Az Apple számára a felhasználói adatok maximális biztonságának előteremtése nem új igény: a kulcskarika rendszer, amely a felhasználók jelszóit, biztonságos jegyzeteit, bejelentkezési adatait, illetve kulcsait és tanúsítványait kezeli, már a Mac OS 8.6-ban bemutatásra került, és a Mac OS 9 mellett az macOS rendszerekbe is továbbfejlődött. A kulcskarika rendszer felhasználói szinten a Keychain Access / Kulcskarika hozzáférés nevű programban érhető el, amely a Macintosh HD: Applicatoins: Utilities (Command + Shift + U) mappában található. A szolgáltatás az macOS 10.9 Mavericks változattal egy iCloud Keychain nevű, felhő alapú funkcióval egészült ki, amely az iOS eszközeinket is bekapcsolja a kulcskarika kezelés rendszerébe, megosztja velük azok minden előnyét és kényelmét.
Az Apple az internet terjedésével párhuzamban felismerte, hogy a felhasználók több és több bejelentkezési nevet és jelszót használnak. (A kulcskarika rendszer elődje tulajdonképpen a cég 1990-es évek elején bemutatott PowerTalk nevű levelező kliensének jelszó kezelő mechanizmusa volt.) A jelszavak használata akkor a legbiztonságosabb, ha sehol sem tároljuk el őket, hanem emlékszünk rájuk. Ez azonban szinte lehetetlen, így az Apple olyan megoldást alkalmazott, amely biztonságos és kényelmes egyben. A Keychain Access / Kulcskarika hozzáférés alkalmazás gondoskodik a kulcskarikák titkosításáról, nyitásáról, karbantartásáról és kezeléséről. A kulcskarika iratok úgynevezett Triple DES (háromszoros adattitkosítási algoritmus) technológiával kerülnek titkosításra, vagyis a rendszer a már titkosított adatokat még kétszer továbbtitkosítja. Így az első, igen hosszadalmas és nehézkes szint feltörése értelmezhetetlen kódolt adatok eléréshez vezetne csupán. A titkosítás olyan hatékony, hogy a rendszert még az Apple maga sem tudja feltörni, vagyis a kulcskarikán tárolt anyagok maximálisan védettek.
A Keychain Access program a rendszer által használt biztonsági szolgáltatásokon (System nevű kulcskarika) túl az macOS minden egyes felhasználója számára biztosít egy login kulcskarikát, amelyen a felhasználó által mentett bizalmas adatok találhatóak. A login kulcskarika az macOS régebbi verzióira készült szoftverekkel való kompatibilitást hivatott biztosítani, az Apple ugyanis továbbfejlesztette a rendszert, hogy annak tárolási módja kompatibilis legyen az iOS rendszerekkel. Az új tárolási mechanizmus a Local Items nevű kulcskarikán belül található. Local Items kulcskarikát csak akkor látunk, ha a Mac üzembe helyezésekor - vagy később - nem aktiváltuk az iCloud kulcskarika funkciót. Amennyiben ez aktív, úgy a Local Items helyett az iCloud felirat látható. Az iCloud kulcskarika révén tehát a jelszóink automatikusan szinkronizálódnak az Apple szervereire, és onnan az iOS eszközeinkre az említett háromszoros titkosítási algoritmussal.
A rendszerben lévő kulcskarikák helye:
Macintosh HD: System: Library: Keychains
Macintosh HD: Library: Keychains
Macintosh HD: Users: ~ (felhasználói fiók): Library: Keychains
Amennyiben adtunk meg mesterjelszót (Master Password), úgy annak titkos változata a Macintosh HD: Library: Keychains mappában található FileVaultMaster.keychain nevű iratban található.
A rendszerben (System) található kulcskarikák olyan alapvető szolgáltatásokhoz biztosítanak adatokat, mint a Certificate Authority (tanúsító hatóság).
A helyi Library / Könyvtár mappában olyan kulcskarika elemek tárolódnak, amelyek a Mac összes felhasználója számára hozzáférhetőek - például megbízható WiFi hálózatok, 802.X jelszók, amelyeket konfigurációs profilon keresztül telepítettünk, internet kapcsolat jelszói, stb.
