Пантера программирование брелка

Эта глава из книги

Доступ к связке ключей

Использование Интернета-это нескончаемая борьба за отслеживание паролей для почтовых серверов. Файловых серверов. Веб-сайтов и другой личной информации. Программное обеспечение Keychain Access (path: /Applications/Utilities/Keychain Access) автоматически хранит пароли от приложений с поддержкой Keychain. Таких как Mail и Safari. Пользователи также могут вручную добавлять свои собственные пароли в связку ключей. Позже брелок можно будет разблокировать. Чтобы открыть исходный пароль открытого текста.

ОСТОРОЖНОСТЬ

Брелок по умолчанию разблокирован паролем вашей учетной записи. Конфиденциальная информация лучше всего помещается во вторичную связку ключей с другим паролем; в противном случае один компромисс вашей учетной записи разблокирует доступ ко всей вашей информации.

Прочитайте, как добавить новые цепочки ключей в разделе

Брелки и Область действия брелка

По умолчанию все пользователи имеют свою собственную связку ключей с именем login. Это называется пользовательской связкой ключей. Дополнительные пользовательские брелки могут быть созданы для хранения определенной информации. Такой как номера кредитных карт. Пин-коды и т. Д. Думайте о связке ключей как о базе данных вашей самой конфиденциальной информации. Доступной через пароль вашей учетной записи Mac OS X.

В дополнение к пользовательским брелкам Глобальные брелки доступны всем пользователям системы. Глобальная связка ключей может быть создана администратором и передана другим пользователям системы. Примером полезности этой функции является создание связки ключей с корпоративными регистрационными данными для файловых серверов интрасети. Которые должны быть доступны всем.

Пользовательские брелки хранятся в ~/Library/Keychains, тогда как Глобальные брелки находятся в

/Library/Keychains.

Автоматизированный Доступ

Запуск Keychain Access отображает содержимое вашего имени входа по умолчанию. Для учетной записи. Которая использовала связку ключей для хранения паролей файлового сервера. Данных проверки подлинности HTTP и т. Д., Окно доступа к связке ключей должно выглядеть так. Как показано на рис.3.32.

Рис. 3.32Рис. 3.32 В окне Keychain Access отображается список сохраненных паролей и другая информация.

Напрашивается очевидный вопрос: Они были добавлены приложениями Mac OS X. Обычно. Когда приложение хочет сохранить что-то в связке ключей. Вам будет предоставлена возможность сохранить его.

Например, при доступе к сайту. Который требует проверки подлинности HTTP. Некоторые веб-браузеры представляют диалоговое окно. Запрашивающее имя пользователя и пароль и предлагающее Выбор этих параметров автоматически добавляет введенный пароль к связке ключей по умолчанию. Со временем ваш брелок может быть заполнен сотнями элементов. И вы можете никогда этого не узнаю!

Когда приложение хочет получить доступ к информации из вашей связки ключей. Оно должно сначала убедиться. Что связка ключей разблокирована. Связка ключей Mac OS X по умолчанию автоматически разблокирована при входе в учетную запись. Что делает ее пароли доступными для приложений. Которые их хранили.

Чтобы вручную заблокировать или разблокировать связку ключей. Нажмите кнопку блокировки в верхней части окна Доступа к связке ключей. Окно доступа к связке ключей вместе со значком док-станции изменяется. Чтобы отразить его состояние безопасности. Если приложение пытается получить доступ к информации о запертой связке ключей. Оно отображает диалоговое окно. Как показано на рис. 3.33 Ввод правильного пароля (пароля вашей учетной записи для связки ключей по умолчанию) разблокирует связку ключей. К которой пытается получить доступ ваше приложение . При нажатии кнопки Раскрытия сведений отображается то. Что брелок разблокирован. И приложение. Делающее запрос на брелок.

Рис. 3.33Рис.3.33 Если приложение пытается получить доступ к данным в заблокированной связке ключей. Вам будет предложено ввести пароль связки ключей.

