Apple aygıtları için Yönetilen Aygıt Onaylama
iOS 16, iPadOS 16.1, macOS 14, tvOS 16 veya daha yenisindeki Yönetilen Aygıt Onaylama, hangi aygıt özelliklerinin bir güven değerlendirmesinin parçası olarak kullanılabileceği hakkında güçlü kanıtlar sunan bir özelliktir. Aygıt özelliklerinin bu şifreli bildirimi, Secure Enclave’in ve Apple onaylama sunucularının güvenliğini baz alır.
Yönetilen aygıt onaylama, şu tehditlere karşı korumaya yardımcı olur:
Özellikleri doğru olmayan riskli aygıt
Güncel olmayan bir onaylama sunan riskli aygıt
Farklı bir aygıtın tanıtıcılarını gönderen riskli aygıt
Sahte bir aygıtta kullanmak üzere özel anahtar çıkarma
Sertifika Otoritesi’ni saldırgana bir sertifika vermek üzere kandırmak için sertifika isteğini çalan bir saldırgan
Daha fazla bilgi için What’s new in managing Apple devices (Apple aygıtlarını yönetmeyle ilgili yenilikler) adlı WWDC23 videosuna bakın.
ACME sertifika kaydı istekleriyle Yönetilen Aygıt Onaylama
Bir kuruluşun veren Sertifika Otoritesi (CA) ACME servisi kaydolan aygıtın özelliklerinin onaylanmasını isteyebilir. Bu onaylama, aygıtın özelliklerinin (örneğin seri numarasının) geçerli olduğu ve uydurulmadığı konusunda güçlü güvenceler sağlar. Veren Sertifika Otoritesi’nin ACME servisi onaylanan aygıt özelliklerinin bütünlüğünü şifreyle doğrulayabilir ve bunları isteğe bağlı olarak kuruluşun aygıt envanteri ile çapraz başvuru yapabilir; başarılı doğrulama sonrasında ise aygıtın kuruluşun aygıtı olduğunu onaylayabilir.
Onaylama kullanılırsa sertifika imzalama isteğinin bir parçası olarak aygıtın Secure Enclave’inin içinde donanıma bağlı bir özel anahtar oluşturulur. Sonra da bu istek için, ACME veren bir sertifika otoritesi bir istemci sertifikası verebilir. Bu anahtar Secure Enclave’e bağlıdır ve bu nedenle yalnızca belirli bir aygıtta kullanılabilir. iPhone, iPad, Apple TV ve Apple Watch üzerinde sertifika kimliğinin özelliklerini destekleyen konfigürasyonlarla kullanılabilir. Mac üzerinde, donanıma bağlı anahtarlar MDM, Microsoft Exchange, Kerberos, 802.1X ağları, yerleşik VPN istemcisi ve yerleşik ağ geçişi ile kimlik doğrulama için kullanılabilir.
Not: Secure Enclave’de, riskli Uygulama İşlemcisi durumunda bile anahtar çıkarmaya karşı çok güçlü korumalar vardır.
Donanıma bağlı bu anahtarlar, aygıt silinirken veya geri yüklenirken otomatik olarak silinir. Anahtarlar silindiği için bu anahtarlara dayanan konfigürasyon profilleri geri yüklemeden sonra çalışmaz. Anahtarların yeniden yaratılması için profilin tekrar uygulanması gerekir.
MDM, ACME verisi onaylamayı kullanarak bir istemci sertifikası kimliğini şunları şifreli olarak doğrulayabilecek ACME protokolünü kullanarak kaydettirebilir:
Aygıt özgün bir Apple aygıtıdır
Aygıt belirli bir aygıttır
Aygıt, kuruluşun MDM sunucusu tarafından yönetilir
Aygıtın belirli özellikleri vardır (örneğin, seri numara)
Özel anahtar aygıta bağlı donanımdır
MDM istekleriyle Yönetilen Aygıt Onaylama
ACME sertifika kaydı istekleri sırasında yönetilen aygıt onaylamayı kullanmaya ek olarak, bir MDM çözümü DevicePropertiesAttestation
özelliği isteyen bir DeviceInformation
sorgusu yayımlayabilir. MDM çözümü yeni bir onaylama sağlamaya yardımcı olmak istiyorsa isteğe bağlı bir DeviceAttestationNonce
anahtarı gönderebilir; bu yeni bir onaylamayı zorlayacaktır. Bu anahtar belirtilmemişse aygıt önbelleğe alınmış bir onaylama döndürür. Aygıt onaylama yanıtı böylece özel OID’lerdeki özellikleri ile bir kullanıcı sertifikası döndürür. İlk iki özellik seri numara ve UDID’dir (her ikisi de Kullanıcı Kaydı kullanılırken belirtilmez). Kalan değerler anonimdir ve sepOS sürümü ve isteğe bağlı geriye dönük oynatmayı önleme değeri gibi özellikleri içerir.
MDM çözümü daha sonra sertifika zincinin beklenen Apple Sertifika Otoritesi (Apple Özel PKI Deposu’nda bulunabilir) ile yerleştirildiğini değerlendirerek yanıtı doğrulayabilir ve istenirse DeviceInformation
sorgusunda sağlanan yeniden göndermeyi önleme değerini doğrular.
Yeniden göndermeyi önleme değeri tanımlamak, yeni bir onaylama oluşturduğundan ve bu da aygıttaki ve Apple’ın sunucularındaki kaynakları tükettiğinden, kullanım şu anda her 7 günde bir aygıt başına bir onaylama ile sınırlanmıştır. Bir aygıtın özellikleri değişmediyse (örneğin, işletim sistemi sürümünde güncelleme veya yükseltme) yeni bir onaylama isteğinde bulunmak gerekli görülmez.