Agora que entendemos alguns conceitos importantes de um nó, vamos analisar o que permite que os dispositivos se comuniquem entre si.
A especificação Matter usa métodos sofisticados para criptografar e descriptografar informações, além de mecanismos seguros para garantir a identidade de um nó e compartilhar credenciais criptográficas.
Sempre que um conjunto de dispositivos em uma rede compartilha o mesmo domínio de segurança e permite a comunicação segura entre nós, esse conjunto é chamado de Fabric. Os fabrics compartilham o mesmo certificado de nível superior (raiz de confiança) da autoridade certificadora (AC) e, no contexto da AC, um identificador de 64 bits exclusivo chamado ID do fabric.
Portanto, o processo de comissionamento é a atribuição das credenciais do Fabric a um novo nó para que ele possa se comunicar com outros nós no mesmo Fabric.
Credenciais operacionais
A raiz de confiança é definida em um nó em comissionamento pelo comissário, normalmente um dispositivo com algum tipo de GUI, como um smartphone, hub ou computador, após ser recebida de um administrador de domínio administrativo (ADM), que muitas vezes será um ecossistema que atua como uma autoridade certificadora raiz de confiança (ACr).
O comissário tem acesso à CA. Assim, ele solicita as Credenciais operacionais do nó da AC em nome do nó que está sendo comissionado ou do comissionado. As credenciais são compostas por duas partes:
O identificador operacional do nó (ou ID operacional do nó) é um número de 64 bits que identifica exclusivamente cada nó no Fabric.
O certificado operacional do nó (NOC) é o conjunto de credenciais que os nós usam para se comunicar e se identificar em um Fabric. Elas são geradas pelo processo de solicitação de assinatura de certificado operacional do nó (NOCSR, na sigla em inglês).
NOCSR é um procedimento executado no nó em comissionamento. Ele vincula vários elementos criptográficos e os envia ao comissário, que solicita o ecossistema da AC para o NOC correspondente. A Figura 1 mostra essa árvore de dependências e a ordem em que algumas operações ocorrem.
Embora entender cada elemento criptográfico seja importante para o desenvolvimento do SDK, ele está fora do escopo da introdução para analisar completamente a função e as implicações deles. É importante observar que:
- As NOCs são emitidas pelo ecossistema da CA em tecidos de produção reais.
- Os NOCs são vinculados criptograficamente ao par de chaves operacionais de nó (NOKP) exclusivo.
- O NOKP é gerado pelo nó que está sendo comissionado durante o processo de comissionamento.
- As informações do NOCSR enviadas ao ecossistema incluem a chave pública operacional do nó, mas a chave privada operacional do nó nunca é enviada ao comissário ou à AC.
- O processo de NOCSR usa entradas do procedimento de atestado, assinando as informações do CSRSR e, assim, validando a solicitação para que a AC gere um NOC confiável.
O procedimento de atestado é um processo usado pelo comissário para certificar que:
- O dispositivo passou pela certificação Matter.
- O dispositivo é realmente o que ele afirma ser: ele prova criptograficamente o fornecedor, o ID do produto e outras informações de fabricação.
Multiadministrador
Os nós também podem ser comissionados em mais de um Fabric. Essa propriedade é frequentemente chamada de multiadministrador. Por exemplo, podemos ter um dispositivo encomendado para o Fabric do fabricante e o Fabric de um ecossistema de nuvem, com cada Fabric gerenciando um conjunto diferente de comunicações criptografadas e operando de forma independente.
Como vários Fabrics podem coexistir, um dispositivo pode ter vários conjuntos de credenciais operacionais de nó. No entanto, o modelo de dados do nó é compartilhado: os atributos, eventos e ações do cluster são comuns entre os Fabrics. Portanto, embora as credenciais Thread e/ou Wi-Fi sejam definidas durante o processo de comissionamento, elas fazem parte do cluster operacional de rede, sendo compartilhadas entre todos os Fabrics e parte do DM do nó, não das credenciais do Fabric.