A felhasználói fiókon belüli Keychains mappában az adott felhasználó által eltárolt személyes jelszók találhatóak, mint email fiókok jelszói, weblapok bejelentkezési adatai, biztonságos jegyzetek.
Az iCloud kulcskarika ez utóbbiak adatait szinkronizálja, tehát csak az adott felhasználó adatait.
A kulcskarika rendszer működése
Az Apple a kulcskarika rendszert úgy alkotta meg, hogy az a lehető legkényelmesebb legyen, a legkevésbé nehezítse a biztonság a felhasználók életét. Ennek célja, hogy az emberek éljenek a kulcskarika biztonságának lehetőségével, hiszen mit sem ér a jó biztonsági megoldás, ha nem használják.
Többek között ilyen kényelmi megoldás az, hogy a felhasználói fiókunk jelszava alapértelmezés szerint azonos a kulcskarika jelszóval, vagyis a kulcskarika a bejelentkezéskor nyílik, és az operációs rendszer hozzáfér a jelszókhoz.
Jelszót és belépési adatokat leggyakrabban a Safari böngésző révén tárolunk el. Amikor egy biztonságos weblapra - például a választott pénzintézetünk lapjára, vagy egy webes levelező szolgáltatás oldalára, netán egy szakmai fórumra - látogatunk, a belépési név és jelszó megadásakor a Safari böngésző rákérdez, hogy tárolja-e az adatainkat. Ilyenkor a Safari a Keychain Access / Kulcskarika hozzáférés programmal kommunikál, és ha kérjük a tárolást, akkor azt a Keychain Access / Kulcskarika hozzáférés végzi el. Amennyiben az iCloud kulcskarika aktív, úgy alapértelmezés szerint azon, annak érdekében, hogy egyéb eszközeink is ismerjék ezt a belépési adatot.
Amennyiben a felhasználói fiókunk jelszavát módosítjuk a System Preferences / Rendszerbeállítások alkalmazás Users & Groups / Felhasználók és csoportok felületén, akkor az macOS a megváltoztatott jelszót automatikusan továbbítja a Keychain Access / Kulcskarika hozzáférés irányába. Vagyis a következő bejelentkezésnél is automatikusan nyílik a kulcskarika. Amennyiben a jelszót máshol változtatjuk meg - például a Recovery HD partícióról indulva a Reset Password alkalmazásban töröljük a régi jelszót és újat adunk meg -, akkor az macOS nem hajtja végre a szinkronizálást. Ennek célja, hogy védje a kulcskarikán lévő adatainkat. Amennyiben ugyanis nincsen a Mac-en FileVault vagy nem használunk Firmware jelszót, akkor bárki meg tudja változtatni akár az adminisztrátori jelszónkat, aki a Mac-hez hozzáfér. Ha ilyenkor szinkronizálódna a kulcskarika jelszó is, akkor egy tolvaj hozzáférhetne az összes bizalmas adatunkhoz. Az Apple azonban úgy gondolta, hogy a kulcskarika jelszót csak az változtathassa meg, aki a korábbi kulcskarika jelszót ismerte. Amennyiben a korábbi jelszó nincsen a birtokunkban, akkor a kulcskarikán tárolt adatok örökre elvesznek.
Hasznos képesség az macOS rendszerben, hogy a jelszavak változtatása utáni első bejelentkezéskor a rendszer felajánlja, hogy frissítse az adott bejelentkezéshez tartozó jelszót a kulcskarikán. Vagyis ha módosítjuk egy weblapon a bejelentkezési adatainkat, akkor az első, új jelszóval való belépéskor lehetőség van a frissítésre, amely az iCloud kulcskarika használata esetén minden eszközünkre szinkronizálódik.
