Atestacja urządzeń zarządzanych na urządzeniach Apple
Atestacja urządzeń zarządzanych to funkcja systemów iOS 16, iPadOS 16.1, macOS 14, tvOS 16 i nowszych. Atestacja urządzeń zarządzanych to funkcja dostarczająca mocnych dowodów w zakresie właściwości urządzenia, które można wykorzystać w ramach oceny zaufania. Ta kryptograficzna deklaracja właściwości urządzenia jest oparta na zabezpieczeniach serwerów atestacyjnych Secure Enclave i Apple.
Atestowanie urządzeń zarządzanych pomaga chronić przed następującymi zagrożeniami:
Zhakowane urządzenie kłamie na temat swoich właściwości
Zhakowane urządzenie dostarcza nieaktualny certyfikat
Zhakowane urządzenie wysyła identyfikatory innego urządzenia
Wyodrębnianie klucza prywatnego do użytku na nieuczciwym urządzeniu
Osoba atakująca porywa żądanie certyfikatu w celu nakłonienia CA do wydania mu certyfikatu
Aby uzyskać więcej informacji, zobacz wideo z konferencji WWDC22 What’s new in device management (Nowości w zarządzaniu urządzeniami).
Sprzęt obsługiwany na potrzeby atestacji urządzeń zarządzanych
Atestację są wydawane wyłącznie dla urządzeń spełniających następujące wymagania sprzętowe:
Urządzenia iPhone, iPad i Apple TV: z czipem A11 Bionic lub nowszym.
Komputery Mac: z układem scalonym Apple.
Nie ma żadnych zmian w atestacji urządzeń zarządzanych dla urządzeń Apple Watch i Apple Vision Pro.
Atestacja urządzeń zarządzanych przy użyciu żądań rejestracji certyfikatów ACME
Urząd certyfikacji (CA), który wydaje organizacji usługę ACME, może zażądać poświadczenia właściwości rejestrowanego urządzenia. To poświadczenie (atestacja) daje pewność, że właściwości urządzenia, takie jak numer seryjny, są autentyczne i nie są sfałszowane. Usługa ACME wydającego certyfikat CA może weryfikować kryptograficznie integralność atestowanych właściwości urządzenia i opcjonalnie porównywać je z inwentarzem urządzeń organizacji oraz — po pomyślnej weryfikacji — potwierdzić, czy urządzenie jest urządzeniem należącym do organizacji.
Użycie atestacji powoduje, że w ramach żądania podpisania certyfikatu wewnątrz Secure Enclave generowany jest klucz prywatny powiązany ze sprzętem. Dla tego żądania urząd certyfikacji wydający usługę ACME może następnie wydać certyfikat klienta. Wspomniany klucz jest powiązany z Secure Enclave, więc jest dostępny tylko na określonym urządzeniu. Może być używany na iPhonie, iPadzie, Apple TV oraz Apple Watch w konfiguracjach obsługujących podanie certyfikatu tożsamości. Na Macu klucze powiązane ze sprzętem mogą być używane do uwierzytelniania w rozwiązaniu MDM, Microsoft Exchange, Kerberos, sieciach 802.1X, wbudowanym kliencie VPN oraz wbudowanym przekaźniku sieciowym.
Uwaga: Secure Enclave ma bardzo silne zabezpieczenia chroniące przed wydobyciem klucza, nawet w przypadku złamania zabezpieczeń procesora aplikacji.
Te powiązane ze sprzętem klucze są automatycznie usuwane podczas wymazywania lub odtwarzania urządzenia. Usunięcie tych kluczy sprawia, że po odtworzeniu urządzenia wszystkie oparte na nich profile konfiguracji przestają działać. W celu ponownego utworzenia kluczy konieczne jest ponowne zastosowanie danego profilu.
