Agora que entendemos alguns dos principais conceitos de um nó, vamos analisar o que permite que os dispositivos se comuniquem uns com os outros.
A especificação Matter usa métodos sofisticados para criptografar e descriptografar informações, bem como mecanismos seguros para garantir a identidade de um nó e compartilhar credenciais criptográficas.
Sempre que um conjunto de dispositivos em uma rede compartilha o mesmo domínio de segurança e, assim, permite uma comunicação segura entre nós, esse conjunto é chamado de Fabric. Os Fabric compartilham o mesmo certificado de nível superior da Autoridade de certificação (CA, na sigla em inglês) (Raiz de confiança) e, dentro do contexto da CA, um identificador exclusivo de 64 bits chamado ID do Fabric.
Assim, o processo de comissionamento é a atribuição das credenciais do Fabric a um novo nó para que ele possa se comunicar com outros nós no mesmo Fabric.
Credenciais operacionais
A raiz de confiança é definida em um nó sob comissionamento pelo comissário, normalmente um dispositivo com algum tipo de GUI, como um smartphone, hub ou computador, depois de recebê-lo de um gerenciador de domínio administrativo (ADM, na sigla em inglês), que geralmente é um ecossistema que atua como uma autoridade de certificação raiz confiável (CA, na sigla em inglês).
O comissário tem acesso à CA. Portanto, ela solicita as credenciais operacionais do nó da AC em nome do nó que está sendo comissionado ou do comissionado. As credenciais são compostas de duas partes:
O identificador operacional do nó (ou ID do nó operacional) é um número de 64 bits que identifica exclusivamente cada nó no Fabric.
O Certificado operacional do nó (NOC, na sigla em inglês) é o conjunto de credenciais que os nós usam para se comunicar e se identificar dentro de um Fabric. Elas são geradas pelo processo de Solicitação de Assinatura de Certificado Operacional do Nó (NOCSR, na sigla em inglês).
NOCSR é um procedimento executado no nó que está sendo comissionado. Ele vincula vários elementos criptográficos e os envia ao comissário, que solicita o ecossistema de CA para o NOC correspondente. A Figura 1 ilustra essa árvore de dependências e a ordem em que algumas operações ocorrem.
Embora entender cada elemento criptográfico seja importante para o desenvolvimento do SDK, está fora do escopo do Primer analisar completamente o papel e as implicações deles. É importante observar que:
- Os NOCs são emitidos pelo ecossistema da Califórnia em tecidos de produção do mundo real.
- Os NOCs são vinculados criptograficamente ao par de chaves operacionais do nó (NOKP, na sigla em inglês) exclusivo.
- O NOKP é gerado pelo nó que está sendo comissionado durante o processo de comissionamento.
- As informações de NOCSR enviadas ao ecossistema incluem a chave pública operacional do nó, mas a chave privada operacional do nó nunca é enviada ao comissionário ou à CA.
- O processo NOCSR usa entradas do Procedimento de atestado (link em inglês), assinando as informações do CSRSR e validando a solicitação para que a CA gere um NOC confiável.
O procedimento de atestado é um processo usado pelo Comissário para certificar que:
- O dispositivo recebeu a certificação Matter.
- O Dispositivo é de fato o que afirma ser: ele prova criptograficamente o fornecedor, o ID do produto e outras informações de fabricação.
Vários administradores
Os nós também podem ser comissionados em mais de um Fabric. Essa propriedade é conhecida como "multiadministrador". Por exemplo, podemos ter um Dispositivo comissionado para o Fabric do fabricante e o Fabric de um ecossistema de nuvem, sendo que cada Fabric processa um conjunto diferente de comunicações criptografadas e opera de forma independente.
Como vários Fabric podem coexistir, um dispositivo pode ter vários conjuntos de credenciais operacionais do nó. No entanto, o modelo de dados do nó é compartilhado: os atributos, eventos e ações do cluster são comuns entre os Fabric. Portanto, embora as credenciais Thread e/ou Wi-Fi sejam definidas durante o processo de comissionamento, elas fazem parte do cluster operacional de rede, sendo compartilhadas entre todos os Fabric e parte do DM do nó, não as credenciais do Fabric.