Sikkerhed i Aktiveringslås
Apples måde at håndhæve Aktiveringslås på afhænger af, om enheden er en iPhone eller en iPad, en Mac med Apple Silicon eller en Intel-baseret Mac med Apple T2-sikkerhedschippen.
Virkemåde på iPhone og iPad
På iPhone- og iPad-enheder håndhæves Aktiveringslås under aktiveringen efter skærmen til valg af Wi-Fi i Indstillingsassistent i iOS og iPadOS. Når en enhed anfører, at den er ved at blive aktiveret, sender den en anmodning om et aktiveringscertifikat til en Apple-server. Enheder, der er låst med Aktiveringslås, beder brugeren om iCloud-godkendelsesoplysningerne til den bruger, der slog Aktiveringslås til denne gang. Indstillingsassistent i iOS og iPadOS fortsætter ikke, medmindre der kan fremskaffes et gyldigt certifikat.
Virkemåde på en Mac med Apple Silicon
På en Mac med Apple Silicon kontrollerer LLB, at der findes en gyldig LocalPolicy til enheden, og at værdierne, der forhindrer genafspilning, til LocalPolicy-politikken svarer til de værdier, der opbevares i komponenten til sikker opbevaring. LLB (Low-Level Bootloader) starter i macOS-gendannelse, hvis:
der ikke er nogen LocalPolicy til det aktuelle macOS
LocalPolicy er ugyldig for dette macOS
hash-værdierne til LocalPolicys værdi, der forhindrer genafspilning, ikke svarer til hash-værdierne til de værdier, der opbevares i komponenten til sikker opbevaring.
macOS-gendannelse registrerer, at Mac-computeren ikke er aktiveret og kontakter aktiveringsserveren for at rekvirere et aktiveringscertifikat. Hvis Aktiveringslås er slået til på enheden, beder macOS-gendannelse brugeren om de iCloud-godkendelsesoplysninger, der blev brugt til at slå Aktiveringslås til denne gang. Når der er rekvireret et gyldigt aktiveringscertifikat, bruges aktiveringscertifikatet til at fremskaffe et RemotePolicy-certifikat. Mac-computeren bruger LocalPolicy-nøglen og RemotePolicy-certifikatet til at danne en gyldig LocalPolicy. LLB tillader ikke, at computeren startes i macOS, medmindre der forefindes en gyldig LocalPolicy.
Virkemåde på Intel-baserede Mac-computere
På en Intel-baseret Mac med en T2-chip kontrollerer firmwaren på T2-chippen, at der forefindes et gyldigt aktiveringscertifikat, før den tillader, at computeren startes i macOS. UEFI-firmware, der er indlæst af T2-chippen, er ansvarlig for at anmode om enhedens aktiveringsstatus fra T2-chippen og starte i macOS-gendannelse i stedet for macOS, hvis der ikke forefindes et gyldigt aktiveringscertifikat. macOS-gendannelse registrerer, at Mac ikke er aktiveret, og kontakter aktiveringsserveren for at rekvirere et aktiveringscertifikat. Hvis Aktiveringslås er slået til på enheden, beder macOS-gendannelse brugeren om de iCloud-godkendelsesoplysninger, der blev brugt til at slå Aktiveringslås til denne gang. UEFI-firmwaren tillader ikke, at computeren startes i macOS, medmindre der forefindes et gyldigt aktiveringscertifikat.