Attestazione

I Dispositivi certificati sono Dispositivi che sono stati sottoposti a Connectivity Standards Alliance (Alliance) Procedura di certificazione Matter.

Durante la procedura di messa in servizio, un Dispositivo certificato deve attestare se stesso. In altre parole, deve dimostrare che è ciò che afferma di essere e che è un prodotto originale. Di conseguenza, tutti i dispositivi Matter hanno credenziali che comprendono la coppia di chiavi di attestazione e una catena di certificati associata. Il certificato di attestazione del dispositivo (DAC) fa parte di questa catena. Una volta Il dispositivo in fase di messa in servizio presenta il DAC al proprio Commissioner, quest'ultimo certifica che:

  • sia stato prodotto da un produttore certificato.
  • si tratta di un dispositivo originale.
  • ha superato Matter test di conformità.

Durante la fase di sviluppo, il produttore può testare i propri Dispositivi senza il processo di Attestazione completo. I tester devono essere esplicitamente informati che Il dispositivo è in fase di test e non è stato ancora certificato né lanciato. Una volta un produttore entra in una fase di produzione, l'ecosistema del provisioner devono applicare tutti i requisiti di attestazione.

L'attestazione utilizza un'infrastruttura a chiave pubblica (PKI) che sfrutta il root le autorità di certificazione e i certificati intermedi, in modo simile certificati di autenticazione del server ampiamente adottati per SSL/TLS. Questa procedura è chiamata catena di certificati di attestazione del dispositivo.

PKI di attestazione dispositivo

Il DAC è un certificato X.509 v3. La prima versione di X.509 è stata pubblicata in 1988 dell'ITU-T. X.509 v3 con certificato di infrastruttura a chiave pubblica e L'elenco revoche certificati (CRL) utilizzato da Matter è specificato da RFC5280. Contiene:

  • Chiave pubblica
  • Emittente
  • Oggetto
  • Numero di serie del certificato
  • Validità, dove la scadenza può essere indeterminata
  • Firma

L'ID fornitore e l'ID prodotto sono attributi di MatterDACName nel DAC soggetto.

Il DAC è univoco per dispositivo ed è associato alla coppia di chiavi di attestazione unica all'interno del prodotto. Viene emesso da una CA associata al produttore del dispositivo.

La firma del DAC viene convalidata in base al Product Attestation Intermediate Certificate (PAI), emesso anch'esso da un'APA. Tuttavia, un fornitore potrebbe puoi scegliere di creare un PAI per prodotto (specifico per PID), gruppo di prodotti o tutti i suoi prodotti.

Alla radice della catena di attendibilità, la chiave pubblica dell'autorità di certificazione (CA) dell'autorità di certificazione del prodotto (PAA) convalida le firme del PAI. Tieni presente che l'archivio di attendibilità Matter è federato e l'insieme di certificati PAA attendibili dai commissari viene gestito in un database attendibile centrale (Distributed Compliance Ledger). Inserimento di un PAA del set attendibile richiede la conformità a un criterio di certificato gestito Alliance.

Infrastruttura a chiave pubblica di attestazione della materia
Figura 1: infrastruttura a chiave pubblica Matter Attestation

Il PAI è anche un certificato X.509 v3 che include:

  • Chiave pubblica
  • Emittente
  • Oggetto
  • Numero di serie del certificato
  • Validità, dove la scadenza può essere indeterminata
  • Firma

ID fornitore e ID prodotto (facoltativamente) sono attributi dell'attributo MatterDACName in soggetto al DAC.

Infine, il PAA è il certificato radice della catena ed è autofirmato. tra cui:

  • Firma
  • Chiave pubblica
  • Emittente
  • Oggetto
  • Numero di serie del certificato
  • Validità

Altri documenti di attestazione e Messaggi

La procedura di attestazione prevede diversi documenti e messaggi. I seguenti elementi una breve panoramica della loro funzione e composizione. L'immagine seguente è utile per la comprensione della loro gerarchia.

