Apple siliconilla varustetun Macin LocalPolicy-tiedoston sisältö

Omistajuuden antaminen käyttöjärjestelmien välillä

Pääsyä omistajaidentiteetin avaimeen (OIK) kutsutaan ”omistajuudeksi”. Omistajuutta tarvitaan, jotta käyttäjät voivat allekirjoittaa LocalPolicyn uudelleen tehtyään muutoksia käytäntöön tai ohjelmistoon. OIK-avainta suojaa sama avainhierarkia, josta kerrotaan kohdassa Sinetöity avaimen suojaus (SKP). Siinä OIK-avain on suojattu samalla avaimensalausavaimella (KEK) kuin taltion salausavain (VEK). Tämä tarkoittaa, että se on normaalisti suojattu sekä käyttäjien salasanoilla että käyttöjärjestelmän ja käytännön mittauksilla. Macissa on kaikille käyttöjärjestelmille vain yksi OIK-avain. Siksi toista käyttöjärjestelmää asennettaessa vaaditaan nimenomainen suostumus ensimmäisen käyttöjärjestelmän käyttäjiltä omistajuuden antamiseksi toisen käyttöjärjestelmän käyttäjille. Toisen käyttöjärjestelmän käyttäjiä ei kuitenkaan ole vielä olemassa, kun asentajaa suoritetaan ensimmäisestä käyttöjärjestelmästä. Käyttöjärjestelmien käyttäjiä ei normaalisti luoda ennen kuin käyttöjärjestelmä on käynnistetty ja käyttöönottoapuri suorittaa käyttöönottoa. Siksi tarvitaan kaksi uutta toimintoa asennettaessa Apple siliconilla varustettuun Maciin toista käyttöjärjestelmää:

• LocalPolicyn luominen toiselle käyttöjärjestelmälle

• ”Asennuskäyttäjän” valmisteleminen omistajuuden antamista varten

Kun asennusapuri suoritetaan ja asennus kohdistetaan tyhjälle toiselle taltiolle, kehote kysyy käyttäjältä, haluaako hän kopioida käyttäjän nykyiseltä taltiolta seuraavan taltion ensimmäiseksi käyttäjäksi. Jos käyttäjä vastaa kyllä, luotava ”asennuskäyttäjä” on tosiasiassa KEK-avain, joka muodostetaan valitun käyttäjän salasana- ja laitteistoavaimista ja jota sitten käytetään OIK-avaimen salaamiseen, kun se annetaan toiselle käyttöjärjestelmälle. Sen jälkeen se pyytää toisen käyttöjärjestelmän asennusapurista kyseisen käyttäjän salasanaa päästäkseen OIK-avaimeen uuden käyttöjärjestelmän Secure Enclavessa. Jos käyttäjä valitsee, että käyttäjää ei kopioida, asennuskäyttäjä luodaan siinäkin tapauksessa samalla tavalla, mutta käyttäjän salasanan sijasta käytetään tyhjää salasanaa. Tämä toinen tapa on olemassa tiettyjä järjestelmän ylläpitäjän skenaarioita varten. Kuitenkin käyttäjien, jotka haluavat asentaa käyttöjärjestelmiä useille taltioille ja suorittaa omistajuuden antamisen turvallisimmalla mahdollisella tavalla, tulisi aina valita käyttäjän kopioiminen ensimmäisestä käyttöjärjestelmästä toiseen käyttöjärjestelmään.

Apple siliconilla varustetun Macin LocalPolicy

Apple siliconilla varustetussa Macissa paikallisen suojauskäytännön hallinta on delegoitu Secure Enclavessa toimivalle apille. Tämä ohjelmisto voi käyttää käyttäjän tunnistetietoja ja ensisijaisen prosessorin käynnistystilaa sen määrittämiseen, kuka voi muuttaa suojauskäytäntöä ja mistä käynnistysympäristöstä. Tämä auttaa estämään haitallista ohjelmistoa käyttämästä suojauskäytännön hallintakeinoja käyttäjää vastaan niin, että se alentaisi hallintaa saadakseen lisää oikeuksia.

LocalPolicy-vaatimustiedoston ominaisuudet

LocalPolicy-tiedosto sisältää joitakin arkkitehtuuriin kuuluvia 4CC-koodeja, jotka ovat lähes kaikissa Image4-tiedostoissa, kuten levyn tai mallin tunnus (BORD), tiettyä Applen sirua ilmaiseva CHIP tai ECID (Exclusive Chip Identification). Alla olevissa 4CC-koodeissa kuitenkin keskitytään ainoastaan käyttäjien määritettävissä oleviin suojauskäytäntöihin.

