Perangkat Tersertifikasi adalah Perangkat yang telah melalui Proses Sertifikasi Connectivity Standards Alliance (Alliance) Matter.
Selama proses commissioning, Perangkat Tersertifikasi harus mengesahkan sendiri. Dengan kata lain, perlu dibuktikan bahwa itulah yang diklaim, produk yang asli. Dengan demikian, semua Matter Perangkat memiliki kredensial yang mencakup pasangan kunci Pengesahan dan rantai sertifikat terkait. Sertifikat Pengesahan Perangkat (DAC) adalah bagian dari rantai ini. Setelah Perangkat yang sedang dijalankan {i>commissioning<i} menyajikan DAC kepada Commissioner-nya, menyatakan bahwa:
- perangkat itu dibuat oleh produsen bersertifikat.
- itu adalah perangkat asli.
- telah lulus uji kepatuhan Matter.
Selama fase pengembangan, produsen dapat menguji Perangkatnya tanpa proses Pengesahan penuh. Penguji harus secara jelas diberi tahu bahwa Perangkat sedang diuji, dan belum disertifikasi dan diluncurkan. Satu kali produsen memasuki fase produksi, yaitu ekosistem penyedia harus menerapkan semua persyaratan Pengesahan.
Pengesahan menggunakan Infrastruktur Kunci Publik (IKP) yang memanfaatkan Root Certificate Authority dan Intermediate Certificates, dengan cara yang mirip dengan sertifikat otentikasi server yang diadopsi secara luas yang digunakan untuk SSL/TLS. Proses ini disebut {i>Device Attestation Certificate Chain<i}.
IKP Pengesahan Perangkat
DAC adalah sertifikat X.509 v3. Versi pertama X.509 dipublikasikan pada 1988 oleh ITU-T. X.509 v3 dengan Sertifikat Infrastruktur Kunci Publik dan Daftar Pencabutan Sertifikat (CRL) yang digunakan oleh Matter ditentukan oleh RFC5280. Ini berisi:
- Kunci Publik
- Penerbit
- Subject
- Nomor Seri Sertifikat
- Validitas, saat masa berlaku habis mungkin tidak pasti
- Tanda Tangan
ID Vendor dan ID Produk adalah atribut MatterDACName
di DAC
subjek.
DAC bersifat unik untuk setiap perangkat dan terkait dengan pasangan kunci pengesahan unik dalam produk. Sertifikat ini diterbitkan oleh CA yang terkait dengan produsen Perangkat.
Tanda tangan DAC divalidasi berdasarkan Perantara Pengesahan Produk Sertifikat (PAI), yang juga dikeluarkan oleh PAA. Namun, vendor mungkin memilih untuk membuat satu PAI per produk (khusus PID), grup produk, atau untuk semua produknya.
Akar rantai kepercayaan, Product Attestation Authority Kunci publik PAA) Certificate Authority (CA) memvalidasi tanda tangan dari PAI. Perlu diketahui bahwa trust store Matter difederasi dan serangkaian sertifikat PAA yang dipercaya oleh komisaris dikelola dalam {i>database<i} tepercaya terpusat (Buku Besar Kepatuhan Terdistribusi). Entri PAA dalam set tepercaya mengharuskan pemenuhan kebijakan sertifikat yang dikelola oleh Alliance.
PAI juga merupakan sertifikat X.509 v3 yang mencakup:
- Kunci Publik
- Penerbit
- Subject
- Nomor Seri Sertifikat
- Validitas, saat masa berlaku habis mungkin tidak pasti
- Tanda Tangan
ID Vendor dan ID Produk (opsional) adalah atribut MatterDACName
dalam
subjek DAC.
Terakhir, PAA adalah sertifikat akar dalam rantai dan ditandatangani sendiri. Ini mencakup:
- Tanda Tangan
- Kunci Publik
- Penerbit
- Subject
- Nomor Seri Sertifikat
- Validitas
Dokumen Pengesahan Tambahan & Pesan
Proses pengesahan memiliki beberapa dokumen dan pesan. Item berikut adalah gambaran umum singkat tentang fungsi dan komposisinya. Gambar di bawah membantu pemahaman tentang hierarki mereka.
