Sicherheit bei der Aktivierungssperre
Wie Apple die Aktivierungssperre durchsetzt, hängt davon ab, ob es sich bei dem Gerät um ein iPhone oder iPad, einen Mac mit Apple Chips oder einen Intel-basierten Mac mit Apple T2 Security Chip handelt.
Verhalten bei iPhone und iPad
Bei iPhone- und iPad-Geräten wird die Aktivierungssperre im Zuge des Aktivierungsprozesses mit dem iOS- bzw. iPadOS-Systemassistenten im Anschluss an den Bildschirm für die WLAN -Auswahl erzwungen. Wenn ein Gerät signalisiert, dass es aktiviert wird, sendet es eine Anfrage an einen Apple-Server, um ein Aktivierungszertifikat zu erhalten. Auf Geräten, die durch die Aktivierungssperre gesperrt sind, wird der Benutzer aufgefordert, die iCloud-Anmeldedaten des Benutzers einzugeben, von dem die aktuelle Aktivierungssperre ausgelöst wurde. Der Systemassistent von iOS bzw. iPadOS wird erst fortgesetzt, wenn ein gültiges Zertifikat empfangen wird.
Verhalten bei einem Mac mit Apple Chips
Bei einem Mac mit Apple Chips stellt LBB sicher, dass eine gültige LocalPolicy-Datei – eine gültige lokale Richtlinie – für das Gerät vorhanden ist und dass die Nonce-Werte dieser lokalen Richtlinie mit den Werten übereinstimmen, die in der Secure Storage-Komponente gespeichert sind. LLB startet den Low-Level-Bootloader (LLB) in den folgenden Fällen:
Es gibt keine lokale Richtlinie (LocalPolicy) für das aktuelle macOS.
Die lokale Richtlinie (LocalPolicy) ist für das jeweilige macOS ungültig.
Die Nonce-Hash-Werte der lokalen Richtlinie stimmen nicht mit den Hash-Werten überein, die in der Secure Storage-Komponente gespeichert sind.
recoveryOS erkennt, dass der Mac-Computer nicht aktiviert wurde, und stellt die Verbindung zum Aktivierungsserver her, um ein Aktivierungszertifikat zu erhalten. Wenn das Gerät durch die Aktivierungssperre gesperrt ist, wird der Benutzer aufgefordert, die iCloud-Anmeldedaten des Benutzers einzugeben, von dem die aktuelle Aktivierungssperre ausgelöst wurde. Nachdem ein gültiges Aktivierungszertifikat empfangen wurde, wird der Schlüssel dieses Aktivierungszertifikats verwendet, um ein RemotePolicy-Zertifikat, d. h. ein Zertifikat für die „Remote-Richtlinie“ abzurufen. Der Mac-Computer verwendet den LocalPolicy-Schlüssel und das RemotePolicy-Zertifikat, um eine gültige lokale Richtlinie zu erstellen. LLB lässt das Starten von macOS nur zu, wenn eine gültige lokale Richtlinie vorliegt.
Verhalten bei Intel-basierten Mac-Computern
Bei einem Intel-basierten Mac mit T2-Chip verifiziert die Firmware dieses Chips, dass ein gültiges Aktivierungszertifikat vorliegt, bevor das Starten von macOS auf dem Computer erlaubt wird. Die UEFI-Firmware, die durch den T2-Chip geladen wird, ist verantwortlich dafür, den Aktivierungsstatus des Geräts beim T2-Chip zu erfragen und recoveryOS anstelle von macOS zu starten, wenn kein gültiges Aktivierungszertifikat vorliegt. recoveryOS erkennt daraufhin, dass der Mac nicht aktiviert wurde und stellt die Verbindung zum Aktivierungsserver her, um ein Aktivierungszertifikat zu erhalten. Wenn das Gerät durch die Aktivierungssperre gesperrt ist, wird der Benutzer aufgefordert, die iCloud-Anmeldedaten des Benutzers einzugeben, von dem die aktuelle Aktivierungssperre ausgelöst wurde. Die UEFI-Firmware lässt das Starten von macOS nur zu, wenn ein gültiges Aktivierungszertifikat vorliegt.