Felügyelt eszközigazolás Apple-eszközökhöz
A felügyelt eszközigazolás az iOS 16, az iPadOS 16.1, a macOS 14 és a tvOS 16, illetve újabb rendszerek egyik funkciója. A felügyelt eszközigazolás erős bizonyítékot nyújt arról, hogy az eszköz mely tulajdonságai használhatók fel egy megbízhatóságkiértékelés részeként. Az eszköztulajdonságok ezen kriptográfiai deklarációja a Secure Enclave biztonságán és az Apple igazolási szerverein alapul.
Felügyelt eszközigazolás védelmet nyújt a következő fenyegetések ellen:
A sérült biztonságú eszköz hazudik a tulajdonságairól
A sérült biztonságú eszköz elavult igazolást biztosít
A sérült biztonságú eszköz eltérő eszközazonosítót küld
Privát kulcs kibontása egy jogosulatlan eszközök történő használathoz
Egy támadó eltérít egy tanúsítványkérelmet, hogy rávegye a CA-t, hogy tanúsítványt bocsásson ki a támadónak
További információkért tekintse meg a What’s new in device management című WWDC22-videót.
A felügyelt eszközigazolás által támogatott hardverek
Igazolást kizárólag azon eszközök kapnak, amelyek megfelelnek a következő hardveres követelményeknek:
iPhone-ok, iPadek és Apple TV-k: A11 Bionic vagy újabb chippel.
Macek: Apple‑chippel.
Az Apple Watch és az Apple Vision Pro felügyelt eszközigazolása nem módosult.
Felügyelt eszközigazolás ACME tanúsítványigénylési kérelmekkel
Egy szervezet kibocsátó Tanúsítványkiadó központ (CA) ACME-szolgáltatása igényelheti az eszköz tulajdonságainak igazolását. Ez a tanúsítvány erős biztosítékokat nyújt arra vonatkozóan, hogy az eszköz tulajdonságai (például a sorozatszám) törvényesek, és nem hamisítottak. A kibocsátó CA ACME-szolgáltatása képes kriptográfiailag érvényesíteni az igazolt eszköztulajdonságok integritását, és opcionálisan keresztreferenciát hoz létre rájuk a szervezet eszközleltárával, valamint sikeres érvényesítés esetén megerősíti, hogy az eszköz a szervezet eszköze.
Igazolás használata esetén az eszköz Secure Enclave-jében egy hardverhez kötött privát kulcs kerül legenerálásra a tanúsítvány-aláírási kérés részeként. Ezen kérelem esetében az ACME-t kibocsátó tanúsítványkiadó központ ezt követően képes kibocsátani a klienstanúsítványt. Ez a kulcs a Secure Enclave-hoz kapcsolódik, ezért kizárólag az adott eszközön érhető el. Használhatók tanúsítványidentitás-specifikációt támogató konfigurációkkal rendelkező iPhone-on, iPaden, Apple TV-n és Apple Watchon. Mac használata esetén a hardverhez kötött kulcsok a következőkkel történő hitelesítésre használhatók fel: MDM, Microsoft Exchange, Kerberos, 802.1X-hálózatok, a beépített VPN-kliens és beépített hálózati átjátszók.
Megjegyzés: A Secure Enclave nagyon erős védelmekkel rendelkezik a kulcskifejtés ellen, még akkor is, ha az alkalmazásprocesszor biztonsága sérült.
Ezek a hardverhez kötött kulcsok automatikusan el lesznek távolítva az eszköz törlése vagy visszaállítása esetén. A kulcsok eltávolítása következtében az ezekre kulcsokra támaszkodó konfigurációs profilok, nem működnek a visszaállítást követően. A profilt újra alkalmazni kell a kulcsok ismételt létrehozásához.
