Encriptación y firma digital
Listas de control de acceso
Los datos del llavero se separan y protegen con listas de control de acceso (ACL). Como resultado, las credenciales almacenadas por las apps de terceros no son accesibles por las apps con otras identidades, a menos que el usuario las haya aprobado de forma explícita. Esta protección proporciona un mecanismo para proteger las credenciales de autenticación en los dispositivos Apple de una amplia variedad de apps y servicios dentro de la organización.
En la app Mail, los usuarios pueden enviar mensajes encriptados y firmados digitalmente. Mail descubre automáticamente la correspondiente dirección de correo electrónico compatible con RFC 5322 (con distinción entre mayúsculas y minúsculas) y el asunto o los nombres alternativos del asunto en la firma digital y los certificados de encriptación en los identificadores de verificación de identificación personal (PIV) adjuntos en las tarjetas inteligentes compatibles. Si una cuenta de correo electrónico configurada coincide con una dirección de correo electrónico en una firma digital o certificado de encriptación en un identificador PIV adjunto, Mail muestra automáticamente el botón de inicio de sesión en la barra de herramientas de la ventana de un nuevo mensaje. Si Mail tiene el certificado de encriptación de correo electrónico del destinatario o puede descubrirlo en la lista global de direcciones (GAL) de Microsoft Exchange, aparece un icono de candado desbloqueado en la barra de herramientas de nuevo mensaje. Un icono del candado bloqueado indica que el mensaje se enviará encriptado con la clave pública del destinatario.
S/MIME por mensaje
iOS, iPadOS y macOS son compatibles con S/MIME por mensaje. Esto significa que los usuarios de S/MIME pueden optar por firmar y encriptar los mensajes siempre por defecto o firmar y encriptar los mensajes individuales de forma selectiva.
Las identidades que se usan con S/MIME se pueden entregar a los dispositivos Apple mediante un perfil de configuración, una solución de gestión de dispositivos móviles (MDM), el protocolo de inscripción de certificados simple (SCEP) o la autoridad de certificación Microsoft Active Directory.
Tarjetas inteligentes
macOS 10.12 o posterior incluye compatibilidad nativa con las tarjetas de verificación de la identidad personal (PIV). Esta tarjeta se utiliza mucho en organizaciones comerciales y gubernamentales para la autenticación de doble factor, la firma digital y la encriptación.
Las tarjetas inteligentes incluyen una o más identidades digitales que tienen un par de claves públicas y privadas y un certificado asociado. Al desbloquear una tarjeta inteligente con el número de identificación personal (PIN), se obtiene acceso a las claves privadas que se usan para las operaciones de autenticación, encriptación y firma. El certificado determina para qué se puede usar una clave, qué atributos están asociados a ella y si está validada (firmada) por una autoridad de certificación (CA).
Las tarjetas inteligentes se pueden usar para la autenticación de doble factor. Los dos factores necesarios para desbloquear una tarjeta son “algo que el usuario tiene” (la tarjeta) y “algo que el usuario conoce” (el PIN). macOS 10.12 o posterior también admite de forma nativa la autenticación con tarjeta inteligente en la ventana de inicio de sesión y la autenticación con certificado de cliente en sitios web en Safari. También es compatible con la autenticación basada en Kerberos mediante el uso de pares de claves (PKINIT) para llevar a cabo un inicio de sesión único en servicios compatibles con Kerberos. Para obtener más información acerca de las tarjetas inteligentes y macOS, consulta Introducción a la integración de tarjetas inteligentes en Implementación de las plataformas de Apple.
Imágenes de disco encriptadas
En macOS, las imágenes de disco encriptadas hacen la función de contenedores seguros en los que los usuarios pueden almacenar o transferir documentos sensibles y otros archivos. Las imágenes de disco encriptadas se crean mediante Utilidad de Discos, que se encuentra en /Aplicaciones/Utilidades/. Las imágenes de disco se pueden encriptar mediante encriptación AES de 128 bits o 256 bits. Dado que una imagen de disco montada se trata como un volumen local conectado a un Mac, los usuarios pueden copiar, trasladar y abrir los archivos y carpetas que se han almacenado en ella. Al igual que ocurre con FileVault, el contenido de una imagen de disco se encripta y desencripta en tiempo real. Con las imágenes de disco encriptadas, los usuarios pueden intercambiar documentos, archivos y carpetas de forma segura guardando una imagen de disco encriptada en un soporte extraíble, enviándola como archivo adjunto de un mensaje de correo o guardándola en un servidor remoto. Si quieres obtener más información acerca de las imágenes de disco encriptadas, consulta el Manual de uso de Utilidad de Discos.