Pengesahan

Perangkat Tersertifikasi adalah Perangkat yang telah melalui Proses Sertifikasi Connectivity Standards Alliance (Alliance) Matter.

Selama proses commissioning, Perangkat Tersertifikasi harus mengesahkan sendiri. Dengan kata lain, perlu dibuktikan bahwa itulah yang diklaim, produk yang asli. Dengan demikian, semua Matter Perangkat memiliki kredensial yang mencakup pasangan kunci Pengesahan dan rantai sertifikat terkait. Sertifikat Pengesahan Perangkat (DAC) adalah bagian dari rantai ini. Setelah Perangkat yang sedang dijalankan {i>commissioning<i} menyajikan DAC kepada Commissioner-nya, menyatakan bahwa:

  • perangkat itu dibuat oleh produsen bersertifikat.
  • itu adalah perangkat asli.
  • telah lulus uji kepatuhan Matter.

Selama fase pengembangan, produsen dapat menguji Perangkatnya tanpa proses Pengesahan penuh. Penguji harus secara jelas diberi tahu bahwa Perangkat sedang diuji, dan belum disertifikasi dan diluncurkan. Satu kali produsen memasuki fase produksi, yaitu ekosistem penyedia harus menerapkan semua persyaratan Pengesahan.

Pengesahan menggunakan Infrastruktur Kunci Publik (IKP) yang memanfaatkan Root Certificate Authority dan Intermediate Certificates, dengan cara yang mirip dengan sertifikat otentikasi server yang diadopsi secara luas yang digunakan untuk SSL/TLS. Proses ini disebut {i>Device Attestation Certificate Chain<i}.

IKP Pengesahan Perangkat

DAC adalah sertifikat X.509 v3. Versi pertama X.509 dipublikasikan pada 1988 oleh ITU-T. X.509 v3 dengan Sertifikat Infrastruktur Kunci Publik dan Daftar Pencabutan Sertifikat (CRL) yang digunakan oleh Matter ditentukan oleh RFC5280. Ini berisi:

  • Kunci Publik
  • Penerbit
  • Subject
  • Nomor Seri Sertifikat
  • Validitas, saat masa berlaku habis mungkin tidak pasti
  • Tanda Tangan

ID Vendor dan ID Produk adalah atribut MatterDACName di DAC subjek.

DAC bersifat unik untuk setiap perangkat dan terkait dengan pasangan kunci pengesahan unik dalam produk. Sertifikat ini diterbitkan oleh CA yang terkait dengan produsen Perangkat.

Tanda tangan DAC divalidasi berdasarkan Perantara Pengesahan Produk Sertifikat (PAI), yang juga dikeluarkan oleh PAA. Namun, vendor mungkin memilih untuk membuat satu PAI per produk (khusus PID), grup produk, atau untuk semua produknya.

Akar rantai kepercayaan, Product Attestation Authority Kunci publik PAA) Certificate Authority (CA) memvalidasi tanda tangan dari PAI. Perlu diketahui bahwa trust store Matter difederasi dan serangkaian sertifikat PAA yang dipercaya oleh komisaris dikelola dalam {i>database<i} tepercaya terpusat (Buku Besar Kepatuhan Terdistribusi). Entri PAA dalam set tepercaya mengharuskan pemenuhan kebijakan sertifikat yang dikelola oleh Alliance.

Infrastruktur Kunci Publik Pengesahan Matter
Gambar 1: Infrastruktur Kunci Publik Pengesahan Matter

PAI juga merupakan sertifikat X.509 v3 yang mencakup:

  • Kunci Publik
  • Penerbit
  • Subject
  • Nomor Seri Sertifikat
  • Validitas, saat masa berlaku habis mungkin tidak pasti
  • Tanda Tangan

ID Vendor dan ID Produk (opsional) adalah atribut MatterDACName dalam subjek DAC.

Terakhir, PAA adalah sertifikat akar dalam rantai dan ditandatangani sendiri. Ini mencakup:

  • Tanda Tangan
  • Kunci Publik
  • Penerbit
  • Subject
  • Nomor Seri Sertifikat
  • Validitas

Dokumen Pengesahan Tambahan & Pesan

Proses pengesahan memiliki beberapa dokumen dan pesan. Item berikut adalah gambaran umum singkat tentang fungsi dan komposisinya. Gambar di bawah membantu pemahaman tentang hierarki mereka.