Gerarchia dei documenti di attestazione
Figura 2: gerarchia dei documenti di attestazione
Documento Descrizione
Dichiarazione di certificazione (CD) Il CD consente al Matter device di dimostrare la sua conformità al Matter protocollo. Ogni volta che Matter I processi di certificazione terminano, Alliance crea un CD per il tipo di dispositivo in modo che il Fornitore possa includerlo completamente gestito di Google Cloud. Il CD include, tra le altre informazioni:
  • VID
  • PID (uno o più)
  • Categoria server ID
  • ID categoria cliente
  • Livello di sicurezza
  • Sicurezza Informazioni
  • Certificazione Tipo (sviluppo, provvisorio o ufficiale)
  • Firma
Informazioni firmware (facoltativo) La sezione Informazioni sul firmware contiene il numero di versione del CD e uno o più digest dei componenti del firmware, ad esempio il sistema operativo, il file system e il bootloader. Le sintesi possono essere un hash dei componenti software un hash dei manifest firmati componenti software.

L' potrebbe anche decidere di includi solo nelle informazioni firmware il cosiddetto "hash-of-hash" dei suoi anziché un array di componenti singoli hash.

Firmware Le informazioni sono un elemento facoltativo il processo di attestazione e sono applicabili quando un fornitore dispone di una che gestisce l'ambiente di avvio Coppia di chiavi di attestazione.
Informazioni sull'attestazione Messaggio inviato dalla Commissionee a il commissario. L'attestazione Le informazioni combinano una TLV contenente Elementi di attestazione e un Firma dell'attestazione.
Elementi di attestazione Si tratta di un TLV contenente:

  • Certificato Dichiarazione
  • Timestamp
  • Attestazione Nonce
  • Informazioni firmware (facoltativo)
  • Specifico del fornitore informazioni (facoltativo)
Sfida attestazione Challenge fuori banda ottenuta durante Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) sessione e utilizzata per proteggere ulteriormente la procedura ed evitare la riproduzione di firme. Disponibile da CASE sessione, PASE sessione ripresa o CASE sessione.
Attestazione (da firmare) Messaggio contenente gli elementi di attestazione e la verifica di attestazione.
Firma attestazione Firma della TBS dell'attestazione, firmato utilizzando l'attestazione del dispositivo Chiave privata.

Procedura di certificazione

Il commissario ha la responsabilità di attestare la Commissionee. Esegue seguenti passaggi:

  1. Commissioner genera un nonce di attestazione casuale di 32 byte. In ambito crittografico un nonce (numero utilizzato una volta) è un numero casuale generato e deve essere usata una sola volta.
  2. Il commissario invia il nonce al DUT e richiede l'attestazione Informazioni.
  3. DUT genera le Informazioni sull'attestazione e le firma con quest'ultima Chiave privata.
  4. Il Commissioner recupera il DAC e il certificato PAI dal dispositivo e cerca il certificato PAA dalla relativa attendibilità Matter .
  5. Il Commissioner convalida le Informazioni sull'attestazione. Queste sono le condizioni per la convalida:
    • La catena di certificati DAC deve essere convalidata, inclusi i controlli di revoca su PAI e PAA.
    • Il VID sul DAC corrisponde al VID sul PAI.
    • La firma di attestazione è valida.
    • Il nonce negli elementi di attestazione del dispositivo corrisponde a quello fornito dal Commissioner.
    • La firma della dichiarazione del certificato è valida utilizzando uno dei seguenti metodi: La nota Dichiarazione di certificazione di Alliance chiave.
    • Le informazioni del firmware (se presenti e supportate dal Commissioner) corrispondono una voce nel Distributed Compliance Ledger.
    • Vengono effettuate anche convalide VID/PID aggiuntive tra il dispositivo di base Cluster di informazioni, dichiarazione di certificazione e DAC.
Indietro
Commissioning
Avanti
Thread e IPv6