Apple डिवाइस के लिए प्रबंधित किए गए डिवाइस का सत्यापन
प्रबंधित डिवाइस सत्यापन iOS 16, iPadOS 16.1, macOS 14 और tvOS 16 या बाद के संस्करण में एक फ़ीचर है। प्रबंधित डिवाइस सत्यापन जो इस बात का प्रमाण प्रदान करता है कि किसी डिवाइस के गुणों का उपयोग ट्रस्ट मूल्यांकन के भाग के रूप में किया जा सकता है। डिवाइस प्रॉपर्टी की यह क्रिप्टोग्राफ़िक घोषणा Secure Enclave और Apple प्रमाणन सर्वर की सुरक्षा पर आधारित है।
प्रबंधित डिवाइस सत्यापन निम्नलिखित ख़तरों से बचाने में मदद करता है :
इसकी विशेषताओं के बारे में झूठ बोलने वाला कॉम्प्रोमाइज़ किया गया डिवाइस
एक पुराना सत्यापन प्रदान करने वाला कॉम्प्रोमाइज़ किया गया डिवाइस
एक अलग डिवाइस के आइडेंटिफ़ायर को भेजने वाला कॉम्प्रोमाइज़ किया गया डिवाइस
ख़राब डिवाइस पर उपयोग के लिए “निजी की” एक्सट्रैक्शन
किसी हमलावर को प्रमाणपत्र जारी करने के लिए CA को धोखा देने के इरादे से सर्टिफ़िकेट अनुरोध को हाईजैक करने वाला हमलावर
अधिक जानकारी के लिए, WWDC23 वीडियो Apple डिवाइस प्रबंधित करने में नया क्या है देखें।
ACME प्रमाणपत्र नामांकन अनुरोधों के साथ प्रबंधित डिवाइस सत्यापन
संगठन की जारीकर्ता प्रमाणन प्राधिकरण (CA) ACME सेवा नामांकन डिवाइस की विशेषताओं के सत्यापन का अनुरोध कर सकती है। यह सत्यापन इस बात का पक्का आश्वासन देता है कि डिवाइस की विशेषताएँ (उदाहरण के लिए, सीरियल नंबर) वैध हैं और नक़ली नहीं हैं। जारी करने वाली CA की ACME सेवा प्रमाणित डिवाइस प्रॉपर्टी की इंटेग्रिटी को क्रिप्टोग्राफ़िक रूप से मान्य कर सकती है और वैकल्पिक रूप से उन्हें संगठन की डिवाइस इन्वेंट्री के विरुद्ध क्रॉस-रेफ़रेंस कर सकती है और सफल सत्यापन पर पुष्टि करती है कि डिवाइस, संगठन का डिवाइस है।
यदि सत्यापन इस्तेमाल किया गया है, तो सर्टिफ़िकेट-साइनिंग अनुरोध के हिस्से के तौर पर डिवाइस के Secure Enclave के भीतर हार्डवेयर से जुड़ी प्राइवेट-की जनरेट होती है। इस अनुरोध के लिए ACME द्वारा जारी किए गए CA द्वारा क्लाइंट सर्टिफ़िकेट जारी किया जाता है। इस ‘की’ को Secure Enclave से संबद्ध किया गया है इसलिए यह केवल विशेष डिवाइस पर उपलब्ध होती है। इसे सर्टिफ़िकेट आइडेंटिटी की कॉन्फ़िगरेशन समर्थित विशिष्टताओं के साथ iPhone, iPad, Apple TV और Apple Watch पर इस्तेमाल किया जा सकता है। Mac पर हार्डवेयर से जुड़ी कीज़ का इस्तेमाल MDM, Microsoft Exchange, Kerberos, 802.1X नेटवर्क, बिल्ट-इन VPN क्लाइंट और बिल्ट-इन नेटवर्क रिले के साथ प्रमाणन के लिए किया जा सकता है।
