Keamanan pengesahan perangkat terkelola
Pengesahan perangkat terkelola tersedia di iOS 16, iPadOS 16, macOS 14, tvOS 16, watchOS 9, visionOS 1.1, atau lebih baru. Pengesahan menggunakan Secure Enclave untuk menyediakan jaminan kriptografis mengenai identitas perangkat dan postur keamanannya. Perangkat iPhone, iPad, Apple TV memerlukan keping A11 Bionic atau lebih baru, dan hanya komputer Mac dengan Apple silicon yang didukung. Apple Vision Pro memerlukan visionOS 1.1 atau lebih baru. Pengesahan Perangkat Terkelola membantu melindungi dari ancaman berikut:
Perangkat teretas yang berbohong mengenai propertinya
Perangkat teretas yang menyediakan pengesahan yang kedaluwarsa
Perangkat teretas yang mengirim pengenal perangkat berbeda
Ekstraksi kunci pribadi untuk digunakan di perangkat berbahaya
Penyerang yang membajak permintaan sertifikat untuk mengelabui otoritas sertifikat (CA) agar menerbitkan sertifikat untuk penyerang
Dengan pengesahan perangkat terkelola, perangkat dapat meminta pengesahan dari server pengesahan Apple, yang menghasilkan larik data yang berisi sertifikat ujung dan menengah dengan root di CA Dasar Pengesahan Apple Enterprise. Tergantung jenis perangkat, sertifikat ujung dapat berisi properti tertentu sebagaimana ditampilkan di tabel berikut.
OID dan nilai | Versi sistem operasi minimum yang didukung | Deskripsi | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
1.2.840.113635.100.8.9. Nomor seri | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Mewakili nomor seri perangkat dan dapat digunakan untuk mengidentifikasi perangkat. Untuk membantu melindungi privasi pengguna, nilai ini tidak disertakan saat menggunakan pengesahan perangkat terkelola dengan Pendaftaran Pengguna. | |||||||||
1.2.840.113635.100.8.9.2 UDID | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Mewakili ID perangkat keras unik dan dapat digunakan untuk mengidentifikasi perangkat. Di Mac, UDID sesuai dengan UDID perangkat yang menyediakan. Untuk membantu melindungi privasi pengguna, nilai ini tidak disertakan saat menggunakan pengesahan perangkat terkelola dengan Pendaftaran Pengguna. | |||||||||
1.2.840.113635.100.8.10.2 Versi sepOS | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Mewakili versi firmware Secure Enclave. | |||||||||
1.2.840.113635.100.8.11.1 Kode kesegaran | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Kode unik dan tidak dapat diprediksi yang mengidentifikasi pengesahan tertentu. Ini menandakan bahwa pengesahan dihasilkan setelah kode dibuat. Kode di-hash menggunakan SHA256. | |||||||||
1.2.840.113635.100.8.13.1 Status SIP | macOS 14 | Mewakili status pengaktifan SIP di Mac dengan Apple silicon. | |||||||||
1.2.840.113635.100.8.13.2 Status boot aman | macOS 14 | Mewakili konfigurasi boot aman yang dipilih di Mac dengan Apple silicon. | |||||||||
1.2.840.113635.100.8.13.3 Ekstensi kernel pihak ketiga yang diizinkan | macOS 14 | Mewakili apakah ekstensi kernel pihak ketiga diizinkan atau tidak di Mac dengan Apple silicon. | |||||||||
1.2.840.113635.100.8.10.3 Versi LLB | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Mewakili versi Bootloader Level Rendah. | |||||||||
1.2.840.113635.100.8.10.1 Versi sistem operasi | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Mewakili versi sistem operasi dan iBoot. | |||||||||
1.2.840.113635.100.8.9.4 ID perangkat pembaruan perangkat lunak | iOS 16 iPadOS 16 macOS 14 tvOS 16 watchOS 9 visionOS 1.1 | Mengesahkan | |||||||||
Perangkat dapat dipicu untuk meminta pengesahan dengan perintah yang dikirim oleh server MDM atau sebagai bagian dari proses penerbitan sertifikat menggunakan ACME. Di kedua kasus, perangkat menerima kode kesegaran dari server MDM atau ACME (yang merupakan bagian dari permintaan ke server pengesahan). Hash SHA256 dari kode kesegaran disertakan sebagai properti di sertifikat ujung dan memungkinkan server MDM atau ACME untuk memverifikasi bahwa pengesahan sesuai dengan permintaan.
Saat menerima pengesahan, layanan backend harus melakukan pemeriksaan validasi dengan saksama. Pemeriksaan ini meliputi memastikan sertifikat ujung diterbitkan oleh CA Dasar Pengesahan Apple Enterprise, yang membandingkan hash kode kesegaran dengan nilai yang diharapkan, serta memeriksa properti lainnya di pengesahan.
Tergantung model penyebaran organisasi, pengesahan perangkat terkelola dapat menjadi landasan penting dari penyebaran modern dan aman dan digunakan dengan berbagai cara:
Gunakan sertifikat yang diterbitkan ACME untuk mengesahkan koneksi dari klien ke MDM dan manfaatkan pengesahan
DeviceInformationuntuk memverifikasi properti perangkat secara berkelanjutan.Verifikasi identitas perangkat dan postur keamanannya dan atur agar server ACME melakukan evaluasi kepercayaan sebelum menerbitkan sertifikat. Dengan cara ini, hanya perangkat yang memenuhi standar yang diperlukan yang akan menerima sertifikat.
Tanamkan properti perangkat dari pengesahan di sertifikat ACME, dan lakukan evaluasi kepercayaan di pihak yang mengandalkan.
Pembuatan kunci ikatan perangkat keras
Sebagai bagian dari penerbitan sertifikat menggunakan protokol ACME, perangkat dapat diminta untuk menyediakan pengesahan yang juga menyebabkan pasangan kunci terkait dibuat dalam Secure Enclave sehingga mendapatkan perlindungan perangkat kerasnya yang kuat. Ini menyebabkan kunci pribadi dibungkus dengan kunci kelas dan membantu mencegah pengeksporan kunci pribadi.
Untuk membuat kunci terikat perangkat keras, konfigurasi ACME harus menggunakan algoritma ECSECPrimeRandom berukuran 256 atau 384 bit. Ini memperinci pasangan kunci di kurva P-256 atau P-384 sebagaimana dijelaskan di NIST SP 800-186.
Kunci terikat perangkat keras tidak dapat dicadangkan dan dipulihkan, bahkan saat dipulihkan ke perangkat yang sama. Semua konfigurasi yang berisi muatan ACME dengan kunci terikat perangkat keras dihapus saat dipulihkan. Jika kunci perangkat keras digunakan sebagai identitas klien MDM, pendaftaran perangkat akan dibatalkan. Di skenario ini, jika perangkat didaftarkan melalui Pendaftaran Perangkat Otomatis, perangkat akan mengambil kembali profil pendaftarannya dan mendaftar ulang.