Digital signering og kryptering
Adgangskontrollister
Data i nøgleringen adskilles og beskyttes med adgangskontrollister (Access Control Lists, ACL'er). Derfor kan der ikke opnås adgang til godkendelsesoplysninger, som er gemt af apps fra tredjeparter eller fra apps med andre identiteter, medmindre brugeren udtrykkeligt godkender dem. Denne metode beskytter godkendelsesoplysningerne på Apple-enheder på tværs af en række apps og tjenester i organisationen.
I appen Mail kan brugerne sende beskeder, der er signeret digitalt og krypteret. Mail finder automatisk de relevante e-mailadresser og alternative navne på emnet (med forskel på store og små bogstaver) i overensstemmelse med RFC 5322 på digitale signerings- og krypteringscertifikater i tilknyttede PIV-tokens (Personal Identification Verification) på kompatible Smart Cards. Hvis en konfigureret e-mailkonto svarer til en e-mailadresse på et digitalt signerings- eller krypteringscertifikat i et tilknyttet PIV-token, viser Mail automatisk knappen Signering på værktøjslinjen i en ny besked. Hvis Mail har modtagerens certifikat til kryptering af e-mail eller kan finde det i den globale adresseliste fra Microsoft Exchange, vises symbolet for ulåst på værktøjslinjen i en ny besked. Hvis symbolet er en låst hængelås, sendes beskeden krypteret med modtagerens offentlige nøgle.
S/MIME for hver besked
iOS, iPadOS og macOS understøtter S/MIME for hver besked. Det betyder, at brugerne af S/MIME kan vælge, om beskeder som standard altid skal signeres og krypteres, eller om brugerne for hver besked skal vælge, om den skal signeres og krypteres.
Identiteter, der bruges med S/MIME, kan leveres til Apple-enheder ved hjælp af en konfigurationsprofil, en løsning til administration af mobile enheder (MDM), SCEP (Simple Certificate Enrollment Protocol) eller en Microsoft Active Directory-certifikatmyndighed.
Smart Cards
macOS 10.12 og nyere versioner understøtter uden videre PIV-kort. Disse kort bruges ofte i erhvervslivet og det offentlige til tofaktorgodkendelse, digital signering og kryptering.
Smart Cards indeholder en eller flere digitale identiteter, der har et par med en offentlig og en privat nøgle og et tilhørende certifikat. Når et kort låses op med PIN-koden, gives adgang til de private nøgler, der bruges til godkendelse, kryptering og signering. Certifikatet bestemmer, hvad nøglen kan bruges til, hvilke egenskaber der er knyttet til den, og om den er godkendt (signeret) af en certifikatmyndighed (CA).
Smart Cards kan bruges til tofaktorgodkendelse. De to elementer, der kræves for at låse et kort op, er “noget, brugeren har” (kortet) og “noget, brugeren ved” (PIN-koden). macOS 10.12 og nyere versioner understøtter også uden videre godkendelse af login-vinduet til Smart Card og godkendelse af klientcertifikater over for websteder i Safari. Kerberos-godkendelse med nøglepar (PKINIT) til SSO (Single sign-on) på Kerberos-kompatible tjenester understøttes også. Du kan læse mere om Smart Cards og macOS i Introduktion til integration af Smart Card i Implementering af Apples platforme.
Krypterede diskbilleder
I macOS fungerer krypterede diskbilleder som sikre beholdere, hvori brugerne kan opbevare og overføre følsomme dokumenter og andre arkiver. Krypterede diskbilleder oprettes med Disk Utility i /Apps/Hjælpeapps/. Diskbilleder kan krypteres med 128-bit eller 256-bit AES-kryptering. Et aktivt diskbillede behandles som en lokal disk, der er sluttet til Mac, og brugerne kan derfor kopiere, flytte og åbne arkiver og mapper, der opbevares i det. Ligesom med FileVault krypteres og dekrypteres indholdet i et diskbillede i realtid. Med krypterede diskbilleder kan brugere udveksle dokumenter, arkiver og mapper sikkert ved at gemme det krypterede diskbillede på et udskifteligt medie, sende det som et bilag i en e-mail eller opbevare det på en ekstern server. I Brugerhåndbog til Diskværktøj er der flere oplysninger om krypterede diskbilleder.