Felügyelt eszközigazolás Apple-eszközökhöz
A felügyelt eszközigazolás iOS 16, iPadOS 16.1, macOS 14 és tvOS 16 és újabb rendszeren erős bizonyítékot nyújt arról, hogy az eszköz mely tulajdonságai használhatók fel egy megbízhatóságkiértékelés részeként. Az eszköztulajdonságok ezen kriptográfiai deklarációja a Secure Enclave biztonságán és az Apple igazolási szerverein alapul.
Felügyelt eszközigazolás védelmet nyújt a következő fenyegetések ellen:
A sérült biztonságú eszköz hazudik a tulajdonságairól
A sérült biztonságú eszköz elavult igazolást biztosít
A sérült biztonságú eszköz eltérő eszközazonosítót küld
Privát kulcs kibontása egy jogosulatlan eszközök történő használathoz
Egy támadó eltérít egy tanúsítványkérelmet, hogy rávegye a CA-t, hogy tanúsítványt bocsásson ki a támadónak
További információkért tekintse meg a What’s new in managing Apple devices című WWDC23-videót.
Felügyelt eszközigazolás ACME tanúsítványigénylési kérelmekkel
Egy szervezet kibocsátó Tanúsítványkiadó központ (CA) ACME-szolgáltatása igényelheti az eszköz tulajdonságainak igazolását. Ez a tanúsítvány erős biztosítékokat nyújt arra vonatkozóan, hogy az eszköz tulajdonságai (például a sorozatszám) törvényesek, és nem hamisítottak. A kibocsátó CA ACME-szolgáltatása képes kriptográfiailag érvényesíteni az igazolt eszköztulajdonságok integritását, és opcionálisan keresztreferenciát hoz létre rájuk a szervezet eszközleltárával, valamint sikeres érvényesítés esetén megerősíti, hogy az eszköz a szervezet eszköze.
Igazolás használata esetén az eszköz Secure Enclave-jében egy hardverhez kötött privát kulcs kerül legenerálásra a tanúsítvány-aláírási kérés részeként. Ezen kérelem esetében az ACME-t kibocsátó tanúsítványkiadó központ ezt követően képes kibocsátani a klienstanúsítványt. Ez a kulcs a Secure Enclave-hoz kapcsolódik, ezért kizárólag az adott eszközön érhető el. Használhatók tanúsítványidentitás-specifikációt támogató konfigurációkkal rendelkező iPhone-on, iPaden, Apple TV-n és Apple Watchon. Mac használata esetén a hardverhez kötött kulcsok a következőkkel történő hitelesítésre használhatók fel: MDM, Microsoft Exchange, Kerberos, 802.1X-hálózatok, a beépített VPN-kliens és beépített hálózati átjátszók.
Megjegyzés: A Secure Enclave nagyon erős védelmekkel rendelkezik a kulcskifejtés ellen, még akkor is, ha az alkalmazásprocesszor biztonsága sérült.
Ezek a hardverhez kötött kulcsok automatikusan el lesznek távolítva az eszköz törlése vagy visszaállítása esetén. A kulcsok eltávolítása következtében az ezekre kulcsokra támaszkodó konfigurációs profilok, nem működnek a visszaállítást követően. A profilt újra alkalmazni kell a kulcsok ismételt létrehozásához.
Az ACME adatcsomag-igazolás használatával az MDM képes regisztrálni egy olyan, ACME protokollt használó ügyféltanúsítvány-identitást, amely képes kriptográfiailag érvényesíteni a következőket:
Az eszköz eredeti Apple-eszköz
Az eszköz egy specifikus eszköz
Ezt az eszközt a szervezet MDM-szervere felügyeli
Az eszköz rendelkezik bizonyos tulajdonságokkal (például a sorozatszámmal)
A privát kulcs hardveresen az eszközhöz van kötve
Felügyelt eszközigazolás MDM kérelmekkel
ACME tanúsítványigénylési kérelmek során használt felügyelt eszközigazolás mellett, az MDM-megoldások képesek DeviceInformation
lekérdezésben kérelmezni egy DevicePropertiesAttestation
tulajdonságot. Ha az MDM-megoldás segíteni akar egy friss igazolás biztosításában, akkor képes opcionális DeviceAttestationNonce
kulcsot küldeni, ami kikényszeríti a friss igazolást. Ha ez a kulcs nincs figyelembe véve, az eszköz visszatér a gyorsítótárazott igazoláshoz. Az eszközigazolási válasz ezután visszaad egy levéltanúsítványt, amelynek a tulajdonságai egyéni OID-kben találhatók. Az első két tulajdonság a sorozatszám és az UDID (amelyek mindketten ki vannak hagyva a Felhasználói regisztráció használatakor). A fennmaradó változók névtelenek, és olyan tulajdonságokat tartalmaznak, mint a sepOS-verzió és az opcionális idővisszajátszás elleni érték.
Az MDM-megoldás ezután úgy tudja érvényesíteni a választ, hogy kiértékeli, hogy a tanúsítványlánc a várt Apple-tanúsítványkibocsátótól származik-e (elérhető az Apple privát PKI-tárból), és ha szükséges, ellenőrzi a DeviceInformation
lekérdezésben megadott visszajátszás elleni érték értékét.
A visszajátszás elleni érték definiálása új igazolást hoz létre, ami erőforrásokat fogyaszt az eszközön és az Apple szerverein, és a használata jelenleg korlátozva van eszközönként egy igazolásra 7 naponta. Általában nem szükséges a friss igazolás megkövetelése, hacsak egy eszköz tulajdonságai nem módosultak; például az operációs rendszer frissítése vagy verzióváltása.