Atestácia spravovaných zariadení pre Apple zariadenia
Atestácia spravovaného zariadenia je funkcia na zariadeniach so systémami iOS 16, iPadOS 16.1, macOS 14, tvOS 16 alebo novšími. Atestácia spravovaného zariadenia poskytuje silné dôkazy o tom, ktoré vlastnosti zariadenia je možné použiť ako súčasť hodnotenia dôveryhodnosti. Táto kryptografická deklarácia vlastností zariadenia je založená na zabezpečení Secure Enclave a atestačných serveroch Apple.
Atestácia spravovaných zariadení pomáha chrániť pred týmito hrozbami:
Napadnuté zariadenie, ktoré klame o svojich atribútoch
Napadnuté zariadenie, ktoré poskytuje neplatnú atestáciu
Napadnuté zariadenie odosielajúce odlišné identifikátory zariadenia
Krádež súkromného kľúča s cieľom použitia na škodlivom zariadení
Útočník imitujúci požiadavku na certifikovanie s cieľom oklamať certifikačnú autoritu, aby mu vydala certifikát
Viac sa dozviete vo videu z WWDC22 Čo je nové v správe zariadení.
Podporovaný hardvér pre atestáciu spravovaných zariadení.
Atestácie sa vydávajú iba zariadeniam, ktoré spĺňajú nasledujúce hardvérové požiadavky:
Zariadenia iPhone, iPad a Apple TV: S čipom A11 Bionic alebo novším.
Počítače Mac: S Apple čipom.
Neexistujú žiadne zmeny atestácie spravovaných zariadení pre hodinky Apple Watch a Apple Vision Pro.
Spravovaná atestácia zariadenia pomocou žiadostí o registráciu ACME certifikátu
Služba ACME vydávajúcej certifikačnej autority danej organizácie si môže vyžiadať atestáciu vlastností registrovaného zariadenia. Táto atestácie je silnou zárukou toho, že vlastnosti zariadenia (napríklad sériové číslo) sú legitímne a nie sú falošné. Služba ACME vydávajúcej certifikačnej autority môže kryptograficky ohodnotiť integritu vlastností atestovaného zariadenia a voliteľne ich krížovo overiť s inventárom zariadení organizácie. Po úspešnom overení potvrdí zariadenie ako zariadenie danej organizácie.
Ak je použitá atestácia, v rámci žiadosti o podpísanie certifikátu sa vnútri modulu Secure Enclave zariadenia vygeneruje privátny kľúč previazaný s hardvérom. Pre túto žiadosť môže potom klientsky certifikát vydať certifikačná autorita vydávajúca ACME certifikáty. Tento kľúč je naviazaný na modul Secure Enclave a je preto dostupný len na konkrétnom zariadení. Možno ho použiť na iPhone, iPade, Apple TV a hodinkách Apple Watch s konfiguráciami, ktoré podporujú špecifikáciu certifikačnej identity. Na Macu možno kľúče previazané s hardvérom použiť na autentifikáciu v MDM, Microsoft Exchange, Kerberos, sieťach 802.1X, vo vstavanom VPN klientovi a vstavanom sieťovom prenose.
Poznámka: Secure Enclave má veľmi silnú ochranu pred krádežou kľúčov, a to dokonca aj v prípade narušenia aplikačného procesora.
Pri vymazaní alebo obnovení zariadenia sa tieto kľúče naviazané na hardvér automaticky odstránia. Z tohto dôvodu nebudú po obnovení fungovať žiadne konfiguračné profily, ktoré sa na tieto kľúče spoliehajú. Ak sa majú kľúče obnoviť, je nutné profily pridať znova.
