Certificación

Los dispositivos certificados son los dispositivos que pasaron por la Connectivity Standards Alliance (Alliance) Matter Proceso de Certificación.

Durante el proceso de comisión, un dispositivo certificado debe certificar su propio dispositivo. En otras palabras, debe demostrar que es lo que afirma ser y que es un producto genuino. Por lo tanto, todos los dispositivos Matter tienen credenciales. que abarcan el par de claves de certificación y una cadena de certificados asociada. El certificado de certificación del dispositivo (DAC) forma parte de esta cadena. Una vez que El dispositivo en puesta en marcha presenta el DAC a su Comisionado, este último certifica lo siguiente:

  • lo hizo un fabricante certificado.
  • es un dispositivo auténtico.
  • Aprobó Matter pruebas de cumplimiento.

Durante la fase de desarrollo, el fabricante puede probar sus dispositivos sin el proceso de certificación completo. Se debe informar explícitamente a los verificadores que El Dispositivo está en etapa de prueba y aún no está certificado ni lanzado. Una vez un fabricante entra en una fase de producción, el ecosistema del aprovisionador debe aplicar todos los requisitos de certificación.

La certificación usa una infraestructura de clave pública (PKI) que aprovecha las autoridades certificadoras raíz y los certificados intermedios, de manera similar a los certificados de autenticación de servidores ampliamente adoptados que se usan para SSL/TLS. Este proceso se llama cadena de certificados de certificación de dispositivos.

PKI de certificación de dispositivo

El DAC es un certificado X.509 v3. La primera versión de X.509 se publicó en 1988 por ITU-T. La RFC5280 especifica el X.509 v3 con el certificado de infraestructura de clave pública y la lista de revocación de certificados (CRL) que usa Matter. Integra contiene:

  • Clave pública
  • Emisor
  • Asunto
  • Número de serie del certificado
  • Validez, en la que el vencimiento puede ser indeterminado
  • Firma

El ID de proveedor y el ID de producto son atributos de MatterDACName en el asunto de DAC.

El DAC es único por dispositivo y está asociado con el par de claves de certificación único dentro del producto. Lo emite una AC asociada con el Dispositivo. fabricante.

La firma del DAC se valida con la Certificación de productos intermedia certificado (PAI), que también se emite por un PAA. Sin embargo, un proveedor podría puedes crear una PAI por producto (específico de PID), grupo de productos o para todos sus productos.

En la raíz de la cadena de confianza, la autoridad de certificación de productos La clave pública de la autoridad certificadora (CA) (PAA) valida las firmas. de la PAI. Ten en cuenta que el almacén de confianza Matter está federado y el conjunto de certificados PAA en los que confían los comisionados se mantiene en un base de datos central de confianza (el libro mayor de cumplimiento distribuido). Ingresar un PAA dentro del conjunto de confianza requiere cumplir con una política de certificado administrada por el Alliance

Infraestructura de clave pública de certificación de Matter
Figura 1: Infraestructura de clave pública de certificación de Matter

La PAI también es un certificado X.509 v3 que incluye lo siguiente:

  • Clave pública
  • Emisor
  • Asunto
  • Número de serie del certificado
  • Validez, en la que el vencimiento puede ser indeterminado
  • Firma

El ID del proveedor y el ID del producto (opcional) son atributos de MatterDACName en el tema DAC.

Por último, la PAA es el certificado raíz de la cadena y está autofirmado. Integra incluye:

  • Firma
  • Clave pública
  • Emisor
  • Asunto
  • Número de serie del certificado
  • Validez

Documentos de certificación adicionales y Mensajes

El proceso de certificación tiene varios documentos y mensajes. Los siguientes elementos son una breve descripción general de su función y composición. La siguiente imagen ayuda a la comprensión de su jerarquía.

Jerarquía del documento de certificación
Figura 2: Jerarquía del documento de certificación
Documento Descripción
Declaración de certificación (CD) El CD permite que el dispositivo Matter demuestre su cumplimiento con el protocolo Matter. Siempre que el Matter de certificación finaliza el proceso de certificación, Alliance crea un CD. para el tipo de dispositivo por lo que el proveedor puede incluirlo en el . El CD incluye, entre otros, la siguiente información:
  • VID
  • PID Pueden ser uno o varios.
  • ID de la categoría del servidor
  • Categoría de cliente ID
  • Nivel de seguridad
  • Seguridad Información
  • Certificación Tipo (de desarrollo, provisional o oficial)
  • Firma
Información del firmware (opcional) La información del firmware contiene el número de versión del CD y uno o más resúmenes de componentes del como el SO, el sistema de archivos, bootloader. Los resúmenes pueden ser un hash de los componentes de software o un hash de los manifiestos firmados del componentes de software.

El el proveedor también podría elegir Incluir solo en la información de firmware “hash de hash” de sus componentes, en lugar de un array de con hash individuales.

Firmware La información es un elemento opcional en el proceso de certificación y aplicables cuando un proveedor tiene una cuenta de software, que controla las Par de claves de certificación.
Información de la certificación Mensaje enviado por el comisionado a al Comisionado. La información de certificación combina un TLV que contiene los elementos de certificación y una firma de certificación.
Elementos de certificación Este es un TLV que contiene lo siguiente:

  • Certificado Declaración
  • Marca de tiempo
  • Certificación Nonce
  • Información del firmware (opcional)
  • Específico del proveedor información (opcional)
Desafío de certificación El desafío fuera de banda se deriva durante Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) sesión el establecimiento y para asegurar el procedimiento y evitar la repetición de firmas. Proviene de una sesión CASE, una sesión PASE o una sesión CASE reanudada.
Certificación TBS (por firmar) Mensaje que contiene la certificación Elementos y desafío de certificación.
Firma de certificación Firma del TBS de certificación, firmada con la clave privada de certificación del dispositivo

Procedimiento de certificación

El Comisionado es responsable de certificar al Comisionado. Ejecuta la los siguientes pasos:

  1. El comisionado genera un nonce de certificación aleatorio de 32 bytes. En el argot de la criptografía, un nonce (número usado una vez) es un número aleatorio generado en el procedimiento criptográfico y diseñado para usarse una vez.
  2. El comisionado envía el nonce al DUT y solicita la certificación Información.
  3. La DUT genera la información de certificación y la firma con la clave privada de certificación.
  4. El Comisionado recupera el certificado DAC y PAI del Dispositivo. busca el certificado PAA a partir de su confianza Matter en una tienda física.
  5. El comisionado valida la información de certificación. Estas son las condiciones para la validación:
    • La cadena de certificados de DAC debe validarse, incluidas las verificaciones de revocación en el PAI y el PAA.
    • El VID del DAC coincide con el de la PAI.
    • La firma de la certificación es válida.
    • El nonce en los elementos de certificación del dispositivo coincide con el nonce proporcionado por el Comisionado.
    • La firma de la declaración de certificación es válida con una de las claves de firma de la declaración de certificación conocidas de Alliance.
    • Coincidencias de la información de firmware (si está presente y la admite el comisionado) una entrada en el libro mayor de cumplimiento distribuido.
    • También se realizan validaciones adicionales de VID/PID entre el clúster de información básica del dispositivo, la declaración de certificación y el DAC.