Υποστηριζόμενες λειτουργίες έξυπνων καρτών στο Mac
Το macOS 10.15 ή μεταγενέστερο περιλαμβάνει ενσωματωμένη υποστήριξη για τις ακόλουθες δυνατότητες:
Έλεγχος ταυτότητας: LoginWindow, PKINIT, SSH, προφύλαξη οθόνης, Safari, πλαίσια διαλόγου ελέγχου ταυτότητας, και εφαρμογές τρίτων που υποστηρίζουν το CryptoTokenKit
Υπογραφή: Mail και εφαρμογές τρίτων που υποστηρίζουν το CryptoTokenKit
Κρυπτογράφηση: Mail, Πρόσβαση σε κλειδοθήκη, και εφαρμογές τρίτων που υποστηρίζουν το CryptoTokenKit
Σημείωση: Αν ο οργανισμός σας χρησιμοποιεί λογισμικό τρίτων σε προγενέστερες εκδόσεις του macOS 10.15, να έχετε κατά νου ότι η υποστήριξη για tokend παλαιού τύπου είναι απενεργοποιημένη και οι λύσεις που βασίζονται στο tokend δεν είναι πλέον διαθέσιμες.
Παροχή κάρτας PIV
Για χρήση έξυπνων καρτών με το macOS, πρέπει να συμπληρωθούν κατάλληλα πιστοποιητικά στην υποδοχή 9a (έλεγχος ταυτότητας PIV) και 9d (διαχείριση κλειδιών). Προαιρετικά, ένα πιστοποιητικό θα πρέπει να παρέχεται στην υποδοχή 9c (ψηφιακή υπογραφή) αν απαιτούνται λειτουργίες όπως η υπογραφή email ή εγγράφων.
Όταν χρησιμοποιείτε αντιστοίχιση χαρακτηριστικών (περιγράφεται παρακάτω) με το Active Directory, το Πρωτεύον όνομα NT στο πιστοποιητικό ελέγχου ταυτότητας PIV και η τιμή που είναι αποθηκευμένη στο χαρακτηριστικό dsAttrTypeStandard:AltSecurityIdentities πρέπει να ταιριάζουν με διάκριση πεζών-κεφαλαίων.
Έλεγχος ταυτότητας
Οι έξυπνες κάρτες μπορούν να χρησιμοποιηθούν για έλεγχο ταυτότητας δύο παραγόντων. Οι δύο παράγοντες περιλαμβάνουν «κάτι που έχετε» (την κάρτα) και «κάτι που γνωρίζετε» (το PIN) για ξεκλείδωμα της κάρτας. Το macOS 10.12.4 ή μεταγενέστερη έκδοση περιλαμβάνει εγγενή υποστήριξη για έλεγχο ταυτότητας εισόδου με έξυπνη κάρτα, καθώς και έλεγχο ταυτότητας βάσει πιστοποιητικού πελάτη σε ιστότοπους μέσω του Safari. Το macOS υποστηρίζει επίσης έλεγχο ταυτότητας Kerberos με χρήση ζευγών κλειδιών (PKINIT) για ενιαία σύνδεση σε υπηρεσίες που υποστηρίζονται από το Kerberos.
Σημείωση: Βεβαιωθείτε ότι η έξυπνη κάρτα έχει παρασχεθεί σωστά και περιλαμβάνει ένα πιστοποιητικό εξουσιοδότησης και ένα κλειδί κρυπτογράφησης, αν χρησιμοποιείται για είσοδο στο σύστημα. Το κλειδί κρυπτογράφησης χρησιμοποιείται για περιτύλιξη του συνθηματικού κλειδοθήκης. Η έλλειψη κλειδιού κρυπτογράφησης προκαλεί επαναλαμβανόμενες προτροπές κλειδοθήκης.
Ψηφιακή υπογραφή και κρυπτογράφηση
Στην εφαρμογή Mail, ο χρήστης μπορεί να στέλνει μηνύματα που είναι ψηφιακά υπογεγραμμένα και κρυπτογραφημένα. Η χρήση της δυνατότητας απαιτεί διάκριση πεζών-κεφαλαίων ή εναλλακτικά ονόματα θέματος σε ψηφιακά πιστοποιητικά υπογραφής και κρυπτογράφησης που βρίσκονται σε επισυναπτόμενα διακριτικά PIV σε συμβατές έξυπνες κάρτες. Αν ένας διαμορφωμένος λογαριασμός email αντιστοιχεί σε μια διεύθυνση email σε ψηφιακό πιστοποιητικό υπογραφής ή κρυπτογράφησης στο επισυναπτόμενο διακριτικό PIV, το Mail εμφανίζει αυτόματα το κουμπί υπογραφής email σε μια νέα γραμμή εργαλείων μηνύματος. Το εικονίδιο κλειστής κλειδαριάς υποδηλώνει ότι το μήνυμα θα σταλεί κρυπτογραφημένο με το δημόσιο κλειδί του παραλήπτη.
Περικάλυψη κλειδοθήκης
Για είσοδο στον λογαριασμό, απαιτείται η παρουσία ενός κλειδιού κρυπτογράφησης, γνωστού και ως κλειδιού διαχείρισης κλειδιών, για να λειτουργήσει η δυνατότητα περιτύλιξης συνθηματικών κλειδοθήκης. Σε περίπτωση απουσίας ενός κλειδιού διαχείρισης κλειδιών, ζητείται επανειλημμένα από τον χρήστη το συνθηματικό κλειδοθήκης εισόδου κατά τη διάρκεια της συνεδρίας εισόδου, το οποίο δημιουργεί κακή εμπειρία για τον χρήστη. Επιπλέον, αυτή η χρήση συνθηματικού μπορεί να αποτελεί πρόβλημα σε περιβάλλοντα όπου απαιτούνται έξυπνες κάρτες. Αν υπάρχει κλειδί διαχείρισης κλειδιών όταν ο χρήστης πραγματοποιεί είσοδο με μια έξυπνη κάρτα, η εμπειρία χρήσης της κλειδοθήκης είναι παρόμοια με την είσοδο που βασίζεται σε συνθηματικό, αφού δεν ζητείται επανειλημμένα από τον χρήστη το συνθηματικό κλειδοθήκης εισόδου.
Φορτίο «Έξυπνη κάρτα»
Το φορτίο «Έξυπνη κάρτα» στον ιστότοπο Apple Developer περιλαμβάνει πληροφορίες υποστήριξης για τη διαχείριση φορητών συσκευών (MDM) έξυπνων καρτών. Χάρη στην υποστήριξη έξυπνων καρτών μπορείτε να κάνετε τις εξής ενέργειες: να επιτρέψετε ή να επιβάλετε τη χρήση έξυπνων καρτών, να επιτρέψετε μόνο μία ζευγοποίηση έξυπνης κάρτας ανά χρήστη, έλεγχος αξιοπιστίας πιστοποιητικού και αφαίρεση διακριτικών (κλείδωμα προφύλαξης οθόνης).
Σημείωση: Οι προμηθευτές λύσεων MDM μπορούν να επιλέξουν να υλοποιήσουν το φορτίο «Έξυπνη κάρτας». Για να μάθετε αν υποστηρίζεται το φορτίο «Έξυπνη κάρτα» για τις συσκευές σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.