Dokumen | Deskripsi |
---|---|
Pernyataan Sertifikasi (CD) | CD memungkinkan
Matter perangkat
untuk membuktikan kepatuhannya terhadap
Protokol Matter.
Kapan pun
Matter
Proses Sertifikasi selesai,
Alliance membuat CD
untuk jenis perangkat
sehingga Vendor akan
memasukkannya dalam
{i>firmware<i}. CD berisi antara lain
informasi:
|
Informasi Firmware (opsional) | Informasi Firmware berisi
Nomor Versi CD dan satu atau lebih
ringkasan komponen dalam
{i>firmware<i}, seperti OS, sistem file,
{i>bootloader<i}. Intisari dapat berupa
{i>hash <i}dari komponen
perangkat lunak atau
{i>hash <i}dari manifes yang ditandatangani dari
komponen software. vendor mungkin juga memilih untuk hanya sertakan dalam Informasi Firmware "hash-of-hash" dari komponen, alih-alih susunan hash individual. Firmware Informasi adalah elemen opsional dalam Proses Pengesahan dan berlaku saat vendor memiliki lingkungan booting yang menangani Pasangan kunci pengesahan. |
Informasi Pengesahan | Pesan dikirim dari Commissionee ke Komisaris. Pengesahan Informasi menggabungkan TLV yang berisi Elemen Pengesahan dan Tanda Tangan Pengesahan. |
Elemen Pengesahan | Ini adalah TLV yang berisi:
|
Tantangan Pengesahan | Tantangan luar biasa yang muncul selama Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) sesi pendirian dan digunakan untuk mengamankan prosedur dan menghindari pengulangan tanda tangan. Hadir dari CASE sesi, PASE sesi atau dilanjutkan CASE sesi. |
TBS pengesahan (akan ditandatangani) | Pesan yang berisi Pengesahan Elemen dan Tantangan Pengesahan. |
Tanda Tangan Pengesahan | Tanda Tangan Pengesahan TBS, ditandatangani menggunakan Pengesahan Perangkat Kunci Pribadi. |
Prosedur Pengesahan
Komisaris bertanggung jawab untuk membuktikan Komisaris. Fungsi ini menjalankan langkah-langkah berikut:
- Commissioner menghasilkan nonce pengesahan 32 byte acak. Dalam kriptografi nonce (angka yang digunakan sekali) adalah angka acak yang dihasilkan dalam prosedur kriptografi dan dimaksudkan untuk digunakan sekali.
- Commissioner mengirimkan nonce ke DUT dan meminta Pengesahan Informasi.
- DUT menghasilkan Informasi Pengesahan dan menandatanganinya dengan Pengesahan Kunci Pribadi.
- Commissioner memulihkan sertifikat DAC dan PAI dari Perangkat, dan mencari sertifikat PAA dari Matter trust-nya Anda.
- Commissioner memvalidasi Informasi Pengesahan. Berikut adalah kondisi
untuk validasi:
- Rantai sertifikat DAC harus divalidasi, termasuk pemeriksaan pencabutan pada PAI dan PAA.
- VID pada DAC cocok dengan VID di PAI.
- Tanda Tangan Pengesahan valid.
- Nonce dalam Elemen Pengesahan Perangkat cocok dengan nonce yang diberikan oleh Commissioner.
- Tanda Tangan Pernyataan Sertifikat valid menggunakan salah satu kunci penandatanganan Pernyataan Sertifikat yang dikenal baik dari Alliance.
- Informasi Firmware (jika ada dan didukung oleh Commissioner) yang cocok entri dalam Buku Besar Kepatuhan Terdistribusi.
- Validasi VID/PID tambahan juga dilakukan di antara Perangkat Dasar Cluster Informasi, Pernyataan Sertifikasi, dan DAC.