Digitaalinen allekirjoittaminen ja salaus
Käytönvalvontaluettelot
Avainnipun data jaetaan osiin ja suojataan käytönvalvontaluetteloilla (access control list, ACL). Sen seurauksena muiden valmistajien apit eivät voi käyttää toisten appien tunnistetietoja, ellei käyttäjä hyväksy sitä. Tämä suojaus tarjoaa mekanismin organisaation kaikkien appien ja palveluiden todentamistietojen suojaamiseen Applen laitteissa.
Mail-apissa käyttäjät voivat lähettää viestejä, jotka ovat digitaalisesti allekirjoitettuja ja salattuja. Mail etsii automaattisesti isot ja pienet kirjaimet erottelevan RFC 5322 -sähköpostiosoitteen aiheen tai aiheen vaihtoehtoiset nimet digitaalisista allekirjoitus- ja salausvarmenteista mukaan liitetyistä PIV (Personal Identification Verification) ‑tunnisteista yhteensopivissa älykorteissa. Jos määritetty sähköpostitili vastaa liitetyssä PIV-tunnisteessa olevan digitaalisen allekirjoitus- tai salausvarmenteen sähköpostiosoitetta, Mail näyttää automaattisesti allekirjoituspainikkeen uuden viestin ikkunan työkalupalkissa. Jos Maililla on vastaanottajan sähköpostisalauksen varmenne tai se havaitsee sen Microsoft Exchangen yleisessä osoiteluettelossa (global address list, GAL), uuden viestin ikkunan työkalupalkkiin tulee näkyviin kuvake, jossa lukon lukitus on avattuna. Lukittua lukkoa kuvaava kuvake osoittaa, että viesti lähetetään salattuna vastaanottajan julkisella avaimella.
Viestikohtainen S/MIME
iOS, iPadOS ja macOS tukevat viestikohtaista S/MIME:ä. Tämä tarkoittaa, että S/MIME-käyttäjät voivat allekirjoittaa ja salata kaikki viestit oletusarvoisesti tai vain yksittäisiä viestejä.
S/MIME-identiteettejä voidaan toimittaa Applen laitteisiin käyttämällä asetusprofiilia, mobiililaitteiden hallintaratkaisua (MDM), SCEP:tä tai Microsoftin Active Directoryn varmenteen myöntäjää.
Älykortit
macOS 10.12 ja uudemmat sisältävät PIV-korttien natiivituen. Kaupalliset ja julkisen sektorin organisaatiot käyttävät näitä kortteja laaja-alaisesti kaksiosaiseen todennukseen, digitaaliseen allekirjoittamiseen ja salaukseen.
Älykorteissa on yksi tai useampi digitaalinen identiteetti, jolla on julkisen avaimen ja yksityisen avaimen muodostama pari ja siihen liittyvä varmenne. Älykortin lukituksen avaaminen PIN-koodilla sallii pääsyn todennus-, salaus- ja allekirjoitustoiminnoissa käytettäviin yksityisavaimiin. Varmenne määrittää sen, mihin avainta voidaan käyttää, mitä attribuutteja siihen liittyy ja onko se varmentajan (CA) varmenteella vahvistettu (allekirjoitettu).
Älykortteja voidaan käyttää kaksiosaiseen todennukseen. Kortin avaamiseen tarvittavat kaksi osaa ovat ”jotakin, joka käyttäjällä on” (kortti) ja ”jotakin, jonka käyttäjä tietää” (PIN-koodi). macOS 10.12:ssa tai uudemmassa on myös natiivituki älykortin kirjautumisikkunan todentamiseen ja asiakkaan varmenteen todentamiseen Safarin avulla verkkosivustoissa. Lisäksi se tukee Kerberos-todentamista avainpareilla (PKINIT), mikä mahdollistaa kertakirjautumisen Kerberosta tukeviin palveluihin. Jos haluat lisätietoja älykorteista ja macOS:stä, katso Älykorttien integroinnin johdanto Apple-alustojen käyttöönotossa.
Salatut levytiedostot
macOS:ssä salatut levytiedostot palvelevat suojattuina säiliöinä, joihin käyttäjät voivat tallentaa tai siirtää luottamuksellisia dokumentteja ja muita tiedostoja. Salatut levytiedostot luodaan Levytyökalulla, joka löytyy sijainnista /Apit/Lisäapit. Levytiedostot salataan 128- tai 256-bittisellä AES-salauksella. Mac käsittelee näkyviin tuotua levytiedostoa kuten paikallista Maciin liitettyä taltiota, joten käyttäjät voivat kopioida, siirtää ja avata sillä olevia tiedostoja ja kansioita. Kuten FileVaultinkin kanssa, levytiedoston sisältö salataan ja puretaan reaaliajassa. Salattujen levytiedostojen avulla käyttäjät voivat vaihtaa dokumentteja, tiedostoja ja kansioita turvallisesti tallentamalla salatun levytiedoston irrotettavalle medialle, lähettämällä sen sähköpostin liitteenä tai tallentamalla sen etäpalvelimelle. Jos haluat lisätietoja salatuista levytiedostoista, katso Levytyökalun käyttöopas.