Atestace spravovaných zařízení pro zařízení Apple
Atestace spravovaných zařízení je funkcí, která je k dispozici v systémech iOS 16, iPadOS 16.1, macOS 14 a tvOS 16 nebo novějších. Atestace spravovaných zařízení poskytuje přesvědčivé důkazy o tom, které vlastnosti zařízení lze použít jako součást hodnocení důvěryhodnosti. Tato kryptografická deklarace vlastností zařízení využívá bezpečnostní modul Secure Enclave a atestační servery Apple.
Atestace spravovaných zařízení pomáhá chránit před následujícími hrozbami:
Napadené zařízení, které lže o svých vlastnostech
Napadené zařízení, které se prokazuje zastaralou atestací
Napadené zařízení odesílající identifikátory jiného zařízení
Extrakce soukromého klíče pro použití v podvodném zařízení
Útočník se zmocní žádosti o certifikát a podvede certifikační autoritu, aby mu vydala certifikát
Další informace získáte ve videu WWDC22: What’s new in device management (Novinky ve správě zařízení).
Podporovaný hardware pro atestaci spravovaných zařízení
Atestace jsou vydávány jen zařízením, která splňují následující požadavky na hardware:
Zařízení iPhone, iPad, a Apple TV: s čipy A11 Bionic nebo novějšími
Počítače Mac: s čipy Apple
V případě atestace spravovaných zařízení pro Apple Watch a Apple Vision Pro nedošlo k žádným změnám.
Atestace spravovaných zařízení pomocí žádostí o registraci certifikátu ACME
Služba ACME poskytovaná organizaci vydávající certifikační autoritou si může vyžádat atestaci vlastností registrovaného zařízení. Tato atestace poskytuje silnou záruku, že vlastnosti zařízení (například jeho sériové číslo) jsou legitimní, a ne podvržené. Služba ACME vydavatelské certifikační autority může kryptograficky ověřit integritu atestovaných vlastností zařízení a volitelně je porovnat s evidencí zařízení organizace a v případě úspěšného ověření potvrdit, že zařízení je zařízením organizace.
Když atestaci použijete, operační systém vygeneruje přímo v modulu Secure Enclave daného zařízení soukromý klíč vázaný na hardware jako součást žádosti o podepsání certifikátu. Certifikační autorita vystavující certifikát ACME pak může pro tuto žádost vydat klientský certifikát. Tento klíč je vázaný na modul Secure Enclave a je tedy k dispozici vždy jen na konkrétním zařízení. Můžete ho používat na iPhonech, iPadech, Apple TV a Apple Watch s konfiguracemi podporujícími určení certifikační identity. Na Macu můžete klíče vázané na hardware používat k ověřování v prostředích služby správy zařízení, Microsoft Exchange, Kerberos, sítích 802.1X, v integrovaném VPN klientovi a v integrovaných službách síťového přenosu.
Poznámka: Secure Enclave má velmi silnou ochranu proti extrakci klíčů, a to i v případě napadení aplikačního procesoru.
Při vymazání nebo obnovení zařízení se tyto hardwarově vázané klíče automaticky odstraní. Z tohoto důvodu nebudou po obnovení fungovat žádné konfigurační profily, které se na tyto klíče spoléhají. Klíče je nutné znovu vytvořit opětovným použitím profilu.
Prostřednictvím atestace datové části ACME může služba správy zařízení zaregistrovat identitu klientského certifikátu s využitím protokolu ACME, který dokáže kryptograficky ověřit následující skutečnosti:
Zařízení je originálním zařízením Apple
Zařízení je konkrétním zařízením
Zařízení je spravováno službou správy zařízení dané organizace
Zařízení má určité vlastnosti (například sériové číslo)
Na zařízení je hardwarově vázán soukromý klíč
Atestace spravovaných zařízení pomocí žádostí služby správy zařízení
Kromě použití atestace spravovaných zařízení při zpracování žádostí o registraci certifikátu ACME může služba správy zařízení vyslat dotaz DeviceInformation s požadavkem na vlastnost DevicePropertiesAttestation. Pokud je třeba, aby služba správy zařízení pomohla se zajištěním nové atestace, může odeslat nepovinný klíč DeviceAttestationNonce, který novou atestaci vynutí. Když tento klíč vynecháte, zařízení vrátí atestaci z mezipaměti. Atestační odezva zařízení pak vrátí listový certifikát s jeho vlastnostmi ve vlastních OID.
Poznámka: Sériové číslo i identifikátor UDID jsou při registraci uživatele z důvodu ochrany soukromí vynechány. Ostatní hodnoty jsou anonymní a zahrnují vlastnosti, jako je verze sepOS a kód čerstvosti.
Služba správy zařízení pak může odpověď ověřit vyhodnocením, zda je řetězec certifikátů zaštítěn očekávanou kořenovou certifikační autoritou Apple (dostupnou v soukromém úložišti PKI společnosti Apple) a zda je hašovací hodnota kódu čerstvosti stejná jako u kódu čerstvosti vráceného dotazem DeviceInformation.
Vzhledem k tomu, že při definování kódu čerstvosti se generuje nová atestace – což spotřebovává prostředky v zařízení i na serverech společnosti Apple – je použití v současné době omezeno na jednu atestaci DeviceInformation každého zařízení jednou za 7 dní. Služba správy zařízení ovšem nemusí novou atestaci vyžadovat každých 7 dní. Vyžádání nové atestace není nutné, pokud se nezmění vlastnosti zařízení, například při aktualizaci nebo upgradu na novou verzi operačního systému. Při občasném náhodném vyžádání nové atestace je navíc možné odhalit napadené zařízení, které se pokouší použít podvržené hodnoty těchto vlastností.
Zpracování neúspěšných atestací
Žádosti o atestace nemusí být úspěšné. Pokud se to stane, zařízení bude přesto reagovat na dotaz DeviceInformation nebo výzvu device-attest-01 ACME serveru, ale některé informace budou vynechány. Buď bude vynecháno OID či jeho hodnota, anebo bude úplně vynechána atestace. Existuje mnoho možných důvodů selhání, například:
Problém se sítí, který se dostal až k atestačním serverům Apple
Možné napadení hardwaru nebo software zařízení
Zařízení není originálním hardwarem Apple
V posledních dvou případech atestační servery Apple odmítnou pro vlastnosti, které nemůžou ověřit, vydat atestaci. Neexistuje žádný důvěryhodný způsob, který by službě správy zařízení umožnil zjistit přesnou příčinu neúspěšné atestace. Je to proto, že jediným zdrojem informací o selhání je samotné zařízení, které může být napadené, a může lhát. Z tohoto důvodu reakce zařízení neinformují o příčině selhání.
Když se však atestace spravovaných zařízení používá jako součást architektury nulové důvěry, může si organizace pro zařízení vypočítat skóre důvěryhodnosti, přičemž neúspěšná nebo neočekávaně zastaralá atestace toto skóre snižuje. Snížené skóre důvěryhodnosti spouští různé akce, například odepření přístupu ke službám, označení zařízení k ručnímu prošetření nebo jeho vymazání a v případě nutnosti také odebrání jeho certifikátů jako výzva k prošetření dodržování pravidel. Tím je zajištěna odpovídající reakce na neúspěšnou atestaci.