[分享] 【直播FAQ】Matter标准和采用CryptoAuthentication™ IC的安全身份验证

直播主题：Matter标准和采用CryptoAuthentication™ IC的安全身份验证

 

内容简介：在Matter开放标准中，对于IoT设备而言，身份验证是不可或缺的一部分。根据该标准，获得根证书颁发机构（也称为产品证明机构）是强制性的。那么，为什么需要在硬件安全模块（HSM）中保护证书链的私钥，却往往会忽略嵌入式系统中的私钥呢？为嵌入式系统提供Matter证书，在物流方面的挑战是什么？
在本次研讨会上，我们的专家将向您展示如何通过我们的CryptoAuthentication™ IC（如ATECC608和TA101）和安全预配置服务，以及与我们的合作伙伴Kudeslki IoT来解决嵌入式安全和物流挑战。快来参加我们的安全解决方案系列研讨会，了解如何使用Matter实现安全身份验证的基本过程。

 

直播讲师：王军（Frenkie Wang） 主任应用工程师

 

FAQ详情：

 

1、CryptoAuthentication IC采用什么开发环境设计？

A：库是C源码的方式，可以兼容多平台。

2、Matter的认证是否为一个网关产品？

A：Matter的认证要看产品是什么类别：Thread路由器，网关或设备节点，每一种的认证要求都不一样。

3、CryptoAuthentication器件可以应用那些领域产品？

A：安全器件可以用在任何需要身份认证，加密通信，安全启动和信任链等需求的应用场合。

4、采用CryptoAuthentication IC的安全身份验证是否分等级？

A：安全身份验证不分等级。

5、边界路由是单芯片产品吗？

A：边界路由器通常集成在智能音箱中，如Apply Home, Google Home或Amazon Alexa等。

6、协议是开源的吗？

A：Matter协议是开源的。

7、安全身份认征主要应用在哪方面？

A：安全身份认证的主要应用场合有云连接产品，组网通信，以及配件连接等。

8、节点端和网关都要使用安全IC吗？

A：主要是设备节点需要安全芯片，用来实现系统对设备的身份验证，网关是使用其它的认证方式，Matter标准中也定义了。

9、Matter是可以和其他WIFI协议兼容吗？

A：Matter是基于IP的本地连接协议，支持不同硬件平台（WiFi, Thread,Ethernet）的设备互操作。

10、安全身份认证主要是通过硬件加密芯片还是软件算法？

A：硬件加密芯片，相关算法和密钥均在硬件家里芯片内。

11、证书签发及验签机制是什么样的？

A：非对称算法。私钥签名，公钥验证。

12、申请私钥后，是我们自己烧录，还是要委托Microchip来实现？

A：如果是Trust&Go的芯片, 出厂则已经烧录好了。如果是空片，Microchip烧录或者客户自己烧录均支持。

13、Matter有什么特色？

A：Matter它是一个标准，为IOT设备提供了一个统一平台。在这个统一平台下，需要实现设备和云端的安全身份认证，实现安全通信。

14、非对称算法的运算量大吗？

A：如果用MCU计算，运算时间不短的。所以非对称一般都放在加密芯片里面运算，节省时间。

15、对于私钥的加载，建议是开机时加载一次，还是有每次使用每次调取？有建议不？

A：对应非对称式加密算法的私钥，一般不读出来，它在安全芯片里也是不能读取的。私钥只能使用，譬如说发送数据过去让它进行加密或者签名。所以对私钥我们不进行加载读取。

16、难度难点在哪？

A：工程师需要具备密码学知识。了解整套密码学验证机制。结合Microchip的加密芯片配套的C代码库。实现相应的功能。

17、私钥是怎么保证可靠不可读的？

A：器件的私钥是在安全芯片内部生成的，并且保存在安全芯片里面的，芯片内部的数据也是加密的，芯片使用了晶元级主动屏蔽层防止物理开片或旁路攻击的方式等，私钥在芯片内是很安全的。

