مصادقة الجهاز المُدار لأجهزة Apple
تتوفر مصادقة الجهاز المُدار في iOS 16 أو iPadOS 16 أو macOS 14 أو tvOS 16 أو visionOS 1.1 أو watchOS 9 أو أحدث. تستخدم هذه التقنية Secure Enclave لتوفير ضمانات تشفيرية حول هوية الجهاز ووضعه الأمني. تتطلب أجهزة iPad و iPhone و Apple TV شريحة A11 Bionic أو أحدث، بينما تدعم فقط أجهزة Mac المزودة بسيليكون Apple. تساعد مصادقة الجهاز المُدار على الحماية من التهديدات التالية:
جهاز مخترق يدخل معلومات خاطئة بشأن خصائصه
جهاز مخترق يقدِّم مصادقة قديمة
جهاز مخترق يرسل مُعرِّفات أخرى للجهاز
استخراج المفتاح الخاص للاستخدام على جهاز مشبوه
مهاجم يستولي على طلب شهادة لخداع الجهة الموثقة (CA) لإصدار شهادة للمهاجم
باستخدام مصادقة الجهاز المُدار، يمكن أن يطلب الجهاز مصادقة من خوادم المصادقة من Apple، التي ترد بمجموعة من البيانات تتكون من شهادة طرف ومتوسطة متجذرة في Apple Enterprise Attestation Root CA. حسب نوع الجهاز، يمكن أن تحتوي شهادة الطرف على بعض الخصائص المحددة كما هو موضح في الجدول التالي.
معرفات الكائنات الخاصة والقيمة | أدنى إصدارات أنظمة تشغيل مدعومة | الوصف | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9.1 الرقم التسلسلي | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | لعرض الرقم التسلسلي للجهاز ويمكن استخدامه لتحديد هوية جهاز. للمساعدة في حماية خصوصية المستخدم، لا يتم تضمين هذه القيمة عند استخدام مصادقة الجهاز المُدار مع تسجيل المستخدم. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | لعرض معرِّف الجهاز الفريد ويمكن استخدامه لتحديد هوية جهاز. على Mac، يتطابق UDID مع UDID الجهاز المتوفر. للمساعدة في حماية خصوصية المستخدم، لا يتم تضمين هذه القيمة عند استخدام مصادقة الجهاز المُدار مع تسجيل المستخدم. | |||||||||
1.2.840.113635.100.8.10.2 إصدار sepOS | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | لعرض إصدار البرنامج الثابت لـ Secure Enclave. | |||||||||
1.2.840.113635.100.8.11.1 التعليمات البرمجية للحداثة | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | رمز فريد وغير متوقع يحدد مصادقة معينة. يشير ذلك إلى أنه تم إنشاء المصادقة بعد إنشاء الرمز. | |||||||||
1.2.840.113635.100.8.13.1 حالة SIP | macOS 14 | لعرض حالة تمكين SIP على Mac مزود بسيليكون Apple. | |||||||||
1.2.840.113635.100.8.13.2 حالة الإقلاع الآمن | macOS 14 | لعرض تكوين الإقلاع الآمن المحدد لـ Mac مزود بسيليكون Apple. | |||||||||
1.2.840.113635.100.8.13.3 ملحقات Kernel الخارجية المسموح بها | macOS 14 | لعرض ما إذا كانت ملحقات Kernel الخارجية مسموح بها على Mac مزود بسيليكون Apple أم لا. | |||||||||
1.2.840.113635.100.8.10.3 إصدار LLB | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | لعرض إصدار محمّل إقلاع المستوى الأدنى | |||||||||
1.2.840.113635.100.8.10.1 إصدار نظام التشغيل | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | لعرض إصدار نظام التشغيل و iBoot. | |||||||||
1.2.840.113635.100.8.9.4 معرِّف الجهاز لتحديث البرامج | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | لمصادقة | |||||||||
يتم بدء طلب للحصول على المصادقة إما عن طريق طلب DeviceInformation ترسله خدمة إدارة الجهاز أو عن طريق تثبيت تكوين ACME. في كلتا الحالتين، يتلقى الجهاز رمز التحديث إما من خدمة إدارة الجهاز أو من حل ACME. عند استخدام مصادقة DeviceInformation، تكون التعليمات البرمجية للحداثة هي قيمة DeviceAttestationNonce المحددة في الطلب. عند استخدام مصادقة ACME، يكون رمز التحديث هو تجزئة SHA-256 للرمز الخاص بتحدي device-attest-01. يتم تضمين القيمة الناتجة كخاصية في شهادة الورقة وتسمح لخدمة إدارة الجهاز أو حل ACME بالتحقق من أن المصادقة تتطابق مع الطلب.
