Βεβαίωση διαχειριζόμενης συσκευής για συσκευές Apple
Η Βεβαίωση διαχειριζόμενης συσκευής είναι μια δυνατότητα στα iOS 16, iPadOS 16.1, macOS 14 και tvOS 16 ή μεταγενέστερες εκδόσεις. Η Βεβαίωση διαχειριζόμενης συσκευής παρέχει αξιόπιστα στοιχεία σχετικά με τις ιδιότητες μιας συσκευής που μπορούν να χρησιμοποιηθούν ως μέρος μιας αξιολόγησης αξιοπιστίας. Αυτή η κρυπτογραφική δήλωση των ιδιοτήτων συσκευής βασίζεται στην ασφάλεια του Secure Enclave και των διακομιστών βεβαίωσης της Apple.
Η βεβαίωση διαχειριζόμενης συσκευής βοηθά στην προστασία από τις ακόλουθες απειλές:
Μια παραβιασμένη συσκευή που αναφέρει ψευδείς ιδιότητες
Μια παραβιασμένη συσκευή που παρέχει μια παρωχημένη βεβαίωση
Μια παραβιασμένη συσκευή που στέλνει τα αναγνωριστικά μιας διαφορετικής συσκευής
Εξαγωγή ιδιωτικού κλειδιού για χρήση σε κακόβουλη συσκευή
Ένας εισβολέας αλλοιώνει ένα αίτημα πιστοποιητικού για να εξαπατήσει την αρχή έκδοσης ώστε να εκδώσει πιστοποιητικό στον εισβολέα
Για περισσότερες λεπτομέρειες, ανατρέξτε στο βίντεο WWDC22 Τι νέο υπάρχει στη διαχείριση συσκευών.
Υποστηριζόμενο υλισμικό για τη Βεβαίωση διαχειριζόμενης συσκευής
Οι βεβαιώσεις εκδίδονται μόνο σε συσκευές που πληρούν τις ακόλουθες απαιτήσεις υλισμικού:
Συσκευές iPhone, iPad και Apple TV: Με το chip A11 Bionic ή μεταγενέστερο.
Υπολογιστές Mac: Με Apple Silicon.
Δεν υπάρχουν αλλαγές στη Βεβαίωση διαχειριζόμενης συσκευής για το Apple Watch και Apple Vision Pro.
Βεβαίωση διαχειριζόμενης συσκευής με αιτήματα εγγραφής πιστοποιητικών ACME
Η υπηρεσία ACME της εκδίδουσας αρχής πιστοποίησης (CA) ενός οργανισμού μπορεί να ζητήσει βεβαίωση των ιδιοτήτων της συσκευής εγγραφής. Με αυτήν τη βεβαίωση παρέχονται ισχυρές διαβεβαιώσεις ότι οι ιδιότητες της συσκευής (για παράδειγμα, ο σειριακός αριθμός) είναι νόμιμες και δεν είναι πλαστογραφημένες. Η υπηρεσία ACME της αρχής έκδοσης πιστοποιητικών μπορεί να επικυρώσει κρυπτογραφικά την ακεραιότητα των επιβεβαιωμένων ιδιοτήτων της συσκευής και προαιρετικά να τις αναφέρει στο απόθεμα συσκευών του οργανισμού και, μετά από επιτυχή επαλήθευση, να επιβεβαιώσει ότι η συσκευή ανήκει στον οργανισμό.
