مصادقة الجهاز المُدار لأجهزة Apple
مصادقة الجهاز المُدار في iOS 16 و iPadOS 16.1 و macOS 14 و tvOS 16 أو أحدث، هي ميزة تقدم أدلة قوية حول خصائص الجهاز التي يمكن استخدامها كجزء من تقييم الثقة. ويستند إعلان تشفير خصائص الجهاز هذا إلى أمان Secure Enclave وخوادم التصديق في Apple.
تساعد مصادقة الجهاز المُدار على الحماية من التهديدات الآتية:
جهاز مخترق يكذب بشأن خصائصه
جهاز مخترق يقدم مصادقة قديمة
جهاز مخترق يرسل معرّفات مختلفة للجهاز
استخراج مفتاح خاص لاستخدامه على جهاز مخادع
مهاجم يخطف طلب شهادة لخداع CA لإصدار شهادة للمهاجم
لمزيد من المعلومات، شاهد فيديو المؤتمر العالمي للمطورين لعام 2023 (WWDC23) ما الجديد في إدارة الأجهزة من Apple.
مصادقة الجهاز المُدار مع طلبات التسجيل في شهادة ACME
يمكن لخدمة ACME التابعة للمرجع المصدق (CA) المعني بإصدار الشهادات للمؤسسة أن تطلب تصديقًا على خصائص جهاز التسجيل. توفر هذه المصادقة ضمانات قوية بأن خصائص الجهاز (على سبيل المثال، الرقم التسلسلي) صحيحة وليست مزيفة. يمكن لخدمة ACME التابعة للمرجع المصدق المعني بإصدار الشهادات التحقق من سلامة خصائص الجهاز المصدق عليها بشكل مشفر والرجوع إليها اختياريًا مقابل مخزون أجهزة المؤسسة، وعند التحقق الناجح، يتم تأكيد الجهاز على أنه جهاز المؤسسة.
إذا تم استخدام المصادقة، فسيتم إنشاء مفتاح خاص مرتبط بالجهاز داخل Secure Enclave في الجهاز كجزء من طلب توقيع الشهادة. بالنسبة لهذا الطلب، يمكن لجهة إصدار ACME إصدار مصادقة عميل. يرتبط هذا المفتاح بـ Secure Enclave وبالتالي فهو متاح فقط على جهاز محدد. ويمكن استخدامها على iPhone و iPad و Apple TV و Apple Watch مع تكوينات تدعم مواصفات هوية الشهادة. على Mac، يمكن استخدام المفاتيح المرتبطة بالأجهزة للمصادقة مع MDM و Microsoft Exchange و Kerberos وشبكات 802.1X وعميل VPN المدمج ومرحِّل الشبكة المدمج.
ملاحظة: لدى Secure Enclave وسائل حماية قوية جدًا ضد استخراج المفتاح، حتى في حالة تعرض معالج التطبيقات للخطر.
تتم إزالة هذه المفاتيح المرتبطة بالأجهزة تلقائيًا عند مسح بيانات الجهاز أو استعادتها. نظرًا لإزالة المفاتيح، فإن أي ملفات تعريف تكوين تعتمد على هذه المفاتيح لن تعمل بعد الاستعادة. يجب تطبيق ملف التعريف مرة أخرى لإعادة إنشاء المفاتيح.
باستخدام مصادقة حمولة ACME، يمكن لـ MDM تسجيل هوية شهادة العميل باستخدام بروتوكول ACME الذي يمكنه التحقق من صحة الآتي بشكل مشفر:
الجهاز هو جهاز Apple أصلي
الجهاز هو جهاز محدد
تتم إدارة الجهاز بواسطة خادم MDM الخاص بالمؤسسة
للجهاز خصائص معينة (على سبيل المثال، الرقم التسلسلي)
يعد المفتاح الخاص جهازًا مرتبطًا بالجهاز
مصادقة الجهاز المُدار مع طلبات MDM
بالإضافة إلى استخدام تصديق الجهاز المُدار أثناء طلبات التسجيل في شهادة ACME ، يمكن لحل MDM إصدار استعلام DeviceInformation
يطلب خاصية DevicePropertiesAttestation
. إذا أراد حل MDM المساعدة على ضمان الحصول على مصادقة جديدة، فيمكنه إرسال مفتاح DeviceAttestationNonce
اختياري يفرض مصادقة جديدة. إذا تم حذف هذا المفتاح، فسيرجع الجهاز مصادقة مخزنة مؤقتًا. ثم تُرجع استجابة مصادقة الجهاز شهادة طرفية بخصائصها في معرّفات OID المخصصة. أول خاصيتين هما الرقم التسلسلي و UDID (اللذان تم حذفهما عند استخدام تسجيل المستخدم). تكون القيم المتبقية مجهولة وتتضمن خصائص مثل إصدار sepOS وقيمة مكافحة إعادة التشغيل الاختيارية.
يمكن لحل MDM بعد ذلك التحقق من صحة الاستجابة من خلال تقييم أن سلسلة الشهادات متجذرة مع الجهة الموثقة المتوقعة من Apple (متاح من مستودع PKI الخاص من Apple)، وعند الطلب، يتحقق من قيمة مكافحة إعادة التشغيل المتوفرة في استعلام DeviceInformation
.
نظرًا لأن عملية تحديد قيمة مكافحة إعادة التشغيل تُنشئ مصادقة جديدة—تستهلك الموارد على الجهاز وخوادم Apple—يقتصر الاستخدام حاليًا على مصادقة واحدة لكل جهاز كل 7 أيام. ليس من الضروري طلب مصادقة جديدة ما لم تتغير خصائص الجهاز؛ على سبيل المثال، التحديث أو الترقية إلى إصدار نظام التشغيل.