ios - Apple MDM OTA - 在配置文件中嵌入 SCEP 与 PKCS12 的身份证书

Question

我正在辩论并且需要知道不使用 SCEP 协议(protocol)进行 mdm 注册的含义，更准确地说是身份证书(用于身份验证的证书凭据)。我说的是 IPCU 的 Identity 部分中的证书，如下图所示，带有红色箭头。



我不会推送包含敏感信息(如 vpn、电子邮件等配置和/或密码)的配置文件。

我的用例将是 99%:

按评级阻止/取消阻止应用程序

锁定/解锁装置

阻止/解锁网络域

通过阅读 StackOverflow( here 和 here)，可能会发生以下情况。

如果有人可以访问证书，他将能够模拟注册的设备，但他将只能接收命令/配置文件，而不能启动命令/配置文件。我对吗？

中间人攻击可以访问证书

使用配置文件中嵌入的 PKCS12 的优点是实现速度更快并且没有外部依赖项(SCEP 服务器)，但我不太确定缺点。所以我的问题和疑问是:

恶意人员可以使用身份证书中的私钥做什么？

PKCS12 嵌入式方法会导致安全漏洞吗？

这主要是嵌入在配置文件中的 SCEP 与 PKCS12 的问题，优缺点。

Answer 1

这是我的想法:

1) 如果您正在构建原型(prototype)或小型非关键服务，请使用 PKCS12。

2)如果您正在构建一个严肃的产品(生产和接触具有敏感信息的人的设备)，那么请使用 SCEP(您可以获得免费的 SCEP 服务器。这并不复杂)。

坦率地说，如果我处于黑暗面(试图破解它)，我认为我不会攻击 PKCS12 与 SCEP(这不是最薄弱的环节)

但是，可以说，我说我决定尝试破解它

我会尝试在中间做人。我将 try catch 通信，保存 PKCS12 和密码

我将使用它对 MDM 服务器进行身份验证。

你是对的，我不能触发任何命令，但我可以开始探测你的代码以找到你跳过一些安全检查的地方。也许您没有检查证书是否与设备 UUID 匹配等等。

希望我能找到足够的安全漏洞来做某事(比如说触发其他用户的操作)。也许我会向他们发送删除命令，或者我会尝试安装根 CA + HTTP 代理配置以查看他们的所有流量。

无论如何。我不认为这是最薄弱的环节，它需要很多额外的步骤才能得到一些有趣的东西。但是，如果您到达那里，您可以做很多事情。

因此，对于一个严肃的产品，在 SCEP 上再投资几周是有意义的。