Αν χρησιμοποιείται βεβαίωση, δημιουργείται ένα ιδιωτικό κλειδί συνδεδεμένο με το υλισμικό εντός του Secure Enclave της συσκευής ως μέρος του αιτήματος υπογραφής πιστοποιητικού. Για αυτό το αίτημα, η αρχή έκδοσης πιστοποιητικών ACME μπορεί έπειτα να εκδώσει ένα πιστοποιητικό πελάτη. Αυτό το κλειδί σχετίζεται με το Secure Enclave και επομένως διατίθεται μόνο σε μια συγκεκριμένη συσκευή. Μπορεί να χρησιμοποιηθεί σε iPhone, iPad, Apple TV και Apple Watch με ρυθμίσεις παραμέτρων που υποστηρίζουν την προδιαγραφή μιας ταυτότητας πιστοποιητικού. Σε Mac, μπορούν να χρησιμοποιηθούν κλειδιά συνδεδεμένα στο υλισμικό για έλεγχο ταυτότητας με MDM, Microsoft Exchange, Kerberos, δίκτυα 802.1X, τον ενσωματωμένο πελάτη VPN και την ενσωματωμένη μεταγωγή δικτύου.
Σημείωση: Το Secure Enclave διαθέτει πολύ ισχυρούς μηχανισμούς προστασίας κατά της εξαγωγής του κλειδιού, ακόμη και σε περίπτωση αλλοίωσης του επεξεργαστή εφαρμογής.
Αυτά τα κλειδιά που συνδέονται με το υλισμικό αφαιρούνται αυτόματα κατά το σβήσιμο ή την επαναφορά μιας συσκευής. Καθώς τα κλειδιά αφαιρούνται, τα προφίλ διαμόρφωσης που βασίζονται σε αυτά τα κλειδιά δεν θα λειτουργούν μετά από επαναφορά. Το προφίλ πρέπει να εφαρμοστεί ξανά για να δημιουργηθούν πάλι τα κλειδιά.
Χρησιμοποιώντας βεβαίωση φορτίου ACME, η λύση MDM μπορεί να εγγράψει μια ταυτότητα πιστοποιητικού πελάτη χρησιμοποιώντας το πρωτόκολλο ACME που μπορεί να επικυρώσει κρυπτογραφικά τα εξής:
Η συσκευή είναι γνήσια συσκευή Apple
Η συσκευή είναι μια συγκεκριμένη συσκευή
Η διαχείριση της συσκευής πραγματοποιείται από τον διακομιστή MDM του οργανισμού
Η συσκευή έχει ορισμένες ιδιότητες (για παράδειγμα, τον σειριακό αριθμό)
Το ιδιωτικό κλειδί είναι συνδεδεμένο με υλισμικό στη συσκευή
Βεβαίωση διαχειριζόμενης συσκευής με αιτήματα MDM
Εκτός από τη χρήση βεβαίωσης διαχειριζόμενης συσκευής και τη διάρκεια αιτημάτων εγγραφής πιστοποιητικών ACME, μια λύση MDM μπορεί να στείλει ένα ερώτημα DeviceInformation ζητώντας μια ιδιότητα DevicePropertiesAttestation. Αν η λύση MDM θέλει να βοηθήσει στη διασφάλιση μιας νέας βεβαίωσης, μπορεί να στείλει ένα προαιρετικό κλειδί DeviceAttestationNonce, το οποίο επιβάλλει μια νέα βεβαίωση. Αν παραλειφθεί αυτό το κλειδί, η συσκευή επιστρέφει μια βεβαίωση που είναι αποθηκευμένη στην cache. Η απόκριση βεβαίωσης συσκευής επιστρέφει ένα πιστοποιητικό φύλλου με τις ιδιότητές του σε προσαρμοσμένα OID.
Σημείωση: Ο σειριακός αριθμός και το UDID παραλείπονται κατά τη χρήση της Εγγραφής χρήστη για την προστασία του απορρήτου του χρήστη. Οι άλλες τιμές είναι ανώνυμες και περιλαμβάνουν ιδιότητες όπως η έκδοση sepOS και ο κωδικός φρεσκάδας.
Η λύση MDM μπορεί έπειτα να επικυρώσει την απόκριση επαληθεύοντας ότι η αλυσίδα πιστοποιητικών έχει ως ρίζα την προσδοκώμενη αρχή έκδοσης πιστοποιητικών Apple (διατίθεται από το Ιδιωτικό αποθετήριο PKI της Apple) και, αν ο κατακερματισμός του κωδικού φρεσκάδας είναι ίδιος με τον κατακερματισμό του κωδικού φρεσκάδας που παρέχεται στο ερώτημα DeviceInformation.
