Atestácia spravovaných zariadení pre Apple zariadenia
Atestácia spravovaného zariadenia je funkcia v systémoch iOS 16, iPadOS 16.1, macOS 14 a tvOS 16, ktorá poskytuje silné dôkazy o tom, ktoré vlastnosti zariadenia je možné použiť ako súčasť hodnotenia dôveryhodnosti. Táto kryptografická deklarácia vlastností zariadenia je založená na zabezpečení Secure Enclave a atestačných serveroch Apple.
Atestácia spravovaných zariadení pomáha chrániť pred týmito hrozbami:
Napadnuté zariadenie, ktoré klame o svojich atribútoch
Napadnuté zariadenie, ktoré poskytuje neplatnú atestáciu
Napadnuté zariadenie odosielajúce odlišné identifikátory zariadenia
Krádež súkromného kľúča s cieľom použitia na škodlivom zariadení
Útočník imitujúci požiadavku na certifikovanie s cieľom oklamať certifikačnú autoritu, aby mu vydala certifikát
Viac sa dozviete vo videu z WWDC23 Čo je nové v správe Apple zariadení.
Atestácia spravovaných zariadení pomocou žiadostí o registráciu ACME certifikátu
Služba ACME vydávajúcej certifikačnej autority danej organizácie si môže vyžiadať atestáciu vlastností registrovaného zariadenia. Táto atestácie je silnou zárukou toho, že vlastnosti zariadenia (napríklad sériové číslo) sú legitímne a nie sú falošné. Služba ACME vydávajúcej certifikačnej autority môže kryptograficky ohodnotiť integritu vlastností atestovaného zariadenia a voliteľne ich krížovo overiť s inventárom zariadení organizácie. Po úspešnom overení potvrdí zariadenie ako zariadenie danej organizácie.
Ak je použitá atestácia, v rámci žiadosti o podpisanie certifikátu sa vnútri modulu Secure Enclave zariadenia vygeneruje privátny kľúč previazaný s hardvérom. Pre túto žiadosť môže potom klientsky certifikát vydať certifikačná autorita vydávajúca ACME certifikáty. Tento kľúč je naviazaný na modul Secure Enclave a je preto dostupný len na konkrétnom zariadení. Možno ho použiť na iPhone, iPade, Apple TV a hodinkách Apple Watch s konfiguráciami, ktoré podporujú špecifikáciu certifikačnej identity. Na Macu možno kľúče previazané s hardvérom použiť na autentifikáciu v MDM, Microsoft Exchange, Kerberos, sieťach 802.1X, vo vstavanom VPN klientovi a vstavanom sieťovom prenose.
Poznámka: Secure Enclave má veľmi silnú ochranu pred krádežou kľúčov, a to dokonca aj v prípade narušenia aplikačného procesora.
Pri vymazaní alebo obnovení zariadenia sa tieto kľúče naviazané na hardvér automaticky odstránia. Z tohto dôvodu nebudú po obnovení fungovať žiadne konfiguračné profily, ktoré sa na tieto kľúče spoliehajú. Ak sa majú kľúče obnoviť, je nutné profily pridať znova.
Vďaka atestácii objemu dát ACME môže MDM registrovať identitu certifikátu klienta pomocou protokolu ACME, ktorý dokáže kryptograficky ohodnotiť:
Že zariadenie je originálne zariadenie Apple
Že zariadenie je dané konkrétne zariadenie
Že zariadenie je spravované serverom MDM organizácie
Že zariadenie má určité atribúty (napríklad sériové číslo)
Že k zariadeniu je hardvérovo pripojený súkromný kľúč
Atestácia spravovaných zariadení pomocou žiadostí MDM
Okrem používania atestácie spravovaných počas žiadostí o registráciu ACME certifikátu môže riešenie MDM vydať požiadavku DeviceInformation
a vyžiadať atribút DevicePropertiesAttestation
. Ak chce riešenie MDM pomôcť zaručiť čerstvú atestáciu, môže odoslať voliteľný kľúč DeviceAttestationNonce
, ktorý vynúti novú atestáciu. Ak sa tento kľúč vynechá, zariadenie vráti atestáciu uloženú vo vyrovnávacej pamäti. Odpoveď atestácie zariadenia následne vráti listový certifikát s jeho atribútmi vo vlastných OID. Prvé dva atribúty sú sériové číslo a UDID (obe sú pri použití registrácie užívateľa vynechané). Zostávajúce hodnoty sú anonymné a patria medzi ne atribúty ako verzia sepOS a voliteľná časová hodnota proti opakovaniu.
Riešenie MDM môže následne ohodnotiť platnosť odpovede zhodnotením, či má reťaz certifikátov koreň v očakávanej certifikačnej autorite Apple (dostupná zo súkromného odkladacieho priestoru Apple PKI) a v prípade takej požiadavky overí hodnotu dočasnej hodnoty proti opakovaniu poskytnutej v požiadavke DeviceInformation
.
Keďže definovanie hodnoty proti opakovaniu vygeneruje novú atestáciu, čo znamená spotrebu prostriedkov na zariadení aj serveroch Apple, použitie je limitované na jednu atestáciu na jedno zariadenie každých 7 dní. Vyžiadanie novej atestácie nie je považované za nevyhnutné, okrem prípadov, že sa zmenili atribúty zariadenia, napríklad pri aktualizácii alebo upgrade verzie operačného systému.