أمن مصادقة الجهاز المُدار
تتوفر مصادقة الجهاز المُدار في iOS 16 أو iPadOS 16 أو macOS 14 أو tvOS 16 أو أحدث watchOS 9 أو visionOS 1.1 أو أحدث. تستخدم هذه التقنية Secure Enclave لتوفير ضمانات تشفيرية حول هوية الجهاز ووضعه الأمني. تتطلب أجهزة iPhone و iPad و Apple TV شريحة A11 Bionic أو أحدث، بينما تدعم فقط أجهزة Mac المزودة برقاقات Apple. أما Apple Vision Pro، فإنها تتطلب نظام visionOS 1.1 أو أحدث تساعد مصادقة الجهاز المُدار على الحماية من التهديدات التالية:
جهاز مخترق يدخل معلومات خاطئة بشأن خصائصه
جهاز مخترق يقدِّم مصادقة قديمة
جهاز مخترق يرسل مُعرِّفات أخرى للجهاز
استخراج المفتاح الخاص للاستخدام على جهاز مشبوه
مهاجم يستولي على طلب شهادة لخداع الجهة الموثقة (CA) لإصدار شهادة للمهاجم
باستخدام مصادقة الجهاز المُدار، يمكن أن يطلب الجهاز مصادقة من خوادم المصادقة من Apple، التي ترد بمجموعة من البيانات تتكون من شهادة طرف ومتوسطة متجذرة في Apple Enterprise Attestation Root CA. حسب نوع الجهاز، يمكن أن تحتوي شهادة الطرف على بعض الخصائص المحددة كما هو موضح في الجدول التالي.
معرفات الكائنات الخاصة والقيمة | أدنى إصدارات أنظمة تشغيل مدعومة | الوصف | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9. الرقم التسلسلي | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | لعرض الرقم التسلسلي للجهاز ويمكن استخدامه لتحديد هوية جهاز. للمساعدة في حماية خصوصية المستخدم، لا يتم تضمين هذه القيمة عند استخدام مصادقة الجهاز المُدار مع تسجيل المستخدم. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | لعرض معرِّف الجهاز الفريد ويمكن استخدامه لتحديد هوية جهاز. على Mac، يتطابق UDID مع UDID الجهاز المتوفر. للمساعدة في حماية خصوصية المستخدم، لا يتم تضمين هذه القيمة عند استخدام مصادقة الجهاز المُدار مع تسجيل المستخدم. | |||||||||
1.2.840.113635.100.8.10.2 إصدار sepOS | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | لعرض إصدار البرنامج الثابت لـ Secure Enclave. | |||||||||
1.2.840.113635.100.8.11.1 التعليمات البرمجية للحداثة | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | رمز فريد وغير متوقع يحدد مصادقة معينة. يشير ذلك إلى أنه تم إنشاء المصادقة بعد إنشاء الرمز. تتم تجزئة الرمز باستخدام SHA256. | |||||||||
1.2.840.113635.100.8.13.1 حالة SIP | macOS 14 | لعرض حالة تمكين SIP على Mac مزود برقاقات Apple. | |||||||||
1.2.840.113635.100.8.13.2 حالة الإقلاع الآمن | macOS 14 | لعرض تكوين الإقلاع الآمن المحدد لـ Mac مزود برقاقات Apple. | |||||||||
1.2.840.113635.100.8.13.3 ملحقات Kernel الخارجية المسموح بها | macOS 14 | لعرض ما إذا كانت ملحقات Kernel الخارجية مسموح بها على Mac مزود برقاقات Apple أم لا. | |||||||||
1.2.840.113635.100.8.10.3 إصدار LLB | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | لعرض إصدار محمّل إقلاع المستوى الأدنى | |||||||||
1.2.840.113635.100.8.10.1 إصدار نظام التشغيل | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | لعرض إصدار نظام التشغيل و iBoot. | |||||||||
1.2.840.113635.100.8.9.4 معرِّف الجهاز لتحديث البرامج | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | لمصادقة | |||||||||
يمكن تشغيل الجهاز لطلب المصادقة إمّا بأمر يرسله خادم MDM وإمّا كجزء من عملية إصدار الشهادة باستخدام ACME. في كلتا الحالتين، يتلقى الجهاز رمز تحديث من خادم MDM أو ACME (وهذا جزء من الطلب المُقدَّم إلى خادم المصادقة). يتم تضمين تجزئة SHA256 لرمز التحديث باعتبارها خاصية في شهادة الطرف وتسمح لخادم MDM أو ACME بالتحقق من تطابق المصادقة مع الطلب.
عند استلام المصادقة، يجب أن تجري خدمة الواجهة الخلفية فحوصات التحقق من الصحة بعناية. تتضمن هذه الفحوصات التأكد من أن شهادة الطرف قد أصدرتها Apple Enterprise Attestation Root CA، ومقارنة تجزئة رمز التحديث بالقيمة المتوقعة، وفحص الخصائص الأخرى في المصادقة.
حسب نموذج النشر الخاص بالمؤسسة، يمكن أن تكون مصادقة الجهاز المُدار أساسًا مهمًا للنشر الحديث والآمن ويتم استخدامها بطرق مختلفة:
استخدام شهادة أصدرتها ACME لمصادقة الاتصال من العميل إلى MDM واستخدام مصادقة
DeviceInformationللتحقق من خصائص الجهاز بشكل مستمر.التحقق من هوية الجهاز ووضعه الأمني ومطالبة خادم ACME بإجراء تقييم الثقة قبل إصدار الشهادة. وبهذه الطريقة، يتم التأكد من عدم حصول أي أجهزة على الشهادة باستثناء الأجهزة التي تستوفي المعايير المطلوبة فقط.
تضمين خصائص الجهاز من المصادقة في شهادة ACME، وإجراء تقييم الثقة على الجهات المعتمدة.
إنشاء المفاتيح المرتبطة بالأجهزة
كجزء من إصدار شهادة باستخدام بروتوكول ACME، يمكن أن يُطلب من الجهاز تقديم مصادقة تؤدي أيضًا إلى إنشاء زوج المفاتيح المرتبط داخل Secure Enclave بحيث يستفيد من وسائل الحماية القوية للأجهزة. يؤدي هذا إلى تغليف المفتاح الخاص بمفتاح فئة ويساعد على منع تصدير المفتاح الخاص.
لإنشاء مفتاح مرتبط بالأجهزة، يجب أن يستخدم تكوين ACME خوارزمية ECSECPrimeRandom بحجم مفتاح 256 أو 384 بت. يحدد هذا زوج مفاتيح على منحنيات P-256 أو P-384 كما هو محدد في NIST SP 800-186.
تدخل المفاتيح المرتبطة بالأجهزة ضمن عمليات النسخ الاحتياطي والاستعادة، حتى عند الاستعادة إلى الجهاز نفسه. تتم إزالة أي تكوينات تحتوي على حمولة ACME مع مفتاح مرتبط بالأجهزة عند الاستعادة. في حالة استخدام مفتاح مرتبط بالأجهزة باعتباره هوية عميل MDM، يُلغَى تسجيل الجهاز. في هذه الحالة، في حالة تسجيل الجهاز من خلال تسجيل الجهاز التلقائي، سيعيد الجهاز جلب ملف تعريف التسجيل ويعيد التسجيل.