ความปลอดภัยในการพิสูจน์อุปกรณ์ที่มีการจัดการ
การพิสูจน์อุปกรณ์ที่มีการจัดการมีใน iOS 16, iPadOS 16, macOS 14, tvOS 16, watchOS 9, visionOS 1.1 ขึ้นไป ซึ่งจะใช้ Secure Enclave เพื่อให้การรับรองการเข้ารหัสเกี่ยวกับข้อมูลประจำตัวของอุปกรณ์และสถานะความปลอดภัย อุปกรณ์ iPhone, iPad และ Apple TV ต้องใช้ชิป A11 Bionic ขึ้นไป และรองรับเฉพาะคอมพิวเตอร์ Mac ที่มี Apple Silicon เท่านั้น Apple Vision Pro ต้องใช้ visionOS 1.1 ขึ้นไป การพิสูจน์อุปกรณ์ที่มีการจัดการช่วยในการปกป้องจากภัยคุกคามต่อไปนี้:
อุปกรณ์ที่มีความเสี่ยงซึ่งให้ข้อมูลเท็จเกี่ยวกับคุณสมบัติของอุปกรณ์เอง
อุปกรณ์ที่มีความเสี่ยงซึ่งให้การพิสูจน์ที่เก่าเกินไป
อุปกรณ์ที่มีความเสี่ยงซึ่งส่งข้อมูลจำเพาะของอุปกรณ์อื่น
การดึงข้อมูลกุญแจส่วนตัวสำหรับการใช้บนอุปกรณ์ที่ประสงค์ร้าย
ผู้โจมตีที่เข้าควบคุมการขอใบรับรองเพื่อหลอกผู้ให้บริการออกใบรับรอง (CA) ให้ออกใบรับรองแก่ผู้โจมตี
เมื่อใช้การพิสูจน์อุปกรณ์ที่มีการจัดการ อุปกรณ์สามารถขอการพิสูจน์จากเซิร์ฟเวอร์การพิสูจน์ของ Apple ได้ ซึ่งจะคืนค่าอาร์เรย์ข้อมูลที่ประกอบด้วยใบรับรองปลายทางและใบรับรองกลางซึ่งมีรากฐานอยู่ใน CA ที่มีรากการพิสูจน์องค์กรของ Apple ใบรับรองปลายทางสามารถประกอบด้วยคุณสมบัติเฉพาะตามที่แสดงในตารางด้านล่างได้ ทั้งนี้ขึ้นอยู่กับประเภทอุปกรณ์
OID และค่า | เวอร์ชั่นระบบปฏิบัติการขั้นต่ำที่รองรับ | คำอธิบาย | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9 เลขประจำเครื่อง | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | แสดงถึงเลขประจำเครื่องของอุปกรณ์และสามารถใช้เพื่อระบุอุปกรณ์ได้ ในการช่วยปกป้องความเป็นส่วนตัวของผู้ใช้ ค่านี้จะไม่รวมอยู่เมื่อใช้การพิสูจน์อุปกรณ์ที่มีการจัดการกับการลงทะเบียนผู้ใช้ | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | แสดงถึง ID ฮาร์ดแวร์ที่ไม่ซ้ำกันและสามารถใช้เพื่อระบุอุปกรณ์ได้ บน Mac ค่า UDID จะตรงกับ UDID การกำหนดสิทธิ์ของอุปกรณ์ ในการช่วยปกป้องความเป็นส่วนตัวของผู้ใช้ ค่านี้จะไม่รวมอยู่เมื่อใช้การพิสูจน์อุปกรณ์ที่มีการจัดการกับการลงทะเบียนผู้ใช้ | |||||||||
1.2.840.113635.100.8.10.2 เวอร์ชั่น sepOS | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | แสดงถึงเวอร์ชั่นของเฟิร์มแวร์ Secure Enclave | |||||||||
1.2.840.113635.100.8.11.1 รหัสแสดงความใหม่ | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | รหัสที่ไม่ซ้ำกันและไม่สามารถคาดเดาได้ที่ระบุถึงการพิสูจน์ที่เฉพาะเจาะจง รหัสนี้จะระบุว่าการพิสูจน์ถูกสร้างขึ้นหลังจากที่รหัสถูกสร้าง รหัสจะถูกแฮชโดยใช้ SHA256 | |||||||||
1.2.840.113635.100.8.13.1 สถานะ SIP | macOS 14 | แสดงถึงสถานะการเปิดใช้งาน SIP บน Mac ที่มี Apple Silicon | |||||||||
1.2.840.113635.100.8.13.2 สถานะการเริ่มการทำงานอย่างปลอดภัย | macOS 14 | แสดงถึงการกำหนดค่าการเริ่มการทำงานอย่างปลอดภัยที่เลือกของ Mac ที่มี Apple Silicon | |||||||||
1.2.840.113635.100.8.13.3 ส่วนขยายเคอร์เนลของบริษัทอื่นที่อนุญาต | macOS 14 | แสดงว่าส่วนขยายเคอร์เนลของบริษัทอื่นได้รับอนุญาตหรือไม่บน Mac ที่มี Apple Silicon | |||||||||
