Apple डिवाइस के लिए प्रबंधित किए गए डिवाइस का सत्यापन
प्रबंधित डिवाइस सत्यापन iOS 16, iPadOS 16.1, macOS 14, tvOS 16 या बाद के संस्करण वाले डिवाइस में एक फ़ीचर है। प्रबंधित डिवाइस सत्यापन जो इस बात का प्रमाण प्रदान करता है कि किसी डिवाइस के गुणों का उपयोग ट्रस्ट मूल्यांकन के भाग के रूप में किया जा सकता है। डिवाइस प्रॉपर्टी की यह क्रिप्टोग्राफ़िक घोषणा Secure Enclave और Apple प्रमाणन सर्वर की सुरक्षा पर आधारित है।
प्रबंधित डिवाइस सत्यापन निम्नलिखित ख़तरों से बचाने में मदद करता है :
इसकी विशेषताओं के बारे में झूठ बोलने वाला कॉम्प्रोमाइज़ किया गया डिवाइस
एक पुराना सत्यापन प्रदान करने वाला कॉम्प्रोमाइज़ किया गया डिवाइस
एक अलग डिवाइस के आइडेंटिफ़ायर को भेजने वाला कॉम्प्रोमाइज़ किया गया डिवाइस
ख़राब डिवाइस पर उपयोग के लिए “निजी की” एक्सट्रैक्शन
किसी हमलावर को प्रमाणपत्र जारी करने के लिए CA को धोखा देने के इरादे से सर्टिफ़िकेट अनुरोध को हाईजैक करने वाला हमलावर
अधिक जानकारी के लिए WWDC22 वीडियो डिवाइस प्रबंधन में नया क्या है देखें।
प्रबंधित डिवाइस सत्यापन के लिए समर्थित हार्डवेयर
सत्यापन केवल उन डिवाइस को जारी किया जाता है जो इन हार्डवेयर आवश्यकताओं को पूरा करते हैं :
iPhone, iPad और Apple TV डिवाइस : A11 Bionic या उसके बाद की चिप के साथ।
Mac कंप्यूटर : Apple silicon के साथ।
Apple Watch और Apple Vision Pro के लिए प्रबंधित डिवाइस सत्यापन में कोई बदलाव नहीं किया गया है।
ACME प्रमाणपत्र नामांकन अनुरोधों के साथ प्रबंधित डिवाइस सत्यापन
संगठन की जारीकर्ता प्रमाणन प्राधिकरण (CA) ACME सेवा नामांकन डिवाइस की विशेषताओं के सत्यापन का अनुरोध कर सकती है। यह सत्यापन इस बात का पक्का आश्वासन देता है कि डिवाइस की विशेषताएँ (उदाहरण के लिए, सीरियल नंबर) वैध हैं और नक़ली नहीं हैं। जारी करने वाली CA की ACME सेवा प्रमाणित डिवाइस प्रॉपर्टी की इंटेग्रिटी को क्रिप्टोग्राफ़िक रूप से मान्य कर सकती है और वैकल्पिक रूप से उन्हें संगठन की डिवाइस इन्वेंट्री के विरुद्ध क्रॉस-रेफ़रेंस कर सकती है और सफल सत्यापन पर पुष्टि करती है कि डिवाइस, संगठन का डिवाइस है।
यदि आप अटेस्टेशन का इस्तेमाल करते हैं, तो ऑपरेटिंग सिस्टम सर्टिफ़िकेट-साइनिंग अनुरोध के हिस्से के तौर पर डिवाइस के Secure Enclave के भीतर हार्डवेयर से जुड़ी प्राइवेट-की जनरेट होती है। इस अनुरोध के लिए ACME द्वारा जारी किए गए CA की ओर से क्लाइंट सर्टिफ़िकेट जारी किया जाता है। इस “की” को Secure Enclave से संबद्ध किया गया है इसलिए यह केवल विशेष डिवाइस पर