Atestace spravovaných zařízení pro zařízení Apple
Atestace spravovaných zařízení je funkce systémů iOS 16, iPadOS 16.1, macOS 14 a tvOS 16 nebo novějších. Atestace spravovaných zařízení poskytuje přesvědčivé důkazy o tom, které vlastnosti zařízení lze použít jako součást hodnocení důvěryhodnosti. Tato kryptografická deklarace vlastností zařízení využívá bezpečnostní modul Secure Enclave a atestační servery Apple.
Atestace spravovaných zařízení pomáhá chránit před následujícími hrozbami:
Napadené zařízení, které lže o svých vlastnostech
Napadené zařízení, které se prokazuje zastaralou atestací
Napadené zařízení odesílající identifikátory jiného zařízení
Extrakce soukromého klíče pro použití v podvodném zařízení
Útočník se zmocní žádosti o certifikát a podvede certifikační autoritu, aby mu vydala certifikát
Další informace získáte ve videu WWDC22: What’s new in device management (Novinky ve správě zařízení).
Podporovaný hardware pro atestaci spravovaných zařízení
Atestace jsou vydávány jen zařízením, která splňují následující požadavky na hardware:
Zařízení iPhone, iPad, a Apple TV: s čipy A11 Bionic nebo novějšími
Počítače Mac: s čipy Apple
V případě atestace spravovaných zařízení pro Apple Watch a Apple Vision Pro nedošlo k žádným změnám.
Atestace spravovaných zařízení pomocí žádostí o registraci certifikátu ACME
Služba ACME poskytovaná organizaci vydávající certifikační autoritou si může vyžádat atestaci vlastností registrovaného zařízení. Tato atestace poskytuje silnou záruku, že vlastnosti zařízení (například jeho sériové číslo) jsou legitimní, a ne podvržené. Služba ACME vydavatelské certifikační autority může kryptograficky ověřit integritu atestovaných vlastností zařízení a volitelně je porovnat s evidencí zařízení organizace a v případě úspěšného ověření potvrdit, že zařízení je zařízením organizace.
Při použití atestace je jako součást žádosti o podepsání certifikátu vygenerován soukromý klíč přímo v modulu Secure Enclave daného zařízení. Certifikační autorita vystavující certifikát ACME pak může pro tuto žádost vydat klientský certifikát. Tento klíč je vázaný na modul Secure Enclave a je tedy k dispozici vždy jen na konkrétním zařízení. Lze ho používat na iPhonech, iPadech, Apple TVa Apple Watch s konfiguracemi podporujícími určení certifikační identity. Na Macu lze klíče vázané na hardware používat k ověřování v prostředích MDM, Microsoft Exchange, Kerberos, sítích 802.1X, v integrovaném VPN klientovi a v integrovaných službách síťového přenosu.
Poznámka: Secure Enclave má velmi silnou ochranu proti extrakci klíčů, a to i v případě napadení aplikačního procesoru.
Při vymazání nebo obnovení zařízení se tyto hardwarově vázané klíče automaticky odstraní. Z tohoto důvodu nebudou po obnovení fungovat žádné konfigurační profily, které se na tyto klíče spoléhají. Mají‑li být klíče obnoveny, je nutné profily přidat znovu.
Prostřednictvím atestace datové části ACME může služba MDM zaregistrovat identitu klientského certifikátu s využitím protokolu ACME, který dokáže kryptograficky ověřit následující skutečnosti:
Zařízení je originálním zařízením Apple
Zařízení je konkrétním zařízením
Zařízení je spravované MDM serverem organizace
Zařízení má určité vlastnosti (například sériové číslo)
Na zařízení je hardwarově vázán soukromý klíč
Atestace spravovaných zařízení pomocí žádostí MDM
Kromě atestace spravovaných zařízení při zpracování žádostí o registraci certifikátu ACME může služba MDM vyslat dotaz DeviceInformation s požadavkem na vlastnost DevicePropertiesAttestation. Pokud služba MDM potřebuje zajistit nové provedení atestace, může odeslat nepovinný klíč DeviceAttestationNonce, který novou atestaci vynutí. Pokud je tento klíč vynechán, zařízení vrátí atestaci z mezipaměti. Atestační odezva zařízení pak vrátí listový certifikát s jeho vlastnostmi ve vlastních OID.
Poznámka: Sériové číslo i identifikátor UDID jsou při registraci uživatele z důvodu ochrany soukromí vynechány. Ostatní hodnoty jsou anonymní a zahrnují vlastnosti, jako je verze sepOS a kód čerstvosti.
Služba MDM pak může odpověď ověřit vyhodnocením, zda je řetězec certifikátů zaštítěn očekávanou certifikační autoritou Apple (dostupnou v soukromém úložišti PKI společnosti Apple)a zda je hash kódu čerstvosti stejný jako hash kódu čerstvosti uvedený v dotazu DeviceInformation.
Vzhledem k tomu, že při definování kódu čerstvosti se vygeneruje nové potvrzení – což spotřebovává prostředky v zařízení i na serverech společnosti Apple – je použití v současné době limitováno na jednu atestaci DeviceInformation každého zařízení jednou za 7 dní. Služba MDM by neměla každých 7 dní okamžitě vyžadovat novou atestaci. Vyžádání nové atestace se nepovažuje za nutné, pokud se nezměnily vlastnosti zařízení – například nedošlo k aktualizaci nebo upgradu na novou verzi operačního systému. Občasné náhodné vyžádání nové atestace může navíc zjistit napadené zařízení, které se pokouší o těchto vlastnostech lhát.
Zpracování neúspěšných atestací
Žádosti o atestace nemusí být úspěšné. Pokud se to stane, zařízení bude přesto reagovat na dotaz DeviceInformation nebo výzvu device-attest-01 ACME serveru, ale některé informace budou vynechány. Buď bude vynecháno OID či jeho hodnota, anebo bude úplně vynechána atestace. Existuje mnoho možných důvodů selhání, například:
Problém se sítí, který se dostal až k atestačním serverům Apple
Možné napadení hardwaru nebo software zařízení
Zařízení není originálním hardwarem Apple
V posledních dvou případech atestační servery Apple odmítnou vydat atestaci vlastností, které nemůžou ověřit. Neexistuje žádný důvěryhodný způsob, který by službě MDM umožnil zjistit přesnou příčinu neúspěšné atestace. Je to proto, že jediným zdrojem informací o selhání je samotné zařízení, které může být napadené, a může lhát. Z tohoto důvodu reakce zařízení neinformují o příčině selhání.
Když se však atestace spravovaných zařízení používá jako součást architektury nulové důvěry, může si organizace pro zařízení vypočítat skóre důvěryhodnosti, přičemž neúspěšná nebo neočekávaně zastaralá atestace toto skóre snižuje. Snížené skóre důvěryhodnosti spouští různé akce, například odepření přístupu ke službám, označení zařízení k ručnímu prošetření nebo jeho vymazání a v případě nutnosti také odebrání jeho certifikátů jako výzva k prošetření dodržování pravidel. Tím je zajištěna odpovídající reakce na neúspěšnou atestaci.