Atestace spravovaných zařízení pro zařízení Apple
Atestace spravovaných zařízení je funkce systémů iOS 16, iPadOS 16.1, macOS 14 a tvOS 16 nebo novějších poskytující přesvědčivé důkazy o tom, které vlastnosti zařízení lze použít jako součást hodnocení důvěryhodnosti. Tato kryptografická deklarace vlastností zařízení využívá bezpečnostní modul Secure Enclave a atestační servery Apple.
Atestace spravovaných zařízení pomáhá chránit před následujícími hrozbami:
Napadené zařízení, které lže o svých vlastnostech
Napadené zařízení, které se prokazuje zastaralou atestací
Napadené zařízení odesílající identifikátory jiného zařízení
Extrakce soukromého klíče pro použití v podvodném zařízení
Útočník se zmocní žádosti o certifikát a podvede certifikační autoritu, aby mu vydala certifikát
Další informace najdete ve videu z WWDC23 What’s new in managing Apple devices (Novinky ve správě zařízení Apple).
Atestace spravovaných zařízení pomocí žádostí o registraci certifikátu ACME
Služba ACME poskytovaná organizaci vydávající certifikační autoritou si může vyžádat atestaci vlastností registrovaného zařízení. Tato atestace poskytuje silnou záruku, že vlastnosti zařízení (například jeho sériové číslo) jsou legitimní, a ne podvržené. Služba ACME vydavatelské certifikační autority může kryptograficky ověřit integritu atestovaných vlastností zařízení a volitelně je porovnat s evidencí zařízení organizace a v případě úspěšného ověření potvrdit, že zařízení je zařízením organizace.
Při použití atestace je jako součást žádosti o podepsání certifikátu vygenerován soukromý klíč přímo v modulu Secure Enclave daného zařízení. Certifikační autorita vystavující certifikát ACME pak může pro tuto žádost vydat klientský certifikát. Tento klíč je vázaný na modul Secure Enclave a je tedy k dispozici vždy jen na konkrétním zařízení. Lze ho používat na iPhonech, iPadech, Apple TVa Apple Watch s konfiguracemi podporujícími určení certifikační identity. Na Macu lze klíče vázané na hardware používat k ověřování v prostředích MDM, Microsoft Exchange, Kerberos, sítích 802.1X, v integrovaném VPN klientovi a v integrovaných službách síťového přenosu.
Poznámka: Secure Enclave má velmi silnou ochranu proti extrakci klíčů, a to i v případě napadení aplikačního procesoru.
Při vymazání nebo obnovení zařízení se tyto hardwarově vázané klíče automaticky odstraní. Z tohoto důvodu nebudou po obnovení fungovat žádné konfigurační profily, které se na tyto klíče spoléhají. Mají‑li být klíče obnoveny, je nutné profily přidat znovu.
Prostřednictvím atestace datové části ACME může služba MDM zaregistrovat identitu klientského certifikátu s využitím protokolu ACME, který dokáže kryptograficky ověřit následující skutečnosti:
Zařízení je originálním zařízením Apple
Zařízení je konkrétním zařízením
Zařízení je spravované MDM serverem organizace
Zařízení má určité vlastnosti (například sériové číslo)
Na zařízení je hardwarově vázán soukromý klíč
Atestace spravovaných zařízení pomocí žádostí MDM
Kromě atestace spravovaných zařízení při zpracování žádostí o registraci certifikátu ACME může služba MDM vyslat dotaz DeviceInformation
s požadavkem na vlastnost DevicePropertiesAttestation
. Pokud služba MDM potřebuje zajistit nové provedení atestace, může odeslat nepovinný klíč DeviceAttestationNonce
, který novou atestaci vynutí. Pokud je tento klíč vynechán, zařízení vrátí atestaci z mezipaměti. Atestační odezva zařízení pak vrátí listový certifikát s jeho vlastnostmi ve vlastních OID. Prvními dvěma vlastnostmi jsou sériové číslo a identifikátor UDID (při použití registrace uživatelů se obě vynechávají). Zbývající hodnoty jsou anonymní a zahrnují vlastnosti, jako je verze sepOS nebo volitelná hodnota ochrany proti zpětnému přehrání.
Služba MDM pak může odpověď ověřit vyhodnocením, zda je řetězec certifikátů zaštítěn očekávanou certifikační autoritou Apple (dostupnou v soukromém úložišti PKI společnosti Apple), a na vyžádání může ověřit také hodnotu ochrany proti zpětnému přehrání uvedenou v dotazu DeviceInformation
.
Vzhledem k tomu, že při definování hodnoty ochrany proti zpětnému přehrání se vygeneruje nové potvrzení – což spotřebovává prostředky v zařízení i na serverech společnosti Apple – je použití v současné době limitováno na jednu atestaci každého zařízení jednou za 7 dní. Vyžádání nové atestace se nepovažuje za nutné, pokud se nezměnily vlastnosti zařízení – například nedošlo k aktualizaci nebo upgradu na novou verzi operačního systému.