Hallitun laitteen todennus Apple-laitteille
Hallitun laitteen todennus on käytettävissä iOS 16:ssa, iPadOS 16:ssa, macOS 14:ssä, tvOS 16:ssa, visionOS 1.1:ssä, watchOS 9:ssä ja uudemmissa. Se antaa Secure Enclaven avulla kryptografisia vakuutuksia laitteen identiteetistä ja sen suojaustiedoista. iPad-, iPhone- ja Apple TV -laitteissa on oltava A11 Bionic -siru tai uudempi, ja vain Applen sirulla varustettuja Mac-tietokoneita tuetaan. Hallitun laitteen todennus auttaa suojautumaan seuraavilta uhkilta:
Vaarantunut laite valehtelee ominaisuuksistaan.
Vaarantunut laite antaa vanhentuneen todennuksen.
Vaarantunut laite lähettää toisen laitteen tunnisteet.
Yksityinen avain saadaan väärinkäytettäväksi toisessa laitteessa.
Hyökkääjä kaappaa varmennepyynnnön huijatakseen varmentajaa antamaan varmenteen hyökkääjälle.
Hallitun laitteen todennuksen avulla laite voi pyytää todennusta Applen todennuspalvelimilta. Palvelimien palauttamiin tietoihin sisältyy lehti- ja välivarmenne, jonka juuri on Applen yritystodennuksen juurivarmentajassa. Laitetyypin mukaan lehtivarmenne voi sisältää tiettyjä seuraavassa taulukossa esitettyjä ominaisuuksia.
OID ja arvo | Vanhimmat tuetut käyttöjärjestelmäversiot | Kuvaus | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9.1 Sarjanumero | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Kuvaa laitteen sarjanumeroa, ja sitä voidaan käyttää laitteen tunnistamiseen. Käyttäjän yksityisyyden suojaamiseksi tätä arvoa ei sisällytetä hallitun laitteen todennukseen käyttäjärekisteröintiä käytettäessä. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Kuvaa yksilöllistä laitteistotunnusta, ja sitä voidaan käyttää laitteen tunnistamiseen. Macissa UDID vastaa laitteen UDID-provisiointitunnusta. Käyttäjän yksityisyyden suojaamiseksi tätä arvoa ei sisällytetä hallitun laitteen todennukseen käyttäjärekisteröintiä käytettäessä. | |||||||||
1.2.840.113635.100.8.10.2 sepOS-versio | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Kuvaa Secure Enclave -laiteohjelmiston versiota. | |||||||||
1.2.840.113635.100.8.11.1 Tuoreuskoodi | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Yksilöllinen, ennalta arvaamaton koodi tietyn todennuksen tunnistamiseen. Tämä viittaa siihen, että todennus luotiin koodin luomisen jälkeen. | |||||||||
1.2.840.113635.100.8.13.1 SIP:n tila | macOS 14 | Kuvaa SIP:n käyttöönoton tilaa Applen sirulla varustetussa Macissa. | |||||||||
1.2.840.113635.100.8.13.2 Suojatun käynnistyksen tila | macOS 14 | Kuvaa Applen sirulla varustetussa Macissa valittua suojatun käynnistyksen määritystä. | |||||||||
1.2.840.113635.100.8.13.3 Muiden valmistajien kernelin laajennukset sallitaan | macOS 14 | Kuvaa sitä, sallitaanko muiden valmistajien kernelin laajennukset Applen sirulla varustetussa Macissa. | |||||||||
1.2.840.113635.100.8.10.3 LLB-versio | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Kuvaa Low-Level Bootloader -versiota. | |||||||||
1.2.840.113635.100.8.10.1 Käyttöjärjestelmän versio | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Kuvaa käyttöjärjestelmän ja iBootin versiota. | |||||||||
1.2.840.113635.100.8.9.4 Ohjelmistopäivityksen laitetunnus | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Todentaa | |||||||||
Todennuspyyntö voidaan tehdä joko laitehallintapalvelun lähettämällä DeviceInformation-pyynnöllä tai asentamalla ACME-määritys. Kummassakin tapauksessa laite saa tuoreuskoodin joko laitehallintapalvelulta tai ACME-ratkaisulta. Kun käytetään DeviceInformation-todennusta, tuoreuskoodi on pyynnössä määritetty DeviceAttestationNonce-arvo. Kun käytetään ACME-todennusta, tuoreuskoodi on device-attest-01-haasteen tunnisteen SHA-256-tiiviste. Tuloksena saatava arvo on lehtivarmenteen ominaisuus, jonka avulla laitehallintapalvelu tai ACME-ratkaisu voi vahvistaa, että todennus vastaa pyyntöä.
