הצהרה

מכשירים שאושרו הם מכשירים שעברו את תהליך ההסמכה של Connectivity Standards Alliance (Alliance) Matter.

במהלך תהליך ההפעלה, מכשיר מאושר צריך לאמת את עצמו. במילים אחרות, הוא צריך להוכיח שהוא מה שהוא טוען ושהוא מוצר מקורי. לכן לכל Matter המכשירים יש פרטי כניסה שכולל את זוג המפתחות לאימות ושרשרת אישורים משויכת. אישור האימות של המכשיר (DAC) הוא חלק מהשרשרת הזו. אחרי ש המכשיר בתהליך 'הזמנה' מציג את ה-DAC לנציב שלו. לאחר מכן, עליך לאשר ש:

  • יוצר על ידי יצרן מוסמך.
  • שהוא מכשיר מקורי.
  • הוא עבר Matter בדיקות תאימות.

במהלך שלב הפיתוח, היצרן יכול לבדוק את המכשירים שלו ללא תהליך האימות המלא. צריך ליידע את הבודקים באופן מפורש המכשיר נמצא בבדיקה ועדיין לא אושר ולא הופעל. פעם אחת יצרן נכנס לשלב ייצור, המערכת האקולוגית של הספק צריך לאכוף את כל דרישות האימות (attestation).

האימות (attestation) מתבסס על תשתית של מפתח ציבורי (PKI) שמשתמשת ב-Root רשויות אישורים ותעודות ביניים, באופן דומה אישורי אימות שרת שמקובלים בשימוש לצורך SSL/TLS. התהליך הזה נקראת 'שרשרת אישורי האימות של המכשירים'.

PKI אימות של מכשיר

DAC הוא אישור X.509 v3. הגרסה הראשונה של X.509 פורסמה ב 1988 על ידי ITU-T. אישור X.509 v3 עם אישור של תשתית מפתחות ציבוריים ורשימת אישורים שבוטלו (CRL) ש-Matter משתמש בהם מפורט ב-RFC5280. הוא מכיל:

  • מפתח ציבורי
  • הונפק על ידי:
  • Subject
  • מספר סידורי של האישור
  • תוקף, שבו תפוגת תוקף יכולה להיות סופית
  • חתימה

מזהה הספק ומזהה המוצר הם מאפיינים של MatterDACName בנושא DAC.

ה-DAC הוא ייחודי לכל מכשיר ומשויך לזוג מפתחות האימות הייחודי בתוך המוצר. הוא מונפק על ידי רשות אישורים שמשויכת למכשיר היצרן.

החתימה של DAC מאומתת מול אישור הביניים לאימות המוצר (PAI), שגם הוא מונפק על ידי PAA. עם זאת, הספק יכול ליצור PAI אחד לכל מוצר (PID ספציפי), קבוצת מוצרים או לכל המוצרים שלו.

בשורש של שרשרת האמון, הרשות לאימות נתוני מוצרים (PAA) מפתח ציבורי של Certificate Authority (CA) מאמת חתימות מ-PAI. לתשומת ליבך: מאגר האישורים של Matter מאוחד. והקבוצה של אישורי PAA שנחשבים למהימנים על ידי הנציבים נשמרת מסד נתונים מרכזי מהימן (מדריך התאימות המבוזר). כדי להוסיף PAA לקבוצה המהימנה, צריך לעמוד בדרישות של מדיניות האישורים שמנוהלת על ידי Alliance.

תשתית של מפתח ציבורי לאימות עניינים
איור 1: תשתית של מפתח ציבורי לאימות עניינים

PAI הוא גם אישור X.509 v3 שכולל:

  • מפתח ציבורי
  • הונפק על ידי:
  • Subject
  • מספר סידורי של האישור
  • תוקף, שבו תפוגת תוקף יכולה להיות סופית
  • חתימה

מזהה הספק ומזהה המוצר (אופציונלי) הם מאפיינים של MatterDACName ב- נושא ה-DAC.

לבסוף, ה-PAA הוא האישור הבסיסי בשרשרת, והוא נחתם בחתימה עצמית. הוא כוללת:

  • חתימה
  • מפתח ציבורי
  • הונפק על ידי:
  • Subject
  • המספר הסידורי של האישור
  • תוקף

מסמכי אימות נוספים Google Messages

תהליך האימות כולל כמה מסמכים והודעות. הפריטים הבאים הם סקירה כללית קצרה של התפקיד וההרכב שלהם. התמונה הבאה עוזרת להבין את ההיררכיה שלהם.

