Agora que entendemos alguns dos principais conceitos de um nó, vamos analisar o que permite que os dispositivos se comuniquem uns com os outros.
A especificação Matter usa métodos sofisticados para criptografar e descriptografar informações, bem como mecanismos seguros para garantir a identidade de um nó e compartilhar credenciais criptográficas.
Sempre que um conjunto de dispositivos em uma rede compartilha o mesmo domínio de segurança e, portanto, permite uma comunicação segura entre nós, esse conjunto é chamado de Fabric. Os Fabrics compartilham o mesmo certificado de nível superior da Autoridade de certificação (CA, na sigla em inglês) (Root of Trust) e, no contexto da CA, um identificador exclusivo de 64 bits chamado Fabric ID.
Assim, o processo de comissionamento é a atribuição das credenciais do Fabric a um novo nó para que ele possa se comunicar com outros nós no mesmo Fabric.
Credenciais operacionais
A raiz de confiança é definida em um nó sendo comissionado pelo comissário, normalmente um dispositivo com algum tipo de GUI, como um smartphone, hub ou computador, depois de recebê-lo de um gerenciador de domínio administrativo (ADM, na sigla em inglês), que geralmente será um ecossistema que atua como uma autoridade de certificação raiz confiável (CA, na sigla em inglês).
O comissário tem acesso à CA. Portanto, ele solicita as credenciais operacionais do nó da CA em nome do nó que está sendo comissionado ou do comissionado. As credenciais são compostas de duas partes:
O identificador operacional do nó (ou ID do nó operacional) é um número de 64 bits que identifica exclusivamente cada nó no Fabric.
O Certificado operacional do nó (NOC, na sigla em inglês) é o conjunto de credenciais que os nós usam para se comunicar e se identificar em um Fabric. Eles são gerados pelo processo de solicitação de assinatura de certificado operacional do nó (NOCSR, na sigla em inglês).
NOCSR é um procedimento executado no nó que está sendo comissionado. Ela vincula vários elementos criptográficos e os envia ao comissário, que solicita o NOC correspondente ao ecossistema de AC. A Figura 1 ilustra essa árvore de dependências e a ordem em que algumas operações ocorrem.
Embora entender cada elemento criptográfico seja importante para o desenvolvimento do SDK, analisar totalmente o papel e as implicações deles está fora do escopo da introdução. Vale ressaltar que:
- Os NOCs são emitidos pelo ecossistema de CA em tecidos de produção reais.
- Os NOCs são vinculados criptograficamente ao par de chaves operacionais do nó exclusivo (NOKP).
- O NOKP é gerado pelo nó que está sendo comissionado durante o processo de comissionamento.
- As informações NOCSR enviadas ao ecossistema incluem a chave pública operacional do nó, mas a chave privada operacional do nó nunca é enviada ao comissário ou à CA.
- O processo NOCSR usa entradas do Procedimento de atestado, assinando as informações do CSRSR e, assim, validando a solicitação para que a CA gere um NOC confiável.
O Procedimento de atestado é um processo usado pelo Comissário para certificar que:
- O dispositivo passou pela certificação Matter.
- O dispositivo é de fato é o que diz ser: ele prova criptograficamente o fornecedor, o ID do produto e outras informações de fabricação.
Vários administradores
Os nós também podem ser encomendados em mais de um Fabric. Essa propriedade é frequentemente chamada de multiadministrador. Por exemplo, podemos ter um dispositivo encomendado para o Fabric do fabricante e para o Fabric de um ecossistema de nuvem, com cada Fabric processando um conjunto diferente de comunicações criptografadas e operando de forma independente.
Como vários Fabrics podem coexistir, um dispositivo pode ter vários conjuntos de credenciais operacionais do nó. No entanto, o modelo de dados do nó é compartilhado: os atributos, os eventos e as ações do cluster são comuns entre os Fabrics. Assim, embora as credenciais Thread e/ou Wi-Fi sejam definidas durante o processo de comissionamento, elas fazem parte do cluster operacional de rede, sendo compartilhado entre todos os Fabrics e parte do DM do nó, não as credenciais do Fabric.