LocalPolicyn noncen tiiviste (lpnh)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: lpnh:ta käytetään LocalPolicyn uudelleentoiston estämiseen. Tämä on SHA384-tiiviste LocalPolicyn noncesta (LPN), joka on tallennettu Secure Storage ‑komponentille ja johon pääsee käyttäen Secure Enclaven Boot ROMia tai Secure Enclavea. Käsittelemätön toiston estävä arvo ei ole koskaan näkyvillä appeja suorittavalle prosessorille vaan ainoastaan sepOS:lle. Hyökkääjän, joka haluaa uskotella LLB:lle, että hänen kaappaamansa aikaisempi LocalPolicy on kelvollinen, täytyisi sijoittaa Secure Storage ‑komponentille arvo, joka tiivistyy samaan lpnh-arvoon kuin siinä LocalPolicyssa, jonka hän haluaa uudelleentoistaa. Normaalisti järjestelmässä on yksi kelvollinen paikallisen käytännön nonce, mutta ohjelmistopäivitysten aikana kelvollisia nonceja on samanaikaisesti kaksi. Näin vanha ohjelmisto voidaan vielä käynnistää, jos päivityksessä tapahtuu virhe. Kun minkä tahansa käyttöjärjestelmän mikä tahansa LocalPolicy muuttuu, kaikki käytännöt allekirjoitetaan uudelleen uudella lpnh-arvolla, joka vastaa Secure Storage ‑komponentilta löytyvää uutta LocalPolicyn noncea. Tämä muutos tapahtuu, kun käyttäjä muuttaa suojausasetuksia tai luo uusia käyttöjärjestelmiä, joilla on kullakin uusi LocalPolicy.

Etäkäytännön noncen tiiviste (rpnh)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: rpnh käyttäytyy samalla tavoin kuin lpnh, mutta päivittyy vain kun etäkäytäntö päivittyy, esimerkiksi kun Missä on…? ‑rekisteröinnin tilaa muutetaan. Muutos tapahtuu, kun käyttäjä muuttaa Missä on…? ‑toiminnon tilaa Macissaan.

recoveryOS:n noncen tiiviste (ronh)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: ronh käyttäytyy kuten lpnh, mutta se löytyy ainoastaan järjestelmän recoveryOS:n LocalPolicysta. Se päivittyy, kun järjestelmän recoveryOS päivittyy, esimerkiksi ohjelmistopäivitysten yhteydessä. lpnh:sta ja rpnh:sta erillistä toiston estävää arvoa käytetään sitä varten, että kun laitteen käyttö estetään Etsi-toiminnolla, olemassa olevien käyttöjärjestelmien käyttö voidaan estää (poistamalla niiden LPN- ja RPN-arvo Secure Storage ‑komponentista), mutta järjestelmän recoveryOS voidaan edelleen käynnistää. Tällä tavoin käyttöjärjestelmät saadaan uudelleen käyttöön, kun järjestelmän omistaja todistaa hallitsevansa järjestelmää antamalla Missä on…? ‑tilin kanssa käyttämänsä iCloud-salasanan. Tämä muutos tapahtuu, kun käyttäjä päivittää järjestelmän recoveryOS:n tai luo uusia käyttöjärjestelmiä.

Seuraavan tason Image4-vaatimustiedoston tiiviste (nsih)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: nsih-kenttä edustaa SHA384-tiivistettä Image4-vaatimustiedoston tietorakenteesta, joka kuvaa käynnistetyn macOS:n. macOS:n Image4-vaatimustiedosto sisältää mittaukset kaikille käynnistyskohteille kuten iBoot, staattinen luottamusvälimuisti, laitepuu, käynnistyskernelkokoelma ja allekirjoitetun järjestelmätaltion (Signed System Volume - SSV) hajautus. Kun LLB on ohjattu käynnistämään tietty macOS, se on suunniteltu varmistamaan, että iBootiin liitetyn macOS:n Image4-vaatimustiedoston tiiviste vastaa LocalPolicyn nsih-kentässä olevaa. Näin nsih kertoo, mille käyttöjärjestelmälle käyttäjä on luonut LocalPolicyn. Käyttäjä muuttaa nsih-arvoa implisiittisesti päivittäessään ohjelmiston.

