مصادقة الجهاز المُدار لأجهزة Apple
مصادقة الجهاز المُدار هي ميزة في الأجهزة المزودة بنظام iOS 16 و iPadOS 16.1 و macOS 14 و tvOS 16، أو أحدث. توفر مصادقة الجهاز المُدار أدلة قوية حول خصائص الجهاز التي يمكن استخدامها كجزء من تقييم الثقة. ويستند إعلان تشفير خصائص الجهاز هذا إلى أمان Secure Enclave وخوادم التصديق في Apple.
تساعد مصادقة الجهاز المُدار على الحماية من التهديدات الآتية:
جهاز مخترق يكذب بشأن خصائصه
جهاز مخترق يقدم مصادقة قديمة
جهاز مخترق يرسل معرّفات مختلفة للجهاز
استخراج مفتاح خاص لاستخدامه على جهاز مخادع
مهاجم يخطف طلب شهادة لخداع CA لإصدار شهادة للمهاجم
لمزيد من المعلومات، شاهد فيديو المؤتمر العالمي للمطورين لعام 2022 (WWDC22) ما الجديد في إدارة الأجهزة.
مكونات الكمبيوتر المدعومة لمصادقة الجهاز المُدار
لا يتم إصدار مصادقات إلا للأجهزة التي تستوفي متطلبات مكونات الكمبيوتر الآتية:
أجهزة iPhone و iPad و Apple TV: مزودة بشريحة A11 Bionic أو أحدث.
أجهزة كمبيوتر Mac: مزود برقاقات Apple.
ليست هناك تغييرات بشأن مصادقة الجهاز المُدار لـ Apple Watch و Apple Vision Pro.
مصادقة الجهاز المُدار مع طلبات التسجيل في شهادة ACME
يمكن لخدمة ACME التابعة للمرجع المصدق (CA) المعني بإصدار الشهادات للمؤسسة أن تطلب تصديقًا على خصائص جهاز التسجيل. توفر هذه المصادقة ضمانات قوية بأن خصائص الجهاز (على سبيل المثال، الرقم التسلسلي) صحيحة وليست مزيفة. يمكن لخدمة ACME التابعة للمرجع المصدق المعني بإصدار الشهادات التحقق من سلامة خصائص الجهاز المصدق عليها بشكل مشفر والرجوع إليها اختياريًا مقابل مخزون أجهزة المؤسسة، وعند التحقق الناجح، يتم تأكيد الجهاز على أنه جهاز المؤسسة.
إذا استخدمت المصادقة، سيقوم نظام التشغيل بإنشاء مفتاح خاص مرتبط بالجهاز داخل Secure Enclave في الجهاز كجزء من طلب توقيع الشهادة. بالنسبة إلى هذا الطلب، يمكن لجهة إصدار ACME إصدار مصادقة عميل. يرتبط هذا المفتاح بـ Secure Enclave وبالتالي فهو متاح فقط على جهاز محدد. ويمكنك استخدامه على iPhone و iPad و Apple TV و Apple Watch مع تكوينات تدعم مواصفات هوية الشهادة. على Mac، يمكنك استخدام المفاتيح المرتبطة بالأجهزة للمصادقة مع خدمة إدارة الأجهزة و Microsoft Exchange و Kerberos وشبكات 802.1X وعميل VPN المضمن ومرحِّل الشبكة المضمن.
ملاحظة: لدى Secure Enclave وسائل حماية قوية جدًا ضد استخراج المفتاح، حتى في حالة تعرض معالج التطبيقات للخطر.
تتم إزالة هذه المفاتيح المرتبطة بالأجهزة تلقائيًا عند مسح بيانات الجهاز أو استعادتها. نظرًا لإزالة المفاتيح، فإن أي ملفات تعريف تكوين تعتمد على هذه المفاتيح لن تعمل بعد الاستعادة. يجب تطبيق ملف التعريف مرة أخرى لإعادة إنشاء المفاتيح.