Saját kulcskarika létrehozása
Az macOS rendszer korlátlan számú saját kulcskarika létrehozását teszi lehetővé. Ezek azonban az alapértelmezett kulcskarikától függetlenül működnek - külön nyílnak, külön záródnak, a felhasználói fiók jelszavának változtatásakor ezek jelszava nem módosul.
Saját kulcskarikát a Keychain Access / Kulcskarika hozzáférés programon belül a File / Fájl menü New Keychain… / Új kulcskarika… paranccsal tudunk létrehozni. A megjelenő párbeszédablakban el kell neveznünk az új kulcskarikát, majd egy erős jelszót kell megadni és azt megismételni. Az új kulcskarikára szabadon menthetünk tartalmakat, például biztonságos jegyzeteket.
Megjegyzés: Mivel a szinkronizálás kényelme révén a legésszerűbb az iCloud kulcskarika használata, így saját kulcskarikát tipikusan biztonságos jegyzetek tárolására hozunk létre.
Van azonban még egy eshetőség, amikor új kulcskarikát szeretnénk létrehozni: ez pedig az a szituáció, amikor a céges biztonsági politikánk megköveteli, hogy a jelszókat nem szinkronizálhatjuk külső szerverre, és nem tárolhatjuk a Mac-en sem. Ezt taglalja a következő cikkely.
A kulcskarika rendszer biztonságának maximalizálása
Az macOS kulcskarika rendszer úgy lett tervezve, hogy az a lehető legkényelmesebb legyen. Előfordul azonban, hogy ez egy céges környezetben nem előny, hanem inkább biztonsági kockázat. A kulcskarikára ekkor is rábízhatjuk a bizalmas tartalmainkat, hiszen azt lehetőség van akár egy külső adattárolón hordozni.
Amennyiben nem szeretnénk, hogy az adatainkat tartalmazó kulcskarika rajta legyen azon a számítógépen, amelyet például a munkahelyen használunk, akkor lehetőség van azt akár egy USB kulcsra vagy egy külső SSD-re elhelyezni, és a kulcskarikánk csak a meghajtó felcsatolása után lesz elérhető a rendszer számára. Ha a meghajtót lecsatoljuk, akkor a jelszóink és bizalmas adataink ismét elérhetetlenné válnak.
Tipp: A meghajtókat szintén mód van titkosítani, amely révén AES 128 bites kódolással kerülnek levédésre, és csak saját jelszónkkal tudjuk hozzáférhetővé tenni a rajtuk tárolt adatokat.
A biztonsági szakemberek erre a célra olyan megoldásokat javasolnak, mint a biometrikus meghajtók, amelyek például ujjlenyomat alapján azonosítják a felhasználót. Praktikusabb lehet azonban a jelszóval való titkosítás. Erre a jelszóra azonban emlékeznünk kell, hiszen ezt nem tárolhatjuk el a kulcskarikán, mivel az külső meghajtón lesz megtalálható.
A művelet módja a következő: hozzuk létre a használni kívánt jelszót a Keychain Access / Kulcskarika hozzáférés programban a fentebb vázolt módon! Mentsük el rá a bizalmas tartalmainkat, illetve jelszóinkat!
A Macintosh HD: Users: ~: Library: Keychains mappában keressük meg! A Library mappa alapból nem látható a rendszerben. Eléréséhez a Finder Go / Ugrás menüre kattintva az Alt billentyűt kell nyomva tartanunk, s ekkor láthatóvá válik a Library elem, amelyet kiválasztva meg tudjuk nyitni a Library mappát, és benne megtalálni a Keychains mappát.
Másoljuk ke a kívánt kulcskarikát a biztonságos külső meghajtóra! Ezt követően a Keychain Access / Kulcskarika hozzáférés program felületén keressük meg az adott kulcskarikát, és a Törlés / Backspace billentyű segítségével kezdeményezzük annak törlését. A megjelenő párbeszéd ablak (Delete Keychain / Kulcskarika törlése) felületén a Delete References & Files / Hivatkozások és fájlok törlése gombra kell kattintani, hogy minden nyomot letöröljön a rendszer. Ezt követően a Finder felületén a Finder menü Secure Empty Trash… / Kuka biztonságos ürítése… parancsot érdemes választani, hogy az adatok garantáltan megsemmisüljenek.
