Felügyelt eszközigazolás Apple-eszközökhöz
A felügyelt eszközigazolás az iOS 16, az iPadOS 16.1, a macOS 14, a tvOS 16 és újabb rendszereket futtató eszközök egyik funkciója. A felügyelt eszközigazolás erős bizonyítékot nyújt arról, hogy az eszköz mely tulajdonságai használhatók fel egy megbízhatóságkiértékelés részeként. Az eszköztulajdonságok ezen kriptográfiai deklarációja a Secure Enclave biztonságán és az Apple igazolási szerverein alapul.
Felügyelt eszközigazolás védelmet nyújt a következő fenyegetések ellen:
A sérült biztonságú eszköz hazudik a tulajdonságairól
A sérült biztonságú eszköz elavult igazolást biztosít
A sérült biztonságú eszköz eltérő eszközazonosítót küld
Privát kulcs kibontása egy jogosulatlan eszközök történő használathoz
Egy támadó eltérít egy tanúsítványkérelmet, hogy rávegye a CA-t, hogy tanúsítványt bocsásson ki a támadónak
További információkért tekintse meg a What’s new in device management című WWDC22-videót.
A felügyelt eszközigazolás által támogatott hardverek
Igazolást kizárólag azon eszközök kapnak, amelyek megfelelnek a következő hardveres követelményeknek:
iPhone-ok, iPadek és Apple TV-k: A11 Bionic vagy újabb chippel.
Macek: Apple‑chippel.
Az Apple Watch és az Apple Vision Pro felügyelt eszközigazolása nem módosult.
Felügyelt eszközigazolás ACME tanúsítványigénylési kérelmekkel
Egy szervezet kibocsátó Tanúsítványkiadó központ (CA) ACME-szolgáltatása igényelheti az eszköz tulajdonságainak igazolását. Ez a tanúsítvány erős biztosítékokat nyújt arra vonatkozóan, hogy az eszköz tulajdonságai (például a sorozatszám) törvényesek, és nem hamisítottak. A kibocsátó CA ACME-szolgáltatása képes kriptográfiailag érvényesíteni az igazolt eszköztulajdonságok integritását, és opcionálisan keresztreferenciát hoz létre rájuk a szervezet eszközleltárával, valamint sikeres érvényesítés esetén megerősíti, hogy az eszköz a szervezet eszköze.
Igazolás használata esetén az operációs rendszer egy hardverhez kötött privát kulcsot hoz létre az eszköz Secure Enclave-jében a tanúsítvány-aláírási kérés részeként. Ezen kérelem esetében az ACME-t kibocsátó tanúsítványkiadó központ ezt követően képes kibocsátani a klienstanúsítványt. Ez a kulcs a Secure Enclave-hoz kapcsolódik, ezért kizárólag az adott eszközön érhető el. Használhatók tanúsítványidentitás-specifikációt támogató konfigurációkkal rendelkező iPhone-on, iPaden, Apple TV-n és Apple Watchon. Mac használata esetén a hardverhez kötött kulcsokat a következőkkel történő hitelesítésre használhatja fel: eszközfelügyeleti szolgáltatás, Microsoft Exchange, Kerberos, 802.1X-hálózatok, beépített VPN-kliens és beépített hálózati átjátszók.
Megjegyzés: A Secure Enclave nagyon erős védelmekkel rendelkezik a kulcskifejtés ellen, még akkor is, ha az alkalmazásprocesszor biztonsága sérült.
Ezek a hardverhez kötött kulcsok automatikusan el lesznek távolítva az eszköz törlése vagy visszaállítása esetén. A kulcsok eltávolítása következtében az ezekre kulcsokra támaszkodó konfigurációs profilok, nem működnek a visszaállítást követően. A profilt újra alkalmazni kell a kulcsok ismételt létrehozásához.
