Atestarea dispozitivelor gestionate pentru dispozitivele Apple
Atestarea dispozitivelor gestionate este o funcționalitate din iOS 16, iPadOS 16.1, macOS 14 și tvOS 16 sau versiuni ulterioare, care oferă dovezi puternice despre proprietățile unui dispozitiv care pot fi utilizate în cadrul unei evaluării a încrederii. Această declarație criptografică a proprietăților dispozitivului se bazează pe securitatea Secure Enclave și a serverelor de atestare Apple.
Atestarea dispozitivelor gestionate contribuie la protecția împotriva următoarelor pericole:
Un dispozitiv compromis, cu informații false despre proprietățile sale
Un dispozitiv compromis, care furnizează o atestare neactualizată
Un dispozitiv compromis, care trimite identificatorii altui dispozitiv
Extragerea cheii private, pentru a fi utilizată pe un dispozitiv fals
Un atacator care deturnează o solicitare de certificat pentru a păcăli autoritatea de certificare (AC) să emită un certificat atacatorului
Pentru informații suplimentare, consultați clipul video WWDC23 Noutăți în gestionarea dispozitivelor Apple.
Atestarea dispozitivelor gestionate cu solicitările de înregistrare a certificatului ACME
Serviciul ACME al autorității de certificare (AC) emitente a unei organizații poate solicita o atestare a proprietăților dispozitivului care se înregistrează. Această atestare oferă asigurări puternice că proprietățile dispozitivului (de exemplu, numărul serial) sunt legitime și nu sunt falsificate. Serviciul ACME al AC emitente poate valida criptografic integritatea proprietăților dispozitivului atestat și, opțional, le poate verifica încrucișat cu inventarul dispozitivului organizației; în plus, după verificarea cu succes, confirmă că dispozitivul este al organizației.
Dacă se folosește atestarea, o cheie privată bazată pe hardware este generată în interiorul Secure Enclave al dispozitivului în cadrul solicitării de semnare a certificatului. Pentru această solicitare, autoritatea de certificare emitentă ACME poate emite apoi un certificat client. Această cheie este legată de Secure Enclave, fiind astfel disponibilă doar pe un anumit dispozitiv. Se poate utiliza pe iPhone, iPad, Apple TV și Apple Watch cu configurații care acceptă specificarea unei identități de certificat. Pe un Mac, cheile bazate pe hardware pot fi folosite în vederea autentificării cu MDM, Microsoft Exchange, Kerberos, rețele 802.1X, clientul VPN integrat și retransmisia de rețea integrată.
Notă: Secure Enclave dispune de protecții foarte puternice împotriva extragerii cheii, chiar și în cazul unui procesor de aplicații compromis.
Aceste chei legate de hardware sunt eliminate automat la ștergerea sau restaurarea unui dispozitiv. Întrucât cheile sunt eliminate, profilurile de configurare bazate pe cheile respective nu vor funcționa după o restaurare. Profilul trebuie aplicat din nou pentru a determina recrearea cheilor.
Folosind atestarea sarcinii ACME, MDM poate înscrie o identitate de certificat client utilizând protocolul ACME, care poate valida criptografic următoarele:
Dispozitivul este un dispozitiv Apple original
Dispozitivul este un dispozitiv specific
Dispozitivul este gestionat de serverul MDM al organizației
Dispozitivul are anumite proprietăți (de exemplu, numărul serial)
Cheia privată este asociată prin hardware la dispozitiv
Atestarea dispozitivelor gestionate cu solicitări MDM
Pe lângă utilizarea atestării dispozitivelor gestionate în timpul solicitărilor de înregistrare a certificatului ACME, o soluție MDM poate emite o interogare DeviceInformation
solicitând o proprietate DevicePropertiesAttestation
. Dacă soluția MDM dorește să asigure o atestare nouă, poate trimite o cheie DeviceAttestationNonce
opțională, care forțează o nouă atestare. Dacă această cheie este omisă, dispozitivul returnează o atestare stocată în memoria cache. Răspunsul de atestare a dispozitivului returnează apoi un certificat frunză, având proprietățile în OID-uri personalizate. Primele două proprietăți sunt numărul serial și UDID (ambele sunt omise când se utilizează înscrierea utilizatorilor). Restul valorilor sunt anonime și includ proprietăți precum versiunea sepOS și valoarea opțională de reluare anti-timp.
Soluția MDM poate valida apoi răspunsul evaluând dacă lanțul de certificat se bazează pe Autoritatea Apple de Certificare (disponibilă din Depozitul PKI Privat Apple) și, dacă se solicită acest lucru, verifică valoarea antireluare furnizată în interogarea DeviceInformation
.
Întrucât definirea unei valori antireluare generează o nouă atestare, care consumă resurse pe dispozitiv și pe serverele Apple, utilizarea este limitată în prezent la o atestare pe dispozitiv la fiecare 7 zile. Nu se consideră necesar să se solicite o nouă atestare decât dacă proprietățile unui dispozitiv s-au schimbat; de exemplu, o actualizare sau un upgrade al versiunii sistemului de operare.