Даже после разблокировки связки ключей приложению может потребоваться немного больше помощи. Прежде чем оно сможет извлечь необходимую информацию из связки ключей. Каждый сохраненный фрагмент информации можно контролировать таким образом. Чтобы он был доступен только для определенных приложений. Например, почтовые пароли доступны только почтовому приложению. Если программа. Которую вы только что скачали из Интернета. Попытается разблокировать ваши пароли к Интернету или электронной почте. Вы поймете. Что происходит что-то гнусное. Иногда, как правило. После обновления системы. Вам придется перевоспитайте свой компьютер Mac OS X о том. Какие приложения могут получить доступ к каким паролям. Это простой процесс.

Когда связка ключей замечает неавторизованное приложение. Пытающееся получить доступ к фрагменту информации. Она предлагает пользователю с помощью окна запретить доступ. Разрешить его только один раз (Разрешить один раз) или разрешить приложению получить доступ к информации в любое время (Всегда разрешать). Как показано на рис. 3.34.

Прежде чем сделать выбор. Всегда нажимайте кнопку Раскрытия информации. Чтобы просмотреть. К какой цепочке ключей осуществляется доступ и какое приложение хочет получить эти данные. Если вы не распознаете приложение. Нажмите кнопку Запретить. Чтобы запретить доступ.

Рисунок 3.34Рис.3.34 Каждое приложение должно быть авторизовано для доступа к определенной информации.

Работа с элементами связки ключей

Пользователи. Которые хотят получить доступ к сохраненным данным или вручную добавить новую информацию в связку ключей. Могут сделать это с помощью программы связки ключей. Каждый элемент. Указанный в окне связки ключей. Можно просмотреть. Выбрав его. Веб-записи можно запустить в веб-браузере. Выбрав ресурс и нажав кнопку Перейти на панели инструментов. Список элементов связки ключей можно отсортировать с помощью представления. Сортировки или щелчка по заголовкам в представлении списка.

В нижней части окна отображается информация о записи связки ключей с помощью панели кнопок с двумя записями: Атрибуты и Управление доступом.

Атрибуты

Кнопка Атрибуты. Как следует из ее названия. Предоставляет основную информацию о сохраненной информации. Например, на рис. 3.35 показаны атрибуты пароля IMAP в моей цепочке ключей по умолчанию. Поле Вид определяет тип информации. Где отображается ресурс. Хранящий эту информацию. А Учетная запись отображает создающую учетную запись пользователя. Пользователи могут добавлять любые дополнительные комментарии к элементу. Введя их в поле Комментариев. Нажмите кнопку Показать пароль. Чтобы отобразить пароль в открытом виде.

ЗАПИСКА

Когда вы нажимаете кнопку Показать пароль. Вам часто предлагается разрешить доступ к связке ключей для извлечения данных. Хотя это может показаться странным. Это происходит потому. Что сам доступ к связке ключей должен подчиняться тем же правилам. Что и остальная часть системы. Поскольку Keychain Access не указан как имеющий неограниченный доступ к хранящимся элементам. Он запрашивает каждый раз. Когда ему нужно получить информацию.

Вы можете изменить любой из атрибутов элемента на панели Атрибуты. Нажмите кнопку Сохранить изменения в правом нижнем углу. Чтобы сохранить внесенные изменения.

Рисунок 3.35Рисунок 3.35 На панели Атрибуты отображается. Какой тип данных хранится и когда он был добавлен в связку ключей.

Контроль доступа

Панель управления доступом позволяет пользователю выбирать. Какие приложения могут получить доступ к заданной части информации в связке ключей. Как показано на рис. 3.36, элементы управления этой панелью просты. Нажмите кнопку Разрешить всем приложениям доступ к Этому элементу. Чтобы прозрачно обеспечить доступ к ресурсу без взаимодействия с пользователем.

