Рішення Managed Device Attestation для пристроїв Apple
Рішення Managed Device Attestation — це функція в iOS 16, iPadOS 16.1, macOS 14 і tvOS 16 або новіших, яка надає вагомі докази про те, які властивості пристрою можна використовувати як частину оцінки надійності. Ця криптографічна декларація властивостей пристрою базується на основі системи безпеки серверів атестації Secure Enclave та Apple.
Рішення Managed Device Attestation забезпечує захист від наведених далі загроз.
Скомпрометований пристрій надає неправдиві дані про свої властивості
Скомпрометований пристрій надає застарілу атестацію
Скомпрометований пристрій надсилає різні ідентифікатори пристрою
Вилучення закритого ключа для використання на несанкціонованому пристрої
Зловмисник краде запит на сертифікат, щоб обманом змусити центр сертифікації видати зловмисникові сертифікат
Щоб отримати докладнішу інформацію, перегляньте відео WWDC23 Що нового в керуванні пристроями Apple.
Рішення Managed Device Attestation із запитами реєстрації сертифікатів ACME
Служба ACME центру сертифікації (CA) організації може запитати засвідчення властивостей пристрою, що реєструється. Ця атестація дає надійне підтвердження, що властивості пристрою (наприклад, серійний номер) є законними і їх не було підроблено. Служба ACME центру сертифікації може криптографічно підтвердити цілісність засвідчених властивостей пристрою, за бажанням, здійснити їх перехресне порівняння з інвентаризацією пристроїв організації та, після успішної перевірки, підтвердити, що пристрій належить організації.
Якщо використано атестацію, генерується прив’язаний до обладнання приватний ключ в межах Secure Enclave пристрою як частина запиту на підпис сертифікату. Для цього запиту центр сертифікації, який випускає ACME, випускає сертифікат клієнта. Цей ключ прив’язаний до Secure Enclave, а тому доступний тільки на певному пристрої. Його можна використовувати на iPhone, iPad, Apple TV і Apple Watch з конфігураціями, які підтримують специфікації посвідчення сертифіката. На Mac прив’язані до обладнання ключі можна використовувати для автентифікації в MDM, Microsoft Exchange, Kerberos, мережах 802.1X, вбудованому клієнті VPN і вбудованому мережевому реле.
Примітка. Secure Enclave має дуже потужний захист від вилучення ключів, навіть у випадку компрометації Application Processor.
Ці прив’язані до обладнання ключі автоматично вилучаються під час стирання або відновлення пристрою. Через вилучення ключів жодні профілі конфігурації, які на них покликаються, не працюватимуть після відновлення. Профіль слід застосувати знову, щоб повторно створити пов’язані ключі.
Використовуючи атестацію набору даних ACME, MDM може зареєструвати посвідчення сертифіката клієнта за допомогою протоколу ACME, який може криптографічно підтвердити наведене:
Пристрій є оригінальним пристроєм Apple
Пристрій є конкретним пристроєм
Пристрій керується сервером MDM організації
Пристрій має певні властивості (наприклад, серійний номер)
Закритий ключ прив’язаний до обладнання пристрою
Рішення Managed Device Attestation із запитами MDM
Крім використання Managed Device Attestation під час запитів реєстрації сертифікату ACME, рішення MDM може створити запит DeviceInformation
на властивість DevicePropertiesAttestation
. Якщо рішення MDM хоче допомогти забезпечити нову атестацію, воно може надіслати додатковий ключ DeviceAttestationNonce
, який примусово виконує нову атестацію. Якщо цей ключ пропущено, пристрій повертає атестацію з кеша. Потім відповідь на атестацію пристрою повертає кінцевий сертифікат із його властивостями в спеціальних OID. Перші дві властивості — це серійний номер і UDID (обидва пропускаються під час використання реєстрації користувача). Решта значень є анонімними та включають такі властивості, як версія sepOS і необов’язкове значення anti-time replay.
Потім рішення MDM може підтвердити відповідь, оцінивши, чи корінь ланцюжка сертифікатів перебуває в очікуваному центрі сертифікації Apple (доступний у приватному сховищі PKI Apple), і, за запитом, перевірити значення anti-replay, надане в запиті DeviceInformation
.
Оскільки визначення anti-replay генерує нову атестацію, яка споживає ресурси на пристрої та серверах Apple, наразі використання обмежено однією атестацією для кожного пристрою кожні 7 днів. Не вважається необхідним запитувати нову атестацію, якщо властивості пристрою не змінилися; наприклад, оновлення версії операційної системи.