找人做网站怎么做,网推接单网,优购物官方网站直播,淘宝网站域名乐鑫 Matter 系列文章 #10 在之前的多篇博客文章中#xff0c;我们从不同方面介绍了 Matter#xff0c;其中包括 Matter 的安全模型。简单回顾一下#xff0c;Matter 的安全模型基于 PKI#xff08;即公钥基础设施#xff09;机制#xff0c;可用于建立和管理数字证书、加…乐鑫 Matter 系列文章 #10 在之前的多篇博客文章中我们从不同方面介绍了 Matter其中包括 Matter 的安全模型。简单回顾一下Matter 的安全模型基于 PKI即公钥基础设施机制可用于建立和管理数字证书、加密密钥和安全通信框架。更多详情请查看 Matter 安全模型。
为什么需要证书吊销机制
在 Matter 的世界中每个设备都有自己的唯一身份标识即 DACDevice Attestation Certificate设备认证证书。只有具备 DAC 的设备才被视为有效的 Matter 设备。那么如果出现设备证书被盗用、遭到篡改或不再有效的情况呢此时证书吊销 (revocation) 机制即可发挥作用帮助我们在到期前将这些证书标记为“已吊销”。
PKI 机制有多种方式来维护和传播证书的状态其中包括 CRL证书吊销列表而连接标准联盟 (CSA) 也已决定使用 CRL 管理 Matter 中被吊销的证书。CRL 可维护每个证书颁发机构吊销的证书列表DCL设备认证列表则维护指向 CRL 中已吊销证书的链接。
证书吊销的作用
当一份证书被吊销时所有基于它颁发的证书包括该证书本身都将被吊销。换句话说如果一个 PAI产品认证中间证书被吊销那么该 PAI 以及所有基于它颁发的DAC设备认证证书都将被立刻吊销不论原本的证书期限如何。
Matter 将支持通过 CRL 吊销 PAI 和 DAC 证书。 PAI Certificate Revocation 用户体验
对设备证书吊销状态的检查不仅发生在每部设备的 commission 之初而且在 commission 之后也有可能迎来周期性检查。
一旦发现设备证书已被吊销commissioner 可向用户发送通知。后续用户可自行决定是否限制设备的全部或部分功能。最终供应商可通过更换设备 DAC 证书等方式彻底解决问题。
可提升 Matter 生态系统的可信度
如果没有证书吊销机制伪造者可能会利用泄漏的密钥和证书制作以假乱真的仿冒品但这些仿冒设备通常使用质量差的组件性能和安全性都无法保证导致市场中的 Matter 产品良莠不齐。鉴于用户很难区别真伪可能会无意购买到仿冒品有损用户对所有 Matter 产品的信任。
在此背景下证书吊销机制可以禁用密钥已经泄漏的设备确保客户只收到质量可靠的正品从而维护这些正品及整个 Matter 生态系统的声誉。
接下来我们将通过介绍一些技术细节分享证书吊销机制与 Matter 生态系统中各个环节的关系。
什么是 CRL ?
CRL证书吊销列表是一个二进制数据列表其中包含了由 CA 颁发但已不再可信的证书。这些 CRL 由 CA 或专为 CA 签署 CRL 的签名机构签署。比如DAC 证书的 CRL 即由 PAI产品认证中间证书签署。此外这些 CRL 也将托管在 CA 中从而便利大家的访问。
以下是一份 CRL 示例 Parsed CRL File 从上面的示例中我们可以看到
证书编号为 “490B5C02EAF6285B60D5344076AA7204”的唯一证书已被吊销原因为 “密钥泄漏”。
DCL 在吊销中的作用
随着 Matter 的广泛采用PAA 和 PAI 的数量已经非常庞大且还在不断增长。每个 CA 都将发布和维护自己的 CRL。作为CRL的使用者commissioner 需要一个单一的真相来源以获取所有 CA 的 CRL用以确定设备是否可信。
为了构建这个单一的真相来源CSA 决定采用 DCL分布式合规设备总帐其中每个 CA 将具有指向其 CRL 的 URLCA 管理员负责维护更新 CRL。更多详情请见 Matter 中的分布式合规设备总帐 (DCL)。
考虑到 CRL 的数量众多建议各 commissioner 将 DCL 中的所有可用 CRL 集合起来在各自的云端或本地应用程序中统一维护从而更轻松地鉴别某份证书的吊销状态而无需每次都逐个轮询所有 CRL。这有助于确保设备的平稳 commission 和后续使用。
Matter 规范中的描述
目前Matter 规范版本 1.2于 2023 年秋季发布已经增加了有关“证书吊销”的内容规定所有 CA 必须在 DCL 上发布和维护CRL自 2024 年 9 月 1 日生效。鉴于证书吊销的潜在益处我们认为这是 Matter 规范的重要更新。 本文是乐鑫 Matter 系列文章的第十篇敬请期待后续的更多内容。如果您想了解更多有关 Matter 的内容请查阅乐鑫 Matter 系列文章。
