Attestazione dei dispositivi gestiti per i dispositivi Apple
L’attestazione dei dispositivi gestiti è una funzionalità in iOS 16, iPadOS 16.1, macOS 14 e tvOS 16 o versioni successive che è in grado di fornire prove evidenti su quali proprietà di un dispositivo possono essere utilizzate come parte di una procedura per la valutazione dell’attendibilità. Questa dichiarazione crittografica delle proprietà di un dispositivo si basa della sicurezza di Secure Enclave e dei server di attestazione Apple.
L’attestazione dei dispositivi gestiti garantisce protezione dalle seguenti minacce:
Un dispositivo compromesso che dichiara proprietà false.
Un dispositivo compromesso con un’attestazione obsoleta.
Un dispositivo compromesso che invia gli identificativi di un altro dispositivo.
Estrazione delle chiavi private da utilizzare su un dispositivo fraudolento.
L’autore di un attacco che si appropria indebitamente di una richiesta di certificato per indurre l’autorità di certificazione a emetterne uno.
Per ulteriori informazioni, guarda il video WWDC23 Novità nella gestione dei dispositivi Apple.
Attestazione dei dispositivi con richieste di registrazione del certificato ACME
L’autorità di certificazione (AC) di un’organizzazione che offre il servizio ACME può richiedere un’attestazione delle proprietà del dispositivo in fase di registrazione. L’attestazione garantisce in modo efficace che le proprietà del dispositivo (ad esempio, il numero di serie) siano legittime e non contraffatte. Il servizio ACME offerto dall’autorità di certificazione è in grado di validare a livello di crittografia l’integrità delle proprietà del dispositivo attestate e, confrontandole con l’inventario di dispositivi dell’organizzazione, previo esito positivo della verifica, di confermare che il dispositivo appartenga all’organizzazione.
Se viene usata l’attestazione, all’interno del Secure Enclave del dispositivo viene generata una chiave privata legata all’hardware, come parte della richiesta di firma del certificato. Per tale richiesta, l’autorità di certificazione che fornisce il certificato ACME può quindi emettere un certificato per il client. Questa chiave è legata a Secure Enclave ed è quindi disponibile solo su uno specifico dispositivo. Può essere utilizzata su iPhone, iPad, Apple TV e Apple Watch con configurazioni che supportano la specificazione di un certificato di identità. Sui Mac, le chiavi legate all’hardware possono essere utilizzate per eseguire l’autenticazione con una soluzione MDM, con Microsoft Exchange, con Kerberos, con reti 802.1X, con il clien VPN integrato e con il relay di rete integrato.
Nota: Secure Enclave offre una protezione molto potente dall’estrazione delle chiavi, anche nel caso in cui il processore applicazioni venga compromesso.
Queste chiavi legate all’hardware vengono automaticamente rimosse quando un dispositivo viene inizializzato o ripristinato. Dal momento che tali chiavi vengono rimosse, qualsiasi profilo di configurazione che facesse affidamento a esse non funzionerà dopo il ripristino. Il profilo deve essere applicato nuovamente per ricreare le chiavi.
Con l’attestazione del payload ACME, MDM è in grado di registrare l’identità di un certificato client utilizzando il protocollo ACME, che può convalidare a livello di crittografia:
Che il dispositivo sia un dispositivo originale Apple.
Che il dispositivo sia di un tipo specifico.
Che il dispositivo sia gestito dal server MDM dell’organizzazione.
Che il dispositivo abbia determinate proprietà (ad esempio, un determinato numero di serie).
Che la chiave privata sia vincolata all’hardware del dispositivo.
Attestazione dei dispositivi gestiti con richieste MDM
oltre a utilizzare l’attestazione dei dispositivi gestiti durante la richiesta di registrazione del certificato ACME, una soluzione MDM è in grado di inviare una query DeviceInformation
per richiedere una proprietà DevicePropertiesAttestation
. Se la soluzione MDM intende garantire l’emissione di un’attestazione nuova, può inviare una chiave DeviceAttestationNonce
opzionale, che forza la generazione di una nuova attestazione. Se la chiave viene omessa, il dispositivo restituisce un’attestazione memorizzata nella cache. La risposta dell’attestazione del dispositivo restituisce un certificato foglia con le proprietà in OID personalizzati. Le prime due proprietà sono il numero di serie e l’UDID, entrambi vengono omessi quando viene usata la registrazione utente. I valori rimanenti sono anonimi e includono proprietà come la versione del sepOS e il valore di riproduzione anti-time opzionale.
La soluzione MDM è in grado di convalidare la risposta verificando che la catena di certificati sia ancorata all’interno dell’autorità di certificazione Apple attesa (disponibile dal repository Apple Private PKI) e, se richiesto, verifica il valore anti-riproduzione fornito con la query DeviceInformation
.
Poiché la definizione di un valore anti-riproduzione genera una nuova attestazione, che utilizza risorse sia sul dispositivo che sui server di Apple, attualmente l’utilizzo è limitato a un’attestazione per dispositivo ogni 7 giorni. Non è ritenuto necessario richiedere una nuova attestazione a meno che le proprietà del dispositivo siano cambiate, ad esempio, in seguito a un aggiornamento o un upgrade della versione del sistema operativo.