Atestarea dispozitivelor gestionate pentru dispozitivele Apple
Atestarea dispozitivelor gestionate este o funcționalitate în iOS 16, iPadOS 16.1, macOS 14, tvOS 16 sau versiuni ulterioare. Atestarea dispozitivelor gestionate oferă dovezi puternice despre proprietățile unui dispozitiv care pot fi utilizate în cadrul unei evaluări a încrederii. Această declarație criptografică a proprietăților dispozitivului se bazează pe securitatea Secure Enclave și a serverelor de atestare Apple.
Atestarea dispozitivelor gestionate contribuie la protecția împotriva următoarelor pericole:
Un dispozitiv compromis, cu informații false despre proprietățile sale
Un dispozitiv compromis, care furnizează o atestare neactualizată
Un dispozitiv compromis, care trimite identificatorii altui dispozitiv
Extragerea cheii private, pentru a fi utilizată pe un dispozitiv fals
Un atacator care deturnează o solicitare de certificat pentru a păcăli autoritatea de certificare (AC) să emită un certificat atacatorului
Pentru informații suplimentare, consultați clipul video WWDC22 Noutăți în gestionarea dispozitivelor.
Hardware compatibil cu atestarea dispozitivelor gestionate
Atestările sunt emise doar pentru dispozitivele care îndeplinesc următoarele cerințe hardware:
Dispozitive iPhone, iPad și Apple TV: cu cip A11 Bionic sau ulterior.
Computere Mac: cu cip Apple.
Nu există schimbări pentru atestarea dispozitivelor gestionate pentru Apple Watch și Apple Vision Pro.
Atestarea dispozitivelor gestionate cu solicitările de înregistrare a certificatului ACME
Serviciul ACME al autorității de certificare (AC) emitente a unei organizații poate solicita o atestare a proprietăților dispozitivului care se înregistrează. Această atestare oferă asigurări puternice că proprietățile dispozitivului (de exemplu, numărul serial) sunt legitime și nu sunt falsificate. Serviciul ACME al AC emitente poate valida criptografic integritatea proprietăților dispozitivului atestat și, opțional, le poate verifica încrucișat cu inventarul dispozitivului organizației; în plus, după verificarea cu succes, confirmă că dispozitivul este al organizației.
Dacă se folosește atestarea, o cheie privată bazată pe hardware este generată în interiorul Secure Enclave al dispozitivului în cadrul solicitării de semnare a certificatului. Pentru această solicitare, autoritatea de certificare emitentă ACME poate emite apoi un certificat client. Această cheie este legată de Secure Enclave, fiind astfel disponibilă doar pe un anumit dispozitiv. Se poate utiliza pe iPhone, iPad, Apple TV și Apple Watch cu configurații care acceptă specificarea unei identități de certificat. Pe un Mac, cheile bazate pe hardware pot fi folosite în vederea autentificării cu MDM, Microsoft Exchange, Kerberos, rețele 802.1X, clientul VPN integrat și retransmisia de rețea integrată.
Notă: Secure Enclave dispune de protecții foarte puternice împotriva extragerii cheii, chiar și în cazul unui procesor de aplicații compromis.
Aceste chei legate de hardware sunt eliminate automat la ștergerea sau restaurarea unui dispozitiv. Întrucât cheile sunt eliminate, profilurile de configurare bazate pe cheile respective nu vor funcționa după o restaurare. Profilul trebuie aplicat din nou pentru a determina recrearea cheilor.
Folosind atestarea sarcinii ACME, MDM poate înscrie o identitate de certificat client utilizând protocolul ACME, care poate valida criptografic următoarele:
Dispozitivul este un dispozitiv Apple original
Dispozitivul este un dispozitiv specific
Dispozitivul este gestionat de serverul MDM al organizației
Dispozitivul are anumite proprietăți (de exemplu, numărul serial)
Cheia privată este asociată prin hardware la dispozitiv
Atestarea dispozitivelor gestionate cu solicitări MDM
Pe lângă utilizarea atestării dispozitivelor gestionate în timpul solicitărilor de înregistrare a certificatului ACME, o soluție MDM poate emite o interogare DeviceInformation solicitând o proprietate DevicePropertiesAttestation. Dacă soluția MDM dorește să asigure o atestare nouă, poate trimite o cheie DeviceAttestationNonce opțională, care forțează o nouă atestare. Dacă această cheie este omisă, dispozitivul returnează o atestare stocată în memoria cache. Răspunsul de atestare a dispozitivului returnează apoi un certificat frunză, având proprietățile în OID-uri personalizate.
Notă: Pentru a se proteja intimitatea utilizatorilor, numărul serial și identificatorul UDID sunt omise când se utilizează înscrierea utilizatorilor. Celelalte valorilor sunt anonime și includ proprietăți precum versiunea sepOS și codul de reînnoire.
Soluția MDM poate valida apoi răspunsul evaluând dacă lanțul de certificat se bazează pe Autoritatea Apple de Certificare (disponibilă din Depozitul PKI Privat Apple) și dacă hash-ul codului de reînnoire corespunde hash-ului codului de reînnoire furnizat în interogarea DeviceInformation.
Întrucât definirea unui cod de reînnoire generează o nouă atestare, care consumă resurse pe dispozitiv și pe serverele Apple, utilizarea este limitată în prezent la o atestare DeviceInformation pe dispozitiv la fiecare 7 zile. O soluție MDM nu ar trebui să solicite imediat o atestare nouă la fiecare 7 zile. Nu se consideră necesar să se solicite o nouă atestare decât dacă proprietățile unui dispozitiv s-au schimbat; de exemplu, o actualizare sau un upgrade al versiunii sistemului de operare. În plus, o solicitare ocazională aleatorie pentru o nouă atestare poate ajuta la detectarea unui dispozitiv compromis care încearcă să ofere informații false despre proprietățile respective.
Gestionarea atestărilor eșuate
Solicitarea unei atestări poate eșua. Când acest lucru se întâmplă, dispozitivul continuă să răspundă la interogarea DeviceInformation sau la provocarea device-attest-01 de la serverul ACME, dar unele informații sunt omise. Fie se omite OID‑ul așteptat sau valoarea acestuia, fie se omite complet atestarea. Există multe motive posibile pentru un eșec, cum ar fi:
O problemă de rețea la stabilirea legăturii cu serverele de atestare Apple
Hardware‑ul sau software‑ul dispozitivului ar putea fi compromis
Dispozitivul nu este hardware Apple original
În ultimele două cazuri, serverele de atestare Apple refuză să emită o atestare pentru proprietățile pe care nu le pot verifica. Nu există nicio modalitate de încredere prin care soluția MDM să poată afla cauza exactă a unei atestări eșuate. Acest lucru este cauzat de faptul că singura sursă de informații despre eșec o constituie dispozitivul efectiv și acesta ar putea fi un dispozitiv compromis, care furnizează informații false. Din acest motiv, răspunsurile de la dispozitiv nu indică motivul eșecului.
Cu toate acestea, când se utilizează o atestare a dispozitivelor gestionate ca parte a unei arhitecturi de încredere zero, organizația poate calcula un scor de încredere pentru dispozitiv, cu o atestare eșuată sau neașteptat de perimată care reduce scorul respectiv. Un scor de încredere redus declanșează diferite acțiuni, cum ar fi refuzul accesului la servicii, semnalizarea dispozitivului pentru investigare manuală sau escaladările de conformitate prin ștergerea dispozitivului și revocarea certificatelor acestuia când este necesar. Se asigură astfel un răspuns corespunzător la o atestare eșuată.