A külső meghajtón lévő kulcskarikát ez után egyszerűen húzzuk be a listára a login alatti felületre, vagy a File / Fájl menüből válasszuk az Add Keychain… / Kulcskarika hozzáadása… parancsot, és keressük ki a fájlrendszerből a kulcskarikát. A hozzáadást követően lehetőségünk van a File / Fájl menüből alapértelmezetté tenni ezt a kulcskarikát: Make Keychain „iJoe” Default / „iJoe” kulcskarika alapértelmezetté tétele.
Ezt követően a rendszer ezt a kulcskarikát keresi az üzemelésekor, de csak akkor éri el, ha az általunk birtokolt és titkosított meghajtó a rendelkezésünkre áll.
Biztonságos jegyzetek (Secure note)
A Keychain Access / Kulcskarika hozzáférés program egyik leghasznosabb képessége a biztonságos jegyzetek létrehozása. Ezek a jegyzetek olyan szöveges tartalmak, amelyek a kulcskarika rendszer biztonságával azonos módon vannak kódolva, azaz gyakorlatilag feltörhetetlenek.
A biztonságos jegyzetek a lista Secure Notes felületén található. Ha még nem hoztunk létre ilyen feljegyzést, akkor a lista üres. Amennyiben szeretnénk létrehozni egyet, előbb válasszuk ki azt a kulcskarikát, amelyen tárolni kívánjuk a feljegyzést: ha például azt szeretnénk, hogy minden Mac gépünkre szinkronizálódjon a jegyzet, akkor az iCloud kulcskarikán érdemes létrehozni. (Utólag bármikor átmásolható egyik kulcskarikáról a másikra a biztonsági jegyzet éppúgy, mint bármely másik elem.)
A jegyzetet a plusz jelre kattintva tudjuk létrehozni, és a cím (név) megadását követően a tartalmat is begépelhetjük. A név látszik a listában, de a tartalomhoz csak az férhet hozzá, aki ismeri a kulcskarika jelszót, tehát jó esetben csak az éppen bejelentkezett felhasználó. A jegyzet megtekintéséhez az Infó gombra kell kattintani a listán, amely révén megjelennek a jegyzet adatai - két címke látható az ablak felső részén: az Attributes alatt maga a jegyzet, illetve annak létrehozási és módosítási ideje, míg az Access Control alatt a hozzáférési paraméterek, azok esetleges gyáritól eltérő beállításai találhatóak meg.
A biztonságos jegyzetet csak akkor tudjuk megnézni, ha a Show Note opciót kipipálva megadjuk a felhasználói jelszót - amely alapértelmezés szerint azonos a kulcskarika jelszóval. (Amennyiben a biztonságos jegyzet más kulcskarikán van, vagy a jelszó eltér a felhasználói fiók bejelentkezési jelszavától, akkor az Access Control felület alatt beállíthatjuk, hogy a Keychain Access a kulcskarika jelszót kérje, és ne a felhasználói fiók jelszavát.)
A jelszó megadása után a Show note opciódoboz pipája megjelenik, és a jegyzet szövege is láthatóvá válik. Itt akár módosítani is lehet a szöveget, akár teljesen átírhatjuk azt.
Képzeljük el, mennyire biztonságos az a jegyzet, amely egy FileVault 2 titkosítású lemezen, egy jól kiválasztott erős jelszót alkalmazó kulcskarikán belül található többszörösen kódolva az eleve kódolt tárhelyen. Belátható, hogy az Apple biztonsági technológiái mellett a felhasználó a leggyengébb pontja a rendszernek - például a papír alapú határidő napló belső oldalára felírt jelszavak tárolási mechanizmusa jóvoltából…
Biztonságos jegyzetet törölni egyszerűen a billentyűzet Törlés / Backspace gombjával tudunk.
