Рішення Managed Device Attestation для пристроїв Apple
Рішення Managed Device Attestation — це функція в iOS 16, iPadOS 16.1, macOS 14 і tvOS 16 та новіших. Рішення Managed Device Attestation надає вагомі докази про те, які властивості пристрою можна використовувати як частину оцінки надійності. Ця криптографічна декларація властивостей пристрою базується на основі системи безпеки серверів атестації Secure Enclave та Apple.
Рішення Managed Device Attestation забезпечує захист від наведених далі загроз.
Скомпрометований пристрій надає неправдиві дані про свої властивості
Скомпрометований пристрій надає застарілу атестацію
Скомпрометований пристрій надсилає різні ідентифікатори пристрою
Вилучення закритого ключа для використання на несанкціонованому пристрої
Зловмисник краде запит на сертифікат, щоб обманом змусити центр сертифікації видати зловмисникові сертифікат
Більше інформації можна отримати з відео про WWDC22 What’s new in device management (Що нового в керуванні пристроями).
Підтримуване обладнання для керованого засвідчення пристроїв
Засвідчення видаються лише тим пристроям, які відповідають наведеним нижче вимогам до обладнання.
Пристрої iPhone, iPad і Apple TV: з процесором A11 Bionic або новішим.
Комп’ютери Mac: з процесором Apple.
Для Apple Watch і Apple Vision Pro змін у керованому засвідченні пристроїв немає.
Рішення Managed Device Attestation із запитами реєстрації сертифікатів ACME
Служба ACME центру сертифікації (CA) організації може запитати засвідчення властивостей пристрою, що реєструється. Ця атестація дає надійне підтвердження, що властивості пристрою (наприклад, серійний номер) є законними і їх не було підроблено. Служба ACME центру сертифікації може криптографічно підтвердити цілісність засвідчених властивостей пристрою, за бажанням, здійснити їх перехресне порівняння з інвентаризацією пристроїв організації та, після успішної перевірки, підтвердити, що пристрій належить організації.
Якщо використано атестацію, генерується прив’язаний до обладнання приватний ключ в межах Secure Enclave пристрою як частина запиту на підпис сертифікату. Для цього запиту центр сертифікації, який випускає ACME, випускає сертифікат клієнта. Цей ключ прив’язаний до Secure Enclave, а тому доступний тільки на певному пристрої. Його можна використовувати на iPhone, iPad, Apple TV і Apple Watch з конфігураціями, які підтримують специфікації посвідчення сертифіката. На Mac прив’язані до обладнання ключі можна використовувати для автентифікації в MDM, Microsoft Exchange, Kerberos, мережах 802.1X, вбудованому клієнті VPN і вбудованому мережевому реле.
Примітка. Secure Enclave має дуже потужний захист від вилучення ключів, навіть у випадку компрометації Application Processor.
Ці прив’язані до обладнання ключі автоматично вилучаються під час стирання або відновлення пристрою. Через вилучення ключів жодні профілі конфігурації, які на них покликаються, не працюватимуть після відновлення. Профіль слід застосувати знову, щоб повторно створити пов’язані ключі.
Використовуючи атестацію набору даних ACME, MDM може зареєструвати посвідчення сертифіката клієнта за допомогою протоколу ACME, який може криптографічно підтвердити наведене:
Пристрій є оригінальним пристроєм Apple
Пристрій є конкретним пристроєм
Пристрій керується сервером MDM організації
Пристрій має певні властивості (наприклад, серійний номер)
Закритий ключ прив’язаний до обладнання пристрою
Рішення Managed Device Attestation із запитами MDM
Крім використання Managed Device Attestation під час запитів реєстрації сертифікату ACME, рішення MDM може створити запит DeviceInformation на властивість DevicePropertiesAttestation. Якщо рішення MDM хоче допомогти забезпечити нову атестацію, воно може надіслати додатковий ключ DeviceAttestationNonce, який примусово виконує нову атестацію. Якщо цей ключ пропущено, пристрій повертає атестацію з кеша. Потім відповідь на атестацію пристрою повертає кінцевий сертифікат із його властивостями в спеціальних OID.
Примітка. Під час використання реєстрації користувача серійний номер і UDID опускаються для захисту приватності користувача. Інші значення є анонімними та включають такі властивості, як версія sepOS і код новизни.
Потім рішення MDM може підтвердити відповідь, оцінивши, чи корінь ланцюжка сертифікатів перебуває в очікуваному центрі сертифікації Apple (доступний у приватному сховищі PKI Apple), і, за запитом, перевірити, чи кеш коду новизни наданий в запиті DeviceInformation.
Оскільки визначення freshness code генерує нову атестацію, яка споживає ресурси на пристрої та серверах Apple, зараз використання обмежено однією атестацією DeviceInformation для кожного пристрою що 7 днів. Рішення MDM не повинно негайно запитувати свіжу атестацію кожні 7 днів. Не вважається необхідним запитувати нову атестацію, якщо властивості пристрою не змінилися; наприклад, оновлення версії операційної системи. Крім того, позаплановий довільний запит на свіжу атестацію може допомогти виявити скомпрометований пристрій, який намагається подати хибну інформацію про ті властивості.
Опрацювання невдалих атестацій
Запит на атестацію може не вдатися. У такому випадку пристрій відповідатиме на запит DeviceInformation чи виклик сервера ACME device-attest-01, однак певна інформація опускатиметься. Опускатиметься очікуване OID або його значення чи повністю опускатиметься атестація. Помилка може бути спричинена різними чинниками, зокрема:
Проблема зʼєднання мережі із серверами атестації Apple
Компрометація обладнання пристрою чи програмного забезпечення
Неоригінальність обладнання пристрою Apple
В останніх двох випадках сервери атестації Apple відмовляються видавати атестацію для обʼєктів, які вони не можуть перевірити. Рішення MDM не має надійного засобу визначення точної причини невдалої атестації. Причиною цього є те, що єдиним джерелом інформації про помилку є власне пристрій, який може бути скомпрометованим і який подає хибні відомості. З цієї причини відповіді від пристрою не вказують причину помилки.
Однак коли атестація керованого пристрою (Managed Device Attestation) використовується як частина архітектури з нульовою довірою, організація може обчислити бал довіри для пристрою, на заниження якого впливає помилка або несподівана затримка атестації. Занижений бал довіри спричиняє різні дії, як-от заборона доступу до сервісів, повідомлення про необхідність перевірки пристрою вручну або заходи з приведення пристрою до відповідності вимогам шляхом його стирання та відкликання сертифікатів пристрою, якщо в цьому є необхідність. Це забезпечує належну відповідь на помилку атестації.