Atestacja urządzeń zarządzanych na urządzeniach Apple
Atestacja urządzeń zarządzanych to funkcja systemów iOS 16, iPadOS 16.1, macOS 14 oraz tvOS 16 i nowszych, dostarczająca mocnych dowodów w zakresie właściwości urządzenia, które można wykorzystać w ramach oceny zaufania. Ta kryptograficzna deklaracja właściwości urządzenia jest oparta na zabezpieczeniach serwerów atestacyjnych Secure Enclave i Apple.
Atestowanie urządzeń zarządzanych pomaga chronić przed następującymi zagrożeniami:
Zhakowane urządzenie kłamie na temat swoich właściwości
Zhakowane urządzenie dostarcza nieaktualny certyfikat
Zhakowane urządzenie wysyła identyfikatory innego urządzenia
Wyodrębnianie klucza prywatnego do użytku na nieuczciwym urządzeniu
Osoba atakująca porywa żądanie certyfikatu w celu nakłonienia CA do wydania mu certyfikatu
Aby uzyskać więcej informacji, zobacz wideo z konferencji WWDC23 What’s new in managing Apple devices (Nowości w zarządzaniu urządzeniami Apple).
Atestacja urządzeń zarządzanych przy użyciu żądań rejestracji certyfikatów ACME
Urząd certyfikacji (CA), który wydaje organizacji usługę ACME, może zażądać poświadczenia właściwości rejestrowanego urządzenia. To poświadczenie (atestacja) daje pewność, że właściwości urządzenia, takie jak numer seryjny, są autentyczne i nie są sfałszowane. Usługa ACME wydającego certyfikat CA może weryfikować kryptograficznie integralność atestowanych właściwości urządzenia i opcjonalnie porównywać je z inwentarzem urządzeń organizacji oraz — po pomyślnej weryfikacji — potwierdzić, czy urządzenie jest urządzeniem należącym do organizacji.
Użycie atestacji powoduje, że w ramach żądania podpisania certyfikatu wewnątrz Secure Enclave generowany jest klucz prywatny powiązany ze sprzętem. Dla tego żądania urząd certyfikacji wydający usługę ACME może następnie wydać certyfikat klienta. Wspomniany klucz jest powiązany z Secure Enclave, więc jest dostępny tylko na określonym urządzeniu. Może być używany na iPhonie, iPadzie, Apple TV oraz Apple Watch w konfiguracjach obsługujących podanie certyfikatu tożsamości. Na Macu klucze powiązane ze sprzętem mogą być używane do uwierzytelniania w rozwiązaniu MDM, Microsoft Exchange, Kerberos, sieciach 802.1X, wbudowanym kliencie VPN oraz wbudowanym przekaźniku sieciowym.
Uwaga: Secure Enclave ma bardzo silne zabezpieczenia chroniące przed wydobyciem klucza, nawet w przypadku złamania zabezpieczeń procesora aplikacji.
Te powiązane ze sprzętem klucze są automatycznie usuwane podczas wymazywania lub odtwarzania urządzenia. Usunięcie tych kluczy sprawia, że po odtworzeniu urządzenia wszystkie oparte na nich profile konfiguracji przestają działać. W celu ponownego utworzenia kluczy konieczne jest ponowne zastosowanie danego profilu.
Korzystając z atestacji pakietu danych ACME, rozwiązanie MDM może zarejestrować tożsamość certyfikatu klienta przy użyciu protokołu ACME, który może dokonać kryptograficznej weryfikacji następujących elementów:
Urządzenie jest oryginalnym urządzeniem Apple
Urządzenie jest konkretnym urządzeniem
Urządzenie jest zarządzane przez należący do organizacji serwer MDM
Urządzenie ma określone właściwości (np. numer seryjny)
Klucz prywatny jest sprzętowo powiązany z urządzeniem
Atestacja urządzeń zarządzanych przy użyciu żądań MDM
Oprócz atestacji urządzeń zarządzanych podczas wysyłania żądań rejestracji certyfikatów ACME, rozwiązanie MDM może wysłać zapytanie DeviceInformation
z żądaniem właściwości DevicePropertiesAttestation
. Jeśli rozwiązanie MDM chce pomóc w zapewnieniu nowej atestacji, może wysłać opcjonalny klucz DeviceAttestationNonce
, który wymusza nową atestację. W przypadku pominięcia tego klucza urządzenie zwróci atestację z pamięci podręcznej. Odpowiedź atestacji urządzenia następnie zwraca certyfikat-liść z jego właściwościami w niestandardowych identyfikatorach OID. Pierwsze dwie właściwości to numer seryjny i identyfikator UDID (które są pomijane podczas korzystania z opcji Rejestracji przez użytkownika). Pozostałe wartości są anonimowe i obejmują właściwości, takie jak wersja sepOS i opcjonalna wartość zabezpieczenia przed powtórką w czasie.
Rozwiązanie MDM może następnie zweryfikować odpowiedź, oceniając, czy łańcuch certyfikatów jest zakorzeniony w oczekiwanym urzędzie certyfikacji Apple (dostępnym w repozytorium Apple Private PKI) i, na żądanie, weryfikuje wartość zapobiegania powtarzaniu podaną w zapytaniu DeviceInformation
.
Ponieważ zdefiniowanie zapobiegania powtarzaniu generuje nową atestację — która zużywa zasoby urządzenia i serwerów Apple — użycie jest obecnie ograniczone do jednej atestacji na urządzenie co 7 dni. Żądanie nowej atestacji nie jest konieczne, chyba że zmieniły się właściwości urządzenia; na przykład nastąpiło uaktualnienie oprogramowania lub podwyższenie wersji systemu operacyjnego.