18、正常使用后，想修改密钥或者证书，如何实现？

A：芯片的私钥和证书可以设置成可以更新的属性，通常私钥不需要更新，证书可以更新，只需要重新提交新的公钥和序列号给到PAI CA来重新签DAC器件证书就可以了，再写回到芯片中。

19、用于物联网（IoT）的案例在哪里下载？

A：https://github.com/MicrochipTech/PIC32MZW1_Matter_Project

20、私钥加载失败怎么处理？

A：私钥存放在安全芯片里，不需要也不能被加载读取。可以安全可靠存放在安全芯片中

21、怎么看待的需要这么多安全性吗？操作系统密码难道还不够吗？

A：操作系统密码这种方式，就会有人知道密码，就存在泄露密码的风险，因为人也是不可靠的因素。

22、获得了哪个等级的FIPS140-2认证？

A：不同产品不同级别。有140-2 Level2或者140-3 Level1。

23、Matter的加解密算法和标准？

A：Matter的加解密算法有Hash算法，ECC加密算法，AES算法等。

24、有没有相关demo可以提供?

A：我们有提供基于WiFI的demo，有兴趣可以联系我们https://github.com/MicrochipTech/PIC32MZW1_Matter_Project。

25、有没有MCU或者是MPU集成在一起的芯片？谢谢！

A：有一些SIP芯片，将加密芯片和MCU或者MPU集成在一起。详细请联系下Microchip当地的Office。

26、Matter与Thread来比，有什么优势？

A：Matter支持Thread的连接方式，使用标准边界路由器连接到IP网络。

27、在汽车UDS诊断里面可以植入Matter代码吗？

A：Matter标准是针对智能家居IOT产品，并不应用于汽车领域。

28、这种加密算是固件加密吗？就是能避免现在的探针破解，或者是逆向的手段吗？

A：不是固件加密。是身份验证。主要验证接入设备的合法性。

29、Matter标准目前支持哪些硬件平台的互操作？

A：Matter标准目前支持WiFi、Thread、Ethernet硬件平台的设备之间的互操作。

30、如果这种认证有效且安全，感觉做汽车OTA等汽车无线操作，应该会很好吧？

A：这些使用场景均在使用非对称算法做身份验证。汽车上我们推荐TA100或者TA010。

31、Matter这个是跟以前的Thread一样，都是厂家需要进入到这个“社团”才能使用Matter是么？

A：Matter是一种开源标准，Matter硬件设备需要申请认证，同时公司也需要成为会员才行。

32、与加密芯片通信过程被监测是否容易被破解？

A：通信总线可以明文也可以密文通信的。如果怕被破解，可以进行加密。

33、CryptoAuthentication IC的软件库是否提供源代码？

A：是源代码提供的。

34、现在Thread还有物联网的优势吗？还适合做物联网方面的产品吗？

A：Thread协议适用于各种物联网应用场景，国外已有不少企业推出相关产品，有提供端侧，边侧，软硬件等Thread解决方案。

35、有专用芯片实现Matter标准吗？

A：我们有WiFi的SOC芯片有代码支持Matte，可以提供相关的DEMO。

36、比如现在的一些芯片，如ESP32C3来说，是否支持Matter呢？

A：都是可以实现Matter的，不限制于使用Microchip的控制器。

37、哪种加密方式最安全？

A：加密只是安全的一种，非对称式比对称式更安全。

38、在Matter标准中，如何处理设备废弃和回收的安全问题？

A：我们的安全芯片有基于硬件层面的安全保护，硬件破坏并不能获取相关的敏感数据。

39、如何评估设备的安全姿态并进行风险评估？

A：可以在设备的生产，销售，使用流程中，考虑相关密钥和证书是否存在泄漏的风险，尽可能针对性提供软件，硬件层面的安全防护。

40、Microchip的加密芯片，是否有车规级的产品？如有，是哪些系列或者型号？

A：Microchip的安全芯片TA100是车规级的。

41、安全芯片的安全水平能达多高？

A：安全芯片的安全等级是有认证的，Microchip的安全芯片可以达到JIL HIGH等级，这个是JIL认证的最高级别，就是在破解过程中，没有任何密钥信息被泄露。

