Schlüsselbund (Software)

Der Schlüsselbund ist ein System von Apple zur Verwaltung von Kennwörtern und digitalen Zertifikaten. Es erschien erstmals in Mac OS 8.6 als Teil von Apples Mail-System PowerTalk, und ist seit Mac OS 9 in das System integriert.

Zugriff darauf erhält der Nutzer über das Dienstprogramm Schlüsselbundverwaltung. Außerdem ist unter Mac OS X das Kommandozeilenprogramm security^[1] verfügbar.

Der Schlüsselbund ist auch in iOS enthalten; dort kann der Nutzer allerdings nicht direkt darauf zugreifen.

Schlüsselbunde

Ein Schlüsselbund ist eine Datei, in der Kennwörter (etwa für Internetseiten oder drahtlose Netzwerke), digitale Zertifikate und sichere Notizen gespeichert werden können. Standardmäßig besitzt jeder Benutzer einen eigenen und das System einen gemeinsam genutzten Schlüsselbund. Über das Programm Schlüsselbundverwaltung können weitere Schlüsselbunde hinzugefügt und verwaltet werden. Standardmäßig sind drei Schlüsselbunde vorhanden:

• Den Benutzer-Schlüsselbund (Anmeldung genannt; befindet sich unter ~/Library/Keychains/) kann der jeweilige Benutzer verändern; er beinhaltet z.B. persönliche Zertifikate oder Passwörter.
• Im System-Schlüsselbund (System genannt; befindet sich unter /Library/Keychains/) werden z.B. Zertifikate für alle Nutzer oder WLAN-Passwörter gesichert.
• Ein besonderer Schlüsselbund ist System-Roots: in ihm befinden sich sämtliche Root-CAs des Systems und vertrauenswürdige Zertifizierungsinstanzen.

Zudem kann es je nach Konfiguration, etwa in Firmennetzwerken unter /Network/Library/Keychains/, weitere Schlüsselbunde geben.

Sicherheit

Alle Schlüsselbunde sind mit einem Passwort gesichert. Der Benutzer-Schlüsselbund wird mit dem Benutzer-Passwort verschlüsselt und beim Login geöffnet, und erst beim Abmelden wieder geschlossen.

Weitere Schlüsselbunde können mit eigenen Passwörtern gesichert werden, und es kann festgelegt werden, dass sich der Schlüsselbund nach einigen Minuten Inaktivität schließt.

Standardmäßig muss man, um den Inhalt von z.B. Passwörtern oder sicheren Notizen anzuzeigen, das Passwort eingeben, selbst wenn der Schlüsselbund geöffnet ist.

Funktionen

Zertifikate

Die Schlüsselbundverwaltung bietet eine sehr umfangreiche Verwaltung für digitale Zertifikate. Unter anderem ist folgendes möglich:

• Anzeigen von Zertifikat-Details und Überprüfung der Zertifikate.
• Zertifikaten kann das Vertrauen entzogen oder gegeben werden.
• Erstellung einer Zertifizierungsstelle (CA), mit OpenSSL als Backend. Seit Mac OS X Lion ist auch die Erstellung einer Root-CA möglich.
• Erstellung selbst-signierter Zertifikate.
• Erstellung von Zertifikatsanfragen zur Stellung an eine CA.
• Speichern von Public und Private Keys.

Genau genommen findet die Erstellung/Signierung von Zertifikaten nicht in der Schlüsselbundverwaltung statt, sondern im Programm Zertifikatsassistent. Die Schlüsselbundverwaltung dient somit lediglich der Anzeige und Verwaltung von Zertifikaten.

Passwörter

Benutzer und Programme können Passwörter in den Benutzerschlüsselbund schreiben. Auf diese Weise sind z.B. das E-Mail-Passwort oder Passwörter für Websites sicher gespeichert, und der Nutzer muss sie nicht jedes Mal neu eingeben.

Standardmäßig ist der Zugriff nur dem Programm erlaubt, das den Eintrag erstellt hat; greifen andere Programme darauf zu, erscheint eine Warnung. Der Benutzer kann dieses Verhalten aber ändern.

Die Schlüsselbundverwaltung bietet weiterhin einen Passwortgenerator für beliebig sichere Kennwörter.

Sichere Notizen

Benutzer können zudem sogenannte sichere Notizen erstellen und in einen Schlüsselbund speichern. Diese Notizen werden, wie der Rest des Schlüsselbunds, verschlüsselt gespeichert.

Technologie

Der Schlüsselbund besteht aus zwei Teilen: dem UI (z.B. die Schlüsselbundverwaltung oder das Kommandozeilen-Tool security) und dem dahinter liegenden Framework.

Apple hat das den Quelltext des Frameworks, libsecurity_keychain, unter der Apple Public Source License veröffentlicht.^[2]

Für Entwickler bietet Apple mit Security.framework ein öffentlich dokumentiertes^[3] C-API für libsecurity_framework an; mit diesem API können Programme auch den Schlüsselbund lesen und schreiben.^[4]

Die Schlüsselbunde selber sind mit Triple DES verschlüsselt; für Root-CAs unter Mac OS X Lion wird Elliptic Curve Cryptography verwendet.

Einzelnachweise

1. ↑ security(1) Mac OS X Manual Page. Abgerufen am 13. November 2011.
2. ↑ Repository auf Apple Open Source. Abgerufen am 12. November 2011.
3. ↑ Security Framework Reference. Abgerufen am 12. November 2011.
4. ↑ Keychain Services Reference. Abgerufen am 13. November 2011.