नोट : Secure Enclave में मुख्य एक्सट्रैक्शन के विरुद्ध बहुत मज़बूत सुरक्षा है, यहाँ तक कि कॉम्प्रोमाइज़ किए गए ऐप्लिकेशन प्रोसेसर के मामले में भी।
किसी डिवाइस को मिटाते या रीस्टोर करते समय ये हार्डवेयर-बाउंड कीज़ ऑटोमैटिकली हटा दी जाती हैं। चूँकि “कीज़” हटा दी गई हैं, उन “कीज़” पर निर्भर कोई भी कॉन्फ़िगरेशन प्रोफ़ाइल रीस्टोर के बाद काम नहीं करेगी। कीज़ फिर से बनाने के लिए प्रोफ़ाइल को फिर से लागू किया जाना चाहिए।
ACME पेलोड सत्यापन का उपयोग करते हुए, MDM ACME प्रोटोकॉल का उपयोग करके एक क्लाइंट प्रमाणपत्र पहचान दर्ज कर सकता है जो इसे क्रिप्टोग्राफ़िक रूप से मान्य कर सकता है :
यह डिवाइस एक वास्तविक Apple डिवाइस है
यह डिवाइस एक विशिष्ट डिवाइस है
डिवाइस को संगठन के MDM सर्वर द्वारा प्रबंधित किया जाता है
डिवाइस में कुछ विशेषताएँ होती हैं (उदाहरण के लिए, सीरियल नंबर)
“निजी की” डिवाइस से जुड़ा हार्डवेयर है
MDM अनुरोधों के साथ प्रबंधित डिवाइस सत्यापन
ACME प्रमाणपत्र नामांकन अनुरोधों के दौरान प्रबंधित डिवाइस सत्यापन का उपयोग करने के अलावा, MDM समाधान DeviceInformation
प्रॉपर्टी क्वेरी जारी कर सकता है जो DevicePropertiesAttestation
का अनुरोध करता है। जी> संपत्ति। यदि MDM समाधान एक नए सत्यापन को सुनिश्चित करने में मदद करना चाहता है, तो वह एक वैकल्पिक DeviceAttestationNonce
की भेज सकता है, जो एक नए सत्यापन के लिए बाध्य करती है। यदि यह “की” बाहर निकाली जाती है, तो डिवाइस कैश किए गए सत्यापन दिखाता है। डिवाइस सत्यापन प्रतिक्रिया तब कस्टम OID में इसकी विशेषताओं के साथ एक लीफ़ सर्टिफ़िकेट दिखाती है।
नोट : यूज़र की गोपनीयता की सुरक्षा के लिए यूज़र नामांकन का उपयोग करते समय सीरियल नंबर और UDID दोनों को मिटा दिया जाता है। अन्य मान अज्ञात हैं और इसमें sepOS संस्करण और फ़्रेशनेस कोड जैसी प्रॉपर्टी शामिल हैं।
MDM समाधान तब मूल्यांकन करके प्रतिक्रिया को मान्य कर सकता है कि प्रमाणपत्र श्रृंखला अपेक्षित Apple प्रमाणपत्र प्राधिकरण (Apple निजी PKI रिपॉजिटरी से उपलब्ध) के साथ निहित है और यदि फ़्रेशनेस कोड का हैश <g ctype='x-CodeBody' id='i-1'>DeviceInformation क्वेरी में दिए गए फ़्रेशनेस कोड के हैश के समान है।
क्योंकि एक फ़्रेशनेस कोड को परिभाषित करने से एक नया सत्यापन होता है - जो डिवाइस और Apple के सर्वर पर रिसोर्स का इस्तेमाल करता है, उपयोग वर्तमान में प्रत्येक 7 दिनों में प्रति डिवाइस एक सत्यापन तक सीमित है। जब तक किसी डिवाइस की विशेषताएँ नहीं बदलती हैं, तब तक नए सत्यापन का अनुरोध करना आवश्यक नहीं समझा जाता है; उदाहरण के लिए, ऑपरेटिंग सिस्टम संस्करण में अपडेट या अपग्रेड।