Seguridad del bloqueo de activación
El modo en que Apple aplica el bloqueo de activación varía en función de si el dispositivo es un iPhone o un iPad, un Mac con chip de Apple o un Mac basado en Intel con el chip de seguridad T2.
Comportamiento en el iPhone y el iPad
En dispositivos iPhone y iPad, el bloqueo de activación se aplica mediante el proceso de activación posterior a la pantalla de selección de wifi en el asistente de configuración de iOS y iPadOS. Cuando el dispositivo indica que se está activando, envía una solicitud a un servidor de Apple para obtener un certificado de activación. Los dispositivos con bloqueo de activación solicitan en este momento al usuario las credenciales de iCloud con las que se ha activado el bloqueo. El asistente de configuración de iOS y iPadOS no progresará a menos que pueda obtenerse un certificado válido.
Comportamiento en un Mac con chip de Apple
En un Mac con chip de Apple, el LLB verifica que existe un archivo LocalPolicy válido para el dispositivo y que los valores del valor de antirreproducción de la política de LocalPolicy coinciden con los valores almacenados en el componente de almacenamiento seguro. El cargador de arranque de bajo nivel (LLB) arranca en el sistema operativo de recuperación si se dan las siguientes circunstancias:
No hay un archivo LocalPolicy para la instancia de macOS actual.
El archivo LocalPolicy no es válido para esa instancia de macOS.
Los valores de antirreproducción del archivo LocalPolicy no coinciden con los hashes de los valores almacenados en el componente de almacenamiento seguro.
El sistema operativo de recuperación detecta que el Mac no está activado y contacta con el servidor de activación para obtener un certificado de activación. Si el dispositivo tiene el bloqueo de activación, el sistema operativo de recuperación solicita en este momento al usuario las credenciales de iCloud con las que se ha activado el bloqueo de activación. Después de obtener un certificado de activación válido, esa clave del certificado de activación se emplea para obtener un certificado de RemotePolicy. El ordenador Mac usa la clave de LocalPolicy y el certificado de RemotePolicy para generar un archivo LocalPolicy válido. El LLB no permitirá arrancar macOS a menos que haya presente un archivo LocalPolicy válido.
Comportamiento en ordenadores Mac basados en Intel
En un Mac basado en Intel con un chip T2, el firmware del chip T2 verifica que hay un certificado de activación válido antes de permitir que el ordenador arranque en macOS. El firmware de UEFI cargado por el chip T2 es responsable de consultar el estado de activación del dispositivo desde este chip y de arrancar en el sistema operativo de recuperación en lugar de en macOS si no se encuentra un certificado de activación válido. El sistema operativo de recuperación detecta que el Mac no está activado y contacta con el servidor de activación para obtener un certificado de activación. Si el dispositivo tiene el bloqueo de activación, el sistema operativo de recuperación solicita en este momento al usuario las credenciales de iCloud con las que se ha activado el bloqueo de activación. El firmware de UEFI no permitirá arrancar macOS a menos que haya presente un certificado de activación válido.