Verwaltete Gerätebeglaubigung für Apple-Geräte
Die verwaltete Gerätebeglaubigung ist eine Funktion in iOS 16, iPadOS 16.1, macOS 14 und tvOS 16 (oder neuer). Die verwaltete Gerätebeglaubigung stellt verlässliche Beweise zu den Geräteeigenschaften bereit, die zur Überprüfung der Vertrauenswürdigkeit verwendet werden können. Die Beglaubigung ist eine kryptografische Deklaration von Geräteeigenschaften, die auf der Sicherheit der Secure Enclave und den Beglaubigungsservern von Apple basiert.
Die verwaltete Gerätebeglaubigung kann vor folgenden Bedrohungen schützen:
Kompromittierte Geräte mit unwahren Eigenschaften
Kompromittierte Geräte mit einer abgelaufenen Beglaubigung
Kompromittiertes Geräte, die eine andere Geräte-ID senden
Extrahieren von privaten Schlüsseln für die Verwendung auf einem bösartigen Gerät
Angreifern, die eine Zertifikatsanfrage kapern und die CA dazu verleiten wollen, ein Zertifikat auszugeben
Weitere Informationen enthält das WWDC22-Video What’s new in device management.
Unterstützte Hardware für „Verwaltete Gerätebeglaubigung“
Beglaubigungen werden nur für Geräte herausgegeben, die folgenden Hardwarekriterien entsprechen:
iPhone, iPad und Apple TV-Geräte: Mit A11 Bionic-Chip oder neuer.
Mac-Computer: Mit Apple Chips.
Für die Apple Watch und Apple Vision Pro wurde die verwaltete Gerätebeglaubigung nicht geändert.
Verwaltete Gerätebeglaubigung mit Registrierungsanfragen für ACME-Zertifikate
Der ACME-Dienst der ausgebenden Zertifizierungsinstanz (CA) einer Organisation eine Beglaubigung der Eigenschaften eines zu registrierenden Geräts anfordern. Diese Beglaubigung stellt sicher, dass die Eigenschaften des Geräts (beispielsweise die Seriennummer) korrekt sind und kein Täuschungsversuch vorliegt. Der ACME-Dienst der ausgebenden CA kann kryptografisch die Integrität der Eigenschaften des beglaubigten Geräts überprüfen und optional abgleichen, ob diese Eigenschaften mit dem Geräteinventar der Organisation übereinstimmen und, wenn die Überprüfung erfolgreich war, ob das Gerät tatsächlich als Gerät der Organisation bestätigt wurde.
Bei der Verwendung der Beglaubigung wird im Rahmen der Anfrage zur Zertifikatssignierung ein hardwaregebundener privater Schlüssel in der Secure Enclave des Geräts erstellt. Für diese Anfrage kann die ACME-ausgebende CA dann ein Client-Zertifikat ausstellen. Dieser Schlüssel ist an die Secure Enclave gebunden und deshalb nur auf einem bestimmten Gerät verfügbar. Er kann mit Konfigurationen, die die Festlegung einer Zertifikatsidentität unterstützen, auf iPhone, iPad-, Apple TV- und Apple Watch-Geräten verwendet werden. Auf dem Mac können hardwaregebundene Schlüssel für die Authentifizierung mit MDM, Microsoft Exchange, Kerberos, 802.1X-Netzwerken, dem integrierten VPN-Client und dem integrierten Netzwerkrelay verwendet werden.
Hinweis: Die Secure Enclave ist vor dem Extrahieren von Schlüsseln sehr gut geschützt – selbst im Falle eines kompromittierten Anwendungsprozessors (Application Processor).
Diese hardwaregebunden Schlüssel werden beim Löschen oder Wiederherstellen eines Geräts automatisch entfernt. Da die Schlüssel entfernt werden, sind alle Konfigurationsprofile, die auf sie zurückgreifen, nach einer Wiederherstellung nicht mehr funktionsfähig. Das Profil muss erneut angewendet werden, damit die Schlüssel ein weiteres Mal erstellt werden können.
Mit einer ACME-Payload-Beglaubigung kann die MDM-Lösung eine Clientzertifikatsidentität mithilfe des ACME-Protokolls registrieren, mit dem Folgendes kryptografisch überprüft werden kann:
Das Gerät ist ein Originalgerät von Apple.
Das Gerät ist ein spezifisches Gerät.
Das Gerät wird vom MDM-Server der Organisation verwaltet
Das Gerät hat gewisse Eigenschaften (z. B. die Seriennummer).