Cryptex1:n Image4-vaatimustiedoston tiiviste (spih)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: spih-kenttä edustaa Cryptex1:n Image4-vaatimustiedoston tietorakenteen SHA384-tiivistettä. Cryptex1:n Image4-vaatimustiedosto sisältää sen cryptexien mittaukset, niiden tiedostojärjestelmien sinetit ja niihin yhdistetyn luottamusvälimuistin. Kun macOS käynnistyy, XNU-kernel ja Page Protection Layer (PPL) varmistavat, että Cryptex1:n Image4-vaatimustiedoston tiiviste vastaa sitä, mitä iBoot julkaisi LocalPolicyn spih-kentästä. Käyttäjät muuttavat spih-arvoa implisiittisesti asentaessaan pikaturvapäivityksen tai päivittäessään ohjelmiston. Cryptex1:n Image4-vaatimustiedoston tiiviste voidaan päivittää riippumatta seuraavan tason Image4-vaatimustiedoston tiivisteestä.

Cryptex1:n sukupolvi (stng)

• Tyyppi: 64-bittinen allekirjoittamaton kokonaisluku

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: stng-kenttä on laskuriarvo, josta ilmenee, milloin Cryptex1:n Image4-vaatimustiedoston tiiviste viimeksi päivitettiin LocalPolicyssa. Se tarjoaa toiston estävän arvon lpnh:n sijaan paikallisen käytännön Page Protection Layerin arvioinnin aikana tulevan cryptexin käyttämistä varten. Käyttäjät kasvattavat stng-arvoa implisiittisesti asentaessaan pikaturvapäivityksen tai päivittäessään ohjelmiston.

Apukernelkokoelman (AuxKC) käytännön tiiviste (auxp)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: macOS

• Kuvaus: auxp on SHA384-tiiviste käyttäjän valtuuttamien kernelin laajennusten luettelon (UAKL) käytännöstä. Tätä käytetään apukernelkokoelmaa luotaessa apuna varmistamaan, että apukernelkokoelmaan sisällytetään vain käyttäjän hyväksymiä kernelin laajennuksia. Tämän kentän asettaminen edellyttää smb2:n käyttöä. Käyttäjät muuttavat auxp-arvoa implisiittisesti muuttaessaan käyttäjän valtuuttamien kernelin laajennusten luetteloa (UAKL), kun he hyväksyvät kernelin laajennuksen Järjestelmäasetusten Tietosuoja ja suojaus ‑osiossa (macOS 13 tai uudempi) tai Järjestelmäasetusten Suojaus ja yksityisyys ‑osiossa (macOS 12 tai aiempi).

Apukernelkokoelman (AuxKC) Image4-vaatimustiedoston tiiviste (auxi)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: macOS

• Kuvaus: Kun järjestelmä on tarkistanut, että käyttäjän valtuuttamien kernelin laajennusten luettelon (UAKL) tiiviste vastaa LocalPolicyn auxp-kenttää, se pyytää LocalPolicyn allekirjoittamisesta vastaavaa Secure Enclave ‑prosessorin appia allekirjoittamaan apukernelkokoelman. Seuraavaksi apukernelkokoelman Image4-vaatimustiedoston allekirjoituksen SHA384-tiiviste sijoitetaan LocalPolicyyn, jotta käynnistettäessä vältetään mahdollinen sekoittuminen ja yhdistäminen aikaisemmin allekirjoitettuihin käyttöjärjestelmän apukernelkokoelmiin. Jos iBoot löytää LocalPolicysta auxi-kentän, se yrittää ladata tallennetun apukernelkokoelman ja varmistaa sen allekirjoituksen. Se tarkistaa myös, että apukernelkokoelmaan liitetyn Image4-vaatimustiedoston tiiviste vastaa auxi-kentästä löytyvää arvoa. Jos apukernelkokoelman lataaminen epäonnistuu mistä tahansa syystä, järjestelmä jatkaa käynnistystä ilman tätä käynnistyskohdetta, ja näin ollen mitään muiden valmistajien kernelin laajennuksia ei ladata. auxi-kentän asettaminen LocalPolicyssa edellyttää auxp-kenttää. Käyttäjät muuttavat auxi-arvoa implisiittisesti muuttaessaan käyttäjän valtuuttamien kernelin laajennusten luetteloa (UAKL), kun he hyväksyvät kernelin laajennuksen Järjestelmäasetusten Tietosuoja ja suojaus ‑osiossa (macOS 13 tai uudempi) tai Järjestelmäasetusten Suojaus ja yksityisyys ‑osiossa (macOS 12 tai aiempi).