باستخدام مصادقة حمولة ACME، يمكن لخدمة إدارة الأجهزة تسجيل هوية شهادة العميل باستخدام بروتوكول ACME، حيث يمكنه التحقق من صحة الآتي بشكل مشفر:
الجهاز هو جهاز Apple أصلي
الجهاز هو جهاز محدد
تتم إدارة الجهاز بواسطة خدمة إدارة الأجهزة الخاصة بالمؤسسة
للجهاز خصائص معينة (على سبيل المثال، الرقم التسلسلي)
يعد المفتاح الخاص جهازًا مرتبطًا بالجهاز
مصادقة الجهاز المُدار مع طلبات خدمة إدارة الأجهزة
بالإضافة إلى استخدام تصديق الجهاز المُدار أثناء طلبات التسجيل في شهادة ACME، يمكن لخدمة إدارة الأجهزة إصدار استعلام DeviceInformation يطلب خاصية DevicePropertiesAttestation. إذا أرادت خدمة إدارة الأجهزة المساعدة على ضمان الحصول على مصادقة جديدة، فيمكنها إرسال مفتاح DeviceAttestationNonce اختياري يفرض مصادقة جديدة. إذا حذفت هذا المفتاح، فسيرجع الجهاز مصادقة مخزنة مؤقتًا. ثم تُرجع استجابة مصادقة الجهاز شهادة طرفية بخصائصها في معرّفات OID المخصصة.
ملاحظة: يُحذف الرقم التسلسلي و UDID عند استخدام تسجيل المستخدم لحماية خصوصية المستخدم. تكون القيم الأخرى مجهولة وتتضمن خصائص مثل إصدار sepOS وكود التحديث.
يمكن لخدمة إدارة الأجهزة بعد ذلك التحقق من صحة الاستجابة من خلال تقييم أن سلسلة الشهادات متجذرة مع مرجع تصديق Apple المتوقع (المتوفر من مستودع PKI الخاص من Apple)، وما إذا كانت تجزئة رمز التحديث هي نفس تجزئة رمز التحديث التي يوفره الاستعلام DeviceInformation.
نظرًا إلى أن عملية تحديد رمز التحديث تُنشئ مصادقة جديدة—تستهلك الموارد على الجهاز وخوادم Apple؛ يقتصر الاستخدام حاليًا على مصادقة DeviceInformation واحدة لكل جهاز كل سبعة أيام. ليس من الضروري أن تطلب خدمة إدارة الأجهزة مصادقة جديدة على الفور كل سبعة أيام. ليس من الضروري طلب مصادقة جديدة ما لم تتغير خصائص الجهاز؛ على سبيل المثال، التحديث أو الترقية إلى إصدار نظام التشغيل. إلى جانب ذلك، فإن عملية الطلب العشوائي العَرَضية للحصول على مصادقة جديدة قد تساعد في اكتشاف الجهاز المخترق الذي يحاول يزيِّف هذه الخصائص.
التعامل مع المصادقات الفاشلة
قد تفشل عملية طلب المصادقة. عندما يحدث ذلك، يستمر الجهاز في الاستجابة لاستعلام DeviceInformation أو تحدي device-attest-01 الخاص بخادم ACME، ولكن يتم حذف بعض المعلومات. إما أن يُحذف OID المتوقع أو قيمته، أو يُحذف الإثبات بالكامل. هناك العديد من الأسباب المحتملة للفشل، مثل:
مشكلة في الشبكة تصل إلى خوادم مصادقة Apple
قد يكون الجهاز أو البرامج معرضة للخطر
الجهاز ليس جهاز Apple أصلي
في الحالتين الأخيرتين، ترفض خوادم مصادقة Apple إصدار مصادقة للخصائص التي لا يمكنها التحقق منها. لا توجد طريقة موثوقة لخدمة إدارة الأجهزة لمعرفة السبب الدقيق لفشل المصادقة. ويرجع ذلك إلى أن المصدر الوحيد للمعلومات حول الفشل هو الجهاز نفسه، والذي قد يكون جهازًا معرضًا للخطر يزيِّف الخصائص. ولهذا السبب، لا توضح الاستجابات الصادرة من الجهاز سبب الفشل.
ومع ذلك، عند استخدام مصادقة الجهاز المُدار كجزء من بنية انعدام الثقة، تستطيع المؤسسة حساب درجة ثقة الجهاز، مع خفض هذه الدرجة في حالة فشل المصادقة أو تلفها بشكل غير متوقع. تؤدي درجة الثقة المنخفضة إلى اتخاذ إجراءات مختلفة، مثل رفض الوصول إلى الخدمات، أو وضع علم على الجهاز للتحقق اليدوي، أو تصعيد الامتثال عن طريق مسحه وإلغاء شهاداته عند الضرورة. ويضمن هذا الاستجابة المناسبة للمصادقة الفاشلة.