Apple aygıtları için Yönetilen Aygıt Onaylama
Yönetilen Aygıt Onaylama; iOS 16, iPadOS 16, macOS 14, tvOS 16, visionOS 1.1, watchOS 9 veya daha yenisinde kullanılabilir. Aygıtın kimliği ve güvenlik durumu hakkında şifreli güvenceler sunmak için Secure Enclave’i kullanır. iPad, iPhone, Apple TV aygıtlarında A11 Bionic yongasının veya daha yenisinin olması gerekir ve yalnızca Apple Silicon yongalı Mac bilgisayarları desteklenir. Yönetilen aygıt onaylama, şu tehditlere karşı korumaya yardımcı olur:
Özellikleri hakkında yanlış bilgi veren, saldırıya uğramış bir aygıt
Günü geçmiş onaylama sağlayan, saldırıya uğramış bir aygıt
Farklı bir aygıtın tanıtıcılarını gönderen, saldırıya uğramış bir aygıt
Gizli anahtarın hileli bir aygıtta kullanım için seçilip çıkarılması
Sertifika otoritesini (CA) kendisine sertifika vermeye kandırmak için sertifika isteğini çalan bir saldırgan
Yönetilen aygıt onaylama sayesinde bir aygıt, Apple onaylama sunucularından bir onaylama isteyebilir. Sunucular da kökü Apple Kurumsal Onaylama Kök CA’da olan kullanıcı ve alt kök sertifikalarından oluşan bir veri dizisi döndürür. Kullanıcı sertifikası, aygıt türüne bağlı olarak aşağıdaki tabloda gösterilen belirli özellikleri içerebilir.
OID ve değer | Desteklenen minimum işletim sistemi sürümleri | Açıklama | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9.1 Seri numarası | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Aygıtın seri numarasını temsil eder ve aygıtı belirlemek için kullanılabilir. Kullanıcı gizliliğini korumaya yardımcı olmak amacıyla, Yönetilen Aygıt Onaylama Kullanıcı Kaydı ile kullanılırken bu değer dahil edilmez. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Aygıtın benzersiz donanım tanıtıcısını temsil eder ve aygıtı belirlemek için kullanılabilir. Mac’te UDID, aygıtın hazırık UDID’si ile eşleşir. Kullanıcı gizliliğini korumaya yardımcı olmak amacıyla, Yönetilen Aygıt Onaylama Kullanıcı Kaydı ile kullanılırken bu değer dahil edilmez. | |||||||||
1.2.840.113635.100.8.10.2 sepOS sürümü | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Secure Enclave firmware sürümünü temsil eder. | |||||||||
1.2.840.113635.100.8.11.1 Yenileme kodu | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Belirli bir onaylamayı belirleyen benzersiz ve tahmin edilemeyen bir kod. Bu, onaylamanın kod yaratıldıktan sonra oluşturulduğunu belirtir. | |||||||||
1.2.840.113635.100.8.13.1 SIP durumu | macOS 14 | Apple Silicon yongalı bir Mac’te SIP etkinleştirme durumunu temsil eder. | |||||||||
1.2.840.113635.100.8.13.2 Güvenli başlatma durumu | macOS 14 | Apple Silicon yongalı bir Mac’te seçili güvenli başlatma konfigürasyonunu temsil eder. | |||||||||
1.2.840.113635.100.8.13.3 İzin verilen üçüncü parti çekirdek genişletmeleri | macOS 14 | Apple Silicon yongalı bir Mac’te üçüncü parti çekirdek genişletmelerine izin verilip verilmeyeceğini temsil eder. | |||||||||
1.2.840.113635.100.8.10.3 LLB sürümü | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | Düşük düzeyli başlatma yükleyicisi sürümünü temsil eder. | |||||||||
1.2.840.113635.100.8.10.1 İşletim sistemi sürümü | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 | İşletim sistemi ve iBoot sürümünü temsil eder. | |||||||||
1.2.840.113635.100.8.9.4 Yazılım güncelleme aygıt tanıtıcısı | iOS 16 iPadOS 16 macOS 14 tvOS 16 visionOS 1.1 watchOS 9 |
| |||||||||
Aygıt yönetimi servisi tarafından gönderilen bir DeviceInformation isteği tarafından veya bir ACME konfigürasyonu yükleyerek bir onaylama isteği başlatılır. Her iki durumda da, aygıt yönetimi servisinden veya ACME çözümünden aygıt bir yenileme kodu alır. DeviceInformation onaylaması kullanılırken yenileme kodu istekte belirtilen DeviceAttestationNonce değeridir. ACME onaylaması kullanılırken yenileme kodu, device-attest-01 kimlik sorgusundan alınan jetonun SHA-256 özetidir. Elde edilen değer, kullanıcı sertifikasına bir özellik olarak dahil edilir ve aygıt yönetimi servisi veya ACME çözümünün onaylamanın istekle eşleştiğini doğrulamasını sağlar.
