Ora che abbiamo capito alcuni concetti chiave di un Nodo, analizziamo cosa consente ai dispositivi di comunicare tra loro.
La specifica Matter utilizza metodi sofisticati per la crittografia e la decriptazione delle informazioni, nonché meccanismi sicuri per garantire l'identità di un Nodo e la condivisione delle credenziali crittografiche.
Un insieme di dispositivi in una rete che condivide lo stesso dominio di sicurezza, consentendo così la comunicazione sicura tra i Nodi, viene definito un'Infrastruttura. I fabric condividono lo stesso certificato di primo livello dell'autorità di certificazione (CA) (radice di attendibilità) e, nel contesto della CA, un identificatore univoco a 64 bit denominato ID Fabric.
Di conseguenza, il processo di commissione corrisponde all'assegnazione delle credenziali dell'Infrastruttura a un nuovo Nodo in modo che possa comunicare con altri Nodi nella stessa Infrastruttura.
Credenziali operative
La radice di attendibilità viene impostata su un nodo commissionato dal Commissioner, in genere un dispositivo con un determinato tipo di GUI, come uno smartphone, un hub o un computer, dopo averlo ricevuto da un Amministratore di dominio (ADM), che spesso è un ecosistema che funge da Autorità di certificazione radice attendibile (CA).
Il Commissioner ha accesso alla CA. Richiede quindi le credenziali operative del nodo dalla CA per conto del nodo commissionato o della Commissione. Le credenziali sono composte da due parti:
Node Operational Identifier (o ID nodo operativo) è un numero a 64 bit che identifica in modo univoco ogni Nodo nell'Infrastruttura.
Il node Operational Certificate (NOC) è l'insieme di credenziali che i nodi utilizzano per comunicare e identificarsi all'interno di un'Infrastruttura. Vengono generate dal processo Node Operational Certificate Signing Request (NOCSR).
NOCSR è una procedura che viene eseguita sul nodo in fase di messa in servizio. Associa diversi elementi crittografici, quindi li invia al Commissioner, che richiede all'ecosistema CA il NOC corrispondente. La Figura 1 illustra questa struttura delle dipendenze e l'ordine in cui si verificano alcune operazioni.
Sebbene la comprensione di ogni elemento crittografico sia importante per lo sviluppo dell'SDK, non rientra nell'ambito di Primer analizzarne completamente il ruolo e le implicazioni. È importante notare che:
- I NOC vengono emessi dall'ecosistema CA su tessuti di produzione reali.
- I NOC sono legati tramite crittografia alla coppia di chiavi operative del nodo univoca (NOKP).
- Il valore NOKP viene generato dal nodo commissionato durante il processo di messa in servizio.
- Le informazioni NOCSR inviate all'ecosistema includono la chiave pubblica operativa del nodo, ma la chiave privata operativa del nodo non viene mai inviata al Commissioner o alla CA.
- Il processo NOCSR utilizza gli input della procedura di attestazione, firmando le informazioni CSRSR e convalidando così la richiesta affinché la CA generi un NOC attendibile.
La procedura di attestazione è una procedura utilizzata dal Commissioner per certificare che:
- Il Dispositivo ha ottenuto la certificazione Matter.
- Il Dispositivo è davvero ciò che dichiara di essere: dimostra crittograficamente il suo fornitore, l'ID prodotto e altre informazioni sulla produzione.
Multi-amministratore
I nodi possono anche essere commissionati su più di un'Infrastruttura. Questa proprietà è spesso definita con più amministratori. Ad esempio, potremmo avere un Dispositivo commissionato sia all'Infrastruttura del produttore che all'Infrastruttura di un ecosistema cloud, in cui ogni Fabric gestisce un insieme diverso di comunicazioni criptate e funziona in modo indipendente.
Poiché più fabric possono coesistere, un dispositivo potrebbe avere diversi insiemi di credenziali operative del Nodo. Tuttavia, il modello dei dati del nodo è condiviso: gli attributi del cluster, gli eventi e le azioni sono comuni tra le strutture. Di conseguenza, sebbene le credenziali Thread e/o Wi-Fi siano impostate durante il processo di messa in servizio, fanno parte del cluster operativo di rete, vengono condivise tra tutte le strutture e parte del messaggio diretto del nodo, non le credenziali dell'Infrastruttura.