Pengesahan Perangkat Terkelola untuk perangkat Apple
Pengesahan Perangkat Terkelola tersedia di iOS 16, iPadOS 16, macOS 14, tvOS 16, visionOS 1.1, watchOS 9, atau lebih baru. Pengesahan menggunakan Secure Enclave untuk menyediakan jaminan kriptografis mengenai identitas perangkat dan postur keamanannya. Perangkat iPad, iPhone, Apple TV memerlukan keping A11 Bionic atau lebih baru, dan hanya komputer Mac dengan Apple silicon yang didukung. Pengesahan Perangkat Terkelola membantu melindungi dari ancaman berikut:
Perangkat teretas yang berbohong mengenai propertinya
Perangkat teretas yang menyediakan pengesahan yang kedaluwarsa
Perangkat teretas yang mengirim pengenal perangkat berbeda
Ekstraksi kunci pribadi untuk digunakan di perangkat berbahaya
Penyerang yang membajak permintaan sertifikat untuk mengelabui otoritas sertifikat (CA) agar menerbitkan sertifikat untuk penyerang
Dengan pengesahan perangkat terkelola, perangkat dapat meminta pengesahan dari server pengesahan Apple, yang menghasilkan larik data yang berisi sertifikat ujung dan menengah dengan root di CA Dasar Pengesahan Apple Enterprise. Tergantung jenis perangkat, sertifikat ujung dapat berisi properti tertentu sebagaimana ditampilkan di tabel berikut.
OID dan nilai | Versi sistem operasi minimum yang didukung | Deskripsi | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9.1 Nomor seri | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Mewakili nomor seri perangkat dan dapat digunakan untuk mengidentifikasi perangkat. Untuk membantu melindungi privasi pengguna, nilai ini tidak disertakan saat menggunakan Pengesahan Perangkat Terkelola dengan Pendaftaran Pengguna. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Mewakili ID perangkat keras unik dan dapat digunakan untuk mengidentifikasi perangkat. Di Mac, UDID sesuai dengan UDID perangkat yang menyediakan. Untuk membantu melindungi privasi pengguna, nilai ini tidak disertakan saat menggunakan Pengesahan Perangkat Terkelola dengan Pendaftaran Pengguna. | |||||||||
1.2.840.113635.100.8.10.2 Versi sepOS | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Mewakili versi firmware Secure Enclave. | |||||||||
1.2.840.113635.100.8.11.1 Kode kesegaran | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Kode unik dan tidak dapat diprediksi yang mengidentifikasi pengesahan tertentu. Ini menandakan bahwa pengesahan dihasilkan setelah kode dibuat. | |||||||||
1.2.840.113635.100.8.13.1 Status SIP | macOS 14 | Mewakili status pengaktifan SIP di Mac dengan Apple silicon. | |||||||||
1.2.840.113635.100.8.13.2 Status boot aman | macOS 14 | Mewakili konfigurasi boot aman yang dipilih di Mac dengan Apple silicon. | |||||||||
1.2.840.113635.100.8.13.3 Ekstensi kernel pihak ketiga yang diizinkan | macOS 14 | Mewakili apakah ekstensi kernel pihak ketiga diizinkan atau tidak di Mac dengan Apple silicon. | |||||||||
1.2.840.113635.100.8.10.3 Versi LLB | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Mewakili versi Bootloader Level Rendah. | |||||||||
1.2.840.113635.100.8.10.1 Versi sistem operasi | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Mewakili versi sistem operasi dan iBoot. | |||||||||
1.2.840.113635.100.8.9.4 ID perangkat pembaruan perangkat lunak | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Mengesahkan | |||||||||
Permintaan untuk pengesahan dimulai oleh permintaan DeviceInformation yang dikirim oleh layanan manajemen perangkat atau dengan menginstal konfigurasi ACME. Pada kedua kasus, perangkat menerima kode kesegaran dari layanan manajemen perangkat atau solusi ACME. Saat menggunakan pengesahan DeviceInformation, kode kesegaran adalah nilai DeviceAttestationNonce yang ditetapkan di permintaan. Saat menggunakan pengesahan ACME, kode kesegaran adalah hash SHA-256 pada token dari tantangan device-attest-01. Nilai yang dihasilkan disertakan sebagai properti di sertifikat ujung dan memungkinkan layanan manajemen perangkat atau solusi ACME untuk memverifikasi bahwa pengesahan sesuai dengan permintaan.
