Hallitun laitteen todennus Apple-laitteille
Hallitun laitteen todennus on iOS 16:n, iPadOS 16.1:n, macOS 14:n, tvOS 16:n tai uudemman ominaisuus. Hallitun laitteen todennus antaa laitteen ominaisuuksista vahvan todisteen, jota voidaan käyttää osana luottamuksen evaluointia. Tämä kryptografinen vakuutus laitteen ominaisuuksista pohjaa Secure Enclaven ja Applen todennuspalvelinten tietoturvaan.
Hallitun laitteen todennus auttaa suojautumaan seuraavilta uhkilta:
Vaarantunut laite valehtelee ominaisuuksistaan.
Vaarantunut laite antaa vanhentuneen todennuksen.
Vaarantunut laite lähettää toisen laitteen tunnisteet.
Yksityinen avain saadaan väärinkäytettäväksi toisessa laitteessa.
Hyökkääjä kaappaa varmennepyynnnön huijatakseen varmentajaa antamaan varmenteen hyökkääjälle.
Jos haluat lisätietoja, katso WWDC22-video What’s new in device management.
Hallitun laitteen todennuksen tuetut laitteet
Vain seuraavat laitevaatimukset täyttävät laitteet saavat todennuksen:
iPhone-, iPad- ja Apple TV -laitteet: A11 Bionic -sirulla tai uudemmalla varustettu.
Mac-tietokoneet: Applen sirulla varustettu.
Apple Watchin ja Apple Vision Pron hallitun laitteen todennukselle ei ole muutoksia.
Hallitun laitteen todennus ACME-varmennerekisteröintipyynnöillä
Organisaation varmentajan ACME-palvelu voi pyytää todennusta rekisteröityvän laitteen ominaisuuksista. Tämä todennus antaa vahvan todistuksen siitä, että laitteen ominaisuudet (esimerkiksi sarjanumero) ovat pätevät eivätkä ne ole huijausta. Varmentajan ACME-palvelu voi validoida todennetun laitteen ominaisuuksien eheyden kryptografisesti, valinnaisesti verrata ominaisuuksia organisaation laiteluetteloon ja onnistuneen tarkistuksen jälkeen vahvistaa laitteen organisaation laitteeksi.
Jos todennusta käytetään, luodaan laitteistoon sidottu yksityinen avain laitteen Secure Enclavessa osana varmenteen allekirjoittamispyyntöä. Tätä pyyntöä varten ACME:n varmentaja voi sitten antaa asiakasvarmenteen. Tämä avain kuuluu Secure Enclaveen ja on näin ollen saatavilla vain tietyssä laitteessa. Sitä voidaan käyttää iPhonessa, iPadissa, Apple TV:ssä tai Apple Watchissa, jossa on henkilövarmenteen määritystä tukevat määritykset. Macissa laitteistoon sidottuja avaimia voidaan käyttää todentamiseen MDM:n, Microsoft Exchangen, Kerberosin, 802.1X-verkkojen, sisäisen VPN-asiakkaan ja sisäisen verkkovälityksen kanssa.
Huomaa: Secure Enclave suojaa avaimia paljastumiselta erittäin vahvasti jopa siinäkin tapauksessa, että appeja suorittava prosessori on vaarantunut.
Nämä laitteistoon sidotut avaimet poistetaan automaattisesti, kun laita tyhjennetään tai palautetaan. Koska avaimet poistetaan, niistä riippuvaiset asetusprofiilit eivät toimi palautuksen jälkeen. Profiilia on käytettävä uudelleen, jotta avaimet luodaan uudelleen.
Käyttämällä ACMEn tietosisällön todennusta MDM voi rekisteröidä asiakasvarmenneidentiteetin käyttäen ACME-protokollaa, joka voi vahvistaa kryptografisesti, että:
Laite on aito Apple-laite.
Laite on juuri tietty laite.
Laite on organisaation MDM-palvelimen hallitsema
Laitteella on tietyt ominaisuudet (esimerkiksi sarjanumero).
Yksityinen avain on sidottu laitteistoon laitteessa.