Korzystając z atestacji pakietu danych ACME, rozwiązanie MDM może zarejestrować tożsamość certyfikatu klienta przy użyciu protokołu ACME, który może dokonać kryptograficznej weryfikacji następujących elementów:
Urządzenie jest oryginalnym urządzeniem Apple
Urządzenie jest konkretnym urządzeniem
Urządzenie jest zarządzane przez należący do organizacji serwer MDM
Urządzenie ma określone właściwości (np. numer seryjny)
Klucz prywatny jest sprzętowo powiązany z urządzeniem
Atestacja urządzeń zarządzanych przy użyciu żądań MDM
Oprócz atestacji urządzeń zarządzanych podczas wysyłania żądań rejestracji certyfikatów ACME, rozwiązanie MDM może wysłać zapytanie DeviceInformation
z żądaniem właściwości DevicePropertiesAttestation
. Jeśli rozwiązanie MDM chce pomóc w zapewnieniu nowej atestacji, może wysłać opcjonalny klucz DeviceAttestationNonce
, który wymusza nową atestację. W przypadku pominięcia tego klucza urządzenie zwróci atestację z pamięci podręcznej. Odpowiedź atestacji urządzenia następnie zwraca certyfikat-liść z jego właściwościami w niestandardowych identyfikatorach OID.
Uwaga: Ze względu na ochronę prywatności użytkownika, numer seryjny oraz identyfikator UDID są pomijane podczas korzystania z opcji Rejestracji przez użytkownika. Pozostałe wartości są anonimowe i obejmują właściwości, takie jak wersja sepOS i kod świeżości.
Rozwiązanie MDM może następnie zweryfikować odpowiedź, oceniając, czy łańcuch certyfikatów jest zakorzeniony w oczekiwanym urzędzie certyfikacji Apple (dostępnym w repozytorium Apple Private PKI) oraz czy skrót kodu świeżości jest taki sam jak skrót kodu świeżości podany w zapytaniu DeviceInformation
.
Ponieważ zdefiniowanie kodu świeżości generuje nową atestację — która zużywa zasoby urządzenia i serwerów Apple — użycie jest obecnie ograniczone do jednej atestacji DeviceInformation
na urządzenie co 7 dni. Rozwiązanie MDM nie powinno natychmiast żądać nowej atestacji co 7 dni. Żądanie nowej atestacji nie jest konieczne, chyba że zmieniły się właściwości urządzenia; na przykład nastąpiło uaktualnienie oprogramowania lub podwyższenie wersji systemu operacyjnego. Ponadto okazjonalne losowe żądanie nowej atestacji może pomóc w wykryciu zainfekowanego urządzenia, które próbuje kłamać na temat tych właściwości.
Obsługa nieudanych atestacji
Żądanie atestacji może się nie powieść. W takim przypadku urządzenie nadal odpowiada na zapytanie DeviceInformation
lub wyzwanie device-attest-01
serwera ACME, ale niektóre informacje są pomijane. Pomijany jest oczekiwany identyfikator OID lub jego wartość albo całkowicie pomijana jest atestacja. Istnieje wiele potencjalnych przyczyn niepowodzenia, takich jak:
problem z siecią uniemożliwiający dotarcie do serwerów atestacyjnych Apple;
możliwe naruszenie sprzętu lub oprogramowania urządzenia;
urządzenie nie jest oryginalnym urządzeniem Apple.
W tych dwóch ostatnich przypadkach serwery atestacyjne Apple odmawiają wydania atestacji dla właściwości, których nie mogą zweryfikować. Rozwiązanie MDM nie ma wiarygodnego sposobu na poznanie dokładnej przyczyny niepowodzenia atestacji. Wynika to z faktu, że jedynym źródłem informacji o niepowodzeniu jest samo urządzenie, które może być zagrożone i udzielać fałszywych informacji. Z tego powodu odpowiedzi z urządzenia nie wskazują przyczyny niepowodzenia.
Jednakże, gdy atestacja zarządzanego urządzenia jest używana jako część architektury zerowego zaufania, organizacja może obliczyć współczynnik zaufania dla urządzenia, przy czym nieudana lub nieoczekiwanie nieaktualna atestacja obniża ten współczynnik. Obniżony współczynnik zaufania wyzwala różne działania, takie jak odmowa dostępu do usług, oznaczenie urządzenia do ręcznego zbadania lub eskalacja zgodności poprzez wyczyszczenie urządzenia i unieważnienie jego certyfikatów w razie potrzeby. Zapewnia to odpowiednią reakcję na niepowodzenie atestacji.