Certificados para dispositivos administrados en dispositivos de Apple
La certificación de dispositivos administrados es una función en iOS 16, iPadOS 16.1, macOS 14 y tvOS 16 o posterior. La certificación de dispositivos administrados proporciona pruebas sólidas sobre cuáles propiedades de un dispositivo pueden usarse como parte de una evaluación de confianza. Esta declaración criptográfica de las propiedades del dispositivo está basada en la seguridad del Secure Enclave y los servidores de certificación Apple.
La certificación de dispositivos administrados ayuda a protegerse contra las siguientes amenazas:
un dispositivo comprometido que miente sobre sus propiedades;
un dispositivo comprometido que proporciona una certificación obsoleta;
un dispositivo comprometido que envía los identificadores de otro dispositivo;
extracción de claves privadas para usarlas en otro dispositivo;
un atacante que secuestra una solicitud de certificado para engañar a la autoridad de certificación para que emita un certificado al atacante.
Para obtener detalles, échale un vistazo al video de la WWDC22 What’s new in device management.
Hardware compatible con la certificación para dispositivos administrados
La certificaciones se emiten sólo a los dispositivos que cumplen con los siguientes requisitos de hardware:
Dispositivos iPhone, iPad y Apple TV: con el chip A11 Bionic o posterior.
Computadoras Mac: con Apple Chip.
No hay cambios a los certificados para dispositivos administrados para el Apple Watch y el Apple Vision Pro.
Certificación de dispositivos administrados con solicitudes de inscripción de Certificado ACME
El servicio ACME de la autoridad de certificación (AC) emisora de una organización puede solicitar la certificación de las propiedades del dispositivo que se inscribe. Esta certificación proporciona garantías contundentes de que las propiedades del dispositivo (como su número de serie) son legítimas y no han sido falsificadas. El servicio ACME de la AC emisora puede validar criptográficamente la integridad de las propiedades del dispositivo certificadas y, opcionalmente, cotejarlas con el inventario de dispositivos de la organización y, una vez completada la verificación, confirmar que el dispositivo es de la organización.
Si se usa la certificación, se genera una clave privada vinculada al hardware dentro del Secure Enclave del dispositivo como parte de la solicitud de firma de certificado. Para esta solicitud, la autoridad de certificación emisora ACME puede emitir un certificado de cliente. Esta clave está vinculada al Secure Enclave y, por tanto, sólo está disponible en un dispositivo específico. Puede usarse en dispositivos iPhone, iPad, Apple TV y Apple Watch con configuraciones que admitan la especificación de una identidad de certificado. En las computadoras Mac, las claves vinculadas al hardware pueden usarse para la autenticación con MDM, Microsoft Exchange, Kerberos, redes 802.1X, el cliente VPN integrado y la retransmisión de red integrada.
Nota: el Secure Enclave tiene protecciones muy fuertes contra la extracción de claves, incluso en el caso de un procesador de aplicaciones comprometido.
Estas claves vinculadas al hardware se eliminan automáticamente cuando se borra o restaura un dispositivo. Como se eliminan las claves, cualquier perfil de configuración que dependa de esas claves dejará de funcionar después de restaurar. El perfil debe aplicarse otra vez para recrear las claves.
Con la certificación de la carga útil ACME, una solución de MDM puede inscribir una identidad de certificado de cliente mediante el protocolo ACME, el cual puede validar criptográficamente que:
el dispositivo es un dispositivo Apple genuino;
el dispositivo es de un tipo específico;
El dispositivo está administrado por el servidor de MDM de la organización
el dispositivo tiene ciertas propiedades (por ejemplo, el número de serie);
la clave privada del hardware esté vinculada al dispositivo.
Certificación de dispositivos administrados con solicitudes MDM
Además de usar la certificación de dispositivos administrados durante las peticiones de inscripción de Certificado ACME, una solución de MDM puede emitir una consulta DeviceInformation que solicita una propiedad DevicePropertiesAttestation. Si la solución de MDM quiere ayudar a garantizar una certificación nueva, puede enviar una clave opcional DeviceAttestationNonce, la cual fuerza una certificación nueva. Si se omite esta clave, el dispositivo devuelve una certificación en la caché. La respuesta de certificación del dispositivo después devuelve un certificado de hoja con sus propiedades en OID personalizadas.
Nota: El número de serie y el UDID se omiten al usar Inscripción de usuarios para proteger la privacidad del usuario. Los otros valores son anónimos e incluyen propiedades como la versión de sepOS y el código de originalidad.
Después, la solución de MDM puede validar la respuesta evaluando que la cadena de certificados esté enraizada con la autoridad de certificación de Apple que se esperaba (disponible en el repositorio PKI privado de Apple) y si el hash del código de originalidad es el mismo que el hash del código de originalidad que se proporcionó en la consulta DeviceInformation.
Dado que la definición de un código de originalidad genera una nueva certificación, la cual consume recursos en el dispositivo y en los servidores de Apple, el uso está limitado actualmente a una certificación DeviceInformation por dispositivo cada siete días. Una solución MDM no debería solicitar de inmediato una nueva certificación cada siete días. No es necesario solicitar una nueva certificación a menos que las propiedades de un dispositivo hayan cambiado; por ejemplo, una actualización menor o mayor de la versión del sistema operativo. Además, una solicitud aleatoria ocasional de una nueva certificación puede ayudar a descubrir un dispositivo comprometido que está intentando mentir sobre esas propiedades.
Manejar certificaciones fallidas
Solicitar una certificación puede fallar. Cuando esto ocurre, el dispositivo aún responde a la consulta DeviceInformation o a la comprobación device-attest-01 del servidor ACME, pero se omite cierta información. Puede que un OID esperado o su valor se haya omitido, o bien que la certificación se haya omitido por completo. Existen muchas razones posibles por las que se produce un fallo, por ejemplo:
Un error de red afectando los servidores de atestación de Apple
El hardware o software del dispositivo puede estar comprometido
El dispositivo no es hardware Apple original
En estos últimos dos casos, los servidores de certificación de Apple deniegan la expedición de una certificación para las propiedades que no pueden verificar. No hay forma confiable de que la solución MDM conozca la causa exacta de una certificación fallida. Esto se debe a que la única fuente de información sobre el error es el propio dispositivo, que puede ser un dispositivo comprometido que está mintiendo. Por ello, las respuestas del dispositivo no indican el motivo del error.
Sin embargo, cuando la certificación de dispositivos administrados se usa como parte de una arquitectura de confianza cero, la organización puede calcular una puntuación de confianza para el dispositivo. Dicha puntuación puede bajar si la certificación falla o está obsoleta. Una puntuación de confianza menor activa distintas acciones, como denegar el acceso a servicios, señalar el dispositivo para investigación manual o habilitar escaladas de cumplimiento borrando sus contenidos y revocando sus certificados cuando sea necesario. Esto garantiza que haya una respuesta adecuada ante atestaciones fallidas.