Unterstützte Smartcard-Funktionen auf dem Mac
macOS 10.15 (oder neuer) bietet integrierte Unterstützung für folgende Funktionen:
Authentifizierung: Anmeldefenster, PKINIT, SSH, Bildschirmschoner, Safari, Autorisierungsfenster und Drittanbieter-Apps, die CryptoTokenKit unterstützen
Signieren: Mail und Drittanbieter-Apps, die CryptoTokenKit unterstützen
Verschlüsselung: Mail, Schlüsselbundverwaltung und Drittanbieter-Apps, die CryptoTokenKit unterstützen
Hinweis: Wenn deine Organisation vor macOS 10.15 Drittanbieter-Apps verwendet hat, sollte berücksichtigt werden, dass die herkömmliche tokend-Unterstützung deaktiviert und Lösungen, die auf tokend basieren, nicht länger zur Verfügung stehen.
Bereitstellung von PIV-Cards
Um Smart Cards mit macOS zu nutzen, müssen entsprechende Zertifikate in den 9a- (PIV-Authentifizierung) und den 9d-Slot (Schlüsselverwaltung) übermittelt werden. Optional sollte ein Zertifikat im Slot 9c (Digitales Signieren) bereitgestellt werden, wenn Funktionen wie das Signieren von E-Mails oder Dokumenten notwendig ist.
Bei der Verwendung des Attributabgleichs (unten ausgeführt) mit Active Directory, muss der NT Principal Name im PIV-Authentifizierungszertifikat mit dem gespeicherten Wert im ActiveDirectory-Attribut dsAttrTypeStandard:AltSecurityIdentities inklusive Groß-/Kleinschreibung übereinstimmen.
Authentifizierung
Smart Cards können für die Zwei-Faktor-Authentifizierung verwendet werden. Zum Entsperren der Karte benötigen diese zwei Faktoren „ein Objekt, das du hast“ (die Karte) und eine „Information, die du kennst“ (die PIN). macOS 10.12.4 (oder neuer) umfasst native Unterstützung für die Authentifizierung per Smart Card und per Anmeldung sowie für die zertifikatbasierte Authentifizierung von Clients gegenüber Websites in Safari. macOS unterstützt auch die Kerberos-Authentifizierung mit Schlüsselpaaren (PKINIT) für die Gesamtauthentifizierung bei Diensten, die von Kerberos unterstützt werden.
Hinweis: Bei einer Smart Card, die für die Systemanmeldung verwendet wird, muss darauf geachtet werden, dass sie ordnungsgemäß mit einem Authentifizierungszertifikat und einem Schlüssel für die Verschlüsselung bereitgestellt wird. Der Verschlüsselungsschlüssel wird zum Umschließen des Schlüsselbundpassworts (Wrapping) verwendet; das Fehlen eines Verschlüsselungsschlüssels führt zur wiederholten Nachfrage nach dem Passwort für den Schlüsselbund.
Digitale Signaturen und Verschlüsselung
In der App „Mail“ kann der Benutzer Nachrichten senden, die digital signiert und verschlüsselt sind. Die Nutzung der Funktion erfordert in den digitalen Signatur- und Verschlüsselungszertifikaten auf angehängten PIV-Token in kompatiblen Smart Cards die nach Groß- und Kleinschreibung unterschiedenen Namen oder Alternativnamen des Inhabers einer E-Mail-Adresse. Wenn eine konfigurierte E-Mail-Adresse mit einer E-Mail-Adresse im digitalen Signatur- oder Verschlüsselungszertifikat des PIV-Token übereinstimmt, zeigt die App „Mail“ in einer neuen Symbolleiste automatisch die Taste zum Signieren der E-Mail an. Das Schloss-Symbol signalisiert, dass die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und in dieser Form gesendet wird.
Wrapping für Schlüsselbund
Für die Anmeldung mittels eines Accounts muss ein Verschlüsselungsschlüssel – auch als Schlüsselverwaltungsschlüssel (Key Management Key, KMK) bezeichnet – vorhanden sein, damit das Umschließen des Schlüsselbunds (Wrapping) erfolgen kann. Das Fehlen des Schlüsselverwaltungsschlüssels führt dazu, dass der Benutzer immer wieder zur Eingabe des Passworts für den Anmeldeschlüsselbund während der Anmeldesitzung aufgefordert wird, was ein schlechtes Benutzererlebnis zur Folge hat. Darüber hinaus kann diese Nutzung eines Passworts ein Problem in Umgebungen sein, in denen Smart Cards vorausgesetzt werden. Wenn bei der Anmeldung mit einer Smart Card ein Schlüsselverwaltungsschlüssel vorhanden ist, ist das Schlüsselbunderlebnis ähnlich wie bei einer passwortbasierten Anmeldung: Der Benutzer wird nicht wiederholt dazu aufgefordert, das Schlüsselbundpasswort für die Anmeldung einzugeben.
Payload „Smartcard“
Die Payload „Smart Card“ auf der Apple Developer-Website enthält Supportinformationen für die Mobilgeräteverwaltung (MDM) von Smart Cards. Die Smart Card-Unterstützung bietet die Fähigkeit, Smart Cards zu erlauben, Smart Cards zu erzwingen, eine Smart Card-Paarung pro Benutzer zu gestatten, die Vertrauenswürdigkeit von Zertifikaten zu überprüfen und Token zu entfernen (Bildschirmschoner-Sperre).
Hinweis: MDM-Betreiber können auswählen, ob die Payload für die Smart Card implementiert werden soll. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, ob die Payload für die Smart Card unterstützt wird.