
Administrert enhetsattestering for Apple-enheter
Administrert enhetsattestering er en funksjon for enheter med iOS 16, iPadOS 16.1, macOS 14 og tvOS 16 eller nyere. Administrert enhetsattestering leverer pålitelig informasjon om hvilke av egenskapene til en enhet som kan brukes som en del av en godkjenningsevaluering. Denne kryptografiske attesteringen av enhetens egenskaper er basert på sikkerheten til Secure Enclave og Apples attesteringstjenere.
Administrert enhetsattestering hjelper med å beskytte mot følgende trusler:
En kompromittert enhet som lyver om egenskapene sine
En kompromittert enhet som leverer en utdatert attestering
En kompromittert enhet som sender ulike enhetsidentifikatorer
Privat nøkkeluthenting til bruk på en falsk enhet
En angriper som kaprer en sertifikatforespørsel for å lure CA-en til å utstede et sertifikat til angriperen
Du finner mer informasjon i WWDC22-videoen What’s new in device management.
Støttet maskinvare for administrert enhetsattestering
Attesteringer utstedes bare til enheter som oppfyller følgende maskinvarekrav:
iPhone-, iPad- og Apple TV-enheter: Med A11 Bionic-chipen eller nyere.
Macer: Med Apple-chip.
Det er ingen endringer i administrert enhetsattestering for Apple Watch og Apple Vision Pro.
Administrert enhetsattestering med ACME-sertifikatregistreringsforespørsler
Det kan komme en forespørsel om attestering av egenskapene til enheten som registreres, fra den aktuelle organisasjonens utstedende Certification Authority (CA) ACME-tjeneste. Denne attesteringen gir sterke forsikringer om at egenskapene til enheten (for eksempel serienummeret) er ekte og ikke falske. Den utstedende ACME-tjenesten til CA kan validere integriteten til de attesterte enhetsegenskapene kryptografisk og alternativt kryssreferere dem mot organisasjonens enhetsinventar og, gitt en vellykket verifisering, bekrefte enheten som organisasjonens enhet.
Hvis attestering er brukt, blir en maskinvarebundet nøkkel generert inne i enhetens Secure Enclave som en del av sertifikatsigneringsforespørselen. For denne forespørselen kan den ACME-utstedende sertifiseringsmyndigheten deretter utstede et klientsertifikat. Denne nøkkelen er knyttet til Secure Enclave og er derfor kun tilgjengelig på en bestemt enhet. Den kan brukes på iPhone, iPad, Apple TV og Apple Watch med konfigurasjoner som støtter spesifikasjon for en sertifikatidentitet. Maskinvarebundne nøkler på en Mac kan brukes til autentisering med MDM, Microsoft Exchange, Kerberos, 802.1X-nettverk, den innebygde VPN-klienten og innebygd nettverks-relay.
Merk: Secure Enclave har kraftige beskyttelser mot nøkkeluthenting, selv hvis Application Processor er kompromittert.
Disse maskinvarebundede nøklene fjernes automatisk når enheten slettes eller gjenoppretter en enhet. Fordi nøklene fjernes vil konfigurasjonsprofiler som bruker disse nøklene, ikke lenger fungere etter gjenopprettingen. Profilen må brukes på nytt for å gjenskape nøklene.
Med ACME-nyttelastattestering kan MDM-løsninger registrere klientsertifikatidentiteter gjennom ACME-protokollen som kryptografisk kan validere at:
Enheten er en original Apple-enhet
Enheten er en spesifikk enhet
Enheten administreres av organisasjonens MDM-tjener
Enheten har visse egenskaper (for eksempel serienummeret)
Den private nøkkelen er maskinvarebundet til enheten
Administrert enhetsattestering med MDM-forespørsler
I tillegg til å bruke administrert enhetsattestering ved ACME-sertifikatregistreringsforespørsler, kan en MDM-løsning utstede en DeviceInformation
-forespørsel om en DevicePropertiesAttestation
-egenskap. Hvis MDM-løsningen vil hjelpe med å sikre en ny attestering, kan den sende en alternativ DeviceAttestationNonce
-nøkkel, som tvinger en ny attestering. Hvis denne nøkkelen utelates, returnerer enheten en bufret attestering. Svaret fra enhetsattesteringen returerer et bladsertifikat med egenskapene dets i tilpassede OID-er.
Merk: Både serienummeret og UDID-en utelates under Brukerregistrering, slik at brukeren personvern ivaretas. De andre verdiene er anonyme og inkluderer egenskaper som sepOS-versjonen og ferskhetskoden.
MDM-løsningen kan deretter validere svaret ved å evaluere at sertifikatkjeden har rot hos den forventede Apple-sertifikatmyndigheten (tilgjengelig fra Apple Private PKI Repository) og hvorvidt hashen til ferskhetskoden er den samme som hashen i ferskhetskoden som gis i DeviceInformation-
spørringen.
Definering av en ferskhetskode genererer en ny attestering – som bruker ressurser på enheten og Apples tjenere – og bruken er derfor begrenset til én DeviceInformation
-attestering per enhet hver sjuende dag. En MDM-løsning skal ikke umiddelbart be om en ny attestering hver sjuende dag. Det regnes ikke som nødvendig å forespørre en ny attestering med mindre enhetens egenskaper har endret seg – som for eksempel ved en oppdatering eller oppgradering av operativsystemversjonen. I tillegg kan en sporadisk vilkårlig forespørsel om en ny attestering bidra til å fange opp en kompromittert enhet som forsøker å lyve om disse egenskapene.
Håndtere mislykkede attesteringer
Forespørsel om en attestering kan mislykkes. Når det skjer, svarer enheten fortsatt på DeviceInformation
-forespørselen eller ACME-tjenerens device-attest-01
-utfordring, men noe informasjon utelates. En forventet OID eller den tilhørende verdien utelates, eller attesteringen utelates i sin helhet. Det finnes mange potensielle årsaker til at dette mislykkes, for eksempel:
en nettverksfeil som påvirker Apples attesteringstjenere
enhetens maskinvare eller programvare kan være kompromittert
enheten er ikke original Apple-maskinvare
I de to siste eksemplene vil ikke Apples attesteringstjenere utstede en attestering for egenskaper som ikke kan bekreftes. MDM-løsningen har ingen pålitelig måte å vite den nøyaktige årsaken til en mislykket attestering på. Det skyldes at den eneste kilden til informasjon om hvorfor det ble mislykket, er selve enheten – og den kan være en kompromittert enhet som lyver. Derfor vil ikke svar fra enheten indikere årsaken til feilen.
Men når administrert enhetsattestering brukes som en del av en zero trust-arkitektur, kan organisasjonen beregne en godkjenningsrangering for enheten, der en mislykket eller uventet gammel attestering gir lavere rangering. En lavere godkjenningsrangering utløser forskjellige handlinger, som å nekte tilgang til tjenester, flagge enheten for manuell kontroll, eller strengere overholdelse ved å slette enheten og tilbakekalle sertifikatene ved behov. Dette sikrer en egnet respons ved en mislykket attestering.