Pengakusaksian Peranti Terurus untuk peranti Apple
Pengakusaksian Peranti Terurus ialah ciri dalam iOS 16, iPadOS 16.1, macOS 14 dan tvOS 16 atau lebih baharu yang memberikan bukti kukuh tentang sifat peranti yang boleh digunakan sebagai sebahagian daripada penilaian kepercayaan. Penyataan kriptografi sifat peranti ini adalah berdasarkan keselamatan Secure Enclave dan pelayan pengakusaksian Apple.
Pengakusaksian peranti terurus membantu melindungi daripada ancaman berikut:
Peranti yang terjejas menipu tentang sifatnya
Peranti yang terjejas memberikan pengakusaksian yang telah lapuk
Peranti yang terjejas menghantar pengecam peranti yang berbeza
Pengekstrakan kunci peribadi untuk digunakan pada peranti rogue
Penyerang merampas permintaan sijil untuk memperdayakan CA untuk mengeluarkan sijil kepada penyerang
Untuk mendapatkan maklumat lanjut, lihat video WWDC23 Baharu dalam mengurus peranti Apple.
Pengakusaksian Peranti Terurus dengan permintaan pendaftaran sijil ACME
Organisasi yang mengeluarkan perkhidmatan ACME Autoriti pensijilan (CA) boleh meminta pengakusaksian pendaftaran sifat peranti. Pengakusaksian ini memberikan jaminan yang kukuh bahawa sifat peranti (contohnya, nombor siri) adalah sah dan bukan penipuan. Pengeluaran CA perkhidmatan ACME boleh mengesahkan integriti sifat peranti diakusaksikan secara kriptografi dan merujuk silang terhadap inventori peranti organisasi secara pilihan dan setelah pengesahan yang berjaya, sahkan yang peranti ialah peranti organisasi.
Jika pengakusaksian digunakan, kekunci peribadi terikat perkakasan dijana dalam Secure Enclave peranti sebagai sebahagian daripada permintaan penandatanganan sijil. Untuk permintaan ini, CA yang mengeluarkan ACME kemudiannya boleh mengeluarkan sijil klien. Kekunci ini terikat kepada Secure Enclave, oleh itu ia hanya tersedia pada peranti tertentu. Ia boleh digunakan pada iPhone, iPad, Apple TV dan Apple Watch dengan konfigurasi yang menyokong spesifikasi identiti sijil. Pada Mac, kekunci terikat perkakasan boleh digunakan untuk pengesahan dengan MDM, Microsoft Exchange, Kerberos, rangkaian 802.1X, klien VPN terbina dalam dan geganti rangkaian terbina dalam.
Nota: Secure Enclave mempunyai perlindungan yang sangat kukuh terhadap pengekstrakan kunci, walaupun dalam kes Pemproses Aplikasi terjejas.
Kekunci terikat perkakasan ini dikeluarkan secara automatik semasa memadamkan atau memulihkan peranti. Disebabkan kekunci dikeluarkan, sebarang profil konfigurasi yang bergantung pada kekunci tersebut tidak akan berfungsi selepas dipulihkan. Profil mesti digunakan lagi untuk mencipta semua kekunci.
Menggunakan pengakusaksian muat beban ACME, MDM boleh mendaftarkan identiti sijil klien menggunakan protokol ACME yang boleh mengesahkan secara kriptografi:
Peranti adalah peranti Apple tulen
Peranti adalah peranti khusus
Peranti diurus oleh pelayar MDM organisasi
Peranti mempunyai sifat tertentu (sebagai contoh, nombor siri)
Kunci peribadi ialah perkakasan yang terikat kepada peranti
Pengakusaksian Peranti Terurus dengan permintaan MDM
Selain daripada menggunakan pengakusaksian peranti terurus semasa permintaan pendaftaran sijil ACME, penyelesaian MDM boleh mengeluarkan permintaan DeviceInformation
yang meminta sifat DevicePropertiesAttestation
. Jika penyelesaian MDM mahu membantu memastikan pengakusaksian yang baharu, ia boleh menghantar kunci DeviceAttestationNonce
secara pilihan, yang memaksa pengakusaksian baharu. Jika kunci ini dikecualikan, peranti mengembalikan pengakusaksian dicache. Maklum balas pengakusaksian peranti kemudian mengembalikan sijil dedaun dengan sifatnya dalam OID tersuai. Dua sifat yang pertama ialah nombor siri dan UDID (yang kedua-duanya dikecualikan apabila menggunakan Pendaftaran Pengguna). Baki nilai adalah tanpa nama dan menyertakan sifat seperti versi sepOS dan nilai main semula anti masa pilihan.
Penyelesaian MDM kemudian boleh mengesahkan maklum balas dengan menilai bahawa rantai sijil diakarkan dengan Autoriti Sijil Apple yang dijangka (tersedia daripada Repositori OKI Peribadi Apple) dan jika diminta, mengesahkan nilai anti main semula yang diberikan dalam permintaan DeviceInformation
.
Oleh kerana mentakrifkan nilai anti main semula menjanakan pengakusaksian baharu—yang menggunakan sumber pada peranti dan pelayan Apple—penggunaan buat masa ini dihadkan kepada satu pengakusaksian per peranti setiap 7 hari. Ia bukanlah keperluan untuk meminta pengakusaksian baharu melainkan sifat peranti telah berubah; contohnya kemas kini atau naik taraf ke versi sistem pengendalian.