Todennuksen vastaanottamisen jälkeen taustapalvelun on tehtävä validointitarkistukset huolellisesti. Näissä tarkistuksissa esimerkiksi varmistetaan, että Applen yritystodennuksen juurivarmentaja myönsi lehtivarmenteen, verrataan tuoreuskoodin tiivistettä odotettuun arvoon ja tarkastellaan todennuksen muita ominaisuuksia.
Organisaation käyttöönottomallista riippuen hallitun laitteen todennus voi toimia tärkeänä modernin ja suojatun käyttöönoton perustana, ja sitä voidaan käyttää eri tavoin:
Käyttää ACME:n myöntämää varmennetta asiakkaan ja laitehallintapalvelun välisen yhteyden todennukseen ja hyödyntää
DeviceInformation-todennusta laitteen ominaisuuksien vahvistukseen jatkuvasti.Vahvistaa laitteen identiteetti ja sen turva-asetusten tila ja saada ACME-ratkaisu suorittamaan luottamusarviointi ennen varmenteen myöntämistä. Näin se varmistaa, että vain vaaditut standardit täyttävät laitteet saavat varmenteen.
Upottaa laitteen ominaisuudet todennuksesta ACME-varmenteeseen ja suorittaa varmenteen välittäjien luottamusarviointi.
Laitteistoon sidotut avaimet
Laitteelta voidaan pyytää todennusta osana varmenteen myöntämistä ACME-protokollalla, jolloin Secure Enclave suojaa vastaavaa avainparia, jotta se hyötyy tämän vahvasta laitteistosuojauksesta ja auttaa estämään yksityisen avaimen viennin.
Laitteistoon sidotun avaimen luomiseksi ACME-määrityksen on käytettävä ECSECPrimeRandom-algoritmia, jonka avainkoko on 256 tai 384 bittiä. Tämä määrittää avainparin P-256- tai P-384-käyrillä NIST SP 800-186 -suositusten mukaan.
Secure Enclave muodostaa yksityisen avaimen luomalla ensin seuraavien avulla salatun kryptografisen salaisuuden:
Yhdistelmä laitteiston aitojen satunnaislukujen generaattorista
Secure Enclaven suojattuun, pysyvään tallennustilaan tallennettu entropia
Tietojensuojausavain
Käyttöjärjestelmä tallentaa salatun salaisuuden, mutta pelkkä salaisuus on hyödytön. Yksityisen avaimen saamista varten Secure Enclaven täytyy käyttää samaa salaisuutta, samaa tallennettua entropiaa ja samaa tietojensuojausavainta. Koska tallennettu entropia ja tietojensuojausavain ovat yksilöllisiä kyseiselle Secure Enclavelle, vain tämä Secure Enclave pystyy muodostamaan yksityisen avaimen, jolloin laitteistokohtainen avain on käytännössä sidottu Secure Enclaveen.
Kun laite tyhjennetään, Secure Enclave poistaa tallennetun entropian. Tämän vuoksi laitteistoon sidottua avainta ei voida muodostaa uudelleen varmuuskopiosta ja palauttaa, vaikka se tehtäisiin samaan laitteeseen.
Kaikki ACME-tietosisällön ja laitteistoon sidotun avaimen sisältävät määritykset poistetaan palautuksen yhteydessä. Jos laitteistoon sidottua avainta käytetään laitehallintapalvelun asiakkaan identiteettinä, laitteen rekisteröinti poistetaan. Jos tässä tilanteessa laite rekisteröitiin automatisoidun laiterekisteröinnin kautta, laite hakee rekisteröintiprofiilinsa uudelleen ja rekisteröityy uudelleen.