42、这种身份认证就是认证这个设备是不是被Matter团队授权是么？

A：这种身份认证需要CSA联盟授权。

43、加密算法支持多少位的密钥呢？

A：Microchip安全产品乐园支持ECC256,RSA2048等算法。

44、目前符合Matter标准的芯片有在车规级的应用实际案例吗？

A：Matter标准的芯片主要是应用于智能家居产品，并不是应用于汽车领域。

45、Matter支持哪些加解密算法？

A：Matter使用了ECC256和SHA256等算法。

46、Matter的认证主要包括哪些内容？

A：主要是做Matter的认证，另外看连接方式，如果用Thread就需要Thread的认证，用WiFi就要做WiFi认证，同时也要BLE的认证。

47、证书怎么注入到芯片？能不能通过无线方式 (OTA) 安全地交付证书？

A：证书通过Microchip的HSM机制在工厂，货客户字节在工厂通过编程器写入。

48、想请教通过什么方法可以使得合法的设备供应商提供的合规产品才能加入Matter家庭网络？

A：Matter提供的就是这个标准，使用PAA、PAI信任链来实现。

49、支持Matter支持ZIGBEE和ZWAVE吗？

A：需要通过Matter Bridge连接才能使Zigbee, zwave设备满足Matter标准。

50、Matter认证收费怎么样？

A：具体需要咨询CSA联盟。

51、安全芯片内部是如何确保数据的安全性？

A：安全芯片设计时有很多防破解机制，存放在里面的密钥不能被读取和破解。

52、Matter标准支持那些安全协议？

A：支持ECC数字签名算法和SHA256 HASH等算法。

53、有哪些板子能支持Matter呀？

A：Microchip的WFI32-IoT开发板（EV36W50A）

54、Matter加密算法占用多少资源呢？

A：MCU主要完成信任链的认证过程的操作，不进行加密解密和验证等操作，所占用代码资源会非常少。

55、对于低功耗设备，如何实施有效的安全措施？

A：对应连接到网络的设备，进行双向的身份认证，通过认证后菜可以进行通信。

56、安全芯片可以通过无线连接方式更新密钥吗？

A：PAI和DAC的证书通常不能更新，Matter标准会在设备加入网络时更新通信密钥。

57、有培训课程提供吗？

A：可以参考Github上对应Demo板子的ReadMe文件。

58、研发成功一个物联网入网设备怎么进行Matter认证？Matter认证的流程是什么？

A：认证流程：1 成为CSA会员， 2 从CSA申请VID， 3 选择产品网络类型， 4 从相关标准组织获取传输层认证 ， 5 选择授权的测试提供商并提供产品进行测试 6 通过认证Web工具向CSA提交认证申请， 7 通过认证后可以从CSA下载认证。

59、想请教通过什么方法可以使得合法的设备供应商提供的合规产品才能加入Matter家庭网络？

A：主要就是需要有3级证书链的形式来保住设备是安全合规的产品，这样才能在设备入网时验证证书链和随机质询，完成以后就成功入网并且生成新的密钥。

60、如何为嵌入式系统提供Matter证书？

A：我们安全工厂会为安全芯片生成私钥并且导出Manifest文件，把文件上传到PAA的服务器中就可以生成DAC设备证书。

61、如何做好IC在制造和部署之后的安全补丁管理？

A：可以通过固件的安全更新升级来实现，我们的芯片同时可以支持。

62、证书链有哪些安全保证？隐私保护方面有哪些保障？

A：证书链可以通过多层验证才能识别身份的有效性，避免恶意攻击，保护设备上面的相关敏感数据。

63、Matter标准中，如何处理跨境数据流动的法律和监管问题？

A：Matter网络只是提供了一个数据通路，所有的用户数据都是通过加密的，第3方是没办法拿到数据的。