Sikkerhed til attestering af administreret enhed
Attestering af administreret enhed er tilgængelig i iOS 16, iPadOS 16, macOS 14, tvOS 16, watchOS 9, visionOS 1.1 og nyere versioner. Funktionen bruger Secure Enclave til at levere kryptografisk sikkerhed om enhedens identitet og enhedens sikkerhedsstatus. iPhone-, iPad- og Apple TV-enheder kræver A11 Bionic-chippen eller en nyere chip, og kun Mac-computere med Apple Silicon understøttes. Apple Vision Pro kræver visionOS 1.1 eller en nyere version. Attestering af administreret enhed hjælper med at beskytte mod følgende trusler:
En kompromitteret enhed, der lyver om sine egenskaber
En kompromitteret enhed, der angiver en forældet attestering
En kompromitteret enhed, der sender en anden enheds id‘er
Privat nøgleuddragelse til brug på en uautoriseret enhed
En angriber, der kaprer en certifikatanmodning for at snyde CA til at udstede et certifikat til angriberne
En enhed kan med attestering af administreret enhed anmode om en attestering fra Apples attesteringsservere, som returnerer en datatabel, der består af et bladcertifikat og et mellemliggende certifikat, som forankres i Apple Enterprise Attestation Root CA. Afhængigt af enhedstypen kan bladcertifikatet indeholde specifikke egenskaber som vist i følgende tabel.
OID og værdi | Operativsystemversioner, der som minimum understøttes | Beskrivelse | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9. Serienummer | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Repræsenterer enhedens serienummer og kan bruges til at identificere en enhed. Værdien inkluderes ikke, når attestering af administreret enhed bruges sammen med Brugertilmelding, så brugerens anonymitet beskyttes. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Repræsenterer det entydige hardware-id og kan bruges til at identificere en enhed. På en Mac matcher UDID enhedens tilknytnings-UDID. Værdien inkluderes ikke, når attestering af administreret enhed bruges sammen med Brugertilmelding, så brugerens anonymitet beskyttes. | |||||||||
1.2.840.113635.100.8.10.2 sepOS-version | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Repræsenterer versionen af Secure Enclave-firmwaren. | |||||||||
1.2.840.113635.100.8.11.1 Freshness-kode | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | En entydig kode, der ikke er forudsigelig, som identificerer en bestemt attestering. Det anfører, at attesteringen blev genereret, efter at koden blev oprettet. Koden hash-behandles vha. SHA256. | |||||||||
1.2.840.113635.100.8.13.1 SIP-status | macOS 14 | Repræsenterer SIP-aktiveringsstatus på en Mac med Apple Silicon. | |||||||||
1.2.840.113635.100.8.13.2 Status for sikker start | macOS 14 | Repræsenterer den valgte konfiguration for sikker start på en Mac med Apple Silicon. | |||||||||
1.2.840.113635.100.8.13.3 Kerneudvidelser fra tredjepart tilladt | macOS 14 | Repræsenterer, om kerneudvidelser fra tredjepart er tilladt på en Mac med Apple Silicon eller ej. | |||||||||
1.2.840.113635.100.8.10.3 LLB-version | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Repræsenterer versionen af Low-Level Bootloader. | |||||||||
1.2.840.113635.100.8.10.1 Operativsystemets version | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Repræsenterer operativsystemet og iBoot-versionen. | |||||||||
1.2.840.113635.100.8.9.4 Enheds-id for softwareopdatering | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Attesterer | |||||||||
En enhed kan igangsættes til at anmode om en attestering med enten en kommando, som sendes af MDM-serveren, eller som led i en certifikatudstedelsesproces vha. ACME. I begge tilfælde modtager enheden en freshness-kode fra enten MDM- eller ACME-serveren (som er en del af anmodningen til attesteringsserveren). Freshness-kodens SHA256 hashværdi inkluderes som en egenskab i bladcertifikatet og gør det muligt for MDM- eller ACME-serveren at bekræfte, at attesteringen matcher anmodningen.
Når attesteringen er modtaget, skal backend-tjenesten omhyggeligt udføre valideringskontroller. Kontrollerne skal sikre, at bladcertifikatet blev udstedt af Apple Enterprise Attestation Root CA, hvor freshness-kodens hash-værdi sammenlignes med den forventede værdi, og andre egenskaber i attesteringen undersøges.
Afhængigt af en organisations implementeringsmodel kan attestering af administreret enhed være et vigtigt grundlag for en moderne og sikker implementering og anvendes på forskellige måder:
Bruge et ACME-udstedt certifikat for at godkende forbindelsen fra klienten til MDM og bruge attesteringen
DeviceInformationtil løbende at bekræfte egenskaberne for en enhed.Bekræfte en enheds identitet og enhedens sikkerhedsstatus og få ACME-serveren til at udføre en tillidsevaluering, før der udstedes et certifikat. Dermed sikres det, at kun enheder, som lever op til de krævede standarder, modtager et certifikat.
Integrere enhedens egenskaber fra attesteringen i et ACME-certifikat og udføre tillidsevalueringen på de afhængige parter.
Oprettelse af hardwarebundne nøgler
Som led i en certifikatudstedelse vha. ACME-protokollen kan en enhed anmodes om at videregive en attestering, som også medfører at det tilknyttede nøglepar oprettes i Secure Enclave, så den får gavn af de stærke hardwarebeskyttelsesforanstaltninger. Det medfører, at den private nøgle pakkes ind med en klassenøgle og hjælper med at forhindre, at den private nøgle eksporteres.
ACME-konfigurationen skal bruge ECSECPrimeRandom-algoritmen med en nøglestørrelse på 256 eller 384 bit for at oprette en hardwarebunden nøgle. Det specificerer et nøglepar på kurverne P-256 eller P-384 som defineret i NIST SP 800-186.
Hardwarebundne nøgler overlever ikke sikkerhedskopiering og gendannelse – heller ikke, når der gendannes på samme enhed. Konfigurationer, der indeholder ACME-data med en hardwarebunden nøgle, fjernes efter gendannelse. Hvis en hardwarebunden nøgle bruges som MDM-klientidentiteten, frameldes enheden. I dette tilfælde henter enheden sin tilmeldingsprofil og tilmelder sig igen, hvis enheden var tilmeldt via Automatisk tilmelding af enhed.