Saat menerima pengesahan, layanan backend harus melakukan pemeriksaan validasi dengan saksama. Pemeriksaan ini meliputi memastikan sertifikat ujung diterbitkan oleh CA Dasar Pengesahan Apple Enterprise, yang membandingkan hash kode kesegaran dengan nilai yang diharapkan, serta memeriksa properti lainnya di pengesahan.
Tergantung model penyebaran organisasi, Pengesahan Perangkat Terkelola dapat menjadi landasan penting dari penyebaran modern dan aman dan digunakan dengan berbagai cara:
Gunakan sertifikat yang diterbitkan ACME untuk mengesahkan koneksi dari klien ke layanan manajemen perangkat dan manfaatkan pengesahan
DeviceInformationuntuk memverifikasi properti perangkat secara berkelanjutan.Verifikasi identitas perangkat dan postur keamanannya dan atur agar solusi ACME melakukan evaluasi kepercayaan sebelum menerbitkan sertifikat. Dengan cara ini, hanya perangkat yang memenuhi standar yang diperlukan yang akan menerima sertifikat.
Tanamkan properti perangkat dari pengesahan di sertifikat ACME, dan lakukan evaluasi kepercayaan di pihak yang mengandalkan.
Kunci yang terikat perangkat keras
Sebagai bagian dari penerbitan sertifikat menggunakan protokol ACME, perangkat dapat diminta untuk menyediakan pengesahan yang juga menyebabkan pasangan kunci terkait dilindungi oleh Secure Enclave sehingga dapat memanfaatkan keamanan perangkat keras kuat dan membantu mencegah pengeksporan kunci pribadi.
Untuk membuat kunci terikat perangkat keras, konfigurasi ACME harus menggunakan algoritma ECSECPrimeRandom berukuran 256 atau 384 bit. Ini memperinci pasangan kunci di kurva P-256 atau P-384 sebagaimana dijelaskan di NIST SP 800-186.
Untuk membuat kunci pribadi, Secure Enclave menggunakan hal berikut terlebih dahulu untuk membuat rahasia kriptografis yang dibungkus:
Gabungan Pembuat Angka Acak Sejati (TRNG) perangkat kerasnya
Entropi yang disimpan dalam penyimpanan nonvolatil aman dari Secure Enclave
Kunci Perlindungan Data
Sistem operasi menyimpan rahasia terbungkus, tetapi rahasia terbungkus tersebut tidak berguna jika berdiri sendiri. Untuk memperoleh kunci pribadi, Secure Enclave perlu menggunakan rahasia yang sama, entropi tersimpan yang sama, dan kunci Perlindungan Data yang sama. Karena entropi tersimpan dan kunci Perlindungan Data bersifat unik untuk Secure Enclave tertentu itu saja, hanya Secure Enclave tersebut yang dapat membuat kunci pribadi sehingga mengikat kunci yang terikat perangkat keras ke Secure Enclave tersebut secara efektif.
Saat perangkat dihapus, Secure Enclave menghapus entropi yang disimpan. Karenanya, kunci terikat perangkat keras tidak dapat dibuat ulang setelah pencadangan dan pemulihan, bahkan saat dipulihkan ke perangkat yang sama.
Semua konfigurasi yang berisi muatan ACME dengan kunci terikat perangkat keras dihapus saat dipulihkan. Jika kunci perangkat keras digunakan sebagai identitas klien layanan manajemen perangkat, pendaftaran perangkat akan dibatalkan. Di skenario ini, jika perangkat didaftarkan melalui Pendaftaran Perangkat Otomatis, perangkat akan mengambil kembali profil pendaftarannya dan mendaftar ulang.