Kulcskarikák ellenőrzése és javítása
A Keychain Access / Kulcskarika hozzáférés program nem csak megtekintést kínál a kulcskarikákhoz, de akár karbantartási feladatok ellátására is alkalmas. Ha egy kulcskarika látszólag nem működik megfelelően, akkor a Keychain Access / Kulcskarika hozzáférés programmenü Keychain First Aid / Kulcskarika elsősegély parancsát választva tudunk ellenőrzést és javítást lefuttatni. A művelethez a kulcskarika jelszó megadása szükséges.
Bővebb ismeretek a Keychain Access programról
Tanúsítványok és kulcsok kezelése
A tanúsítvány egy kis méretű elektronikus dokumentum, amely az internet alapú adatcsere biztonságos lebonyolításának hitelesítésére szolgál. Használják weblapok, levelező szolgáltatások, csevegőprogramok és több egyéb alkalmazás. A tanúsítvány egy felhasználó digitális identitásának elemét képezi.
Az macOS nyilvános kulcs infrastruktúrája (Public Key Infrastucture, PKI) három elemből áll: tanúsítvány, kulcs és bizalmi szolgáltatások. Mindezek központja a Keychain Access program, amely kezeli a nyilvános és személyes kulcsainkat, illetőleg a tanúsítványokat is.
A tanúsítvány biztosítja azt, hogy a kliens és a szerver közötti titkosított adat megbízható, nem módosul menet közben. A tanúsítványt éppen ezért megbízható külső biztonsági cég adja ki, amelyet a rendszer Certificate Authority (CA; tanúsító hatóság) névvel illet. Amikor egy kommunikáció során a kliens - például a saját Mac gépünk - egy tanúsítványt kap, akkor az macOS összeveti a kapott tanúsítványt az interneten elérhető tanúsítvány minta adattartalmával. Ezzel ellenőrzi, hogy a tanúsítvány hiteles és elfogadható. Amennyiben az összevetés nem vezet eredményre, a tanúsítványt elfogadhatjuk, de a Keychain Access / Kulcskarika elérés figyelmeztetni fog, hogy ez nem egy elfogadott tanúsítvány, hanem a felhasználó bízott meg benne. Az Apple a rendszeren keresztül arra is képes, hogy a tanúsítványokat hiteltelenítse vagy frissítse. Amennyiben egy tanúsítványt feltörnek vagy visszaélnek egy megbízható tanúsítvánnyal, akkor az Apple felhasználói beavatkozás nélkül visszavonhatja annak érvényességét, csakúgy, mint a tanúsítványt kibocsátó Certificate Authority.
A tanúsítvány használatához a rendszer egy úgynevezett nyilvános kulcsot használ, amely szintén a Keychain Access / Kulcskarika hozzáférés programban tárolódik, és amely kvázi a felhasználói fiókunk azonosítását célozza. Ugyanilyen nyilvános kulccsal rendelkezik a tanúsítványt kibocsátó szolgáltató (tehát a szerver, amire csatlakozunk, amellyel adatot cserélünk), illetve a tanúsító hatóság, amely a tanúsítványt hitelesítette.
A kulcskarikánkra kerül minden olyan tanúsítvány, amelyet az internet használata során kapunk vagy manuálisan elfogadunk. Ezeket a Mac eltárolja, hogy ha egyszer elfogadtuk őket, akkor érvényességi idejük alatt ne kelljen újból elfogadni.
A Keychain Access / Kulcskarika hozzáférés segítségével saját tanúsítványt is készíthetünk, például ha valamely üzleti partnerünkkel bizalmas levelezést folytatunk. Ilyen esetben csak el kell neki küldeni a tanúsítványunkat, és máris biztosított, hogy a két Mac között hitelesített kommunikáció zajlik. Ezt a fajta tanúsítványt önhitelesített tanúsítványnak (self-signed certificate) nevezzük. Ennek hitele természetesen nem olyan mértékű, mint a tanúsító hatóság által hitelesített tanúsítványoké.
