مصادقة الجهاز المُدار لأجهزة Apple
مصادقة الجهاز المُدار هي ميزة في iOS 16 و iPadOS 16.1 و macOS 14 و tvOS 16 أو أحدث. توفر مصادقة الجهاز المُدار أدلة قوية حول خصائص الجهاز التي يمكن استخدامها كجزء من تقييم الثقة. ويستند إعلان تشفير خصائص الجهاز هذا إلى أمان Secure Enclave وخوادم التصديق في Apple.
تساعد مصادقة الجهاز المُدار على الحماية من التهديدات الآتية:
جهاز مخترق يكذب بشأن خصائصه
جهاز مخترق يقدم مصادقة قديمة
جهاز مخترق يرسل معرّفات مختلفة للجهاز
استخراج مفتاح خاص لاستخدامه على جهاز مخادع
مهاجم يخطف طلب شهادة لخداع CA لإصدار شهادة للمهاجم
لمزيد من المعلومات، شاهد فيديو المؤتمر العالمي للمطورين لعام 2022 (WWDC22) ما الجديد في إدارة الأجهزة.
مكونات الكمبيوتر المدعومة لمصادقة الجهاز المُدار
لا يتم إصدار مصادقات إلا للأجهزة التي تستوفي متطلبات مكونات الكمبيوتر الآتية:
أجهزة iPhone و iPad و Apple TV: مزودة بشريحة A11 Bionic أو أحدث.
أجهزة كمبيوتر Mac: مزود برقاقات Apple.
ليست هناك تغييرات بشأن مصادقة الجهاز المُدار لـ Apple Watch و Apple Vision Pro.
مصادقة الجهاز المُدار مع طلبات التسجيل في شهادة ACME
يمكن لخدمة ACME التابعة للمرجع المصدق (CA) المعني بإصدار الشهادات للمؤسسة أن تطلب تصديقًا على خصائص جهاز التسجيل. توفر هذه المصادقة ضمانات قوية بأن خصائص الجهاز (على سبيل المثال، الرقم التسلسلي) صحيحة وليست مزيفة. يمكن لخدمة ACME التابعة للمرجع المصدق المعني بإصدار الشهادات التحقق من سلامة خصائص الجهاز المصدق عليها بشكل مشفر والرجوع إليها اختياريًا مقابل مخزون أجهزة المؤسسة، وعند التحقق الناجح، يتم تأكيد الجهاز على أنه جهاز المؤسسة.
إذا تم استخدام المصادقة، فسيتم إنشاء مفتاح خاص مرتبط بالجهاز داخل Secure Enclave في الجهاز كجزء من طلب توقيع الشهادة. بالنسبة لهذا الطلب، يمكن لجهة إصدار ACME إصدار مصادقة عميل. يرتبط هذا المفتاح بـ Secure Enclave وبالتالي فهو متاح فقط على جهاز محدد. ويمكن استخدامها على iPhone و iPad و Apple TV و Apple Watch مع تكوينات تدعم مواصفات هوية الشهادة. على Mac، يمكن استخدام المفاتيح المرتبطة بالأجهزة للمصادقة مع MDM و Microsoft Exchange و Kerberos وشبكات 802.1X وعميل VPN المدمج ومرحِّل الشبكة المدمج.
ملاحظة: لدى Secure Enclave وسائل حماية قوية جدًا ضد استخراج المفتاح، حتى في حالة تعرض معالج التطبيقات للخطر.
تتم إزالة هذه المفاتيح المرتبطة بالأجهزة تلقائيًا عند مسح بيانات الجهاز أو استعادتها. نظرًا لإزالة المفاتيح، فإن أي ملفات تعريف تكوين تعتمد على هذه المفاتيح لن تعمل بعد الاستعادة. يجب تطبيق ملف التعريف مرة أخرى لإعادة إنشاء المفاتيح.