उपलब्ध होती है। आप इसे सर्टिफ़िकेट आइडेंटिटी की कॉन्फ़िगरेशन समर्थित विशिष्टताओं के साथ iPhone, iPad, Apple TV और Apple Watch पर इस्तेमाल कर सकते हैं। Mac पर, आप डिवाइस प्रबंधन सेवा, Microsoft Exchange, Kerberos, 802.1X नेटवर्क, बिल्ट-इन VPN क्लाइंट और बिल्ट-इन नेटवर्क रिले के साथ प्रमाणन के लिए हार्डवेयर-बाउंड कीज़ का उपयोग कर सकते हैं।
नोट : Secure Enclave में मुख्य एक्सट्रैक्शन के विरुद्ध बहुत मज़बूत सुरक्षा है, यहाँ तक कि कॉम्प्रोमाइज़ किए गए ऐप्लिकेशन प्रोसेसर के मामले में भी।
किसी डिवाइस को मिटाते या रीस्टोर करते समय ये हार्डवेयर-बाउंड कीज़ ऑटोमैटिकली हटा दी जाती हैं। चूँकि “कीज़” हटा दी गई हैं, उन “कीज़” पर निर्भर कोई भी कॉन्फ़िगरेशन प्रोफ़ाइल रीस्टोर के बाद काम नहीं करेगी। कीज़ फिर से बनाने के लिए प्रोफ़ाइल को फिर से लागू किया जाना चाहिए।
ACME पेलोड सत्यापन का उपयोग करते हुए, डिवाइस प्रबंधन सेवा ACME प्रोटोकॉल का उपयोग करके एक क्लाइंट प्रमाणपत्र पहचान दर्ज कर सकती है जो इसे क्रिप्टोग्राफ़िक रूप से मान्य कर सकता है :
यह डिवाइस एक वास्तविक Apple डिवाइस है
यह डिवाइस एक विशिष्ट डिवाइस है
डिवाइस को संगठन के डिवाइस प्रबंधन सेवा द्वारा प्रबंधित किया जाता है
डिवाइस में कुछ विशेषताएँ होती हैं (उदाहरण के लिए, सीरियल नंबर)
“निजी की” डिवाइस से जुड़ा हार्डवेयर है
डिवाइस प्रबंधन सेवा अनुरोधों के साथ प्रबंधित डिवाइस सत्यापन
ACME प्रमाणपत्र नामांकन अनुरोधों के दौरान प्रबंधित डिवाइस सत्यापन का उपयोग करने के अलावा, डिवाइस प्रबंधन सेवा DeviceInformation क्वेरी जारी कर सकती है जो DevicePropertiesAttestation प्रॉपर्टी का अनुरोध करती है। यदि डिवाइस प्रबंधन सेवा एक नए सत्यापन को सुनिश्चित करने में मदद करना चाहती है, तो वह एक वैकल्पिक DeviceAttestationNonce-की भेज सकती है, जो एक नए सत्यापन के लिए बाध्य करती है। यदि आप यह “की” बाहर निकालते हैं, तो डिवाइस कैश किए गए सत्यापन दिखाता है। डिवाइस सत्यापन प्रतिक्रिया तब कस्टम OID में इसकी विशेषताओं के साथ एक लीफ़ सर्टिफ़िकेट दिखाती है।
नोट : यूज़र की गोपनीयता की सुरक्षा के लिए यूज़र नामांकन का उपयोग करते समय सीरियल नंबर और UDID दोनों को मिटा दिया जाता है। अन्य मान अज्ञात हैं और इसमें sepOS संस्करण और फ़्रेशनेस कोड जैसी प्रॉपर्टी शामिल हैं।
डिवाइस प्रबंधन सेवा तब मूल्यांकन करके प्रतिक्रिया को मान्य कर सकता है कि सर्टिफ़िकेट शृंखला अपेक्षित Apple सर्टिफ़िकेट अथॉरिटी (Apple निजी PKI रिपॉज़िटरी से उपलब्ध) के साथ निहित है और यह कि फ़्रेशनेस कोड का हैश DeviceInformation क्वेरी में दिए गए फ़्रेशनेस कोड के हैश के समान है या नहीं।