Hallitun laitteen todennus MDM-pyynnöillä
Sen lisäksi, että MDM käyttää hallitun laitteen todennusta ACME-varmennerekisteröintipyynnöissä, MDM-ratkaisu voi myös lähettää DeviceInformation-kyselyn, joka pyytää DevicePropertiesAttestation-ominaisuutta. Jos MDM-ratkaisun halutaan auttavan varmistamaan, että todennus on tuore, se voi lähettää valinnaisen DeviceAttestationNonce-avaimen, joka pakottaa tuoreen todennuksen. Jos tämä avain jätetään pois, laite palauttaa välimuistissa olevan todennuksen. Laitteen todennusvastaus palauttaa lehtivarmenteen, jossa sen ominaisuudet ovat muokatuissa objektitunnisteissa.
Huomaa: Sarjanumero ja UDID jätetään molemmat pois, kun käytetään käyttäjärekisteröintiä käyttäjän yksityisyyden suojaamiseksi. Loput arvot ovat anonyymeja ja sisältävät sellaisia ominaisuuksia kuten sepOS:n versio ja tuoreuskoodi.
MDM-ratkaisu voi sitten validoida vastauksen evaluoimalla, että varmenneketju alkaa odotetusta Applen varmentajasta (löytyy Apple Private PKI Repositorysta) sekä tarkistaa pyydettäessä, onko tuoreuskoodin risuaita sama kuin DeviceInformation-kyselyn risuaita.
Koska tuoreuskoodin määritteleminen tuottaa uuden todennuksen ja se käyttää resursseja laitteessa ja Applen palvelimella, käyttö on tällä hetkellä rajoitettu yhteen DeviceInformation-todennukseen laitetta kohden seitsemän päivän välein. MDM-ratkaisun ei pitäisi pyytää välittömästi uutta todennusta 7 päivän välein. Tuoreen todennuksen pyytämistä ei pidetä välttämättömänä, elleivät laitteen ominaisuudet ole muuttuneet (esimerkiksi kun käyttöjärjestelmäversio on päivitetty). Lisäksi satunnainen uuden todennuksen pyyntö silloin tällöin voi auttaa havaitsemaan vaarantuneen laitteen, joka yrittää valehdella kyseisistä ominaisuuksista.
Epäonnistuneiden todennusten käsittely
Todennuspyyntö voi epäonnistua. Kun se tapahtuu, laite vastaa edelleen DeviceInformation-kyselyyn tai ACME-palvelimen device-attest-01 -haasteeseen, mutta jotkin tiedot jätetään pois. Joko kohteen odotettu OID tai sen arvo jätetään pois, tai todennus jätetään kokonaan pois. Epäonnistumiselle on monia mahdollisia syitä, kuten:
Verkko-ongelma Applen todennuspalvelimille yhdistämisessä
Laitteisto tai laitteen ohjelmisto voi olla vaarantunut
Laite ei ole aito Apple-laite
Kahdessa viimeisessä tapauksessa Applen todennuspalvelimet kieltäytyvät myöntämästä todennusta ominaisuuksille, joita ne eivät voi vahvistaa. Ei ole luotettavaa tapaa, jolla MDM-ratkaisu saisi tietää epäonnistuneen todennuksen tarkan syyn. Se johtuu siitä, että ainoa epäonnistumisen tietolähde on itse laite, joka voi olla vaarantunut ja antaa väärää tietoa. Siksi laitteen vastauksissa ei kerrota epäonnistumisen syytä.
Kun kuitenkin käytetään hallitun laitteen todennusta osana nollaluottamusarkkitehtuuria, organisaatio voi laskea laitteelle luottamusluvun, jota epäonnistunut tai odottamattoman vanha todennus heikentää. Alentunut luottamusluku käynnistää eri toimintoja, kuten palveluihin pääsyn estämisen, laitteen merkitsemisen manuaalista tutkimusta varten tai vaatimustenmukaisuuteen liittyviä eskalaatioita, jossa laite tyhjennetään ja sen varmenteet poistetaan tarvittaessa. Näin varmistetaan tarvittava reagointi epäonnistuneeseen todennukseen.