Az ACME adatcsomag-igazolás használatával az MDM képes regisztrálni egy olyan, ACME protokollt használó ügyféltanúsítvány-identitást, amely képes kriptográfiailag érvényesíteni a következőket:
Az eszköz eredeti Apple-eszköz
Az eszköz egy specifikus eszköz
Ezt az eszközt a szervezet MDM-szervere felügyeli
Az eszköz rendelkezik bizonyos tulajdonságokkal (például a sorozatszámmal)
A privát kulcs hardveresen az eszközhöz van kötve
Felügyelt eszközigazolás MDM kérelmekkel
ACME tanúsítványigénylési kérelmek során használt felügyelt eszközigazolás mellett, az MDM-megoldások képesek DeviceInformation lekérdezésben kérelmezni egy DevicePropertiesAttestation tulajdonságot. Ha az MDM-megoldás segíteni akar egy friss igazolás biztosításában, akkor képes opcionális DeviceAttestationNonce kulcsot küldeni, ami kikényszeríti a friss igazolást. Ha ez a kulcs nincs figyelembe véve, az eszköz visszatér a gyorsítótárazott igazoláshoz. Az eszközigazolási válasz ezután visszaad egy levéltanúsítványt, amelynek a tulajdonságai egyéni OID-kben találhatók.
Megjegyzés: A sorozatszám és az UDID egyaránt ki vannak hagyva, amikor a felhasználó adatai a Felhasználói regisztrációval vannak védve. A többi érték névtelen, és olyan tulajdonságokat tartalmaz, mint a sepOS-verzió és a frissítési kód.
Az MDM-megoldás ezután úgy tudja érvényesíteni a választ, hogy kiértékeli, hogy a tanúsítványlánc a várt Apple-tanúsíványkibocsátótól származik-e (elérhető az Apple privát PKI-tárból), továbbá a frissítési kód kivonata megegyezik-e a DeviceInformation lekérdezésben megadott frissítési kód kivonatával.
A frissítési kód definiálása új igazolást hoz létre, ami erőforrásokat fogyaszt az eszközön és az Apple szerverein, és a használata jelenleg korlátozva van eszközönként egy DeviceInformation-igazolásra 7 naponta. Az MDM-megoldásoknak nem kellene 7 naponta azonnal új igazolást kérniük. Általában nem szükséges a friss igazolás megkövetelése, hacsak egy eszköz tulajdonságai nem módosultak; például az operációs rendszer frissítése vagy verzióváltása. Továbbá, egy esetenkénti véletlenszerű friss tanúsítvány-igénylés segíthet beazonosítani az olyan sérült tulajdonságú eszközöket, amelyek hazudnak a tulajdonságaikról.
Meghiúsult igazolások kezelése
Előfordulhat, hogy egy igazolás lekérése meghiúsul. Ilyen esetekben az eszköz továbbra is válaszolni fog a DeviceInformation-lekérdezésre és az ACME-szerver device-attest-01 kihívásra, azonban egyes információk kihagyásra kerülnek. Vagy a várt OID vagy annak értéke vagy a teljes igazolás kerül kihagyásra. A meghiúsulásnak számos oka lehet, például:
Hálózati probléma az Apple igazolási szervereinek elérésekor
Sérült az eszköz hardverének vagy szoftverének a biztonsága
Az eszköz nem eredeti Apple-hardver
Az utolsó két esetében az Apple igazolási szerverei megtagadják az igazolás kiállítását olyan tulajdonságok miatt, amiket nem képesek hitelesíteni. Megbízható módon nem tudja az MDM-megoldás kideríteni a meghiúsult igazolás pontos okát. Ennek oka, hogy a meghiúsult igazolás egyetlen információforrása az eszköz maga, és előfordulhat, hogy az eszköz hazudik, mivel sérült biztonsággal rendelkezik. Ebből adódóan az eszköztől érkező válaszok nem jelölik a meghiúsulás okát.
Azon esetekben azonban, amikor a felügyelt eszközigazolást egy teljes felügyeleti architektúra részeként használják, a szervezet képes kiszámítani az eszköz bizalmi pontszámát. A meghiúsult vagy váratlanul lejárt igazolások csökkentik e pontszámot. A csökkentett bizalmi pontszám különböző műveleteket aktivál – például megtagadja a szolgáltatások elérését, megjelöli az eszközt manuális vizsgálat céljából vagy megfelelőségi eszkalációt végez azáltal, hogy szükség esetén törli az eszköz tartalmát és visszavonja a tanúsítványait. Ily módon megfelelő válasz biztosítható egy meghiúsult igazolásra.