Digitales Signieren und Verschlüsseln
Zugriffssteuerungslisten
Daten des Schlüsselbunds werden partitioniert und mithilfe von Zugriffssteuerungslisten (Access Control Lists, ACLs) geschützt. Auf diese Weise werden Anmeldedaten, die durch Apps anderer Anbieter gespeichert werden, für Apps anderer Identitäten nur zur Verfügung gestellt, wenn der Benutzer diesem Zugriff explizit zustimmt. Dieser Schutzmechanismus sichert zugleich auch die Anmeldedaten ab, die auf Apple-Geräten für eine breite Palette an Apps und Diensten einer Organisation verwendet werden.
Mit der App „Mail“ können digital signierte und verschlüsselte E-Mail-Nachrichten gesendet werden. Die App „Mail“ erkennt – bei Verwendung von Zertifikaten für das digitale Signieren und Verschlüsseln auf verbundenen PIV-Token (Personal Identification Verification) unterstützter Smart Cards – die jeweiligen RFC 5322-Werte von E-Mail-Adresse, Betreff und alternativem Namen des Inhabers automatisch. Bei diesen Werten werden Groß- und Kleinschreibung unterschieden. Wenn ein konfigurierter E-Mail-Account mit einer E-Mail-Adresse in einem für das digitale Signieren und Verschlüsseln verwendeten Zertifikat auf einem verbundenen PIV-Token übereinstimmt, wird in der App „Mail“ in der Symbolleiste einer neuen E-Mail-Nachricht automatisch die Taste „Signieren“ angezeigt. Wenn die App „Mail“ über das Verschlüsselungszertifikat des E-Mail-Empfängers verfügt oder es in der globalen Adressliste von Microsoft Exchange (GAL) findet, wird in der Symbolleiste einer neuen Nachricht das Symbol eines geöffneten Schlosses angezeigt. Ein Symbol in Form eines geschlossenen Schlosses besagt, dass die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und in dieser Form gesendet wird.
S/MIME für einzelne Nachrichten
iOS, iPadOS und macOS unterstützen S/MIME auf der Ebene einzelner Nachrichten. S/MIME-Benutzer können daher bestimmen, ob standardmäßig alle Nachrichten per S/MIME signiert und verschlüsselt werden sollen oder ob sie individuell für jede Nachricht angeben wollen, ob sie signiert und verschlüsselt werden soll.
Für S/MIME verwendete Identitäten können auf Apple-Geräten über ein Konfigurationsprofil, über eine Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM), über SCEP (Simple Certificate Enrollment Protocol) oder über eine Zertifizierungsstelle für Microsoft Active Directory bereitgestellt werden.
Smart Cards
macOS 10.12 (oder neuer) bietet native Unterstützung für PIV-Karten (d. h. für Karten zur Verifizierung der persönlichen Identität). Derartige Karten sind in Handels- und Regierungsorganisationen weit verbreitet, wo sie für die Zwei-Faktor-Authentifizierung und zum digitalen Signieren und Verschlüsseln verwendet werden.
Smart Cards enthalten eine oder mehrere digitale Identitäten, die aus jeweils einem Paar öffentlicher und privater Schlüssel und dem jeweils zugehörigen Zertifikat bestehen. Das Entsperren einer Smart Card mit ihrer persönlichen Identifikationsnummer (PIN) ermöglicht den Zugriff auf die privaten Schlüssel, die für die Authentifizierung und für Signier- und Verschlüsselungsvorgänge verwendet werden. Hierbei bestimmt das Zertifikat, für welche Zwecke ein Schlüssel verwendet werden kann, welche Attribute ihm zugewiesen sind und ob es durch eine Zertifizierungsstelle validiert (signiert) wurde oder nicht.
Smart Cards können für die Zwei-Faktor-Authentifizierung verwendet werden. Die beiden Faktoren, die zum Entsperren einer Karte benötigt werden, sind „etwas, das sich im Besitz des Benutzers befindet“ (d. h. die Karte) und „etwas, was der Benutzer weiß“ (d. h. die PIN). macOS 10.12 (und neuere Versionen) bieten darüber hinaus native Unterstützung für die Authentifizierung per Smart Card im Anmeldefenster und für die Authentifizierung per Client-Zertifikat gegenüber Websites in Safari. Ebenfalls unterstützt wird die Kerberos-Authentifizierung auf der Basis von Schlüsselpaaren (PKINIT) für die Gesamtauthentifizierung (Single Sign-On) gegenüber Diensten, die von Kerberos unterstützt werden. Näheres über Smart Cards und macOS ist in der Einführung in die Integration von Smart Cards im Handbuch Implementierung von Apple-Plattformen zu finden.
Verschlüsselte Image-Dateien
Bei macOS dienen verschlüsselte Image-Dateien als sichere Container, in die bzw. denen Benutzer vertrauliche Dokumente und andere Dateien transferieren bzw. speichern können. Verschlüsselte Image-Dateien werden mithilfe des Festplattendienstprogramms (im Pfad /Applications/Utilities/) erstellt. Image-Dateien können mit 128-Bit- oder mit 256-Bit-AES-Verschlüsselung verschlüsselt werden. Da eine aktivierte Image-Datei wie ein lokales, mit dem Mac verbundenes Volume behandelt wird, können Benutzer die darin gespeicherten Dateien und Ordner kopieren, verschieben und öffnen. Wie bei FileVault wird der Inhalt der Image-Datei in Echtzeit ent- und verschlüsselt. Auf der Basis verschlüsselter Image-Dateien können Benutzer Dokumente, Dateien und Ordner sicher austauschen. Für den Austausch können sie eine Image-Datei auf einen Wechseldatenträger transferieren, sie als Anhang einer E-Mail versenden oder sie auf einem Server im Netzwerk speichern. Weitere Informationen über verschlüsselte Image-Dateien enthält das Benutzerhandbuch für das Festplattendienstprogramm.