Der private Schlüssel ist an die Gerätehardware gebunden.
Verwaltete Gerätebeglaubigung mit MDM-Anfragen
Bei der Verwendung einer verwalteten Gerätebeglaubigung kann eine MDM-Lösung die DeviceInformation-Anfrage ausgeben, um die DevicePropertiesAttestation-Eigenschaft abzufragen. Wenn die MDM-Lösung eine neue Beglaubigung sicherstellen möchte, kann sie einen optionalen DeviceAttestationNonce-Schlüssel senden und damit eine neue Beglaubigung erzwingen. Wenn dieser Schlüssel ausgelassen wird, gibt das Gerät eine zwischengespeicherte Beglaubigung zurück. Die Antwort der Gerätebeglaubigung gibt dann ein Leaf-Zertifikat mit den Eigenschaften in eigenen OIDs zurück.
Hinweis: Die Seriennummer und die UDID werden bei der Benutzerregistrierung ausgelassen, um die Privatsphäre des Benutzers zu schützen. Die anderen Werte sind anonym und umfassen Eigenschaften wie die sepOS-Version und den Freshness-Code.
Die MDM-Lösung kann dann die Antwort überprüfen, indem evaluiert wird, ob die Zertifikatskette zur erwarteten Apple Certificate Authority reicht (verfügbar in der Apple Private PKI Repository) und ob der Hash-Wert des Freshness-Codes mit dem Hash-Wert des Freshness-Codes übereinstimmt, der in der DeviceInformation-Abfrage bereitgestellt wurde.
Da durch Definieren eines Freshness-Codes eine neue Beglaubigung erzeugt wird (was die Ressourcen auf dem Gerät und auf den Apple-Servern beansprucht), ist die Verwendung dieser Funktion zur Zeit auf eine DeviceInformation-Beglaubigung pro Gerät alle 7 Tage begrenzt. Eine MDM-Lösung sollte nicht von Beginn an alle sieben Tage eine neue Beglaubigung anfordern. Es wird nicht als notwendig erachtet, eine neue Beglaubigung anzufordern, außer wenn sich die Eigenschaften des Geräts geändert haben. Dies kann beispielsweise der Fall sein, wenn ein Update oder Upgrade der Betriebssystemversion durchgeführt wurde. Außerdem kann eine gelegentliche Zufallsanfrage nach einer neuen Beglaubigung dazu führen, dass kompromittierte Geräte beim Vortäuschen dieser Eigenschaften erwischt werden.
Umgang mit fehlgeschlagenen Beglaubigungen
Die Anforderung einer Beglaubigung kann fehlschlagen. Ist das der Fall, reagiert das Gerät noch auf die DeviceInformation-Anfrage oder device-attest-01-Challenge des ACME-Servers, manche Informationen werden aber ausgelassen. Entweder wird eine erwartete OID oder ihr Wert ausgelassen oder die Beglaubigung wird komplett weggelassen. Es gibt verschiedene potenzielle Gründe für einen Fehlschlag, zum Beispiel:
Ein Netzwerkfehler betrifft die Apple-Beglaubigungsserver.
Die Hardware oder Software des Geräts könnte kompromittiert sein.
Das Gerät ist kein Originalhardware von Apple.
In den letzten beiden Fällen weigern sich die Apple-Beglaubigungsserver eine Beglaubigung für Eigenschaften auszustellen, die nicht verifiziert werden können. Es gibt keinen vertrauenswürdigen Weg für MDM-Lösungen nach dem genauen Grund einer fehlgeschlagenen Beglaubigung zu suchen. Das liegt daran, dass die einzige Informationsquelle für den Fehler das Gerät selbst ist, bei dem es sich um ein kompromittiertes Gerät handeln kann, das lügt. Aus diesem Grund geben die Antworten des Geräts keinen Grund für den Fehler an.
Wenn jedoch die verwaltete Gerätebeglaubigung als Teil einer Zero-Trust-Architektur verwendet wird, kann die Organisation einen Vertrauenswert für das Gerät berechnen. Eine fehlgeschlagene oder unerwartet abgelaufene Beglaubigung mindert diesen Wert. Ein gesenkter Vertrauenswert löst verschiedene Aktionen aus, wie zum Beispiel das Verweigern von Zugriff auf Dienste, Kennzeichnen des Geräts für eine manuelle Untersuchung oder Konformitätseskalationen, bei denen es komplett gelöscht wird und, wenn nötig, Zertifikate entzogen werden. Dies stellt eine geeignete Reaktion auf eine fehlerhafte Beglaubigung sicher.