Onay

Sertifikalı Cihazlar, Connectivity Standards Alliance (Alliance) Matter Sertifika sürecinden geçmiş Cihazlardır.

Devreye alma işlemi sırasında Sertifikalı bir cihazın kendisini onaylaması gerekir. Diğer bir deyişle, ürünün iddia edildiği gibi olduğunu ve orijinal bir ürün olduğunu kanıtlaması gerekir. Bu nedenle tüm Matter Cihazları, Onay anahtar çiftini ve ilişkili bir sertifika zincirini içeren kimlik bilgilerine sahiptir. Cihaz Onay Sertifikası (DAC) bu zincirin bir parçasıdır. Devreye alınan cihaz, DAC'yi yetkiliye sunduğunda cihaz şu bilgileri onaylar:

  • sertifikalı bir üretici tarafından üretilmiştir.
  • orijinal bir cihaz.
  • Matter uygunluk testini geçti.

Geliştirme aşamasında üretici, tam Onay süreci olmadan Cihazlarını test edebilir. Test kullanıcılarına, Cihazın test aşamasında olduğu ve cihazın henüz sertifikalı olmadığı ve kullanıma sunulmadığı açıkça bildirilmelidir. Bir üretici üretim aşamasına geçtikten sonra, tedarikçi ekosisteminin tüm Onay gerekliliklerini zorunlu kılması gerekir.

Onay, SSL/TLS için yaygın olarak kullanılan sunucu kimlik doğrulama sertifikalarına benzer şekilde, Kök Sertifika Yetkilileri ve Ara Sertifikalardan yararlanan bir Ortak Anahtar Altyapısı (PKI) kullanır. Bu sürece Cihaz Onay Sertifika Zinciri denir.

Cihaz Onayı PKI

DAC, X.509 v3 sertifikasıdır. X.509'un ilk sürümü 1988'de ITU-T tarafından yayınlandı. Matter tarafından kullanılan Ortak Anahtar Altyapısı Sertifikası ve Sertifika İptal Listesi'ne (CRL) sahip X.509 v3, RFC5280 tarafından belirtilir. Şunları içerir:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik (geçerlilik bitiş tarihinin belirsiz olabileceği)
  • İmza

Tedarikçi firma kimliği ve Ürün kimliği, DAC konusundaki MatterDACName özellikleridir.

DAC her cihaz için benzersizdir ve ürün içindeki benzersiz onay anahtarı çiftiyle ilişkilendirilir. Cihaz üreticisiyle ilişkili bir CA tarafından verilir.

DAC'nin imzası, PAA tarafından da verilen Ürün Onayı Ara Sertifikası'na (PAI) göre doğrulanır. Ancak bir tedarikçi, ürün başına (PID'ye özel), ürün grubu veya tüm ürünleri için bir PAI oluşturmayı tercih edebilir.

Güven zincirinin kökünde, Ürün Onay Yetkilisi (PAA) Sertifika Yetkilisi (CA) ortak anahtarı, PAI'dan alınan imzaları doğrular. Matter güven deposunun federe olduğunu ve komisyon üyeleri tarafından güvenilen PAA sertifikaları grubunun merkezi güvenilir bir veritabanında (Dağıtılmış Uygunluk Ledger) tutulduğunu unutmayın. Güvenilir küme içinde bir PAA girişi yapmak için Alliance tarafından yönetilen bir sertifika politikasına uyulması gerekir.

Konu Onayı Ortak Anahtar Altyapısı
Şekil 1: Konu Onayı Ortak Anahtar Altyapısı

PAI aynı zamanda aşağıdakileri içeren bir X.509 v3 sertifikasıdır:

  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik (geçerlilik bitiş tarihinin belirsiz olabileceği)
  • İmza

Tedarikçi kimliği ve ürün kimliği (isteğe bağlı olarak), DAC konusundaki MatterDACName özellikleridir.

Son olarak PAA, zincirdeki kök sertifikadır ve kendinden imzalıdır. Şunları içerir:

  • İmza
  • Ortak Anahtar
  • Düzenleyen
  • Konu
  • Sertifika Seri Numarası
  • Geçerlilik

Ek Onay Belgeleri ve İletileri

Onay işleminde çeşitli dokümanlar ve iletiler bulunur. Aşağıda işlevlerine ve bileşimlerine ilişkin kısa bir genel bakış sunulmuştur. Aşağıdaki görsel, bunların hiyerarşisini anlamanıza yardımcı olacaktır.

