مصادقة الجهاز المُدار لأجهزة Apple
مصادقة الجهاز المُدار هي ميزة في iOS 16 و iPadOS 16.1 و macOS 14 و tvOS 16، أو أحدث. توفر مصادقة الجهاز المُدار أدلة قوية حول خصائص الجهاز التي يمكن استخدامها كجزء من تقييم الثقة. ويستند إعلان تشفير خصائص الجهاز هذا إلى أمان Secure Enclave وخوادم التصديق في Apple.
تساعد مصادقة الجهاز المُدار على الحماية من التهديدات الآتية:
جهاز مخترق يكذب بشأن خصائصه
جهاز مخترق يقدم مصادقة قديمة
جهاز مخترق يرسل معرّفات مختلفة للجهاز
استخراج مفتاح خاص لاستخدامه على جهاز مخادع
مهاجم يخطف طلب شهادة لخداع CA لإصدار شهادة للمهاجم
لمزيد من المعلومات، شاهد فيديو المؤتمر العالمي للمطورين لعام 2023 (WWDC23) ما الجديد في إدارة الأجهزة من Apple.
مصادقة الجهاز المُدار مع طلبات التسجيل في شهادة ACME
يمكن لخدمة ACME التابعة للمرجع المصدق (CA) المعني بإصدار الشهادات للمؤسسة أن تطلب تصديقًا على خصائص جهاز التسجيل. توفر هذه المصادقة ضمانات قوية بأن خصائص الجهاز (على سبيل المثال، الرقم التسلسلي) صحيحة وليست مزيفة. يمكن لخدمة ACME التابعة للمرجع المصدق المعني بإصدار الشهادات التحقق من سلامة خصائص الجهاز المصدق عليها بشكل مشفر والرجوع إليها اختياريًا مقابل مخزون أجهزة المؤسسة، وعند التحقق الناجح، يتم تأكيد الجهاز على أنه جهاز المؤسسة.
إذا تم استخدام المصادقة، فسيتم إنشاء مفتاح خاص مرتبط بالجهاز داخل Secure Enclave في الجهاز كجزء من طلب توقيع الشهادة. بالنسبة لهذا الطلب، يمكن لجهة إصدار ACME إصدار مصادقة عميل. يرتبط هذا المفتاح بـ Secure Enclave وبالتالي فهو متاح فقط على جهاز محدد. ويمكن استخدامها على iPhone و iPad و Apple TV و Apple Watch مع تكوينات تدعم مواصفات هوية الشهادة. على Mac، يمكن استخدام المفاتيح المرتبطة بالأجهزة للمصادقة مع MDM و Microsoft Exchange و Kerberos وشبكات 802.1X وعميل VPN المدمج ومرحِّل الشبكة المدمج.
ملاحظة: لدى Secure Enclave وسائل حماية قوية جدًا ضد استخراج المفتاح، حتى في حالة تعرض معالج التطبيقات للخطر.
تتم إزالة هذه المفاتيح المرتبطة بالأجهزة تلقائيًا عند مسح بيانات الجهاز أو استعادتها. نظرًا لإزالة المفاتيح، فإن أي ملفات تعريف تكوين تعتمد على هذه المفاتيح لن تعمل بعد الاستعادة. يجب تطبيق ملف التعريف مرة أخرى لإعادة إنشاء المفاتيح.
باستخدام مصادقة حمولة ACME، يمكن لـ MDM تسجيل هوية شهادة العميل باستخدام بروتوكول ACME الذي يمكنه التحقق من صحة الآتي بشكل مشفر:
الجهاز هو جهاز Apple أصلي
الجهاز هو جهاز محدد
تتم إدارة الجهاز بواسطة خادم MDM الخاص بالمؤسسة
للجهاز خصائص معينة (على سبيل المثال، الرقم التسلسلي)
يعد المفتاح الخاص جهازًا مرتبطًا بالجهاز
مصادقة الجهاز المُدار مع طلبات MDM
بالإضافة إلى استخدام تصديق الجهاز المُدار أثناء طلبات التسجيل في شهادة ACME ، يمكن لحل MDM إصدار استعلام DeviceInformation
يطلب خاصية DevicePropertiesAttestation
. إذا أراد حل MDM المساعدة على ضمان الحصول على مصادقة جديدة، فيمكنه إرسال مفتاح DeviceAttestationNonce
اختياري يفرض مصادقة جديدة. إذا تم حذف هذا المفتاح، فسيرجع الجهاز مصادقة مخزنة مؤقتًا. ثم تُرجع استجابة مصادقة الجهاز شهادة طرفية بخصائصها في معرّفات OID المخصصة.
ملاحظة: يُحذف الرقم التسلسلي و UDID عند استخدام تسجيل المستخدم لحماية خصوصية المستخدم. تكون القيم الأخرى مجهولة وتتضمن خصائص مثل إصدار sepOS وكود التحديث.
يمكن لحل MDM بعد ذلك التحقق من صحة الاستجابة من خلال تقييم أن سلسلة الشهادات متجذرة مع مرجع تصديق Apple المتوقع (المتوفر من مستودع PKI الخاص من Apple)، وما إذا كانت تجزئة رمز التحديث هي نفس تجزئة رمز التحديث المتوفرة في استعلام DeviceInformation
.
نظرًا لأن عملية تحديد رمز التحديث تُنشئ مصادقة جديدة—تستهلك الموارد على الجهاز وخوادم Apple؛ يقتصر الاستخدام حاليًا على مصادقة واحدة لكل جهاز كل ٧ أيام. ليس من الضروري طلب مصادقة جديدة ما لم تتغير خصائص الجهاز؛ على سبيل المثال، التحديث أو الترقية إلى إصدار نظام التشغيل.