Apukernelkokoelman (AuxKC) kuitin tiiviste (auxr)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: macOS

• Kuvaus: auxr on SHA384-tiiviste apukernelkokoelman kuitista, jossa kerrotaan apukernelkokoelmaan sisällytettyjen kernelin laajennusten tarkka joukko. Apukernelkokoelman kuitti voi olla käyttäjän valtuuttamien kernelin laajennusten luettelon (UAKL) alajoukko, koska kernelin laajennuksia voidaan jättää pois apukernelkokoelmasta, vaikka ne olisivat käyttäjän valtuuttamia, jos on tiedossa, että niitä käytetään hyökkäyksiin. Lisäksi jotkin kernelin laajennukset, joita on mahdollista käyttää käyttäjän ja kernelin rajan rikkomiseen, voivat johtaa joidenkin toimintojen menettämiseen esimerkiksi siten, että Apple Payta ei voi käyttää tai 4K- ja HDR-sisältöä ei voi toistaa. Käyttäjien, jotka haluavat pitää nämä ominaisuudet käytössä, tulee rajoittaa tiukemmin kernelin laajennusten sisällyttämistä apukernelkokoelmaan. auxr-kentän asettaminen LocalPolicyssa edellyttää auxp-kenttää. Käyttäjät muuttavat auxr-arvoa implisiittisesti rakentaessaan uuden apukernelkokoelman (AuxKC) Järjestelmäasetusten Tietosuoja ja suojaus ‑osiossa (macOS 13 tai uudempi) tai Järjestelmäasetusten Suojaus ja yksityisyys ‑osiossa (macOS 12 tai aiempi).

CustomOS:n Image4-vaatimustiedoston tiiviste (coih)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR

• Kuvaus: coih on CustomOS:n Image4-vaatimustiedoston SHA384-tiiviste. iBoot (eikä XNU-kernel) käyttää tämän vaatimustiedoston tietosisältöä hallinnan siirtämiseen. Käyttäjät muuttavat coih-arvoa implisiittisesti käyttäessään kmutil configure-boot-komentorivityökalua 1TR-ympäristössä.

APFS-taltioryhmän UUID (vuid)

• Tyyppi: OctetString (16)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: vuid kertoo sen taltioryhmän, jota kernelin tulisi käyttää juurena. Tämä kenttä on ensisijassa tietoa, eikä sitä käytetä suojausrajoituksiin. Käyttäjä asettaa vuid:n implisiittisesti luodessaan uuden käyttöjärjestelmäasennuksen.

Avaimensalausavaimen (KEK) ryhmä-UUID (kuid)

• Tyyppi: OctetString (16)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: kuid kertoo käynnistetyn taltion. Avaimensalausavainta on tyypillisesti käytetty tietojen suojaukseen. Sitä käytetään suojaamaan kunkin LocalPolicyn allekirjoitusavainta. Käyttäjä asettaa kuid:n implisiittisesti luodessaan uuden käyttöjärjestelmäasennuksen.

Parina olevan recoveryOS:n luotetun käynnistyksen käytännön mittaus (prot)

• Tyyppi: OctetString (48)

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: Parina olevan recoveryOS:n luotetun käynnistyksen käytännön mittaus (Trusted Boot Policy Measurement, TBPM) on erityinen toistuva SHA384-tiivistelaskenta LocalPolicyn Image4-vaatimustiedostosta ilman toiston estäviä arvoja, jotta saadaan eri aikoina yhtenevä mittaus (koska toiston estävät arvot kuten lpnh päivittyvät usein). prot-kenttä, joka on ainoastaan kussakin macOS:n LocalPolicyssa, kertoo, mikä recoveryOS:n LocalPolicy on macOS:n LocalPolicya vastaava pari.

Secure Enclaven allekirjoittama recoveryOS:n LocalPolicy on olemassa (hrlp)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: hrlp kertoo, onko (edellä käsitelty) prot-arvo mittaus Secure Enclaven allekirjoittamasta recoveryOS:n LocalPolicysta vai ei. Jos se ei ole, recoveryOS:n LocalPolicyn allekirjoittaa Applen allekirjoituspalvelin verkossa, joka allekirjoittaa muun muassa macOS:n Image4-tiedostot.

