Codifica e firma digitale
Elenchi di controllo degli accessi (ACL)
I dati del portachiavi vengono suddivisi in partizioni e protetti con gli elenchi di controllo degli accessi (ACL). In questo modo, senza esplicita approvazione da parte dell’utente, app che hanno identità diverse non possono accedere alle credenziali archiviate da app di terzi. Questa protezione è un meccanismo che tutela le credenziali di autenticazione sui dispositivi Apple per diversi servizi e app all’interno dell’organizzazione.
Nell’app Mail, gli utenti possono inviare messaggi codificati e firmati digitalmente. Mail rileva automaticamente, distinguendo tra maiuscole e minuscole, gli indirizzi email o i nomi alternativi RFC 5322 appropriati contenuti nei certificati di codifica e di firma digitale dei token di verifica dell’identificazione personale (PIV) allegati nelle smart card compatibili. Se un account email configurato corrisponde a un indirizzo email presente in un certificato di codifica o firma digitale presente su un token PIV allegato, Mail mostra automaticamente il pulsante per la firma nella barra degli strumenti della finestra per la composizione di un nuovo messaggio. Se Mail dispone del certificato di codifica del destinatario o può rilevarlo nell’elenco di indirizzi globale di Microsoft Exchange, visualizza l’icona di un lucchetto aperto nella barra degli strumenti della finestra per la composizione di un nuovo messaggio. L’icona di un lucchetto chiuso indica che il messaggio sarà inviato in forma codificata secondo la chiave pubblica del destinatario.
S/MIME per messaggio
iOS, iPadOS e macOS supportano la codifica S/MIME per messaggio. Ciò significa che gli utenti S/MIME possono scegliere di firmare e codificare sempre di default i propri messaggi oppure di farlo in modo selettivo per messaggi individuali.
Le identità usate con S/MIME possono essere consegnate ai dispositivi Apple tramite un profilo di configurazione, una soluzione di gestione dei dispositivi mobili (MDM), il protocollo SCEP (Simple Certificate Enrollment Protocol) o l’autorità di certificazione di Microsoft Active Directory.
Smart card
macOS 10.12 o versione successiva include il supporto nativo per le schede per la verifica dell’identità personale (PIV). Tali smart card sono largamente utilizzate da organizzazioni commerciali e governative per l’autenticazione a due fattori, la firma digitale e la codifica.
Le smart card includono una o più identità digitali con una coppia di chiavi (una chiave pubblica e una chiave privata) e un certificato associato. Sbloccando una smart card con il PIN si ottiene accesso alle chiavi private usate per le operazioni di autenticazione, codifica e firma. Il certificato determina per cosa possa essere utilizzata una chiave, quali attributi le sono associati e se è convalidata (firmata) dal certificato di un’autorità di certificazione.
Le smart card possono essere usate per l’autenticazione a due fattori. I due fattori necessari a sbloccare una card sono “un elemento di proprietà dell'utente” (la card) e “un elemento conosciuto dall'utente” (il PIN). macOS 10.12 o versioni successive offre supporto nativo per l’autenticazione con smart card nella finestra di login e per l’autenticazione dei certificati del client per i siti web in Safari. Supporta inoltre l’autenticazione basata su Kerberos tramite coppie di chiavi (PKINIT) per SSO sui dispositivi compatibili. Per ulteriori informazioni sulle smart card e macOS, consulta Introduzione all’integrazione delle smart card nella guida Distribuzione della piattaforma Apple.
Immagini disco codificate
In macOS, le immagini disco codificate funzionano da container protetti su cui gli utenti possono archiviare o trasferire documenti e altri file sensibili. Le immagini disco codificate sono create con Utility Disco, situata in /Applicazioni/Utility/ e possono essere codificate tramite codifica AES a 128 bit o 256 bit. Poiché un’immagine disco attiva viene trattata come volume locale connesso al Mac, gli utenti possono copiare, spostare e aprire i file e le cartelle archiviati su di essa. Come per FileVault, i contenuti di un’immagine disco sono crittografati e decrittografati in tempo reale. Con le immagini disco codificate, gli utenti possono scambiare documenti, file e cartelle in sicurezza salvando un’immagine disco codificata su un supporto rimovibile, inviandola in allegato a un messaggio email o archiviandola su un server remoto. Per ulteriori informazioni sulle immagini disco codificate, consulta il Manuale utente di Utility Disco.