Los dispositivos certificados son aquellos que pasaron por el proceso de certificación de Connectivity Standards Alliance (Alliance) Matter.
Durante el proceso de comisión, el dispositivo certificado debe certificarse. En otras palabras, debe demostrar que es lo que afirma ser y que es un producto genuino. Por lo tanto, todos los dispositivos con Matter tienen credenciales que abarcan el par de claves de certificación y una cadena de certificados asociada. El Certificado de certificación de dispositivos (DAC) forma parte de esta cadena. Una vez que el Dispositivo encomendado presente el DAC a su comisionado, este último certificará lo siguiente:
- lo hizo un fabricante certificado.
- es un dispositivo original.
- aprobó Matter pruebas de cumplimiento.
Durante la fase de desarrollo, el fabricante puede probar sus dispositivos sin realizar el proceso de certificación completo. Se debe informar de manera explícita a los verificadores que el dispositivo está en proceso de prueba y que aún no se ha certificado ni lanzado. Una vez que un fabricante entra en una fase de producción, el ecosistema del aprovisionador debe aplicar todos los requisitos de certificación.
La certificación usa una infraestructura de clave pública (PKI) que aprovecha las autoridades certificadoras raíz y los certificados intermedios de manera similar a los certificados de autenticación de servidor ampliamente adoptados que se usan para SSL/TLS. Este proceso se denomina cadena de certificados de certificación de dispositivos.
PKI de certificación de dispositivos
El DAC es un certificado X.509 v3. La primera versión de X.509 fue publicada en 1988 por ITU-T. La RFC5280 especifica el X.509 v3 con el Certificado de infraestructura de clave pública y la Lista de revocación de certificados (CRL) que usa Matter. Contiene lo siguiente:
- Clave pública
- Emisor
- Asunto
- Número de serie del certificado
- Validez, en la que el vencimiento puede ser indeterminado
- Firma
El ID del proveedor y el ID del producto son atributos de MatterDACName en el asunto de DAC.
El DAC es único por dispositivo y se asocia con el par de claves de certificación único dentro del producto. Lo emite una CA asociada con el fabricante del Dispositivo.
La firma del DAC se valida con el Certificado intermedio de certificación de productos (PAI), que también lo emite un PAA. Sin embargo, un proveedor podría elegir crear una PAI por producto (específico de PID), grupo de productos o para todos sus productos.
En la raíz de la cadena de confianza, la clave pública de la Autoridad de certificación de productos (PAA) Autoridad certificada (CA) valida las firmas desde la PAI. Ten en cuenta que el almacén de confianza Matter está federado y el conjunto de certificados PAA en los que confían los comisionados se mantiene en una base de datos central de confianza (la libro mayor de cumplimiento distribuido). La entrada de un PAA dentro del conjunto de confianza requiere que se cumpla con una política de certificados administrada por Alliance.
El PAI también es un certificado X.509 v3 que incluye lo siguiente:
- Clave pública
- Emisor
- Asunto
- Número de serie del certificado
- Validez, en la que el vencimiento puede ser indeterminado
- Firma
El ID del proveedor y el ID del producto (opcionalmente) son atributos de MatterDACName en el asunto de DAC.
Por último, el PAA es el certificado raíz de la cadena y está autofirmado. Incluye lo siguiente:
- Firma
- Clave pública
- Emisor
- Asunto
- Número de serie del certificado
- Validez
Documentos y mensajes de certificación adicionales
El proceso de certificación tiene varios documentos y mensajes. Los siguientes elementos son una breve descripción general de su función y composición. La siguiente imagen ayuda a comprender su jerarquía.
| Documento | Descripción |
|---|---|
| Declaración de certificación (CD) | El CD permite que el dispositivo Matter demuestre su cumplimiento con el protocolo Matter.
Cuando finalizan los procesos de certificación Matter, Alliance crea un CD para el tipo de dispositivo de modo que el proveedor pueda incluirlo en el firmware. La CD incluye, entre otra información:
|
| Información del firmware (opcional) | La Información de firmware contiene el número de versión del CD y uno o más resúmenes de los componentes del firmware, como el SO, el sistema de archivos o el bootloader. Los resúmenes pueden ser un hash de los componentes de software o un hash de los manifiestos firmados de los componentes de software. El proveedor también podría incluir en la Información de firmware solo los “hashes de hash” de sus componentes, en lugar de un arreglo de hashes individuales. La información del firmware es un elemento opcional en el proceso de certificación y se aplica cuando un proveedor tiene un par de certificación seguro. |
| Información de certificación | Mensaje enviado del comisionado al comisionado. La Información de certificación combina un TLV que contiene los elementos de certificación y una firma de certificación. |
| Elementos de la certificación | Este es un TLV que contiene lo siguiente:
|
| Desafío de certificación | Un desafío fuera de banda derivado durante el establecimiento de la sesión Passcode Authenticated Session Establishment (PASE) o Certificate Authenticated Session Establishment (CASE) y se usa para proteger aún más el procedimiento y evitar las firmas que se vuelven a reproducir. Proviene de una sesión de CASE, una sesión de PASE o una sesión de CASE reanudada. |
| Certificación TBS (se debe firmar) | Mensaje que contiene los elementos de la certificación y el desafío de certificación |
| Firma del certificado | Firma del TBS de certificación, firmada con la clave privada de certificación del dispositivo. |
Procedimiento de certificación
El Comisionado es responsable de dar la certificación al Comisionado. Ejecuta los siguientes pasos:
- El comisionado genera un nonce de certificación aleatorio de 32 bytes. En la jerga criptográfica, un nonce (número que se usa una vez) es un número al azar que se genera en el procedimiento criptográfico y que debe usarse una vez.
- El comisionado envía el nonce al DUT y solicita la información de certificación.
- El DUT genera la información de certificación y la firma con la clave privada de certificación.
- El comisionado recupera el certificado DAC y PAI del dispositivo, y busca el certificado PAA en su almacén de confianza Matter.
- El comisionado valida la información de certificación. Estas son las condiciones para la validación:
- Se debe validar la cadena de certificados de DAC, incluidas las verificaciones de revocación en el PAI y el PAA.
- El VID de la DAC coincide con el de la PAI.
- La firma de certificación es válida.
- El nonce en los elementos de certificación del dispositivo coincide con el nonce que proporcionó el comisionado.
- La firma de la declaración del certificado es válida si se usa una de las claves de firma de la declaración de certificación más conocidas de Alliance.
- La información de firmware (si está presente y es compatible con el Comisionado) coincide con una entrada en el libro mayor de cumplimiento distribuido.
- También se realizan validaciones adicionales de VID/PID entre el clúster de información básica del dispositivo, la declaración de certificación y el DAC.