14.4.1. المفاهيم: الثقة والمفاتيح وصيغة الملف

قبل أي أوامر، ثلاث معلومات خلفية تنطبق على كل صفحة أخرى في هذا القسم.

14.4.1.1. نماذج الثقة

يمكن لاتصال TLS أن يوفّر ثلاثة مستويات متصاعدة من الضمان:

  • التشفير فقط -- حركة المرور مشفّرة لكن لا يثبت أي طرف هويته. سهل الإعداد (لا تحقق من الشهادات) لكنه عرضة لهجوم الوسيط. استخدمه فقط للاختبار المحلي.

  • مصادقة الخادم -- يتحقق العميل من شهادة الخادم مقابل شهادة موثوقة (نموذج HTTPS المألوف). يمكن للـ OpenMV Cam أن تعمل إما كعميل (يتحقق من خادم بعيد) أو كخادم (يقدّم شهادته الخاصة).

  • المصادقة المتبادلة (mTLS) -- يقدّم كلا الطرفين شهادات ويتحققان منها. تُستخدم حيث يجب على الخادم أيضاً أن يتأكد من هوية العميل.

14.4.1.2. اختيار نوع المفتاح

يدعم بناء mbedTLS في الكاميرا ECDSA على منحنيات NIST/SEC الأولية و RSA. هناك ثلاث طرق عملية لإنشاء مفتاح؛ يُوصى بـ ECDSA P-256 (prime256v1):

  • ECDSA P-256 (prime256v1) -- يوفّر نحو 128 بت من الأمان بمفتاح طوله 256 بت. مفاتيح وتواقيع صغيرة جداً، وبفارق كبير أسرع مصافحة من الخيارات المدعومة على معالج Cortex-M (عمليات المنحنى الإهليلجي أرخص بكثير من عمليات المفتاح الخاص في RSA). مدعوم عالمياً من نظراء TLS. هذا أفضل توازن بين الأمان والسرعة واستخدام RAM/الفلاش والتوافق على جهاز مدمج، ولهذا هو الخيار الافتراضي هنا.

  • ECDSA P-384 (secp384r1) -- يوفّر نحو 192 بت من الأمان. لا يزال منحنى إهليلجي، فهو فعّال بشكل معقول، لكنه أكبر وأبطأ من P-256 مقابل هامش أمان لا تحتاجه نشرات إنترنت الأشياء النموذجية. استخدمه فقط إذا تطلّبت ذلك شهادة طويلة العمر أو متطلب امتثال.

  • RSA-2048 -- يوفّر نحو 112 بت من الأمان. متوافق عالمياً، بما في ذلك مع النظراء القدامى جداً، لكن مفاتيح وشهادات RSA أكبر بكثير وعمليات المفتاح الخاص في RSA (التي يؤديها الطرف الذي يقدّم الشهادة) هي الأبطأ والأكثر استهلاكاً للذاكرة على متحكم دقيق. استخدمه فقط عندما يعجز نظير عن أداء ECDSA.

ملاحظة

مفاتيح Ed25519 / Curve25519 غير مدعومة. لا يُفعّل بناء mbedTLS في الـ OpenMV Cam خوارزمية EdDSA أو Curve25519، لذا ستفشل شهادة أو مفتاح Ed25519 في التحميل أو المصافحة. استخدم أحد الخيارات الثلاثة أعلاه.

14.4.1.3. صيغة الملف: استخدم DER

لا يتضمّن بناء mbedTLS المستخدم في الـ OpenMV Cam تحليل صيغة PEM، لذا تقرأ الكاميرا الشهادات والمفاتيح بصيغة DER فقط (الترميز الثنائي). تُخرج معظم الأدوات صيغة PEM (نص base64) افتراضياً، لذا يُحوّل كل ملف متجه إلى الكاميرا إلى DER أولاً -- وتنتهي كل وصفة في هذا القسم بخطوة التحويل تلك. ستحتاج إلى:

  • مفتاح خاص -- يُحفظ سرياً، يستخدمه أي طرف يقدّم شهادة.

  • شهادة -- الجزء العام، تُقدّم إلى الطرف الآخر أثناء المصافحة.

  • شهادة جهة تصديق / ثقة -- الشهادة التي يحمّلها الطرف المتحقِّق ليقرر ما إذا كان النظير موثوقاً. في إعداد التوقيع الذاتي تكون هذه ببساطة شهادة النظير الخاصة به.