Matterのセキュリティモデル
Matterには、コミッショニングプロセスの最初からデバイスが相互に信頼し、安全に通信できるように設計された、必須の組み込みセキュリティモデルが含まれています。このセキュリティモデルはMatter仕様の不可欠な部分であり、すべての認定Matterデバイスに適用されます。
基礎レベルでは、以下の主要な概念を理解するだけで十分です。
- デバイスは自身のアイデンティティを証明する必要がある
- すべての通信は暗号化される
- コミッショニングによって信頼とファブリックへの参加が確立される
- 各ファブリックは独自のセキュリティドメインを持つ
このトピックでは、Matterの開発を安心して始められるよう、これらの概念について紹介します。
コミッショニング中のセキュリティ
デバイスがMatterファブリックの一部になる前に、コミッショニングが行われます。コミッショニングでは、安全な通信チャネルを確立し、デバイスのアイデンティティを検証し、デバイスがファブリックに参加できるように運用資格情報を割り当てます。
コミッショニング中には、パスコード認証セッション確立(PASE)とデバイスアテステーション(デバイス認証)という2つのセキュリティ概念が不可欠です。
PASE – パスコード認証セッション確立
オンボーディングの初期段階では、コミッショナー(多くの場合、スマートフォンやスマートホームハブ)がPASEを使用して、デバイスとの間に一時的な安全なチャネルを確立します。PASEは、QRコード、手動ペアリングコード、またはNFCタグにエンコードされているデバイスのセットアップパスコードに基づいています。
PASEは以下を保証します:
- コミッショニング中の暗号化された通信
- 承認されたコミッショナーのみがデバイスの設定を開始できる
この安全なチャネルはコミッショニング中にのみ使用され、その後は運用セキュリティセッションに置き換えられます。
デバイスアテステーション
コミッショニング中、コミッショナーはデバイスが本物の認定Matterデバイスであることを検証します。このプロセスはデバイスアテステーションと呼ばれます。
各Matterデバイスには、信頼できる製品アテステーション機関(PAA)まで遡る証明書チェーンの一部であるデバイスアテステーション証明書(DAC)が含まれています。このチェーンを検証することで、コミッショナーはデバイスが本物であり、改ざんされていないことを確認できます。
このコースでは、以下の点を知っておくだけで十分です:
- すべてのMatterデバイスはアテステーション資格情報を持っている必要がある
- コミッショナーはコミッショニング中にこれらの資格情報を自動的に検証する
現段階では、これらの証明書を自分で生成したり管理したりする必要はありません。nRF Connect SDKのMatterサンプルには、開発およびテストを目的とした一時的なテスト用アテステーション資料が含まれています。
通常運用時のセキュリティ
デバイスのコミッショニングが正常に完了し、ファブリックに追加された後は、日常の通信に別のセキュリティメカニズムが使用されます。このメカニズムは、証明書認証セッション確立(CASE)と呼ばれます。
CASE – 証明書認証セッション確立
CASEセッションは、デバイスがファブリックの一部になった後の通常のデバイス通信に使用されます。これらのセッションは、コミッショニング中にプロビジョニングされたデバイスの運用資格情報(ノード運用証明書(NOC)チェーンとも呼ばれます)を使用して認証されます。
CASEは以下を保証します:
- 暗号化された運用メッセージ
- ノード間の相互認証
- ファブリックのルートオブトラスト(信頼の基点)に基づく信頼
開発者は、CASEセッションを手動で作成したり管理したりすることはありません。Matterスタックがこれを自動的に処理します。
ファブリックと信頼の境界
Matterファブリックは、以下を共有するデバイスのグループです:
- ルートオブトラスト(信頼の基点)
- 共通の設定状態
- 一意の64ビットファブリックID
各ファブリックは独立したセキュリティドメインを表します。あるファブリック内のデバイスは、明示的に許可されていない限り、別のファブリック内のデバイスにアクセスしたり制御したりすることはできません。
マルチファブリック
Matterはマルチファブリック運用をサポートしており、単一のデバイスが同時に複数のファブリックに所属することができます。
知っておくべき基本的な事項:
- 各ファブリックは独自の運用証明書セットを持っている
- デバイスに保存された資格情報によって、どのファブリックに属するかが決まる
- デバイスをファブリックに追加した各コミッショナーは、そのファブリックの管理者になる
デバイスを別のファブリックに追加するには、既存の管理者が管理者コミッショニング(Administrator Commissioning)クラスターを使用して、新しいコミッショニングウィンドウを開きます。
このモデルにより、複数のエコシステムがルートオブトラストを共有することなく、単一の製品を同時に制御することが可能になります。
ファブリック内では、アクセスコントロールリスト(ACL)によって、どのノードが他のノードの属性の読み取り、属性の書き込み、またはコマンドの呼び出しを許可されるかが決定されます。
セキュアなトランスポート
使用される物理ネットワーク(Thread、Wi-Fi、またはイーサネット)に関係なく、すべてのMatter運用トラフィックはMatterレイヤーで暗号化および認証されます。
運用メッセージはCASEによって保護されているため、セキュリティは基盤となるトランスポートに依存しません。トランスポートを変更しても、Matterのインタラクションのセキュリティが弱まったり変更されたりすることはありません。
開始するためのセキュリティ要件
このコースでは、製品レベルの証明書を用意したり、セキュリティプロビジョニングを手動で管理したりする必要はありません。
以下の点を知っておくだけで十分です:
- nRF Connect SDKには、Matter開発に必要なすべてのセキュリティコンポーネントが含まれている
- サンプルアプリケーションには、開発に適したテスト用アテステーション資料が含まれている
- コミッショニングによって、PASE、デバイスアテステーション、CASEが自動的に処理される
製品版のMatter製品では、実際の資格情報とコンプライアンス要件を管理する必要がありますが、そのレベルの詳細についてはこのコースの範囲外です。
