte nur einmal verwendet werden.
- Der Kommissionsbeauftragte sendet die Nonce an den DUT und bittet um die Bestätigung. Informationen.
- DUT generiert die Attestierungsinformationen und signiert sie mit der Attestierung Privater Schlüssel.
- Der Commissioner stellt das DAC- und PAI-Zertifikat vom Gerät wieder her und ruft das PAA-Zertifikat aus seiner Matter-Vertrauensstellung ab. speichern.
- Die Zertifizierungsstelle prüft die Attestationsinformationen. Für die Validierung gelten folgende Bedingungen:
- Die DAC-Zertifikatskette muss validiert werden, einschließlich Widerrufsprüfungen auf die PAI und die PAA.
- Die VID im DAC stimmt mit der VID in der PAI überein.
- Die Attestierungssignatur ist gültig.
- Nonce in den Elementen zur Geräteattestierung stimmt mit der Nonce überein, die von der Kommissar.
- Die Signatur der Zertifikatdeklaration ist mit einem der Bekannte Signatur der Zertifizierungserklärung von Alliance Schlüssel.
- Übereinstimmungen mit Firmware-Informationen (falls vorhanden und vom Commissioner unterstützt) einen Eintrag im Distributed Compliance Ledger.
- Weitere VID/PID-Validierungen finden auch zwischen dem einfachen Informationscluster, Zertifizierungserklärung und DAC.