Seguridad de la acreditación del dispositivo gestionado
La acreditación del dispositivo gestionado está disponible en iOS 16, iPadOS 16, macOS 14, tvOS 16, watchOS 9, visionOS 1.1 o posterior. Usa Secure Enclave para proporcionar garantías criptográficas acerca de la identidad de un dispositivo y de su estrategia de seguridad. Los dispositivos iPhone, iPad y Apple TV requieren el chip A11 Bionic o posterior y solo los ordenadores Mac con chip de Apple son compatibles. Apple Vision Pro requiere visionOS 1.1 o posterior. La acreditación del dispositivo gestionado es una medida de protección frente a las siguientes amenazas:
Un dispositivo comprometido que miente sobre sus propiedades
Un dispositivo comprometido que proporciona una acreditación desfasada
Un dispositivo comprometido que envía los identificadores de un dispositivo diferente
La extracción de una clave privada para usarla en un dispositivo fraudulento
Un atacante que se apropia de una solicitud de certificado para burlar a la autoridad de certificación (CA) y hacer que emita un certificado al atacante
Con la acreditación del dispositivo gestionado, un dispositivo puede solicitar una acreditación de los servidores de acreditación de Apple, que devuelven una matriz de datos formada por un certificado terminal e intermedio radicado en la autoridad de certificación raíz de acreditación empresarial de Apple. Dependiendo del tipo de dispositivo, el certificado terminal puede contener propiedades específicas, como se muestra en la siguiente tabla.
OID y valor | Versión de los sistemas operativos mínimos compatibles | Descripción | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9. Número de serie | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representa el número de serie del dispositivo y se puede utilizar para identificar un dispositivo. Para ayudar a proteger la privacidad del usuario, este valor no se incluye cuando se utiliza la acreditación del dispositivo gestionado con la inscripción del usuario. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representa el ID de hardware único y se puede utilizar para identificar un dispositivo. En un Mac, el UDID coincide con el perfil de datos de UDID de instalación del dispositivo. Para ayudar a proteger la privacidad del usuario, este valor no se incluye cuando se utiliza la acreditación del dispositivo gestionado con la inscripción del usuario. | |||||||||
1.2.840.113635.100.8.10.2 Versión de sepOS | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representa la versión del firmware de Secure Enclave. | |||||||||
1.2.840.113635.100.8.11.1 Código de refresco | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Un código único y no predecible que identifica una determinada acreditación. Indica que la acreditación se generó después de que se creara el código. El código se convierte en un hash mediante SHA256. | |||||||||
1.2.840.113635.100.8.13.1 Estado de SIP | macOS 14 | Representa el estado de activación de la SIP en un Mac con chip de Apple. | |||||||||
1.2.840.113635.100.8.13.2 Estado de arranque seguro | macOS 14 | Representa la configuración de arranque seguro seleccionada en un Mac con chip de Apple. | |||||||||
1.2.840.113635.100.8.13.3 Se permiten las extensiones del kernel de terceros | macOS 14 | Representa si se permiten o no las extensiones del kernel de terceros en un Mac con chip de Apple. | |||||||||
1.2.840.113635.100.8.10.3 Versión de LLB | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representa la versión del cargador de arranque de bajo nivel. | |||||||||
1.2.840.113635.100.8.10.1 Versión del sistema operativo | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representa la versión del sistema operativo y de iBoot. | |||||||||
1.2.840.113635.100.8.9.4 Identificador del dispositivo de la actualización de software | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Acredita la respuesta | |||||||||
Se puede hacer que un dispositivo solicite una acreditación mediante un comando enviado por el servidor MDM o como parte de un proceso de emisión de certificados mediante ACME. En ambos casos, el dispositivo recibe un código de refresco del servidor MDM o ACME (que forma parte de la solicitud al servidor de acreditación). El hash SHA256 del código de refresco se incluye como propiedad en el certificado terminal y permite al servidor MDM o ACME verificar que la acreditación coincide con la solicitud.
Al recibir la acreditación, un servicio backend debe comprobar detenidamente la validación. Estas comprobaciones incluyen asegurarse de que el certificado terminal haya sido emitido por la autoridad de certificación raíz de acreditación empresarial de Apple, comparar el hash del código de refresco con el valor esperado y examinar otras propiedades de la acreditación.
En función del modelo de implementación de una organización, la acreditación de dispositivos gestionados puede ser una base importante de una implementación moderna y segura, y utilizarse de distintas formas:
Usar un certificado emitido por ACME para autenticar la conexión del cliente al MDM y aprovechar la acreditación
DeviceInformationpara verificar las propiedades de un dispositivo de forma continua.Verificar la identidad de un dispositivo y su estrategia de seguridad, y hacer que el servidor ACME lleve a cabo una evaluación de la confianza antes de emitir un certificado. De este modo se garantiza que solo reciban un certificado los dispositivos que cumplan los estándares requeridos.
Incorporar las propiedades del dispositivo procedentes de la acreditación en un certificado ACME y llevar a cabo la evaluación de la confianza en las partes que confían.
Creación de claves vinculadas al hardware
Como parte de la emisión de un certificado mediante el protocolo ACME, se puede solicitar a un dispositivo que proporcione una acreditación que también haga que se cree el par de claves asociado dentro de Secure Enclave para que se beneficie de sus fuertes medidas de protección de hardware. Esto hace que la clave privada se encapsule con una clave de clase y ayuda a evitar la exportación de la clave privada.
Para crear una clave vinculada al hardware, la configuración de ACME debe usar el algoritmo ECSECPrimeRandom con un tamaño de clave de 256 o 384 bits. Esto especifica un par de claves en las curvas de P-256 o P-384, tal y como se definen en NIST SP 800-186.
Las claves vinculadas al hardware no sobreviven a la copia de seguridad ni a la restauración, aunque se restauren en el mismo dispositivo. Cualquier configuración que contenga una carga útil de ACME con una clave vinculada a hardware se elimina con la restauración. Si se usa una clave vinculada a hardware como la identidad del cliente del MDM, se anula la inscripción del dispositivo. En este caso, si el dispositivo se inscribió mediante la inscripción automatizada de dispositivos, el dispositivo vuelve a obtener su perfil de inscripción y se vuelve a inscribir.