Вы можете указать отдельные приложения. Нажав кнопку Подтвердить перед разрешением доступа; затем используйте кнопки Добавить и удалить. Чтобы добавить и удалить приложения из списка. Оставьте список приложений пустым. Чтобы всегда принудительно подтверждать. Наконец, установите флажок Запрашивать пароль связки ключей. Чтобы заставить пользователя вводить пароль каждый раз при подтверждении доступа.

Рис. 3.36Рис. 3.36 Панель управления доступом обеспечивает контроль над тем. Какие приложения могут получить доступ к части данных.

Добавление Новых Записей

Новые фрагменты информации можно добавить в связку ключей. Нажав кнопку Добавить в главном окне связки ключей или выбрав Файл, Создать. Затем пункт Пароль или Безопасная заметка из меню или нажав кнопки Пароль или Заметка на панели инструментов. Это действие открывает новое окно. Как показано на рис. 3.37, для ввода данных. Подлежащих хранению. Введите имя или URL-адрес сохраненного элемента в поле Имя. Имя учетной записи. Связанное с данными в поле Учетная запись. И, наконец. Конфиденциальные данные в поле Пароль. По умолчанию пароль скрыт при вводе. Чтобы отобразить пароль в том виде. В каком он был введен. Установите флажок Показывать ввод. Когда закончите. Нажмите кнопку Добавить. При создании защищенной заметки отображаются только имя и поле заметки.

Figure 3.37Figure 3.37 New items can easily be added manually to an existing keychain.

To remove any item from the keychain (either automatically or manually entered). Select its name in the list and then click the Delete toolbar button. Or choose Edit, Delete.

Adding Certificates

Digital certificates are used to provide authoritative identification information for people and services online. Secure Web sites use certificates to prove that they are legitimate (as you’ll see in Chapter 27). Another use. Fully supported in Panther. Is that of providing secure mail services to and from clients that support the S/MIME standard (see http://www.rsasecurity.com/standards/smime/faq.html for details).

To support encryption in mail. You must add an X.509 digital certificate containing a private and public key. The public key is used to sign outgoing messages so that other users can encrypt mail to you, which. Subsequently is decrypted with your private key. Other users who sign their outgoing messages with their public key (using the S/MIME standard) can send you mail. And the Mac OS X Mail application automatically saves a certificate with their public key to your keychain. This, in turn. Allows you to send encrypted messages to that person.

To obtain a certificate for signing mail. Contact a Certificate Authority (CA). Such as http://www.verisign.com/products/class1/index.html or http://www.thawte.com/html/COMMUNITY/personal/. Or do a Google search for «free email certificate» to turn up several dozen free options.

Unfortunately. Not many certificate services (if any) can easily provide the certificates in a format that is Mac OS X «Mail» ready. As a result. It is difficult to predict how you will «get» your certificate. Some users in similar situations report success importing the certificates into browsers such as Netscape (http://www.netscape.com) or Opera (http://www.opera.com) and then using the export options in these browsers to save the certificate in a .cer, .crt, or .p7c (among others) file. I’ve personally had success importing the certificate into Outlook (most certificate services are already set up to import into Outlook) and then exporting from Outlook. Whatever your technique. You should eventually end up with a certificate that can be imported into Keychain Access.

To import a certificate. Double-click it (if it is a recognized type). Or choose File. Import and choose the file. Keychain Access displays an import dialog box. As shown in Figure 3.38.

Figure 3.38Figure 3.38 Import a digital certificate into Keychain Access.

Choose the keychain to add the certificate to and then click OK. If you want to view the certificate before saving it. Click the View Certificates button. After an S/MIME certificate has been added. The encryption features «appear» in Mail. As described in Chapter 4.

Certificates can be selected in the Keychain element list to view their contents and change their Trust settings. Trust Settings can be altered such that permission is required each time a certificate is accessed. Or a certificate is always trusted.

Managing Keychains

Each user account can have as many keychains as needed. Including systemwide Global keychains. Click the Keychains toolbar button to manage the keychains stored in your user account; the window drawer shown in Figure 3.39 appears.

Figure 3.39Figure 3.39 Use the Keychain List to manage your available keychains.