Onaylama alındıktan sonra, sunucu servisinin doğruluk denetlemelerini dikkatli bir şekilde gerçekleştirmesi gerekir. Bu denetimler arasında, kullanıcı sertifikasının Apple Kurumsal Onaylama Kök CA tarafından verildiğinin doğrulanması, yenileme kodu özetinin beklenen değerle karşılaştırılması ve onaylamadaki diğer özelliklerin incelenmesi sayılabilir.
Kuruluşun dağıtım modeline bağlı olarak Yönetilen Aygıt Onaylama, modern ve güvenli bir dağıtımda önemli bir temel oluşturup farklı şekillerde kullanılabilir:
İstemciden aygıt yönetimi servisine bağlantıda kimlik doğrulaması yapmak için ACME tarafından verilen bir sertifika kullanın ve aygıtın özelliklerini sürekli olarak doğrulamak için
DeviceInformationonaylamasından yararlanın.Aygıtın kimliğini ve güvenlik durumunu doğrulayın ve ACME çözümünün sertifika vermeden önce güven değerlendirmesi yapmasını sağlayın. Bu şekilde, yalnızca gerekli standartları karşılayan aygıtların sertifika alabileceğinden emin olunabilir.
Onaylamadaki aygıt özelliklerini bir ACME sertifikasına gömün ve güven değerlendirmesini bağlı taraflarda gerçekleştirin.
Donanıma bağlı anahtarlar
ACME protokolünü kullanarak sertifika vermenin bir parçası olarak aygıttan bir onaylama sağlaması istenebilir. Bu da ilişkili anahtar çiftinin, güçlü donanım güvenliğinden yararlanabilmesi için Secure Enclave tarafından korunmasına neden olur ve özel anahtarı dışa aktarmayı önlemeye yardımcı olur.
Donanıma bağlı bir anahtar yaratılabilmesi için ACME konfigürasyonunun 256 veya 384 bit anahtar büyüklüğüyle ECSECPrimeRandom algoritmasını kullanması gerekir. Bu, NIST SP 800-186 belgelerinde tanımlandığı gibi P-256 veya P-384 eğrilerindeki bir anahtar çiftini belirtir.
Özel anahtarı oluşturmak için Secure Enclave, paketli şifreleme sırrı yaratmak için öncelikle şunları kullanır:
Donanım Gerçek Rasgele Sayı Oluşturucu (TRNG) birleşimi
Güvenli, değişken olmayan Secure Enclave saklama alanında saklanan entropi
Veri Koruma anahtarı
İşletim sistemi paketli sırrı saklar ancak paketli sır kendi başına işe yaramaz. Özel anahtarı türetmek için Secure Enclave’in aynı sırrı, aynı saklanan entropiyi ve aynı Veri Koruma anahtarını kullanması gerekir. Saklanan entropi ve Veri Koruma anahtarı bu belirli Secure Enclave’e özgü olduğundan, yalnızca bu Secure Enclave donanıma bağlı anahtarı etkin bir şekilde bu Secure Enclave’e bağlayan özel anahtarı oluşturabilir.
Aygıt silindiğinde, Secure Enclave saklanan entropiyi siler. Bundan dolayı, donanıma bağlı anahtar, aynı aygıta geri yüklense bile yedekleme ve geri yükleme sonrasında yeniden oluşturulamaz.
Donanıma bağlı anahtarla ACME verisini içeren konfigürasyonlar geri yükleme sonrasında silinir. Donanıma bağlı anahtar, aygıt yönetimi servisi istemcisi kimliği olarak kullanılıyorsa aygıtın kaydı silinir. Bu senaryoda aygıt Otomatik Aygıt Kaydı aracılığıyla kaydolmuşsa aygıt, kayıt profilini yeniden alır ve yeniden kaydolur.