Onaylama işlemi güvenliği
Onaylama işlemi güvenliği
ACME konfigürasyonu donanıma bağlı anahtar belirttiğinde ya da aygıt yönetimi servisi bir DeviceInformation onaylaması istediğinde, aygıt şu adımları kullanır:
İşletim sistemi, Secure Enclave’den onaylı anahtar adlı donanıma bağlı anahtar ister. ACME onaylaması için bu anahtar verilen sertifika kimliğinin bir parçasıdır.
DeviceInformationonaylaması için anahtar işletim sistemi tarafından oluşturulur ve kaydın kullanım ömrü boyunca sonraki tümDeviceInformationonaylamalar için yeniden kullanılır.İşletim sistemi, Secure Enclave’den bir donanım onaylaması ister. Onaylanan anahtarı, yenileme kodunu ve onaylanmasını istediği özellikleri belirtir.
Secure Enclave yeni bir donanım onaylaması oluşturur ve döndürür.
İşletim sistemi donanım onaylamasını Apple onaylama sunucularına gönderir.
Onaylama sunucuları isteği doğrular ve ya bir onaylama sertifikası vermeyi reddeder ya da yalnızca doğrulayabildiği özellikleri ve değerleri içeren bir onaylama oluşturur. Onaylama sertifikasının genel anahtarı onaylanan anahtarla eşleşir.
İşletim sistemi, aygıt yönetimi servisine veya ACME çözümüne elde edilen onaylama sertifikasını sunar.
Sağlanan onaylama sertifikasını doğrulama hakkında daha fazla bilgi için Apple Developer web sitesinde Yönetilen Aygıt Onaylamayı doğrulama konusuna bakın.
Donanım onaylaması hakkında
Secure Enclave bir donanım onaylaması oluşturduğunda, diğerlerinin yanı sıra şu öğeleri içerir:
Ana devre kartının tanıtıcıları
Onaylanan anahtarın genel anahtarı.
Başlatma işlemi sırasında hesaplanan ve donanım kayıtlarında saklanan (Mühürlü Anahtar Koruma’ya benzer) şu yazılım bileşenlerinin özetleri
Secure Enclave firmware’i (sepOS).
Tüm diğer sistem tarafından eşlenen firmware’in ölçümünü de içeren LLB’ye iliştirilmiş Image4 bildirisi.
İşletim sistemi tarafından eşlenen firmware’in tamamının ölçümlerini içeren işletim sistemi Image4 bildirisi.
ECID ve Chip ID gibi aygıta özgü diğer değerler.
Mac bilgisayarlarında LocalPolicy ayrıntıları.
Yenileme kodu.
Secure Enclave onaylanan anahtarın paketini açamazsa Secure Enclave donanım onaylaması oluşturmayı reddeder. Bu, onaylanan anahtarın bu belirli Secure Enclave’e bağlı olmasını ve diğer onaylanan özelliklerin bu anahtarla ilişkili olmasını sağlar.
Bu öğelerin tümü, özel bir ikili yapıda derlenir ve UIK ile imzalanır. Bu, donanım onaylamasını, Apple’ın onaylamalarının doğrulayabileceği özel bir kimlikle bağlar ve bunların isteği belirli bir etkinleştirme kaydıyla ve dolayısıyla özel bir üretim kaydıyla ilişkilendirmesine izin verir.
Onaylama sertifikası oluşturma
Apple’ın onaylama sunucuları bir onaylama isteği aldığında:
Donanım onaylamasının Kullanıcı Kimliği Anahtarı’nı (UIK) doğrular. İmza geçersizse onaylama oluşturulmaz.
Apple’ın etkinleştirme kayıtlarındaki UIK'nin genel anahtarına karşılık gelen
ucrtsertifikasını araştırın.ucrtyoksa onaylama oluşturulmaz.Aygıtın
ucrtsertifikasına karşılık gelenscrtsertifikasını araştırın.scrt, Silicon Kimlik Anahtarı (SIK) baz alınarak üretim sırasında Apple sunucuları tarafından verilen bir sertifikadır. SIK, Secure Enclave tarafından oluşturulur ve genel anahtarı aygıttan üretim sırasında toplanır. SIK, etkinleştiren aygıtın Secure Enclave’inin özel anahtara ait olduğunu doğrulamak için etkinleştirme sırasında kullanılır. SIK, aygıtın kullanım ömrü boyunca tutulur ve benzersiz bir tanıtıcı gibi davranır.scrtsertifikası kullanılarak aygıtın üretim kaydı alınır. Kayıt yoksa onaylama oluşturulmaz.Donanım bileşenlerinin tanıtıcılarının üretim kayıtlarıyla eşleştiğini doğrular. Bileşen tanıtıcıları üretim kayıtlarıyla eşleşmezse onaylama oluşturulmaz.
Varsa yenileme kodunu onaylamaya kopyalar.
Onaylama tarafından istenirse:
Yazılım bileşenlerinin hesaplanmış özetlerini oluşturma kayıtlarındaki bilinen özetlerle karşılaştırır. Eşleşme varsa resmî sürüm numarası onaylamaya eklenir; yoksa OID atlanır veya değeri boş kalır.
LLB görüntüleri, Secure Enclave ya da ana işlemi sistemi oluşturulmuşsa, özetler hesaplanır ve oluşturma kayıtları bu görüntülerin resmî sürüm numaralarıyla birlikte veri tabanında kaydedilir.
ECID ve ChipID’den UDID’yi hesaplar.
Aygıt bir Mac’se, istenen OID’lerin değerlerini LocalPolicy’den onaylamaya kopyalar.
Bu doğrulamaların sonucu olarak, onaylama sunucuları aygıtı özgün bir Apple donanımı olarak tanımazsa hiçbir onaylama oluşturulmaz. Onaylama sertifikasındaki her bir özellik yalnızca onaylama sunucuları özelliğin değerini doğrulayabilirse dahil edilir; hiçbir doğrulama olmadan dahil edilen yenileme kodu istisnadır.