Цифровая подпись и шифрование
Списки контроля доступа
Данные связки ключей хранятся в отдельных разделах и защищены с помощью списков контроля доступа (ACL). Благодаря этому доступ к учетным данным, которые хранятся в приложениях сторонних разработчиков, не могут получить приложения с другими учетными данными (за исключением случаев, когда пользователь дал свое разрешение на это). Этот механизм защищает учетные данные на устройствах Apple, используемые для аутентификации в различных приложениях и службах внутри организации.
Почта
В приложении «Почта» можно отправлять зашифрованные сообщения, снабженные цифровой подписью. Почта автоматически находит соответствующий адрес электронной почты в формате RFC 5322 (с учетом регистра) или дополнительные имена субъекта в сертификатах цифровой подписи и шифрования во вложенных токенах подтверждения личности (PIV) на совместимых смарт-картах. Если настроенная учетная запись электронной почты совпадает с адресом электронной почты в сертификате цифровой подписи или шифрования на вложенном токене PIV, Почта автоматически отображает кнопку подписи в панели инструментов в окне нового сообщения. Если у приложения «Почта» есть сертификат шифрования электронной почты получателя или оно нашло его в глобальном списке адресов (GAL) Microsoft Exchange, в панели инструментов нового сообщения отображается значок раскрытого замка. Значок закрытого замка означает, что перед отправкой сообщение будет зашифровано с помощью открытого ключа получателя.
Шифрование S/MIME отдельных сообщений
iOS, iPadOS и macOS поддерживают шифрование S/MIME отдельных сообщений. Это означает, что пользователи S/MIME могут по умолчанию подписывать и шифровать все сообщения или выборочно подписывать и шифровать отдельные сообщения.
Идентификационные данные, используемые для S/MIME, могут быть переданы на устройства Apple с помощью профилей конфигурации, системы управления мобильными устройствами (MDM), простого протокола регистрации сертификатов (SCEP) или центра сертификации Microsoft Active Directory.
Смарт-карты
В macOS 10.12 и новее встроена поддержка карт PIV. Эти карты широко используются в коммерческих и правительственных организациях для двухфакторной аутентификации, цифровой подписи и шифрования.
Смарт-карты содержат одно или несколько цифровых удостоверений, которые включают пару из открытого и личного ключей и связанный сертификат. Разблокирование смарт-карты с помощью PIN-кода предоставляет доступ к личным ключам, используемым для операций аутентификации, шифрования и подписания. Сертификат определяет, для чего может использоваться ключ, какие атрибуты с ним связаны и проверен (подписан) ли он сертификатом центра сертификации.
Смарт-карты могут использоваться для двухфакторной аутентификации. Для разблокировки карты необходимо два фактора: «что-то, что есть у пользователя» (карта) и «что-то, что пользователь знает» (PIN-код). В macOS 10.12 и новее также встроена поддержка аутентификации с помощью смарт-карты в окне входа в систему и аутентификации с помощью сертификата клиента на сайтах в Safari. Также поддерживается аутентификация Kerberos с использованием пар ключей (PKINIT) для реализации единого входа в службы, поддерживающие Kerberos. Чтобы узнать больше о смарт-картах и macOS, обратитесь к разделу Вводная информация об интеграции смарт-карт в документе Развертывание платформы Apple.
Зашифрованные образы дисков
В macOS зашифрованные образы дисков выступают в качестве безопасных контейнеров, которые пользователи могут использовать для хранения и передачи конфиденциальных документов и других файлов. Для создания зашифрованных образов дисков используется Дисковая утилита, расположенная в папке «/Программы/Утилиты». Образы дисков могут быть зашифрованы с использованием либо 128-битного, либо 256-битного шифрования AES. Поскольку подключенный образ диска рассматривается как локальный том, подключенный к Mac, пользователи могут копировать, перемещать и открывать файлы и папки, которые в нем хранятся. Как и в случае FileVault, шифрование и расшифровка содержимого образа диска выполняется в реальном времени. Используя зашифрованные образы дисков, пользователи могут безопасно обмениваться документами, файлами и папками: зашифрованный образ диска можно сохранить на съемном носителе, отправить в виде вложения в почтовое сообщение или сохранить на удаленном сервере. Подробнее о зашифрованных образах дисков см. в Руководстве пользователя Дисковой утилиты.