As mentioned earlier. A default keychain is generated for each user account named login. Also included is a default Global keychain named System shared throughout all user accounts.

New keychains can be created by choosing File. New Keychain. You are prompted for a name and a save location for the keychain. The default for a User keychain is ~/Library/Keychains; Global keychains should be stored in /Library/Keychains.

Next, you need to enter a passphrase that unlocks the new keychain. It’s best to choose something different from your account password to prevent people who might gain access to your account from seeing your most sensitive information. If you want to add an existing keychain file (perhaps from your account on another Mac OS X machine), use File. Add Keychain from the menu. And then choose the keychain file on your drive.

When the new keychain is added or created within an account. You can switch to it by choosing its name from the Keychain window drawer. You can make a keychain your default keychain (displacing login), by choosing File. Make Keychain Default.

NOTE

To move entries from one keychain to another. Select the items you want to move and then drag them to the appropriate keychain in the keychain drawer.

To remove a keychain from the system. Highlight its name in the list and then press the Delete key.

Unlock or lock keychains in the drawer using the Lock/Unlock toolbar icons.

TIP

You can add a Keychain menu extra to your menu bar by choosing View. Show Status in the menu bar. This extra provides the capability to lock and unlock any one of your keychains at any time.

Creating Global Keychains

Global keychains are identical to User keychains but have a flag toggled to make them available to all users—the Global flag (surprise). You can convert any keychain to or from Global keychain status using the Keychain List (Window. Keychain List; Command-Option-L). The Keychain List is shown in Figure 3.40.

Figure 3.40Figure 3.40 Manage User and Global keychains.

The pop-up menu at the top of the list enables you to choose between User (your keychains) and System keychains. System keychains are keychains stored at the System (/Library/Keychains) level but not necessarily Global keychains. If installing a keychain for everyone on the system. It should be stored as a System keychain and should also be set as a Global keychain.

To convert a keychain to or from global status. Highlight it in the Keychain List; then use the Global check box to change its status. System Global keychains automatically show up in other users’ Keychain Lists.

Keychain Settings and Passwords

The Keychain Access application has no preferences. But it does allow some control over each keychain file. Such as modifying the password that unlocks the keychain. To open the settings. Highlight the appropriate keychain from the Keychains drawer and then choose Edit. Change Settings for Keychain. You should see a new window. Much like the one shown in Figure 3.41.

Figure 3.41Figure 3.41 Set your keychains to lock after a certain length of time.

Within the Settings window. You can use the Lock After XX Minutes of Inactivity setting to force Mac OS X to lock a keychain if it isn’t used for a certain length of time. Clicking Lock When Sleeping causes the keychain to be locked if the computer goes to sleep.

Use Edit. Change Keychain Password to edit the password that unlocks the keychain.

NOTE

If you change the password on your default keychain to something other than your Mac OS X account password. It will not be automatically unlocked when you first log in.

Keychain First Aid

As you work with keychains. A variety of problems can occur. Such as passwords getting out of sync and improper keychains being set as the default. The Keychain First Aid tool can repair some of these common problems for any user account on the system.

To access Keychain First Aid. Choose Window. Keychain First Aid (Option-Command-A). The First Aid window. Shown in Figure 3.42, appears.

Figure 3.42Figure 3.42 Keychain First Aid can repair common Keychain problems.

To verify a user’s keychain. Click the Verify radio button. Enter the username and password. And click the Start button. If problems are found. Switch to Repair mode and then click Start again.

The options button can be used to configure what «repairs» will take place and also offers an option to reset to a «factory fresh» default keychain.

The First Aid features are best for fixing problems for users who have accidentally messed up their default login keychain. It does not fix a keychain that has suffered data corruption or recover information that has otherwise been lost. It is a tool to help you. As an administrator. Handle keychain problems for your users without logging in to their accounts.

Menus

Keychain Access menus provide little additional control over what is offered in the toolbar buttons. Use the File menu to quickly lock all keychains and reset the default keychain for your account. All other functions are readily accessible from the Keychain Access window.