क्योंकि एक फ़्रेशनेस कोड को परिभाषित करने से एक नया अटेस्टेशन होता है — जो डिवाइस और Apple के सर्वर पर रिसोर्स का इस्तेमाल करता है, उपयोग वर्तमान में प्रत्येक 7 दिनों में प्रति DeviceInformation अटेस्टेशन तक सीमित है। डिवाइस प्रबंधन सेवा को हर 7 दिन में तुरंत नए सत्यापन का अनुरोध करने की ज़रूरत नहीं है। जब तक किसी डिवाइस की विशेषताएँ नहीं बदलती हैं, तब तक नए सत्यापन का अनुरोध करना आवश्यक नहीं है; उदाहरण के लिए, ऑपरेटिंग सिस्टम संस्करण में अपडेट या अपग्रेड। इसके अलावा, कभी-कभार नए सत्यापन के लिए किया गया आकस्मिक अनुरोध, उन प्रॉपर्टी के बारे में ग़लत जानकारी देने की कोशिश कर रहे किसी हैक किए गए डिवाइस को पकड़ने में मदद कर सकता है।
विफल प्रमाणीकरण हैंडल करना
प्रमाणीकरण का अनुरोध किया जा रहा है जो विफल हो सकता है। जब ऐसा होता है, तो डिवाइस अभी भी DeviceInformation क्वेरी या ACME सर्वर की device-attest-01 चुनौती का जवाब देता है, लेकिन कुछ जानकारी छोड़ दी जाती है। या तो अपेक्षित OID या उसका मान मिटा दिया जाता है या सत्यापन पूरी तरह से मिटा दिया जाता है। असफल होने के कई संभावित कारण हो सकते हैं, जैसे :
Apple सत्यापन सर्वर ऐक्सेस करने में नेटवर्क संबंधी समस्या
डिवाइस के हार्डवेयर या सॉफ़्टवेयर से समझौता हो सकता है
डिवाइस में मौलिक Apple हार्डवेयर नहीं है
अंतिम दो मामलों में, Apple सत्यापन सर्वर उन ऐसेट के लिए सत्यापन जारी करने से इनकार कर देते हैं जिन्हें वे सत्यापित नहीं कर सकते हैं। डिवाइस प्रबंधन सेवा के पास असफल सत्यापन का सटीक कारण जानने का कोई विश्वसनीय तरीक़ा नहीं है। ऐसा इसलिए है क्योंकि विफलता के बारे में जानकारी का एकमात्र सोर्स ख़ुद डिवाइस है, जो कि एक समझौता किया हुआ डिवाइस हो सकता है जो अपनी ग़लत पहचान बता रहा है। इस कारण से, डिवाइस से मिलने वाली प्रतिक्रियाएँ विफलता का कारण नहीं बताती हैं।
हालाँकि, जब प्रबंधित डिवाइस सत्यापन को शून्य विश्वास आर्किटेक्चर के भाग के रूप में उपयोग किया जाता है, तो संगठन डिवाइस के लिए विश्वास स्कोर की गणना कर सकता है तथा असफल या अप्रत्याशित रूप से पुराना सत्यापन उस स्कोर को कम कर देता है। कम ट्रस्ट स्कोर कई क्रियाओं को सक्रिय करता है, जैसे सर्विस ऐक्सेस करने से इनकार करना, मैनुअल जाँच के लिए डिवाइस को चिह्नित करना या आवश्यकता पड़ने पर इसे मिटाकर और इसके सर्टिफ़िकेट को रद्द करके अनुपालन बढ़ाना। इससे असफल सत्यापन के लिए उचित प्रतिक्रिया सुनिश्चित होती है।