היררכיה של מסמכי אימות (attestation)
איור 2: היררכיית מסמכי אימות (attestation)
מסמך תיאור
הצהרת אישור (CD) ה-CD מאפשר מכשיר Matter כדי להוכיח שהוא עומד בדרישות של פרוטוקול Matter. בכל פעם Matter בסיום תהליכי ההסמכה, Alliance יוצר תקליטור לסוג המכשיר כך שהספק עשוי לכלול אותו קושחה. התקליטור כולל בין היתר מידע:
  • VID
  • PID (אחד או יותר)
  • קטגוריית שרת ID [מזהה]
  • קטגוריית לקוח ID [מזהה]
  • רמת אבטחה
  • אבטחה מידע
  • תקן סוג (פיתוח, זמני, או רשמי)
  • חתימה
מידע על הקושחה (אופציונלי) מידע על הקושחה מכיל מספר גרסת ה-CD וגרסה אחת או יותר של רכיבים קושחה, כגון מערכת ההפעלה, מערכת הקבצים תוכנת אתחול. התקצירים יכולים להיות גיבוב (hash) של רכיבי התוכנה או גיבוב (hash) של המניפסטים החתומים של רכיבי התוכנה.

הספק יכול לבחור הכללה במידע על הקושחה בלבד 'גיבובים' מתוך ולא מערך של גיבובים נפרדים.

קושחה המידע הוא אלמנט אופציונלי תהליך האימות (attestation) כאשר לספק יש בסביבת ההפעלה, שמטפלת זוג מפתחות אימות (attestation).
פרטי האימות הודעה נשלחה מהנציב אל הנציב. המידע על האימות מורכב מ-TLV שמכיל את רכיבי האימות וחתימה על האימות.
רכיבי אימות (attestation) זה קובץ TLV שכולל:

  • אישור הצהרה
  • חותמת זמן
  • הצהרה צופן חד-פעמי
  • מידע על הקושחה (לא חובה)
  • ספציפי לספק מידע (אופציונלי)
אתגר האימות (attestation) אתגר 'מחוץ למסגרת' שנוצר במהלך Passcode Authenticated Session Establishment (PASE)/ אימון אחד (Certificate Authenticated Session Establishment (CASE)) פעילות וכן ששימשה לחיזוק התהליך. וכך להימנע מהפעלה חוזרת של חתימות. מגיע מסשן CASE, מסשן PASE או מסשן CASE שהמשיכו אותו.
TBS של אימות (לחתימה) הודעה שמכילה את האימות הרכיבים ואתגר האימות (attestation).
חתימת אימות (attestation) החתימה של ה-TBS של האימות, נחתמה באמצעות אימות המכשיר מפתח פרטי.

תהליך האימות (attestation)

הנציב אחראי לאמת את הנציג. היא מבצעת את השלבים הבאים:

  1. הנציב יוצר קוד אימות (attestation) אקראי בגודל 32 בייטים. בקריפטוגרפיה בז'רגון, צופן חד-פעמי (מספר שמשתמשים בו פעם אחת) הוא מספר אקראי שנוצר קריפטוגרפיה, ואמור לשמש פעם אחת.
  2. הנציב שולח את הצופן החד-פעמי (nonce) ל-DUT ומבקש את האימות (attestation) מידע.
  3. DUT יוצר את פרטי האימות וחותם עליהם באמצעות ה-attestation מפתח פרטי.
  4. הנציב משחזר את אישור ה-DAC ואישור ה-PAI מהמכשיר, וגם חיפוש של אישור ה-PAA לפי אמון Matter החנות.
  5. הנציב מאמת את פרטי האימות (attestation). אלה התנאים לאימות:
    • צריך לאמת את שרשרת אישורי DAC, כולל בדיקות ביטול מופעלות PAI ו-PAA.
    • VID ב-DAC תואם ל-VID שב-PAI.
    • חתימת האימות תקינה.
    • המזהה החד-פעמי (nonce) באלמנטים של אימות המכשיר תואם למזהה החד-פעמי שסופק על ידי המפקח.
    • החתימה על הצהרת האישור תקפה באמצעות אחד החתימה המוכרת של Alliance על הצהרת אישור מקשי קיצור.
    • פרטי הקושחה (אם הם קיימים ונתמכים על ידי המפקח) תואמים לרשומה בספר החשבונות המבוזר של תאימות.
    • גם אימותי VID/PID נוספים מתרחשים בין הגדרת Device Basic אשכול מידע, הצהרת אישורים ו-DAC.
הקודם
עמלה
הבא
פרוטוקול Thread ו-IPv6