Comprovação de dispositivos geridos para dispositivos Apple
A comprovação de dispositivos geridos é uma funcionalidade para dispositivos com o iOS 16, iPadOS 16.1, macOS 14, tvOS 16 ou posteriores. A comprovação de dispositivos geridos fornece fortes indícios sobre que propriedades de um dispositivo podem ser usadas como parte da avaliação de fidedignidade. Esta declaração criptográfica das propriedades do dispositivo é baseada na segurança do Secure Enclave e nos servidores de comprovação da Apple.
A comprovação de dispositivos geridos ajuda a proteger contra as seguintes ameaças:
Um dispositivo comprometido que mente sobre as suas propriedades.
Um dispositivo comprometido que fornece uma comprovação desatualizada.
Um dispositivo comprometido que envia identificadores de dispositivo diferentes.
A extração de chaves privadas para utilização num dispositivo não autorizado.
Um pirata informático a comprometer um pedido de certificado para enganar a CA para que lhe emita um certificado.
Encontrará mais informação no vídeo do WWDC22 Novidades na gestão de dispositivos.
Hardware suportado para a comprovação de dispositivos geridos
Os comprovativos apenas são emitidos para dispositivos que cumprem os seguintes requisitos de hardware:
Dispositivos iPhone, iPad e Apple TV: Com o chip A11 Bionic ou posterior.
Computadores Mac: Com Apple Silicon.
Não houve alterações à comprovação de dispositivos geridos para o Apple Watch e Apple Vision Pro
Comprovação de dispositivos geridos com pedidos de registo de certificados ACME
O serviço ACME da Autoridade de Certificação (AC) emissora da organização pode solicitar uma comprovação das propriedades dos dispositivos registados. A comprovação fornece fortes garantias de que as propriedades do dispositivo (por exemplo, o número de série) são legítimas e não são falsas. O serviço ACME da CA emissora pode validar criptograficamente a integridade das propriedades do dispositivo comprovado e opcionalmente cruzar informações em relação ao inventário de dispositivos da organização e, após a verificação bem-sucedida, confirmar que o dispositivo é o dispositivo da organização.
Se for usada comprovação, o sistema operativo gera uma chave privada vinculada por hardware dentro do Secure Enclave do dispositivo como parte do pedido de assinatura de certificado. Para esse pedido, a autoridade de certificação (AC) de ACME pode emitir um certificado de cliente. A chave está vinculada ao Secure Enclave e por isso apenas está disponível num dispositivo específico. Pode usá-la no iPhone, no iPad, na Apple TV e no Apple Watch com configurações que suportam a especificação de uma identidade de certificado. Num Mac, é possível usar chaves vinculadas a hardware para autenticação com um serviço de gestão de dispositivos, o Microsoft Exchange, Kerberos, as redes 802.1X, o cliente VPN integrado e a retransmissão de rede integrada.
Nota: o Secure Enclave tem proteções fortes contra a extração de chaves, mesmo no caso de um processador de aplicações comprometido.
Estas chaves vinculadas a hardware são removidas automaticamente ao apagar ou restaurar um dispositivo. Como as chaves foram removidas, quaisquer perfis de configuração baseados nessas chaves não funcionam após o restauro. O perfil tem de ser aplicado novamente para obter as chaves recriadas.
Com uma comprovação de carga útil de ACME, um gestão de dispositivos pode registar uma identidade de certificado de cliente com o protocolo ACME, que pode validar criptograficamente que:
o dispositivo é um dispositivo Apple genuíno;
o dispositivo é um dispositivo específico;
o dispositivo é gerido pelo serviço de gestão de dispositivos da organização;
o dispositivo tem determinadas propriedades (por exemplo, o número de série);
a chave privada está vinculada por hardware ao dispositivo.
Comprovação de dispositivos geridos com pedidos de serviço de gestão de dispositivos
Além de usar a comprovação de dispositivos geridos durante pedidos de registo de certificados ACME, um serviço de gestão de dispositivos pode emitir uma consulta DeviceInformation solicitando uma propriedade DevicePropertiesAttestation. Se o serviço de gestão de dispositivos pretender ajudar a garantir uma nova comprovação, pode enviar uma chave DeviceAttestationNonce opcional, que força uma nova comprovação. Se omitir esta chave, o dispositivo tem como resultado uma comprovação em cache. A resposta de comprovação do dispositivo tem depois como resultado um certificado de último nível com as suas propriedade nos OID personalizados.
Nota: O número de série e o UDID são omitidos ao usar o registo do utilizador para proteger a privacidade do utilizador. Os outros valores são anónimos e incluem propriedades, tal como a versão do sepOS e o código de renovação.
O serviço de gestão de dispositivos pode depois validar a resposta avaliando que a cadeia de certificados está radicada com a Autoridade de Certificação da Apple prevista (disponível no repositório PKI privado da Apple) e se o hash do código de renovação é o mesmo do código de renovação que a consulta DeviceInformation fornece.
Como a definição de um código de renovação gera uma nova comprovação, que consome recursos no dispositivo e nos servidores da Apple, a utilização está atualmente limitada a uma comprovação por dispositivo a cada 7 dias. Um serviço de gestão de dispositivos não tem de solicitar de imediato uma nova comprovação a cada 7 dias. Não é necessário solicitar uma nova comprovação a menos que as propriedades do dispositivo mudem; por exemplo, uma atualização ou upgrade da versão do sistema operativo. Além disso, um pedido aleatório ocasional de uma comprovação nova pode ajudar a detetar um dispositivo comprometido que está a tentar mentir sobre essas propriedades.
Gestão de comprovações falhadas
É possível que a solicitação de uma comprovação falhe. Quando isso acontece, o dispositivo ainda responde à consulta DeviceInformation ou ao desafio device-attest-01 do servidor ACME, mas alguma informação é omitida. Ou se omite o OID inesperado ou o seu valor, ou se omite a comprovação por completo. Há muitos motivos potenciais para uma falha, tal como:
Um problema de rede ao estabelecer ligação aos servidores de comprovação da Apple
O hardware ou software do dispositivo pode estar comprometido.
O dispositivo não é um hardware Apple genuíno.
Nos dois últimos casos, os servidores de comprovação da Apple recusam emitir uma comprovação para as propriedades que não conseguem verificar. O serviço de gestão de dispositivos não tem nenhuma forma fidedigna de saber a causa exata da comprovação falhada. Isto porque a única fonte de informação sobre a falha é o próprio dispositivo, que pode ser um dispositivo comprometido que está a mentir. Por esse motivo, as respostas do dispositivo não indicam o motivo da falha.
No entanto, quando se utiliza a comprovação de dispositivos geridos como parte de uma arquitetura de confiança zero, a organização pode calcular uma classificação de fidedignidade para o dispositivo e a classificação baixará se a comprovação falhar ou se tornar obsoleta de forma inesperada. Uma classificação de fidedignidade baixa aciona várias ações, como negar o acesso a serviços, marcar o dispositivo para uma investigação manual ou escalar a conformidade mediante a eliminação do dispositivo e a revogação dos seus certificados, se for necessário. Isto garante uma resposta adequada a uma comprovação falhada.