Seguridad del bloqueo de activación
La forma en la que Apple aplica el bloqueo de activación depende de si el dispositivo es un iPhone o un iPad, una Mac con Apple Chip, o una Mac basada en procesador Intel y que cuenta con el chip de seguridad T2 de Apple.
Comportamiento en iPhone y iPad
En los dispositivos iPhone y iPad, el bloqueo de activación se aplica a través del proceso de activación después de la pantalla de selección de Wi-Fi del asistente de configuración de iOS y iPadOS. Cuando el dispositivo indica que se está activando, envía una solicitud a un servidor de Apple para obtener un certificado de activación. Los dispositivos con bloqueo de activación solicitan al usuario las credenciales de iCloud del usuario que activó el bloqueo de activación en esta ocasión. El asistente de configuración de iOS y iPadOS no avanzará a menos que se pueda obtener un certificado válido.
Comportamiento en una Mac con Apple Chip
En una Mac con Apple Chip, el LLB verifica que exista una política local (LocalPolicy) válida para el dispositivo y que sus valores de antirreproducción coincidan con los valores almacenados en el componente de almacenamiento seguro. El gestor de arranque de bajo nivel (LLB) arranca en recoveryOS si se presenta lo siguiente:
No hay un LocalPolicy para el macOS actual
El archivo LocalPolicy no es válido para el macOS en cuestión
El hash de los valores de antirreprodución de LocalPolicy no coincide con los hashes de los valores almacenados en el componente de almacenamiento seguro
recoveryOS detecta que la computadora Mac no está activada y contacta al servidor de activación para obtener un certificado de activación. Si el dispositivo tiene activado el bloqueo de activación, recoveryOS solicita al usuario las credenciales de iCloud del usuario que activó el bloqueo en esta ocasión. Una vez que se cuenta con un certificado de activación válido, se utiliza su clave de certificado de activación para obtener un certificado de RemotePolicy. La computadora Mac usa la clave de certificado de LocalPolicy y RemotePolicy para generar un LocalPolicy válido. LLB impedirá que macOS arranque a menos que se cuente con un LocalPolicy válido.
Comportamiento en computadoras Mac basadas en Intel
En una Mac basada en Intel con el chip de seguridad T2 de Apple, el firmware de este chip verifica que haya un certificado de activación válido antes de permitir que la computadora arranque en macOS. El firmware UEFI que carga el chip de seguridad T2 de Apple es responsable de consultar el estado de activación del dispositivo desde el chip T2 y de arrancar en recoveryOS en lugar de macOS en caso de que no haya un certificado de activación válido. recoveryOS detecta que la Mac no está activada y contacta al servidor de activación para obtener un certificado de activación. Si el dispositivo tiene activado el bloqueo de activación, recoveryOS solicita al usuario las credenciales de iCloud del usuario que activó el bloqueo en esta ocasión. El firmware UEFI impedirá que macOS arranque a menos que se cuente con un certificado de activación válido.