Επειδή ο ορισμός ενός κωδικού φρεσκάδας δημιουργεί μια νέα βεβαίωση –η οποία καταναλώνει πόρους στη συσκευή και στους διακομιστές της Apple– η χρήση περιορίζεται επί του παρόντος σε μία βεβαίωση DeviceInformation ανά συσκευή κάθε 7 ημέρες. Μια λύση MDM δεν πρέπει να ζητάει αμέσως νέα βεβαίωση κάθε 7 ημέρες. Δεν θεωρείται απαραίτητο να ζητήσετε νέα βεβαίωση, εκτός αν έχουν αλλάξει οι ιδιότητες μιας συσκευής – για παράδειγμα, μια ενημέρωση ή αναβάθμιση στην έκδοση λειτουργικού συστήματος. Επίσης ένα περιστασιακό τυχαίο αίτημα για μια νέα βεβαίωση μπορεί να πιάσει μια παραβιασμένη συσκευή που προσπαθεί να πει ψέματα για αυτές τις ιδιότητες.
Χειρισμός βεβαιώσεων που έχουν αποτύχει
Το αίτημα για μια βεβαίωση μπορεί να αποτύχει. Όταν συμβαίνει αυτό, η συσκευή εξακολουθεί να αποκρίνεται στο ερώτημα DeviceInformation ή στην πρόκληση device-attest-01 του διακομιστή ACME, αλλά κάποιες πληροφορίες παραλείπονται. Παραλείπεται είτε το αναμενόμενο OID ή η τιμή του, ή παραλείπεται ολόκληρη η βεβαίωση. Υπάρχουν πολλοί ενδεχόμενοι λόγοι για μια αποτυχία, όπως:
Ένα πρόβλημα δικτύου που φθάνει στους διακομιστές βεβαίωσης Apple
Το υλισμικό ή το λογισμικό της συσκευής ενδέχεται να έχει παραβιαστεί
Η συσκευή δεν είναι γνήσιο υλισμικό Apple
Σε αυτές τις 2 τελευταίες περιπτώσεις, οι διακομιστές βεβαίωσης Apple αρνούνται να εκδώσουν μια βεβαίωση για ιδιότητες που δεν μπορούν να επαληθεύσουν. Δεν υπάρχει αξιόπιστος τρόπος για να γνωρίζει η λύση MDM την ακριβή αιτία μιας βεβαίωσης που έχει αποτύχει. Αυτό διότι η μόνη πηγή πληροφοριών σχετικά με την αποτυχία είναι η ίδια η συσκευή, η οποία μπορεί να είναι μια παραβιασμένη συσκευή που ψεύδεται. Για αυτόν τον λόγο, οι αποκρίσεις από τη συσκευή δεν υποδεικνύουν την αιτία για την αστοχία.
Ωστόσο, όταν η Βεβαίωση διαχειριζόμενης συσκευής χρησιμοποιείται ως μέρος μιας αρχιτεκτονικής μηδενικής αξιοπιστίας, ο οργανισμός μπορεί να υπολογίσει μια βαθμολογία αξιοπιστίας για τη συσκευή, με μια αποτυχημένη ή απρόσμενα παλιά βεβαίωση να χαμηλώνει τη βαθμολογία. Μια χαμηλή βαθμολογία αξιοπιστίας ενεργοποιεί διαφορετικές ενέργειες, όπως άρνηση πρόσβασης στις υπηρεσίες, επισήμανση της συσκευής για χειροκίνητη διερεύνηση, ή κλιμακώσεις συμμόρφωσης σβήνοντας την και ανακαλώντας τα πιστοποιητικά της όταν είναι απαραίτητο. Αυτό διασφαλίζει μια κατάλληλη απόκριση σε μια βεβαίωση που έχει αποτύχει.