Firma digital y encriptación
Listas de control de acceso
Los datos del llavero se dividen en particiones y se protegen con listas de control de acceso (ACL). Como resultado, las credenciales almacenadas por apps de terceros no admiten el acceso por parte de apps con entidades distintas, a menos que el usuario las apruebe explícitamente. Esta protección brinda un mecanismo para asegurar las credenciales de autenticación en los dispositivos Apple a lo largo de una variedad de apps y servicios dentro de la organización.
En la app Mail, los usuarios pueden enviar mensajes firmados digitalmente y encriptados. Mail descubre automáticamente el asunto de la dirección de correo electrónico con RFC 5322 y distinción de mayúsculas y minúsculas, o los nombres alternativos del asunto, en los certificados de encriptado y firma digital de los identificadores de verificación de identificación personal (PIV) en tarjetas inteligentes. Si una cuenta de correo configurada concuerda con una dirección de correo de un certificado de firma digital o de encriptación en un identificador PIV adjunto, Mail automáticamente muestra el botón de firma en la barra de herramientas de la ventana de nuevo mensaje. Si Mail tiene el certificado de encriptación del correo del receptor, o puede descubrirlo en la lista de direcciones globales de Microsoft Exchange (GAL), aparece un ícono de desbloqueo en la barra de herramientas del mensaje nuevo. Un ícono de candado bloqueado indica que el mensaje se enviará encriptado con la clave pública del receptor.
S/MIME por mensaje
iOS, iPadOS y macOS son compatibles con S/MIME por mensaje. Esto significa que los usuarios de S/MIME pueden elegir siempre firmar y encriptar mensajes de forma predeterminada, o firmar y encriptar mensajes individuales de forma selectiva.
Las identidades utilizadas con S/MIME se pueden entregar a los dispositivos Apple usando un perfil de configuración, una solución de administración de dispositivos móviles (MDM), el protocolo de inscripción de certificados simples (SCEP) o la autoridad de certificación de Active Directory de Microsoft.
Tarjetas inteligentes
macOS 10.12 o versiones posteriores incluyen compatibilidad nativa para las tarjetas PIV. Estas tarjetas se utilizan mucho en organizaciones comerciales y gubernamentales para la autenticación de dos factores, firmas digitales y encriptación.
Las tarjetas inteligentes incluyen una o más identidades digitales que tienen un par de claves públicas y privadas y un certificado asociado. Desbloquear una tarjeta inteligente con el número de identificación personal (PIN) brinda acceso a las claves privadas utilizadas para las operaciones de autenticación, encriptación y firma. El certificado determina para qué se puede utilizar una clave, qué atributos se relacionan con ella y si está validada (firmada) por una autoridad certificadora (CA).
Las tarjetas inteligentes se pueden usar para la autenticación de dos factores. Los dos factores necesarios para desbloquear una tarjeta son “algo que el usuario tiene” (la tarjeta) y “algo que el usuario sabe” (el PIN). En macOS 10.12 o posterior, también se cuenta con soporte nativo para la autenticación en la ventana de inicio de sesión de la tarjeta inteligente y la autenticación del certificado de cliente para sitios web en Safari. También es compatible con la autenticación de Kerberos usando pares de claves (PKINIT) para el único inicio de sesión de los servicios compatibles con Kerberos. Para obtener más información sobre las tarjetas inteligentes y macOS, consulta Introducción a la integración de tarjetas inteligentes en la guía Implementación de las plataformas de Apple.
Imágenes de disco encriptadas
En macOS, las imágenes de disco encriptadas sirven como contenedores seguros en los que los usuarios pueden almacenar o transferir documentos confidenciales u otros archivos. Las imágenes de disco encriptadas se crean usando Utilidad de Discos, ubicada en /Aplicaciones/Utilidades/. Las imágenes de disco se pueden encriptar usando la encriptación AES ya sea de 128 bits o de 256 bits. Como una imagen de disco montada se trata como un volumen local conectado a la Mac, los usuarios pueden copiar, mover y abrir archivos y carpetas almacenados en ella. Al igual que con FileVault, el contenido de una imagen de disco se encripta y desencripta en tiempo real. Con las imágenes de disco encriptadas, los usuarios pueden intercambiar de forma segura documentos, archivos y carpetas al guardar la imagen de disco encriptada en algún soporte extraíble, enviarla como archivo adjunto en un correo, o almacenarla en un servidor remoto. Para obtener más información sobre las imágenes de disco encriptadas, consulta el Manual del usuario Utilidad de Discos.