数字签名和加密
访问控制列表
钥匙串数据通过访问控制列表 (ACL) 进行分区和保护。因此,不同身份的 App 无法访问由第三方 App 储存的凭证,除非用户明确批准。此保护针对 Apple 设备中组织内的各种 App 和服务提供了认证凭证保护机制。
邮件
在“邮件” App 中,用户可以发送经数字签名和加密的邮件。在兼容的智能卡所附个人身份验证 (PIV) 令牌的数字签名和加密证书上,“邮件”会自动发现适当的 RFC 5322 电子邮件地址主题或主题备用名称(区分大小写)。如果已配置的电子邮件账户符合所附 PIV 令牌上的数字签名或加密证书上的电子邮件地址,“邮件”会自动在新邮件窗口的工具栏中显示签名按钮。如果“邮件”拥有收件人的电子邮件加密证书,或者可在 Microsoft Exchange 全局地址列表 (GAL) 中找到,新邮件工具栏中会显示已解锁图标。已锁定的锁图标表示邮件将使用收件人的公钥加密后发送。
信息独有 S/MIME
iOS、iPadOS 和 macOS 支持信息独有 S/MIME。这表示 S/MIME 用户可选取始终默认签名并加密邮件,或者有选择地签名并加密单个邮件。
配合 S/MIME 使用的身份可通过配置描述文件、移动设备管理 (MDM) 解决方案、简单证书注册协议 (SCEP) 或 Microsoft Active Directory Certificate Authority 来发送到 Apple 设备。
智能卡
macOS 10.12 或更高版本包括对 PIV 卡的原生支持。这些卡片在商业和政府机构中广泛用于双重认证、数字签名和加密。
智能卡包括一个或多个数码身份,这些身份拥有一对公钥和私钥,以及关联的证书。使用个人身份号码 (PIN) 解锁智能卡时会提供用于认证、加密和签名操作的私钥的访问权限。证书决定密钥的用途、其关联的属性以及是否有证书颁发机构 (CA) 证书验证(签名)。
智能卡可用于双重认证。解锁卡片需要的双重条件是“用户所有”(卡片)和“用户所知”(PIN 码)。macOS 10.12 或更高版本还原生支持对 Safari 浏览器上网站的智能卡登录窗口认证和客户端证书认证。还支持使用密钥对 (PKINIT) 进行 Kerberos 认证以单点登录到支持 Kerberos 的服务。若要进一步了解智能卡和 macOS,请参阅《Apple 平台部署》中的智能卡集成介绍。
加密的磁盘映像
在 macOS 中,加密的磁盘映像用作用户储存或传输敏感文稿和其他文件的安全容器。加密的磁盘映像使用“磁盘工具”创建,该工具位于“/应用程序/实用工具”目录下。磁盘映像可使用 128 位或 256 位 AES 加密来进行加密。装载的磁盘映像会被视为连接到 Mac 的本地宗卷,因此用户可以拷贝、移动和打开其中储存的文件和文件夹。和文件保险箱一样,磁盘映像的内容是实时加密和解密的。有了加密的磁盘映像,用户就可以安全交换文稿、文件和文件夹,方法是将加密的磁盘映像存储到可移动媒介、作为邮件附件发送或者储存在远程服务器上。有关加密磁盘映像的更多信息,请参阅《磁盘工具使用手册》。