HomeKit iletişim güvenliği
HomeKit, özel verileri Apple’a ifşa etmeden korumak ve eşzamanlamak için iCloud’u ve aygıt güvenlik özelliklerini kullanan bir ev otomasyon altyapısı sağlar.
HomeKit kimliği ve güvenliği, Ed25519 açık-gizli anahtar çiftlerini taban alır. Kullanıcının aygıtında bir Ed25519 anahtar çifti oluşturulur ve bu anahtar çifti kullanıcının HomeKit kimliğini oluşturur. Anahtar çifti, kullanıcının Apple aygıtları ve HomeKit aksesuarları arasında doğrudan iletişimin kimliğini doğrulamak için HomeKit Aksesuar Protokolü’nün (HAP) bir parçası olarak kullanılır.
Ana hub bulunan evlerde, paylaşılan evin üyeleri bu ana hub yoluyla aksesuarlara komutlar gönderebilir. Bu komutlar, kullanıcının aygıtından ana hub’a Apple Kimlik Servisi (IDS) kullanılarak gönderilir, uçtan uca şifrelenir ve kimliği doğrulanır; burada HomeKit Aksesuar Protokolü (HAP) veya bir akıllı ev bağlantı standardı olan Matter kullanılarak ilgili aksesuara yönlendirilir.
Anahtarlar (anahtar zincirinde saklanır ve yalnızca şifreli anahtar zinciri yedeklemelerine dahil edilir), aygıtlar arasında iCloud Anahtar Zinciri kullanılarak güncel tutulur.
HomeKit aksesuarları arasında iletişim
HomeKit aksesuarları; Apple aygıtlarıyla iletişimde kullanmak üzere kendi Ed25519 anahtar çiftini oluşturur. Aksesuar fabrika ayarlarına döndürüldüğü takdirde, yeni bir anahtar çifti oluşturulur.
Bir Apple aygıtıyla HomeKit aksesuarı arasında bir ilişki kurmak için aksesuarın üreticisi tarafından sağlanan, kullanıcının aygıtına girilen ve ardından HKDF-SHA512 türetilen anahtarları ile ChaCha20-Poly1305 AEAD kullanılarak şifrelenen sekiz basamaklı kod ile Güvenli Uzaktan Parola (3072 bit) kullanılarak anahtar alışverişi yapılır. Aksesuarın MFi sertifikası da ayarlama sırasında doğrulanır. MFi yongası olmayan aksesuarlar için, iOS 11.3 veya daha yenisinde yerleşik yazılım kimlik doğrulaması desteği bulunabilir.
Kullanım sırasında aygıtla HomeKit aksesuarı iletişim kurduğunda, her biri diğerinin kimliğini yukarıda belirtilen işlemde alınıp verilen anahtarları kullanarak doğrular. Her oturum, İstasyondan İstasyona (STS) protokolü kullanılarak kurulur ve oturum için Curve25519 anahtarlarını taban alarak HKDF-SHA512 ile türetilen anahtarlarla şifrelenir. Bu hem IP tabanlı aksesuarlar hem de Bluetooth Düşük Enerji (BLE) aksesuarları için geçerlidir.
Yayın bildirimlerini destekleyen BLE aygıtları için, eşlenen bir aygıt tarafından güvenli bir oturum üzerinden aksesuara yayın şifreleme anahtarı sağlanır. Bu anahtar, BLE duyuruları kullanılarak bildirilen, aksesuardaki durum değişiklikleri hakkında verileri şifrelemek için kullanılır. Yayın şifreleme anahtarı bir HKDF-SHA512 türetilen anahtarıdır ve veriler ChaCha20-Poly1305 AEAD algoritması kullanılarak şifrelenir. Yayın şifreleme anahtarı düzenli aralıklarla değiştirilir ve HomeKit veri güvenliği’nde açıklanan şekilde iCloud kullanılarak diğer aygıtlarda güncellenir.
Matter aksesuarları ile iletişim
Matter aksesuarları ile kimlik ve güvenlik, sertifika tabanlıdır. Apple evleri için, güven Sertifika Otoritesi (CA) kökü ilk kullanıcı aygıtında (“sahip”) oluşturulur ve CA için gizli anahtar iCloud Anahtar Zinciri’nde saklanır. Evdeki her bir Apple aygıtı, NIST P256 kullanılarak bir Sertifika İmzalama İsteği (CSR) oluşturur. Bu CSR, sahibin aygıtının içine çekilir; bu da sahibin CA gizli anahtarını kullanarak aygıt için bir Matter kimlik sertifikası yaratır. Bu sertifika daha sonra kullanıcıların aygıtları ve aksesuarları arasındaki iletişimin kimliğini doğrulamak için kullanılır.
