Apple 기기용 관리형 기기 증명
관리형 기기 증명은 iOS 16, iPadOS 16.1, macOS 14, tvOS 16 이상에서 제공하는 기능입니다. 관리형 기기 증명은 신뢰 평가에서 사용할 수 있는 기기의 속성에 대해 강력한 증빙 자료를 제공할 수 있습니다. 이 기기 속성의 암호화된 선언은 Secure Enclave 및 Apple 증명 서버의 보안에 기반합니다.
관리형 기기 증명은 다음 위협으로부터 보호합니다.
속성을 속이는 보안이 침해된 기기
최신이 아닌 증명을 제공하는 보안이 침해된 기기
다른 기기의 식별자를 전송하는 보안이 침해된 기기
비인가 기기에서 사용하기 위한 개인 키 추출
CA를 속여서 인증서를 발급하려고 인증 요청을 가로채는 해커
자세한 정보는 WWDC22 비디오 기기 관리의 새로운 기능의 내용을 참조하십시오.
관리형 기기 증명에 지원되는 하드웨어
증명은 다음 하드웨어 요구 사항을 충족하는 기기에만 발급됩니다.
iPhone, iPad 및 Apple TV 기기: A11 Bionic 칩 이상 탑재.
Mac 컴퓨터: Apple Silicon 탑재.
Apple Watch 및 Apple Vision Pro의 관리형 기기 증명에는 변경 사항이 없습니다.
ACME 인증서 등록 요청을 통한 관리형 기기 증명
조직의 인증 기관(CA) ACME 서비스 발급은 등록된 기기 속성의 증명을 요청할 수 있습니다. 이 증명은 이 기기의 속성(예: 일련 번호)이 증명되어 합법적이며 도용되지 않았다는 사실에 대한 강력한 보증을 제공합니다. CA의 ACME 서비스 발급은 암호화된 방식으로 증명된 기기 속성의 무결성을 확인하고 조직의 기기 목록에 대조해 볼 수 있으며 인증된 기기는 조직의 기기임을 확인할 수 있습니다.
증명을 사용하면, 기기의 Secure Enclave 내부에서 하드웨어 바운드 개인 키가 인증서 서명 요청의 일부로 생성됩니다. 그러면 이 요청에 대해 ACME 발급 인증 기관은 클라이언트 인증서를 발급합니다. 이 키는 Secure Enclave에 종속되기 때문에 특정 기기에만 사용할 수 있습니다. iPhone, iPad, Apple TV 및 Apple Watch에서 인증서 신원의 사양을 지원하는 구성과 함께 사용할 수 있습니다. Mac에서는 하드웨어 바운드 키가 MDM, Microsoft Exchange, Kerberos, 802.1X 네트워크, 내장 VPN 클라이언트 및 내장 네트워크 릴레이 인증에 사용될 수 있습니다.
참고: 유출된 Application Processor의 경우에도 Secure Enclave는 키 추출에 대한 강력한 보안을 제공합니다.
이러한 하드웨어 바운드 키는 기기를 지우거나 복원할 때 자동으로 제거됩니다. 키가 제거되기 때문에 이러한 키에 의존하는 모든 구성 프로필은 복원 후에 작동하지 않습니다. 키를 재생성하려면 프로필을 다시 적용해야 합니다.
ACME 페이로드 증명을 사용하면 MDM은 다음을 암호화 방법으로 확인하는 ACME 프로토콜을 사용하여 클라이언트 인증서 신원을 등록할 수 있습니다.
정품 Apple 기기임
특정 기기임
기기가 조직의 MDM 서버에 의해 관리됨
특정 속성(예: 일련 번호)이 있음
개인 키는 기기에 하드웨어 바운드되어 있음
MDM 요청을 통한 관리형 기기 증명
ACME 인증서 등록 요청 동안 관리형 기기 증명을 사용할 뿐만 아니라 MDM 솔루션은 DevicePropertiesAttestation 속성을 요청하는 DeviceInformation 쿼리를 발급할 수 있습니다. MDM 솔루션이 새로운 증명을 보장하려면 새로운 증명을 강제하는 DeviceAttestationNonce 키를 보낼 수 있습니다. 해당 키가 생략되는 경우 기기는 캐시된 증명을 반환합니다. 그 다음 기기 증명 응답은 맞춤형 OID에 속성이 있는 리프 인증서를 반환합니다.
참고: 사용자의 개인정보 보호를 위해 사용자 등록을 사용하는 경우 일련 번호와 UDID가 모두 생략됩니다. 다른 값은 익명의 형태이며 sepOS 버전 및 새로운 코드와 같은 속성을 포함합니다.
그 다음 MDM 솔루션은 인증서 체인이 예상된 Apple 인증 기관(Apple Private PKI Repository에서 이용 가능함)에 근거하는지 평가하여 응답의 유효성을 확인할 수 있습니다. 또한 새로운 코드의 해시가 DeviceInformation 쿼리에서 제공된 새로운 코드의 해시와 동일한 경우에도 확인합니다.
새로운 코드를 정의하면 기기 및 Apple 서버의 리소스를 소비하는 새로운 증명이 생성되기 때문에 현재 사용량은 7일마다 기기당 한 개의 DeviceInformation 증명으로 제한됩니다. MDM 솔루션은 7일마다 새로운 증명을 즉시 요청해서는 안됩니다. 기기의 속성이 변경되지 않는 이상(예: 운영 체제 버전의 업데이트 또는 업그레이드) 새로운 증명 요청은 필수가 아닙니다. 또한 가끔씩 무작위로 새로운 증명을 요청하면 해당 속성을 속이려는 손상된 기기를 발견하는 데 도움이 될 수 있습니다.
실패한 증명 처리하기
증명 요청은 실패할 수 있습니다. 이 경우에도 기기는 여전히 DeviceInformation 쿼리 또는 ACME 서버의 device-attest-01 요청에 응답하지만 일부 정보가 생략됩니다. 예상되는 OID 또는 해당 값이 생략되거나 증명이 완전히 생략됩니다. 다양한 잠재적인 실패 원인은 다음과 같습니다.
네트워크 문제로 Apple 증명 서버에 도달하지 못하는 경우
기기 하드웨어 또는 소프트웨어가 손상된 경우
기기가 정품 Apple 하드웨어가 아닌 경우
마지막 두 가지 경우, Apple 증명 서버는 확인할 수 없는 속성에 대해 증명을 발급하지 않습니다. MDM 솔루션에서 증명 실패의 정확한 원인을 알 수 있는 신뢰할 수 있는 방법은 없습니다. 실패에 대한 유일한 정보 출처는 기기 자체이며, 이 기기가 침해되어 거짓말을 하고 있을 수도 있기 때문입니다. 이러한 이유로 기기 응답에는 실패의 원인이 표시되지 않습니다.
하지만 제로 트러스트 아키텍처의 일부로 관리형 기기 증명을 사용하는 경우, 조직은 기기 대한 신뢰 점수를 계산할 수 있으며, 실패하거나 예기치 않게 오래된 증명은 해당 점수를 낮출 수 있습니다. 신뢰 점수가 낮아지면 서비스 접근 거부, 수동 조사를 위해 기기에 플래그 지정 또는 필요한 경우, 기기를 삭제하고 인증서를 취소하는 규정 준수 에스컬레이션과 같은 다양한 조치가 발생합니다. 이러한 조치는 증명 실패에 대한 적절한 대응을 보장합니다.