Az ACME adatcsomag-igazolás használatával az eszközfelügyeleti szolgáltatás képes regisztrálni egy olyan, ACME protokollt használó klienstanúsítvány-identitást, amely képes kriptográfiailag érvényesíteni a következőket:
Az eszköz eredeti Apple-eszköz
Az eszköz egy specifikus eszköz
Az eszközt a szervezet eszközfelügyeleti szolgáltatása felügyeli
Az eszköz rendelkezik bizonyos tulajdonságokkal (például a sorozatszámmal)
A privát kulcs hardveresen az eszközhöz van kötve
Felügyelt eszközigazolás az eszközfelügyeleti szolgáltatás kérelmeivel
Az ACME-tanúsítványok igénylésével kapcsolatos kérelmek során használt felügyelt eszközigazoláson kívül az eszközfelügyeleti szolgáltatások képesek DeviceInformation lekérdezésben kérelmezni egy DevicePropertiesAttestation tulajdonságot. Ha az eszközfelügyeleti szolgáltatás segíteni akar egy friss igazolás biztosításában, akkor képes opcionális DeviceAttestationNonce kulcsot küldeni, ami kikényszeríti a friss igazolást. Ha kihagyja ezt a kulcsot, az eszköz visszatér a gyorsítótárazott igazoláshoz. Az eszközigazolási válasz ezután visszaad egy levéltanúsítványt, amelynek a tulajdonságai egyéni OID-kben találhatók.
Megjegyzés: A sorozatszám és az UDID egyaránt ki vannak hagyva, amikor a felhasználó adatai a Felhasználói regisztrációval vannak védve. A többi érték névtelen, és olyan tulajdonságokat tartalmaz, mint a sepOS-verzió és a frissítési kód.
Az eszközfelügyeleti szolgáltatás ezután úgy tudja érvényesíteni a választ, hogy kiértékeli, hogy a tanúsítványlánc a várt Apple-tanúsíványkibocsátótól származik-e (elérhető az Apple privát PKI-tárból), továbbá a frissítési kód kivonata megegyezik-e a DeviceInformation lekérdezés által megadott frissítési kód kivonatával.
A frissítési kód definiálása új igazolást hoz létre, ami erőforrásokat vesz igénybe az eszközön és az Apple szerverein, ezért a használata jelenleg eszközönként 7 naponta egy DeviceInformation-igazolásra van korlátozva. Az eszközfelügyeleti szolgáltatásoknak nem szükséges 7 naponta új igazolást kérniük. Nem szükséges a friss igazolás megkövetelése, hacsak egy eszköz tulajdonságai nem módosultak – például az operációs rendszer frissült, vagy verzióváltás történt. Továbbá egy friss tanúsítvány esetenkénti véletlenszerű igénylése segíthet beazonosítani az olyan sérült tulajdonságú eszközöket, amelyek hazudnak a tulajdonságaikról.
Meghiúsult igazolások kezelése
Előfordulhat, hogy egy igazolás lekérése meghiúsul. Ilyen esetekben az eszköz továbbra is válaszolni fog a DeviceInformation-lekérdezésre és az ACME-szerver device-attest-01 kihívásra, azonban egyes információk kihagyásra kerülnek. Vagy a várt OID vagy annak értéke vagy a teljes igazolás kerül kihagyásra. A meghiúsulásnak számos oka lehet, például:
Hálózati probléma az Apple igazolási szervereinek elérésekor
Sérült az eszköz hardverének vagy szoftverének a biztonsága
Az eszköz nem eredeti Apple-hardver
Az utolsó két esetben az Apple igazolási szerverei megtagadják az igazolás kiállítását olyan tulajdonságok miatt, amelyeket nem képesek hitelesíteni. Megbízható módon nem tudja az eszközfelügyeleti szolgáltatás kideríteni a meghiúsult igazolás pontos okát. Ennek oka, hogy a meghiúsult igazolás egyetlen információforrása az eszköz maga, és előfordulhat, hogy az eszköz hazudik, mivel sérült biztonsággal rendelkezik. Ebből adódóan az eszköztől érkező válaszok nem jelölik a meghiúsulás okát.
Azon esetekben azonban, amikor a felügyelt eszközigazolást egy teljes felügyeleti architektúra részeként használják, a szervezet képes kiszámítani az eszköz bizalmi pontszámát. A meghiúsult vagy váratlanul lejárt igazolások csökkentik e pontszámot. A csökkentett bizalmi pontszám különböző műveleteket aktivál – például megtagadja a szolgáltatások elérését, megjelöli az eszközt manuális vizsgálat céljából vagy megfelelőségi eszkalációt végez azáltal, hogy szükség esetén törli az eszköz tartalmát és visszavonja a tanúsítványait. Ily módon megfelelő válasz biztosítható egy meghiúsult igazolásra.