Administrert enhetsattestering for Apple-enheter
Administrert enhetsattestering er en funksjon i iOS 16, iPadOS 16.1, macOS 14 og tvOS 16 og nyere som kan levere sterke bevis om hvilke av egenskapene til en enhet som kan brukes som en del av en godkjenningsevaluering. Denne kryptografiske attesteringen av enhetens egenskaper er basert på sikkerheten til Secure Enclave og Apples attesteringstjenere.
Administrert enhetsattestering hjelper med å beskytte mot følgende trusler:
En kompromittert enhet som lyver om egenskapene sine
En kompromittert enhet som leverer en utdatert attestering
En kompromittert enhet som sender ulike enhetsidentifikatorer
Privat nøkkeluthenting til bruk på en falsk enhet
En angriper som kaprer en sertifikatforespørsel for å lure CA-en til å utstede et sertifikat til angriperen
Du finner mer informasjon i WWDC23-videoen What’s new in managing Apple devices.
Administrert enhetsattestering med ACME-sertifikatregistreringsforespørsler
Det kan komme en forespørsel om attestering av egenskapene til enheten som registreres, fra den aktuelle organisasjonens utstedende Certification Authority (CA) ACME-tjeneste. Denne attesteringen gir sterke forsikringer om at egenskapene til enheten (for eksempel serienummeret) er ekte og ikke falske. Den utstedende ACME-tjenesten til CA kan validere integriteten til de attesterte enhetsegenskapene kryptografisk og alternativt kryssreferere dem mot organisasjonens enhetsinventar og, gitt en vellykket verifisering, bekrefte enheten som organisasjonens enhet.
Hvis attestering er brukt, blir en maskinvarebundet nøkkel generert inne i enhetens Secure Enclave som en del av sertifikatsigneringsforespørselen. For denne forespørselen kan den ACME-utstedende sertifiseringsmyndigheten deretter utstede et klientsertifikat. Denne nøkkelen er knyttet til Secure Enclave og er derfor kun tilgjengelig på en bestemt enhet. Den kan brukes på iPhone, iPad, Apple TV og Apple Watch med konfigurasjoner som støtter spesifikasjon for en sertifikatidentitet. Maskinvarebundne nøkler på en Mac kan brukes til autentisering med MDM, Microsoft Exchange, Kerberos, 802.1X-nettverk, den innebygde VPN-klienten og innebygd nettverks-relay.
Merk: Secure Enclave har kraftige beskyttelser mot nøkkeluthenting, selv hvis Application Processor er kompromittert.
Disse maskinvarebundede nøklene fjernes automatisk når enheten slettes eller gjenoppretter en enhet. Fordi nøklene fjernes vil konfigurasjonsprofiler som bruker disse nøklene, ikke lenger fungere etter gjenopprettingen. Profilen må brukes på nytt for å gjenskape nøklene.
Med ACME-nyttelastattestering kan MDM-løsninger registrere klientsertifikatidentiteter gjennom ACME-protokollen som kryptografisk kan validere at:
Enheten er en original Apple-enhet
Enheten er en spesifikk enhet
Enheten administreres av organisasjonens MDM-tjener
Enheten har visse egenskaper (for eksempel serienummeret)
Den private nøkkelen er maskinvarebundet til enheten
Administrert enhetsattestering med MDM-forespørsler
I tillegg til å bruke administrert enhetsattestering ved ACME-sertifikatregistreringsforespørsler, kan en MDM-løsning utstede en DeviceInformation
-forespørsel om en DevicePropertiesAttestation
-egenskap. Hvis MDM-løsningen vil hjelpe med å sikre en ny attestering, kan den sende en alternativ DeviceAttestationNonce
-nøkkel, som tvinger en ny attestering. Hvis denne nøkkelen utelates, returnerer enheten en bufret attestering. Svaret fra enhetsattesteringen returerer et bladsertifikat med egenskapene dets i tilpassede OID-er. De to første egenskapene er serienummeret og UDID-en (som begge utelates ved bruke av Brukerregistrering). De gjenværende verdiene er anonyme og inkluderer egenskaper som sepOS-versjonen og den valgfrie anti-tidsrepetisjonsverdien.
MDM-løsningen kan deretter validere svaret ved å evaluere at sertifikatkjeden er forankret i det forventede Apple Certificate Authority (tilgjengelig fra Apple Private PKI Repository) og, hvis forespurt, verifisere verdien av anti-repetisjonsverdien som gis i DeviceInformation-
spørringen.
Definering av en anti-repetisjonsverdi genererer en ny attestering – som bruker ressurser på enheten og Apples tjenere – og bruken er derfor begrenset til én attestering per enhet hver sjuende dag. Det regnes ikke som nødvendig å forespørre en ny attestering med mindre enhetens egenskaper har endret seg – som for eksempel ved en oppdatering eller oppgradering av operativsystemversjonen.