باستخدام مصادقة حمولة ACME، يمكن لـ MDM تسجيل هوية شهادة العميل باستخدام بروتوكول ACME الذي يمكنه التحقق من صحة الآتي بشكل مشفر:
الجهاز هو جهاز Apple أصلي
الجهاز هو جهاز محدد
تتم إدارة الجهاز بواسطة خادم MDM الخاص بالمؤسسة
للجهاز خصائص معينة (على سبيل المثال، الرقم التسلسلي)
يعد المفتاح الخاص جهازًا مرتبطًا بالجهاز
مصادقة الجهاز المُدار مع طلبات MDM
بالإضافة إلى استخدام تصديق الجهاز المُدار أثناء طلبات التسجيل في شهادة ACME ، يمكن لحل MDM إصدار استعلام DeviceInformation
يطلب خاصية DevicePropertiesAttestation
. إذا أراد حل MDM المساعدة على ضمان الحصول على مصادقة جديدة، فيمكنه إرسال مفتاح DeviceAttestationNonce
اختياري يفرض مصادقة جديدة. إذا تم حذف هذا المفتاح، فسيرجع الجهاز مصادقة مخزنة مؤقتًا. ثم تُرجع استجابة مصادقة الجهاز شهادة طرفية بخصائصها في معرّفات OID المخصصة.
ملاحظة: يُحذف الرقم التسلسلي و UDID عند استخدام تسجيل المستخدم لحماية خصوصية المستخدم. تكون القيم الأخرى مجهولة وتتضمن خصائص مثل إصدار sepOS وكود التحديث.
يمكن لحل MDM بعد ذلك التحقق من صحة الاستجابة من خلال تقييم أن سلسلة الشهادات متجذرة مع مرجع تصديق Apple المتوقع (المتوفر من مستودع PKI الخاص من Apple)، وما إذا كانت تجزئة رمز التحديث هي نفس تجزئة رمز التحديث المتوفرة في استعلام DeviceInformation
.
نظرًا لأن عملية تحديد رمز التحديث تُنشئ مصادقة جديدة—تستهلك الموارد على الجهاز وخوادم Apple؛ يقتصر الاستخدام حاليًا على مصادقة DeviceInformation
واحدة لكل جهاز كل سبعة أيام. ليس من الضروري أن يطلب حل MDM مصادقة جديدة على الفور كل سبعة أيام. ليس من الضروري طلب مصادقة جديدة ما لم تتغير خصائص الجهاز؛ على سبيل المثال، التحديث أو الترقية إلى إصدار نظام التشغيل. بالإضافة إلى ذلك، فإن عملية الطلب العشوائي العَرَضية للحصول على مصادقة جديدة قد تساعد في اكتشاف الجهاز المخترق الذي يحاول يزيِّف هذه الخصائص.
التعامل مع المصادقات الفاشلة
قد تفشل عملية طلب المصادقة. عندما يحدث ذلك، يستمر الجهاز في الاستجابة لاستعلام DeviceInformation
أو تحدي device-attest-01
الخاص بخادم ACME، ولكن يتم حذف بعض المعلومات. إما أن يُحذف OID المتوقع أو قيمته، أو يُحذف الإثبات بالكامل. هناك العديد من الأسباب المحتملة للفشل، مثل:
مشكلة في الشبكة تصل إلى خوادم مصادقة Apple
قد يكون الجهاز أو البرامج معرضة للخطر
الجهاز ليس جهاز Apple أصلي
في الحالتين الأخيرتين، ترفض خوادم مصادقة Apple إصدار مصادقة للخصائص التي لا يمكنها التحقق منها. لا توجد طريقة موثوقة لحل MDM لمعرفة السبب الدقيق لفشل المصادقة. ويرجع ذلك إلى أن المصدر الوحيد للمعلومات حول الفشل هو الجهاز نفسه، والذي قد يكون جهازًا معرضًا للخطر يزيِّف الخصائص. ولهذا السبب، لا توضح الاستجابات الصادرة من الجهاز سبب الفشل.
ومع ذلك، عند استخدام مصادقة الجهاز المُدار كجزء من بنية انعدام الثقة، تستطيع المؤسسة حساب درجة ثقة الجهاز، مع خفض هذه الدرجة في حالة فشل المصادقة أو تلفها بشكل غير متوقع. تؤدي درجة الثقة المنخفضة إلى اتخاذ إجراءات مختلفة، مثل رفض الوصول إلى الخدمات، أو وضع علم على الجهاز للتحقق اليدوي، أو تصعيد الامتثال عن طريق مسحه وإلغاء شهاداته عند الضرورة. ويضمن هذا الاستجابة المناسبة للمصادقة الفاشلة.