Matter aksesuarları kendi NIST P256 anahtar çiftini ve CSR’yi oluşturur ve aksesuar eşleme sırasında CA’dan bir sertifika alır. Anahtar çiftleri oluşturulmadan önce Matter aksesuarı ve ev sahibinin aygıtları aksesuarın üreticisi tarafından sağlanan SPAKE+2 protokolünü kullanarak anahtar alışverişi yapar ve bir Aygıt Onaylama işlemi gerçekleştirilir. CSR ve sertifika daha sonra, HKGF-SHA256 türetilen anahtarları ile AES-CCM kullanarak şifrelenen bu kanal üzerinden alınıp verilir. Aksesuar fabrika ayarlarına geri yüklenirse, yeni anahtar çifti ve CSR oluşturulur ve eşleme sırasında aksesuar için yeni bir sertifika verilir.
Kullanım sırasında bir Apple aygıtı ve Matter aksesuarı iletişim kurduğunda, her biri kendi sertifikalarını kullanarak diğerinin kimliğini doğrular. Her oturum, üç aşamalı (sigma) protokol kullanılarak kurulur ve oturum için P256 anahtarlarını taban alarak HKDF-SHA256 ile türetilen anahtarlarla şifrelenir.
Apple aygıtlarının Matter aksesuarları ile güvenli bir şekilde nasıl etkileşim kuracağı hakkında daha fazla bilgi için Apple Geliştirici web sitesinde iOS 16’daki Matter desteği bölümüne bakın.
HomeKit ve Siri
Aksesuarları sorgulamak, denetlemek ve ortamları etkinleştirmek için Siri kullanılabilir. Siri’ye ev konfigürasyonuna ilişkin minimum bilgi (komut tanıma için gerekli olan oda, aksesuar ve ortam adları) anonim olarak sağlanır. Siri’ye gönderilen sesler, belirli aksesuarları veya komutları belirtebilir ama bu tür Siri verileri HomeKit gibi diğer Apple özellikleriyle ilişkilendirilmez.
Siri özelliği etkinleştirilmiş HomeKit aksesuarları
Kullanıcılar, Ev uygulamasını kullanarak Siri özelliği etkinleştirilmiş aksesuarlarda Siri gibi yeni özellikleri ve sayaç, alarm, diyafon ve kapı zili gibi diğer HomePod özelliklerini etkinleştirebilir. Bu özellikler etkinleştirildiğinde, aksesuar bu Apple özelliklerini barındıran yerel ağdaki eşlenmiş bir HomePod ile uyumlu olur. Hem HomeKit hem de AirPlay protokolleri kullanılarak şifrelenmiş kanallar üzerinden aygıtlar arasında ses alışverişi olur.
Hey Siri’yi Dinle açıldığında, aksesuar yerel olarak çalıştırılan başlatma ifadesi algılama motorunu kullanarak “Hey Siri” ifadesini dinler. Bu motor ifadeyi algılarsa, ses çerçevelerini HomeKit’i kullanarak doğrudan eşlenen HomePod’a gönderir. HomePod seste ikinci bir denetim yapar ve ifade başlatma ifadesini içermiyor gibi görünüyorsa ses oturumunu iptal edebilir.
Siri için Dokun açıldığında, kullanıcı Siri ile bir konuşma başlatmak için aksesuarda bunun için ayrılmış bir düğmeye basabilir. Ses çerçeveleri doğrudan eşlenen HomePod’a gönderilir.
Siri’nin başarılı bir şekilde çağrılması algılandıktan sonra HomePod sesi Siri sunucularına gönderir ve HomePod’da yapılan kullanıcı çağrılarında uyguladığı ile aynı güvenlik, gizlilik ve şifreleme korumalarını kullanarak kullanıcının isteğini yerine getirir. Siri’de bir ses yanıtı varsa, Siri’nin yanıtı bir AirPlay ses kanalı üzerinden aksesuara gönderilir. Bazı Siri istekleri için kullanıcıdan ek bilgiler gerekir (örneğin, kullanıcının daha fazla seçenek duymak isteyip istemediğini sormak). Bu durumda, aksesuar kullanıcıya sorulması gerektiğine dair bir belirti alır ve ek ses HomePod’da yayınlanır.
Aksesuar etkin olarak dinlediği sırada kullanıcıya göstermek için görsel bir göstergeye (örneğin, bir LED gösterge) sahip olması gerekir. Aksesuar, ses yayınlarına erişim dışında Siri isteğinin amacıyla ilgili bilgiye sahip değildir ve aksesuarda hiçbir kullanıcı verisi saklanmaz.