Vďaka atestácii objemu dát ACME môže MDM registrovať identitu certifikátu klienta pomocou protokolu ACME, ktorý dokáže kryptograficky ohodnotiť:
Že zariadenie je originálne zariadenie Apple
Že zariadenie je dané konkrétne zariadenie
Že zariadenie je spravované serverom MDM organizácie
Že zariadenie má určité atribúty (napríklad sériové číslo)
Že k zariadeniu je hardvérovo pripojený súkromný kľúč
Atestácia spravovaných zariadení pomocou žiadostí MDM
Okrem používania atestácie spravovaných počas žiadostí o registráciu ACME certifikátu môže riešenie MDM vydať požiadavku DeviceInformation a vyžiadať atribút DevicePropertiesAttestation. Ak chce riešenie MDM pomôcť zaručiť čerstvú atestáciu, môže odoslať voliteľný kľúč DeviceAttestationNonce, ktorý vynúti novú atestáciu. Ak sa tento kľúč vynechá, zariadenie vráti atestáciu uloženú vo vyrovnávacej pamäti. Odpoveď atestácie zariadenia následne vráti listový certifikát s jeho atribútmi vo vlastných OID.
Poznámka: Sériové číslo a UDID sú pri používaní registrácie užívateľa vynechané s cieľom ochrany osobných údajov užívateľa. Ostatné hodnoty sú anonymné a patria medzi ne atribúty ako verzia sepOS a čerstvosť kódu.
Riešenie MDM môže následne ohodnotiť platnosť odpovede zhodnotením, či má reťaz certifikátov koreň v očakávanej certifikačnej autorite Apple (dostupná zo súkromného odkladacieho priestoru Apple PKI) a či je haš čerstvosti kódu rovnaký ako haš čerstvosti kódu poskytnutý v požiadavke DeviceInformation.
Keďže definovanie čerstvosti kódu vygeneruje novú atestáciu, čo znamená spotrebu prostriedkov na zariadení aj serveroch Apple, použitie je limitované na jednu atestáciu DeviceInformation na jedno zariadenie každých 7 dní. Riešenie MDM by nemalo okamžite vyžadovať čerstvú atestáciu každých 7 dní. Vyžiadanie novej atestácie nie je považované za nevyhnutné, okrem prípadov, že sa zmenili atribúty zariadenia, napríklad pri aktualizácii alebo upgrade verzie operačného systému. Občasné náhodné vyžiadanie novej atestácie môže navyše pomôcť zachytiť kompromitujúce zariadenie, ktoré sa pokúša klamať o týchto vlastnostiach.
Čo robiť s nevydarenými atestáciami
Vyžiadanie atestácie môže zlyhať. Keď sa to stane, zariadenie bude naďalej odpovedať na dopyt DeviceInformation alebo na výzvu device-attest-01 z ACME servera, no niektoré informácie budú vynechané. Buď je vynechané očakávané OID či jeho hodnota, alebo je atestácia vynechaná úplne. Zlyhanie môže nastať z mnohých potenciálnych dôvodov, ako napríklad:
Problém siete zasahujúci atestačné servery Apple
Napadnutý hardvér alebo softvér zariadenia
Zariadenie nie je originálny hardvér od Apple
V posledných dvoch prípadoch môžu atestačné servery Apple odmietnuť poskytnúť atestáciu zariadeniam, ktoré nedokážu overiť. Pre riešenie MDM neexistuje žiadny dôveryhodný spôsob, akým zistiť skutočnú príčinu nevydarenej atestácie. Je to preto, že jediným zdrojom informácií o zlyhaní je samotné zariadenie, ktoré môže byť napadnuté a môže klamať. Preto sa v odpovediach zo zariadenia neuvádza dôvod zlyhania.
Keď sa však atestácia spravovaných zariadení používa ako súčasť architektúry s nulovou dôverou, organizácia môže vypočítať skóre dôveryhodnosti pre dané zariadenie, pričom zlyhanie alebo neočakávané vypršanie atestácie spôsobí zníženie tohto skóre. Znížené skóre dôveryhodnosti spustí rôzne akcie, ako napríklad zamietnutie prístupu k službám, označenie zariadenia na manuálne preskúmanie alebo upozornenie na nedodržiavanie pravidiel, čo v prípade potreby spôsobí jeho vymazanie a odobratie certifikátov. Tým sa zabezpečí vhodná odpoveď na nevydarenú atestáciu.