Hierarki Dokumen Pengesahan
Gambar 2: Hierarki Dokumen Pengesahan
Dokumen Deskripsi
Pernyataan Sertifikasi (CD) CD memungkinkan Matter perangkat untuk membuktikan kepatuhannya terhadap Protokol Matter. Kapan pun Matter Proses Sertifikasi selesai, Alliance membuat CD untuk jenis perangkat sehingga Vendor akan memasukkannya dalam {i>firmware<i}. CD berisi antara lain informasi:
  • VID
  • PID (satu atau beberapa)
  • ID Kategori Server
  • ID Kategori Klien
  • Tingkat Keamanan
  • Keamanan Lumen
  • Sertifikasi Jenis (pengembangan, sementara, atau resmi)
  • Tanda Tangan
Informasi Firmware (opsional) Informasi Firmware berisi Nomor Versi CD dan satu atau lebih ringkasan komponen dalam {i>firmware<i}, seperti OS, sistem file, {i>bootloader<i}. Intisari dapat berupa {i>hash <i}dari komponen perangkat lunak atau {i>hash <i}dari manifes yang ditandatangani dari komponen software.

vendor mungkin juga memilih untuk hanya sertakan dalam Informasi Firmware "hash-of-hash" dari komponen, alih-alih susunan hash individual.

Firmware Informasi adalah elemen opsional dalam Proses Pengesahan dan berlaku saat vendor memiliki lingkungan booting yang menangani Pasangan kunci pengesahan.
Informasi Pengesahan Pesan dikirim dari Commissionee ke Komisaris. Pengesahan Informasi menggabungkan TLV yang berisi Elemen Pengesahan dan Tanda Tangan Pengesahan.
Elemen Pengesahan Ini adalah TLV yang berisi:

  • Sertifikat Pernyataan
  • Stempel waktu
  • Nonce Pengesahan
  • Informasi Firmware (opsional)
  • Informasi Khusus Vendor (opsional)
Tantangan Pengesahan Tantangan luar biasa yang muncul selama Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) sesi pendirian dan digunakan untuk mengamankan prosedur dan menghindari pengulangan tanda tangan. Hadir dari CASE sesi, PASE sesi atau dilanjutkan CASE sesi.
TBS pengesahan (akan ditandatangani) Pesan yang berisi Pengesahan Elemen dan Tantangan Pengesahan.
Tanda Tangan Pengesahan Tanda Tangan Pengesahan TBS, ditandatangani menggunakan Pengesahan Perangkat Kunci Pribadi.

Prosedur Pengesahan

Komisaris bertanggung jawab untuk membuktikan Komisaris. Fungsi ini menjalankan langkah-langkah berikut:

  1. Commissioner menghasilkan nonce pengesahan 32 byte acak. Dalam kriptografi nonce (angka yang digunakan sekali) adalah angka acak yang dihasilkan dalam prosedur kriptografi dan dimaksudkan untuk digunakan sekali.
  2. Commissioner mengirimkan nonce ke DUT dan meminta Pengesahan Informasi.
  3. DUT menghasilkan Informasi Pengesahan dan menandatanganinya dengan Pengesahan Kunci Pribadi.
  4. Commissioner memulihkan sertifikat DAC dan PAI dari Perangkat, dan mencari sertifikat PAA dari Matter trust-nya Anda.
  5. Commissioner memvalidasi Informasi Pengesahan. Berikut adalah kondisi untuk validasi:
    • Rantai sertifikat DAC harus divalidasi, termasuk pemeriksaan pencabutan pada PAI dan PAA.
    • VID pada DAC cocok dengan VID di PAI.
    • Tanda Tangan Pengesahan valid.
    • Nonce dalam Elemen Pengesahan Perangkat cocok dengan nonce yang diberikan oleh Commissioner.
    • Tanda Tangan Pernyataan Sertifikat valid menggunakan salah satu kunci penandatanganan Pernyataan Sertifikat yang dikenal baik dari Alliance.
    • Informasi Firmware (jika ada dan didukung oleh Commissioner) yang cocok entri dalam Buku Besar Kepatuhan Terdistribusi.
    • Validasi VID/PID tambahan juga dilakukan di antara Perangkat Dasar Cluster Informasi, Pernyataan Sertifikasi, dan DAC.