عند استلام المصادقة، تحتاج خدمة الواجهة الخلفية إلى إجراء فحوصات التحقق من الصحة بعناية. تتضمن هذه الفحوصات التأكد من أن شهادة الطرف قد أصدرتها Apple Enterprise Attestation Root CA، ومقارنة تجزئة رمز التحديث بالقيمة المتوقعة، وفحص الخصائص الأخرى في المصادقة.
حسب نموذج النشر الخاص بالمؤسسة، يمكن أن تكون مصادقة الجهاز المُدار أساسًا مهمًا للنشر الحديث والآمن ويتم استخدامها بطرق مختلفة:
استخدام شهادة أصدرتها ACME لمصادقة الاتصال من العميل إلى خدمة إدارة الجهاز واستخدام مصادقة
DeviceInformationللتحقق من خصائص الجهاز بشكل مستمر.التحقق من هوية الجهاز ووضعه الأمني ومطالبة حل ACME بإجراء تقييم الثقة قبل إصدار الشهادة. وبهذه الطريقة، يتم التأكد من عدم حصول أي أجهزة على الشهادة باستثناء الأجهزة التي تستوفي المعايير المطلوبة فقط.
تضمين خصائص الجهاز من المصادقة في شهادة ACME، وإجراء تقييم الثقة على الجهات المعتمدة.
المفاتيح المرتبطة بالأجهزة
كجزء من إصدار شهادة باستخدام بروتوكول ACME، يمكن أن يُطلب من الجهاز تقديم مصادقة تؤدي أيضًا إلى حماية زوج المفاتيح المرتبط بواسطة Secure Enclave بحيث يستفيد من أمان الأجهزة القوي ويساعد على منع تصدير المفتاح الخاص.
لإنشاء مفتاح مرتبط بالأجهزة، يجب أن يستخدم تكوين ACME خوارزمية ECSECPrimeRandom بحجم مفتاح 256 أو 384 بت. يحدد هذا زوج مفاتيح على منحنيات P-256 أو P-384 كما هو محدد في NIST SP 800-186.
لإنشاء المفتاح الخاص، يستخدم Secure Enclave أولاً ما يلي لإنشاء سر تشفيري مغلف:
مزيج من مولد الأرقام العشوائية الحقيقية (TRNG) الخاص به
الإنتروبيا المخزنة داخل وحدة التخزين الآمنة غير المتطايرة التابعة لـ Secure Enclave
مفتاح حماية البيانات
يخزن نظام التشغيل السر المغلف، ومع ذلك، فإن السر المغلف ليس له فائدة بمفرده. لاشتقاق المفتاح الخاص، يحتاج Secure Enclave إلى استخدام نفس السر، ونفس الإنتروبيا المخزنة، ونفس مفتاح حماية البيانات. نظرا لأن الإنتروبيا المخزنة ومفتاح حماية البيانات فريدان لذلك الـ Secure Enclave بعينه، فإن ذلك الـ Secure Enclave وحده هو القادر على إنشاء المفتاح الخاص، مما يربط المفاتيح المرتبطة بالأجهزة بذلك الـ Secure Enclave بشكل فعال.
عندما يتم مسح الجهاز، يقوم Secure Enclave بمحو الإنتروبيا المخزنة. بسبب ذلك، لا يمكن إعادة إنشاء المفاتيح المرتبطة بالأجهزة بعد عملية النسخ الاحتياطي والاستعادة، حتى عند الاستعادة إلى الجهاز نفسه.
تتم إزالة أي تكوينات تحتوي على حمولة ACME مع مفتاح مرتبط بالأجهزة عند الاستعادة. في حالة استخدام مفتاح مرتبط بالأجهزة باعتباره هوية عميل خدمة إدارة الجهاز، يُلغَى تسجيل الجهاز. في هذه الحالة، في حالة تسجيل الجهاز من خلال تسجيل الجهاز التلقائي، سيجلب الجهاز ملف تعريف التسجيل مجددًا ويعيد التسجيل.