Onay Belgesi Hiyerarşisi
Şekil 2: Onay Belgesi Hiyerarşisi
Doküman Açıklama
Sertifika Beyanı (CD) CD, Matter cihazının Matter protokolüyle uyumlu olduğunu kanıtlamasını sağlar. Matter Sertifika İşlemleri tamamlandığında Alliance, cihaz türü için bir CD oluşturur. Böylece Tedarikçi, bu belgeyi donanım yazılımına ekleyebilir. CD, diğer bilgilerin yanı sıra aşağıdaki bilgileri de içerir:
  • VID
  • PID (bir veya daha fazla)
  • Sunucu Kategorisi Kimliği
  • Müşteri Kategorisi Kimliği
  • Güvenlik Düzeyi
  • Güvenlik Bilgileri
  • Sertifika Türü (geliştirme, geçici veya resmi)
  • İmza
Donanım Yazılımı Bilgileri (isteğe bağlı) Donanım Yazılımı Bilgileri, CD Sürüm Numarasını ve donanım yazılımındaki işletim sistemi, dosya sistemi, bootloader gibi bileşenlerin bir veya daha fazla özetini içerir. Özetler, yazılım bileşenlerinin bir karması veya yazılım bileşenlerinin imzalı manifestlerinin karması olabilir.

Tedarikçi firma, bağımsız karmalar dizisi yerine Donanım Yazılımı Bilgilerine yalnızca bileşenlerinin "karma karmalarını" eklemeyi de tercih edebilir.

Donanım Yazılımı Bilgileri, uygulama

belleğe ait bir uygulama anahtarı çiftine sahip olduğunda Donanım Yazılımı Bilgileri isteğe bağlı bir öğedir.
Onay Bilgileri Direktörden gelen mesaj. Onay Bilgileri, Onay Öğeleri'ni içeren bir TLV ile Onay İmzası'nı birleştirir.
Onay Öğeleri Bu, şunu içeren bir TLV'dir:

  • Sertifika Beyanı
  • Zaman damgası
  • Onay Tekli
  • Donanım Yazılımı Bilgileri (isteğe bağlı)
  • Tedarikçiye Özel bilgiler (isteğe bağlı)
Onay Yarışması Bant dışı giriş sorgulaması, Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) oturumu kurulurken elde edilir ve prosedürü daha da güvenli hale getirmek ve tekrar oynatılan imzaları önlemek için kullanılır. CASE, PASE veya devam ettirilen CASE oturumundan gelir.
Onay TBS (imzalanacak) Onay Öğeleri ve Onay Yarışması'nı içeren mesaj.
Onay İmzası Cihaz Onayı Özel Anahtarı kullanılarak imzalanan Onay TBS'nin imzası.

Onay Prosedürü

Direktör, komisyon temsilcisini tasdik etmekten sorumludur. Aşağıdaki adımları yürütür:

  1. Yetkili, rastgele 32 baytlık bir onay tek seferlik rastgele sayısı oluşturur. Kriptografi jargonda tek seferlik rastgele bir sayı (bir kez kullanılan sayı), kriptografi prosedüründe oluşturulan ve bir kez kullanılması amaçlanan rastgele bir sayıdır.
  2. Yetkili, tek seferlik rastgele sayıyı DUT'a gönderir ve onay bilgilerini ister.
  3. DUT, Onay Bilgileri'ni oluşturur ve Onay Özel Anahtarı ile imzalar.
  4. Yetkili, Cihazdan DAC ve PAI sertifikasını kurtarır ve Matter güven deposundan PAA sertifikasını arar.
  5. Yetkili, onay bilgilerini doğrular. Doğrulama koşulları şunlardır:
    • PAI ve PAA'daki iptal kontrolleri dahil olmak üzere DAC sertifika zinciri doğrulanmalıdır.
    • DAC'deki VID, PAI'daki VID ile eşleşiyor.
    • Onay İmzası geçerlidir.
    • Cihaz Onay Öğelerindeki Nonce, Komisyoncu tarafından sağlanan tek seferlik rastgele sayıyla eşleşir.
    • Sertifika Beyanı İmzası, Alliance ürününün bilinen Sertifika Beyanı imzalama anahtarlarından biri kullanılarak geçerlidir.
    • Donanım Yazılımı Bilgileri (mevcutsa ve Yetkili tarafından destekleniyorsa), Dağıtılmış Uygunluk Defteri'ndeki bir girişle eşleşir.
    • Cihaz Temel Bilgi Kümesi, Sertifika Beyanı ve DAC arasında ek VID/PID doğrulamaları da gerçekleşir.
Önceki
Komisyon
Sonraki
Mesaj dizisi ve IPv6