A tanúsítványokat úgynevezett RSA algoritmussal 2048-bites kulcs mérettel titkosítják annak érdekében, hogy feltörésük ne legyen kivitelezhető racionális idő alatt. (Szándékosan nem használjuk a feltörhetetlen kifejezést, hiszen minden titkosítás feltörhető, ám az arra fordított számítási erőforrás és idő mértéke a komolyabb titkosításnál annyira nagy, hogy nincsen reális esély a feltörésre.)
A Keychain Access / Kulcskarika elérés szoftverben a felhasználók által gyakrabban használt menük helyett a programmenüben található a Certificates menüpont. Itt van lehetőség az említett saját tanúsítvány létrehozására a Create Certificate… parancs kiválasztásával. Ez a parancs a Certificate Assistant nevű alkalmazást indítja el.
A Certificate Assistant programban elnevezhetjük a tanúsítványt, illetve kiválaszthatjuk, hogy a létrehozott tanúsítvány ön-hitelesített tanúsítvány legyen, vagy kitüntetett tanúsítvány (Leaf). Az önhitelesített tanúsítvány kihagyja a tanúsító hatóságot a képletből, míg a Leaf tanúsítvány típusban érintett egy közvetítő tanúsító hatóság.
A tanúsítvány típusának megadása azért szükséges, mert a gyakorlat szerint egy tanúsítványt egy bizonyos felhasználási célra bocsátanak ki. Ezt nevezik úgynevezett kulcs használati kötöttségnek (key use restriction), amely révén biztosított, hogy ugyanaz a tanúsítvány nem használható például egy biztonságos weblapon és egy levelezőrprogramban is. Ezzel a tanúsítvány biztonsága fokozható.
A Let me override defaults opció kipipálásával olyan paraméterek módosíthatóak, mint a tanúsítvány érvénytartama - ez alapból 365 nap -, illetve a sorozatszáma. Megadhatóak továbbá olyan paraméterek, mint a tanúsítvány kibocsátójának címe és neve, valamint szabadon választhatunk titkosítási módszerek közül: 1024, 1200, 1400, 1600 és 2048 bites kódolást is választhatunk, illetve az RSA (Ron Rivest, Adi Shamir, Leonard Adleman) mellett a DSA (Digital Signature Algorithm) és az ECC (Error Control Coding) titkosítási technológiáját is használhatjuk.
A létrehozott tanúsítványt a rendszer az éppen kiválasztott kulcskarikára helyezi el, ahonnan természetesen szabadon másolhatjuk vagy mozgathatjuk máshová, és elküldhetjük bárki számára, akivel szeretnénk a tanúsítvány védelme alatti kommunikációt folytatni.
Tipp: A Keychain / Kulcskarika menü használata
Végezetül pedig egy hasznos funkció a Keychain Access / Kulcskarika elérés program jóvoltából: a Keychain / Kulcskarika menü. Ezt a program beállításai között a General / Általános címke alatt tudjuk bekapcsolni a Show keychain status in menu bar / Kulcskarika állapot megjelenítése a menü soron opció kipipálásával.
Ekkor az operációs rendszer felső menüsorán egy lakat lesz látható, amely a kulcskarika állapotára is utal: ha az zárva van, akkor a lakat is zárt, amennyiben nyitva van a kulcskarika, úgy a lakat is nyitva lesz.
Ennek a menünek egy igen hasznos funkciója, hogy képes egy lépésben lezárni a képernyőt vagy a képernyőket, vagyis ha hirtelen kell elmennünk a Mac elől, akkor nem kell megvárnunk, amíg a képernyővédő betöltődik vagy a gép elalszik, és lezárul a kijelző, hanem egyszerűen lezárhatjuk a képernyőt rögtön, mielőtt távoznánk.
A menüből becsukhatjuk a kulcskarikák lakatjait, és megnyithatjuk mind a Keychain Access / Kulcskarika hozzáférés, mind pedig a System Preferences / Rendszerbeállítások programokat is.
© MacMag.hu | Cikk: Biricsik József 2003.
Frissítve: 2014. 09. 21. 23:16; 2014. 09. 22. 23:19
Keresés a lap tartalmában a Google motorja segítségével: