Pengakusaksian Peranti Terurus untuk peranti Apple
Pengakusaksian Peranti Terurus ialah ciri dalam iOS 16, iPadOS 16.1, macOS 14, tvOS 16, atau lebih baharu. Pengakusaksian Peranti Terurus memberikan bukti kukuh tentang sifat peranti yang boleh digunakan sebagai sebahagian daripada penilaian kepercayaan. Penyataan kriptografi sifat peranti ini adalah berdasarkan keselamatan Secure Enclave dan pelayan pengakusaksian Apple.
Pengakusaksian peranti terurus membantu melindungi daripada ancaman berikut:
Peranti yang terjejas menipu tentang sifatnya
Peranti yang terjejas memberikan pengakusaksian yang telah lapuk
Peranti yang terjejas menghantar pengecam peranti yang berbeza
Pengekstrakan kunci peribadi untuk digunakan pada peranti rogue
Penyerang merampas permintaan sijil untuk memperdayakan CA untuk mengeluarkan sijil kepada penyerang
Untuk mendapatkan maklumat lanjut, lihat video WWDC22 Baharu dalam pengurusan peranti.
Perkakasan disokong untuk Pengakusaksian Peranti Terurus
Pengakusaksian dikeluarkan hanya kepada peranti yang memenuhi keperluan perkakasan berikut:
iPhone, iPad dan peranti Apple TV: Dengan cip A11 Bionic atau lebih baharu.
Komputer Mac: Dengan Apple silicon.
Tiada perubahan pada Pengakusaksian Peranti Terurus untuk Apple Watch dan Apple Vision Pro.
Pengakusaksian Peranti Terurus dengan permintaan pendaftaran sijil ACME
Organisasi yang mengeluarkan perkhidmatan ACME Autoriti pensijilan (CA) boleh meminta pengakusaksian pendaftaran sifat peranti. Pengakusaksian ini memberikan jaminan yang kukuh bahawa sifat peranti (contohnya, nombor siri) adalah sah dan bukan penipuan. Pengeluaran CA perkhidmatan ACME boleh mengesahkan integriti sifat peranti diakusaksikan secara kriptografi dan merujuk silang terhadap inventori peranti organisasi secara pilihan dan setelah pengesahan yang berjaya, sahkan yang peranti ialah peranti organisasi.
Jika pengakusaksian digunakan, kekunci peribadi terikat perkakasan dijana dalam Secure Enclave peranti sebagai sebahagian daripada permintaan penandatanganan sijil. Untuk permintaan ini, CA yang mengeluarkan ACME kemudiannya boleh mengeluarkan sijil klien. Kekunci ini terikat kepada Secure Enclave, oleh itu ia hanya tersedia pada peranti tertentu. Ia boleh digunakan pada iPhone, iPad, Apple TV dan Apple Watch dengan konfigurasi yang menyokong spesifikasi identiti sijil. Pada Mac, kekunci terikat perkakasan boleh digunakan untuk pengesahan dengan MDM, Microsoft Exchange, Kerberos, rangkaian 802.1X, klien VPN terbina dalam dan geganti rangkaian terbina dalam.
Nota: Secure Enclave mempunyai perlindungan yang sangat kukuh terhadap pengekstrakan kunci, walaupun dalam kes Pemproses Aplikasi terjejas.
Kekunci terikat perkakasan ini dikeluarkan secara automatik semasa memadamkan atau memulihkan peranti. Disebabkan kekunci dikeluarkan, sebarang profil konfigurasi yang bergantung pada kekunci tersebut tidak akan berfungsi selepas dipulihkan. Profil mesti digunakan lagi untuk mencipta semua kekunci.
Menggunakan pengakusaksian muat beban ACME, MDM boleh mendaftarkan identiti sijil klien menggunakan protokol ACME yang boleh mengesahkan secara kriptografi:
Peranti adalah peranti Apple tulen
Peranti adalah peranti khusus
Peranti diurus oleh pelayar MDM organisasi
Peranti mempunyai sifat tertentu (sebagai contoh, nombor siri)
Kunci peribadi ialah perkakasan yang terikat kepada peranti
Pengakusaksian Peranti Terurus dengan permintaan MDM
Selain daripada menggunakan pengakusaksian peranti terurus semasa permintaan pendaftaran sijil ACME, penyelesaian MDM boleh mengeluarkan permintaan DeviceInformation
yang meminta sifat DevicePropertiesAttestation
. Jika penyelesaian MDM mahu membantu memastikan pengakusaksian yang baharu, ia boleh menghantar kunci DeviceAttestationNonce
secara pilihan, yang memaksa pengakusaksian baharu. Jika kunci ini dikecualikan, peranti mengembalikan pengakusaksian dicache. Maklum balas pengakusaksian peranti kemudian mengembalikan sijil dedaun dengan sifatnya dalam OID tersuai.
Nota: Nombor siri dan UDID kedua-duanya dikecualikan apabila menggunakan Pendaftaran Pengguna untuk melindungi privasi pengguna. Nilai lain adalah tanpa nama dan menyertakan sifat seperti versi sepOS serta kod kesegaran.
Penyelesaian MDM kemudian boleh mengesahkan maklum balas dengan menilai bahawa rantai sijil diakarkan dengan Autoriti Sijil Apple yang dijangka (tersedia daripada Repositori PKI Peribadi Apple) dan jika hash kod kesegaran adalah sama dengan hash kod kesegaran yang diberikan dalam permintaan DeviceInformation
.
Oleh kerana mentakrifkan kod kesegaran menjanakan pengakusaksian baharu—yang menggunakan sumber pada peranti dan pelayan Apple—penggunaan buat masa ini dihadkan kepada satu pengakusaksian DeviceInformation
per peranti setiap 7 hari. Penyelesaian MDM tidak sepatutnya meminta pengakusaksian baharu secara serta-merta setiap 7 hari. Ia bukanlah keperluan untuk meminta pengakusaksian baharu melainkan sifat peranti telah berubah; contohnya kemas kini atau naik taraf ke versi sistem pengendalian. Tambahan lagi, permintaan rawak sekali-sekala untuk pengakusaksian segar mungkin membantu menangkap peranti terjejas yang cuba menipu tentang sifat ini.
Mengendalikan pengakusaksian yang gagal
Meminta pengakusaksian mungkin gagal. Apabila perkara ini berlaku, peranti masih memberi respons kepada permintaan DeviceInformation
atau cabaran device-attest-01
pelayan ACME, tetapi sesetengah maklumat dikecualikan. Sama ada OID yang dijangka atau nilainya dikecualikan, atau pengakusaksian dikecualikan secara keseluruhan. Terdapat banyak sebab berpotensi atas kegagalan, seperti:
Isu rangkaian mencapai pelayan pengakusaksian Apple
Perkakasan atau perisian peranti mungkin terjejas
Peranti ini bukan perkakasan Apple tulen
Dalam 2 kes terakhir ini, pelayan pengakusaksian Apple menolak untuk mengeluarkan pengakusaksian bagi sifat yang ia tidak boleh disahkan. Tiada cara yang boleh dipercayai untuk penyelesaian MDM bagi mengetahui sebab tepat pengakusaksian gagal. Ini kerana satu-satunya sumber maklumat tentang kegagalan ialah peranti itu sendiri, yang mungkin merupakan peranti terjejas yang menipu. Atas sebab ini, respons daripada peranti tidak menunjukkan sebab kegagalan.
Walau bagaimanapun, apabila Pengakusaksian Peranti Terurus digunakan sebagai sebahagian daripada seni bina tanpa kepercayaan, organisasi boleh mengira skor kepercayaan untuk peranti, dengan pengakusaksian yang gagal atau lapuk di luar jangkaan mengurangkan skor tersebut. Skor kepercayaan yang lebih rendah mencetuskan tindakan yang berbeza, seperti menolak akses kepada perkhidmatan, membenderakan peranti untuk penyiasatan manual atau meningkatkan pematuhan dengan memadamkannya dan membatalkan sijilnya jika perlu. Ini memastikan respons bersesuaian untuk pengakusaksian yang gagal.