赞
踩
乐鑫 Matter 系列文章 #10
在之前的多篇博客文章中,我们从不同方面介绍了 Matter,其中包括 Matter 的安全模型。简单回顾一下,Matter 的安全模型基于 PKI(即公钥基础设施)机制,可用于建立和管理数字证书、加密密钥和安全通信框架。更多详情,请查看 Matter 安全模型。
在 Matter 的世界中,每个设备都有自己的唯一身份标识,即 DAC(Device Attestation Certificate,设备认证证书)。只有具备 DAC 的设备才被视为有效的 Matter 设备。那么,如果出现设备证书被盗用、遭到篡改或不再有效的情况呢?此时,证书吊销 (revocation) 机制即可发挥作用,帮助我们在到期前将这些证书标记为“已吊销”。
PKI 机制有多种方式来维护和传播证书的状态,其中包括 CRL(证书吊销列表),而连接标准联盟 (CSA) 也已决定使用 CRL 管理 Matter 中被吊销的证书。CRL 可维护每个证书颁发机构吊销的证书列表,DCL(设备认证列表)则维护指向 CRL 中已吊销证书的链接。
当一份证书被吊销时,所有基于它颁发的证书(包括该证书本身)都将被吊销。换句话说,如果一个 PAI(产品认证中间证书)被吊销,那么该 PAI 以及所有基于它颁发的DAC(设备认证证书)都将被立刻吊销,不论原本的证书期限如何。
Matter 将支持通过 CRL 吊销 PAI 和 DAC 证书。
对设备证书吊销状态的检查不仅发生在每部设备的 commission 之初,而且在 commission 之后,也有可能迎来周期性检查。
一旦发现设备证书已被吊销,commissioner 可向用户发送通知。后续,用户可自行决定是否限制设备的全部或部分功能。最终,供应商可通过更换设备 DAC 证书等方式彻底解决问题。
如果没有证书吊销机制,伪造者可能会利用泄漏的密钥和证书,制作以假乱真的仿冒品,但这些仿冒设备通常使用质量差的组件,性能和安全性都无法保证,导致市场中的 Matter 产品良莠不齐。鉴于用户很难区别真伪,可能会无意购买到仿冒品,有损用户对所有 Matter 产品的信任。
在此背景下,证书吊销机制可以禁用密钥已经泄漏的设备,确保客户只收到质量可靠的正品,从而维护这些正品及整个 Matter 生态系统的声誉。
接下来,我们将通过介绍一些技术细节,分享证书吊销机制与 Matter 生态系统中各个环节的关系。
CRL(证书吊销列表)是一个二进制数据列表,其中包含了由 CA 颁发但已不再可信的证书。这些 CRL 由 CA 或专为 CA 签署 CRL 的签名机构签署。比如,DAC 证书的 CRL 即由 PAI(产品认证中间证书)签署。此外,这些 CRL 也将托管在 CA 中,从而便利大家的访问。
以下是一份 CRL 示例:
从上面的示例中,我们可以看到:
证书编号为 “490B5C02EAF6285B60D5344076AA7204”的唯一证书已被吊销,原因为 “密钥泄漏”。
随着 Matter 的广泛采用,PAA 和 PAI 的数量已经非常庞大且还在不断增长。每个 CA 都将发布和维护自己的 CRL。作为CRL的使用者,commissioner 需要一个单一的真相来源,以获取所有 CA 的 CRL,用以确定设备是否可信。
为了构建这个单一的真相来源,CSA 决定采用 DCL(分布式合规设备总帐),其中每个 CA 将具有指向其 CRL 的 URL,CA 管理员负责维护更新 CRL。更多详情,请见 Matter 中的分布式合规设备总帐 (DCL)。
考虑到 CRL 的数量众多,建议各 commissioner 将 DCL 中的所有可用 CRL 集合起来,在各自的云端或本地应用程序中统一维护,从而更轻松地鉴别某份证书的吊销状态,而无需每次都逐个轮询所有 CRL。这有助于确保设备的平稳 commission 和后续使用。
目前,Matter 规范版本 1.2(于 2023 年秋季发布)已经增加了有关“证书吊销”的内容,规定所有 CA 必须在 DCL 上发布和维护CRL,自 2024 年 9 月 1 日生效。鉴于证书吊销的潜在益处,我们认为这是 Matter 规范的重要更新。
本文是乐鑫 Matter 系列文章的第十篇,敬请期待后续的更多内容。如果您想了解更多有关 Matter 的内容,请查阅乐鑫 Matter 系列文章。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。