
Sikkerhet for administrert enhetsattestering
Administrert enhetsattestering er tilgjengelig i iOS 16, iPadOS 16, macOS 14, tvOS 16, watchOS 9 og visionOS 1.1 eller nyere. Den bruker Secure Enclave for å gi kryptografiske bekreftelser om identiteten til en enhet samt enhetens sikkerhetstilstand. iPhone-, iPad- og Apple TV-enheter krever A11 Bionic-chip eller nyere, og kun Mac-maskiner med Apple-chip støttes. Apple Vision Pro krever visionOS 1.1 eller nyere. Administrert enhetsattestering bidrar til å beskytte mot følgende trusler:
en kompromittert enhet som lyver om egenskapene sine
en kompromittert enhet som tilbyr en utdatert attestering
en kompromittert enhet som sender identifikatorer for en annen enhet
henting av privat nøkkel for bruk på en annen enhet
en angriper som kaprer en sertifikatforespørsel for å lure sertifikatautoriteten (CA) til å utstede et sertifikat til angriperen
Med administrert enhetsattestering kan en enhet be om attestering fra Apples attesteringstjenere, som returnerer en matrise med data som består av et bladsertifikat og et intermediært sertifikat som er rotfestet i Apple Enterprise Attestation Root CA. Avhengig av enhetstypen kan bladsertifikatet inneholde bestemte egenskaper, som vist i følgende tabell.
OID og verdi | Eldste støttede versjoner av operativsystemet | Beskrivelse | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9. Serienummer | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representerer enhetens serienummer, og kan brukes til å identifisere en enhet. For å ivareta brukerens personvern er ikke denne verdien inkludert når administrert enhetsattestering brukes med Brukerregistrering. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representerer den unike maskinvare-ID-en, og kan brukes til å identifisere en enhet. På en Mac samsvarer UDID med enhetens UDID for klargjøring. For å ivareta brukerens personvern er ikke denne verdien inkludert når administrert enhetsattestering brukes med Brukerregistrering. | |||||||||
1.2.840.113635.100.8.10.2 sepOS-versjon | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representerer versjonen av Secure Enclave-firmwaren. | |||||||||
1.2.840.113635.100.8.11.1 Ferskhetskode | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | En unik og uforutsigbar kode som identifiserer en bestemt attestering. Denne indikerer at attesteringen ble generert etter at koden ble opprettet. Koden hashes ved hjelp av SHA256. | |||||||||
1.2.840.113635.100.8.13.1 SIP-status | macOS 14 | Representerer status for SIP-aktivering på en Mac med Apple-chip. | |||||||||
1.2.840.113635.100.8.13.2 Status for sikker oppstart | macOS 14 | Representerer valgt konfigurasjon for sikker oppstart på en Mac med Apple-chip. | |||||||||
1.2.840.113635.100.8.13.3 Tredjeparts kjerneutvidelser tillatt | macOS 14 | Representerer om tredjeparts kjerneutvidelser er tillatt på en Mac med Apple-chip. | |||||||||
1.2.840.113635.100.8.10.3 LLB-versjon | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representerer versjonen av Low-Level Bootloader. | |||||||||
1.2.840.113635.100.8.10.1 Operativsystemversjon | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Representerer operativsystem- og iBoot-versjonen. | |||||||||
1.2.840.113635.100.8.9.4 Programvareoppdatering enhets-ID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Attesterer |
En enhet kan få beskjed om å be om attestering enten med en kommando fra MDM-tjeneren eller som en del av en prosess for å utstede sertifikat ved hjelp av ACME. I begge tilfeller mottar enheten en ferskhetskode fra enten MDM- eller ACME-tjeneren (som er en del av forespørselen til attesteringstjeneren). SHA256-hashen av ferskhetskoden er inkludert som en egenskap i bladsertifikatet og gjør at MDM- eller ACME-tjeneren kan verifisere at attesteringen stemmer med forespørselen.
Når attesteringen mottas, må en bakgrunnstjeneste utføre grundige valideringskontroller. Disse kontrollene inkluderer å sikre at bladsertifikatet ble utstedt av Apple Enterprise Attestation Root CA, å sammenligne ferskhetskodens hash med den forventede verdien, og å undersøke andre egenskaper i attesteringen.
Avhengig av organisasjonens utrullingsmodell kan administrert enhetsattestering være et viktig grunnlag for en moderne og sikker utrulling, og den kan brukes på forskjellige måter:
Bruk et ACME-utstedt sertifikat for å autentisere tilkoblingen fra klienten til MDM, og bruk
DeviceInformation
-attestering for å verifisere enhetens egenskaper kontinuerlig.Verifiser enhetens identitet og sikkerhetstilstand, og få ACME-tjeneren til å gjennomføre en godkjenningsevaluering før det utstedes et sertifikat. På denne måten sikres det at bare enheter som oppfyller de påkrevde standardene, mottar et sertifikat.
Bygg inn enhetens egenskaper fra attesteringen i et ACME-sertifikat, og gjennomfør godkjenningsevalueringen hos de avhengige partene.
Opprette maskinvarebundne nøkler
Som en del av å utstede et sertifikat ved hjelp av ACME-protokollen kan en enhet bli bedt om å oppgi en attestering som også fører til at det tilknyttede nøkkelparet opprettes i Secure Enclave, slik at den kan dra nytte av den avanserte maskinvarebeskyttelsen. Dette fører til at den private nøkkelen pakkes inn med en klassenøkkel, og det bidrar til at den private nøkkelen ikke kan eksporteres.
For å opprette en maskinvarebundet nøkkel må ACME-konfigurasjonen bruke ECSECPrimeRandom-algoritmen med nøkkelstørrelse 256 eller 384 bit. Dette angir et nøkkelpar på P-256- eller P-384-kurvene som definert i NIST SP 800-186.
Maskinvarebundne nøkler overlever ikke sikkerhetskopiering og gjenoppretting, selv om de gjenopprettes til den samme enheten. Alle konfigurasjoner som inneholder en ACME-nyttelast med en maskinvarebundet nøkkel, fjernes ved gjenoppretting. Hvis en maskinvarebundet nøkkel brukes som MDM-klientidentitet, blir enheten avregistrert. Hvis enheten ble registrert ved hjelp av automatisert enhetsregistrering, vil den i dette scenarioet hente registreringsprofilen og registreres på nytt.