Aktivointilukitussuojaus
Se, miten Apple toteuttaa aktivointilukituksen, vaihtelee riippuen siitä, onko laite iPhone tai iPad, Apple siliconilla varustettu Mac vai Intel-pohjainen Mac, jossa on Apple T2 Security ‑siru.
Toiminta iPhonessa ja iPadissa
iPhonessa ja iPadissa aktivointilukitus toteutetaan aktivointiprosessilla Wi-Fi-verkon valintanäytön jälkeen iOS:n ja iPadOS:n käyttöönottoapurissa. Kun laite kertoo, että se aktivoituu, se lähettää pyynnön Applen palvelimelle saadakseen aktivointivarmenteen. Laitteet, jotka on lukittu aktivointilukituksella, pyytävät silloin käyttäjältä sen käyttäjän iCloud-tunnistetietoja, joka on ottanut aktivointilukituksen käyttöön. iOS:n ja iPadOS:n käyttöönottoapuri ei etene, ellei kelvollista varmennetta saada.
Toiminta Apple siliconilla varustetussa Macissa
Apple siliconilla varustetussa Macissa LLB tarkistaa, että laitteelle on olemassa kelvollinen LocalPolicy ja että LocalPolicy-käytännön toiston estävät arvot vastaavat Secure Storage ‑komponenttiin tallennettuja arvoja. LLB käynnistää recoveryOS:ään, jos:
nykyiselle macOS:lle ei ole LocalPolicya
LocalPolicy ei ole kelvollinen kyseiselle macOS:lle
LocalPolicyn toiston estävän arvon tiivistearvot eivät vastaa Secure Storage ‑komponenttiin tallennettuja arvoja
recoveryOS havaitsee, että Mac-tietokone ei ole aktivoitu ja yhdistää aktivointipalvelimeen aktivointivarmenteen saamista varten. Jos laitteella on aktivointilukitus, recoveryOS pyytää käyttäjältä tässä vaiheessa sen käyttäjän iCloud-tunnistetietoja, joka otti aktivointilukituksen käyttöön. Kun kelvollinen aktivointivarmenne on saatu, kyseisen aktivointivarmenteen avainta käytetään RemotePolicyn varmenteen saamista varten. Mac-tietokone käyttää LocalPolicyn avainta ja RemotePolicyn varmennetta kelvollisen LocalPolicyn tuottamiseen. LLB ei salli macOS:n käynnistämistä, jos kelvollinen LocalPolicy puuttuu.
Toiminta Intel-pohjaisissa Mac-tietokoneissa
Intel-pohjaisessa T2‑sirulla varustetussa Macissa T2‑sirun laiteohjelmisto tarkistaa, että kelvollinen aktivointivarmenne löytyy, ennen kuin sallii tietokoneelle käynnistyksen macOS:ään. T2‑sirun lataama UEFI-laiteohjelmisto vastaa laitteen aktivointitilan kyselystä T2‑sirulle sekä käynnistämisestä recoveryOS:ään macOS:n sijasta, jos kelvollinen aktivointivarmenne puuttuu. recoveryOS tunnistaa, että Mac ei ole aktivoitu, ja ottaa yhteyden aktivointipalvelimeen aktivointivarmenteen saamista varten. Jos laitteella on aktivointilukitus, recoveryOS pyytää käyttäjältä tässä vaiheessa sen käyttäjän iCloud-tunnistetietoja, joka otti aktivointilukituksen käyttöön. UEFI-laiteohjelmisto ei salli macOS:n käynnistämistä, jos kelvollinen aktivointivarmenne puuttuu.