1.2.840.113635.100.8.10.3 เวอร์ชั่น LLB | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | แสดงถึงเวอร์ชั่นของตัวโหลดเริ่มต้นระบบระดับต่ำ | |||||||||
1.2.840.113635.100.8.10.1 เวอร์ชั่นระบบปฏิบัติการ | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | แสดงถึงเวอร์ชั่นระบบปฏิบัติการและ iBoot | |||||||||
1.2.840.113635.100.8.9.4 ID ของอุปกรณ์รายการอัปเดตซอฟต์แวร์ | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | พิสูจน์ | |||||||||
อุปกรณ์สามารถถูกสั่งทำงานเพื่อขอการพิสูจน์ด้วยคำสั่งที่ส่งโดยเซิร์ฟเวอร์ MDM หรือเป็นส่วนหนึ่งของกระบวนการออกใบรับรองโดยใช้ ACME ก็ได้ ในทั้งสองกรณี อุปกรณ์จะได้รับรหัสแสดงความใหม่จากเซิร์ฟเวอร์ MDM หรือ ACME (ซึ่งเป็นส่วนหนึ่งของคำขอที่ส่งไปยังเซิร์ฟเวอร์การพิสูจน์) แฮช SHA256 ของรหัสแสดงความใหม่ถูกรวมไว้เป็นคุณสมบัติในใบรับรองปลายทางและอนุญาตให้เซิร์ฟเวอร์ MDM หรือ ACME ตรวจสอบยืนยันว่าการพิสูจน์ตรงกับคำขอ
เมื่อได้รับการพิสูจน์ บริการเบื้องหลังต้องดำเนินการตรวจสอบความถูกต้องอย่างรอบคอบ การตรวจสอบเหล่านี้ประกอบด้วยการรับรองว่าใบรับรองปลายทางออกโดย CA ที่มีรากการพิสูจน์องค์กรของ Apple ด้วยการเปรียบเทียบแฮชของรหัสแสดงความใหม่กับค่าที่คาดไว้ และตรวจวิเคราะห์คุณสมบัติอื่นๆ ในการพิสูจน์
ขึ้นอยู่กับโมเดลการปรับใช้ขององค์กร การพิสูจน์อุปกรณ์ที่มีการจัดการสามารถเป็นพื้นฐานสำคัญของการปรับใช้ที่ทันสมัยและปลอดภัยและสามารถใช้ในวิธีต่างๆ ได้:
ใช้ใบรับรองที่ออกโดย ACME เพื่อตรวจสอบสิทธิ์การเชื่อมต่อจากลูกข่ายไปยัง MDM และใช้การพิสูจน์
DeviceInformationเพื่อตรวจสอบยืนยันคุณสมบัติของอุปกรณ์อย่างต่อเนื่องตรวจสอบยืนยันข้อมูลประจำอุปกรณ์และสถานะความปลอดภัย และให้เซิร์ฟเวอร์ ACME ดำเนินการประเมินความน่าเชื่อถือก่อนออกใบรับรอง วิธีนี้จะทำให้มั่นใจได้ว่ามีเพียงอุปกรณ์ที่ตรงตามมาตรฐานที่กำหนดเท่านั้นที่จะได้รับใบรับรอง
ฝังคุณสมบัติของอุปกรณ์จากการพิสูจน์ในใบรับรอง ACME และดำเนินการประเมินความน่าเชื่อถือของฝ่ายที่ให้บริการ
การสร้างกุญแจที่ผูกกับฮาร์ดแวร์
ในฐานะส่วนหนึ่งของการออกใบรับรองโดยใช้โปรโตคอล ACME อุปกรณ์อาจถูกขอให้ทำการพิสูจน์ ซึ่งจะทำให้คู่กุญแจที่เชื่อมโยงกันถูกสร้างขึ้นภายใน Secure Enclave อีกด้วย ทั้งนี้เพื่อรับประโยชน์จากการปกป้องฮาร์ดแวร์ที่ปลอดภัย วิธีนี้ทำให้กุญแจส่วนตัวถูกห่อด้วยคลาสกุญแจและช่วยป้องกันการส่งออกกุญแจส่วนตัว
ในการสร้างกุญแจที่ผูกกับฮาร์ดแวร์ การกำหนดค่า ACME ต้องใช้อัลกอริทึม ECSECPrimeRandom กับกุญแจที่มีขนาด 256 หรือ 384 บิต วิธีนี้จะระบุคู่กุญแจบนเส้นโค้ง P-256 หรือ P-384 ตามที่กำหนดไว้ใน NIST SP 800-186
กุญแจที่ผูกกับฮาร์ดแวร์จะหายไปในการสำรองข้อมูลและกู้คืน แม้ว่าจะกู้คืนมายังอุปกรณ์เดียวกันก็ตาม การกำหนดค่าที่มีเพย์โหลด ACME พร้อมด้วยกุญแจที่ผูกกับฮาร์ดแวร์จะถูกเอาออกเมื่อกู้คืน ถ้ากุญแจที่ผูกกับฮาร์ดแวร์ถูกใช้เป็นข้อมูลประจำตัวลูกข่าย MDM อุปกรณ์จะเลิกลงทะเบียน ในสถานการณ์นี้ ถ้าอุปกรณ์ลงทะเบียนผ่านการลงทะเบียนอุปกรณ์แบบอัตโนมัติ อุปกรณ์จะดึงข้อมูลโปรไฟล์การลงทะเบียนอีกครั้งและลงทะเบียนอีกครั้ง