Paikallinen käyttöjärjestelmäversio (love)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR, recoveryOS, macOS

• Kuvaus: love kertoo käyttöjärjestelmäversion, jolle LocalPolicy on luotu. Versio saadaan seuraavan vaiheen vaatimustiedostosta LocalPolicyn luomisen aikana ja sitä käytetään recoveryOS-parirajoitusten pakottamiseen.

Suojattu monikäynnistys (smb0)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR, recoveryOS

• Kuvaus: Jos smb0 löytyy ja arvo on tosi, LLB sallii seuraavan vaiheen Image4-vaatimustiedoston yleisen allekirjoituksen sen sijaan että vaatisi yksilöllisen allekirjoituksen. Käyttäjät voivat muuttaa tätä kenttää laskemalla suojaustason alennettuun suojaukseen käyttäen Käynnistyksen suojaustyökalua tai bputil-työkalua.

Suojattu monikäynnistys (smb1)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR

• Kuvaus: Jos smb1 löytyy ja arvo on tosi, iBoot sallii Secure Enclaven allekirjoittaa sellaisia kohteita kuten muokattu kernelkokoelma samalla avaimella kuin LocalPolicyn. smb1 edellyttää smb0:n käyttöä. Käyttäjät voivat muuttaa tätä kenttää laskemalla suojauksen tason sallivaan suojaukseen käyttäen komentorivityökaluja kuten csrutil tai bputil.

Suojattu monikäynnistys (smb2)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR

• Kuvaus: Jos smb2 löytyy ja arvo on tosi, iBoot sallii Secure Enclaven allekirjoittaa apukernelkokoelman (AuxKC) samalla avaimella kuin LocalPolicyn. smb2 edellyttää smb0:n käyttöä. Käyttäjät voivat muuttaa tätä kenttää laskemalla suojaustason alennettuun suojaukseen ja sallimalla muiden valmistajien kernelin laajennukset käyttäen Käynnistyksen suojaustyökalua tai bputil-työkalua.

Suojattu monikäynnistys (smb3)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR

• Kuvaus: Jos smb3 löytyy ja arvo on tosi, joku laitteen käyttäjä on asettanut järjestelmänsä mobiililaitteiden hallintaan (MDM). Tämä kenttä saa LocalPolicya hallitsevan Secure Enclave ‑prosessorin apin hyväksymään MDM-todennuksen sen sijaan että se vaatisi paikallisen käyttäjän todennusta. Käyttäjät voivat muuttaa tätä kenttää ottaessaan Käynnistyksen suojaustyökalulla tai bputil-työkalulla käyttöön hallitun muiden valmistajien kernelin laajennusten ja ohjelmistopäivitysten hallinnan. (macOS 11.2:ssa tai uudemmissa MDM voi myös aloittaa päivityksen uusimpaan macOS-versioon, jos nykyinen suojauksen tila on Täysi suojaus.)

Suojattu monikäynnistys (smb4)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: macOS

• Kuvaus: Jos smb4 löytyy ja arvo on tosi, laite on asetettu käyttöjärjestelmän MDM-hallintaan Apple School Managerilla, Apple Business Managerilla tai Apple Business Essentialsilla. Tämä kenttä saa LocalPolicya hallitsevan Secure Enclave ‑apin hyväksymään MDM-todennuksen sen sijaan että se vaatisi paikallisen käyttäjän todennusta. MDM-ratkaisu muuttaa tätä kenttää, kun se havaitsee, että laitteen sarjanumero on jossakin näistä kolmesta palvelusta.

Järjestelmän eheyden suojaus (sip0)

• Tyyppi: 64-bittinen allekirjoittamaton kokonaisluku

• Muuttuvat ympäristöt: 1TR

• Kuvaus: sip0 sisältää olemassa olevan järjestelmän eheyden suojauksen (SIP) käytännön bitit, jotka aikaisemmin tallennettiin NVRAM:iin. Uudet järjestelmän eheyden suojauksen bitit lisätään tähän (sen sijaan että käytettäisiin LocalPolicyn kenttiä alla kuvatulla tavalla), jos niitä käytetään vain macOS:ssä eikä LLB:n toimesta. Käyttäjät voivat muuttaa tätä kenttää poistaessaan järjestelmän eheyden suojauksen käytöstä ja laskiessaan suojaustasoksi sallivan suojauksen. Muutos tehdään käyttämällä csrutil-työkalua 1TR:stä.

Järjestelmän eheyden suojaus (sip1)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR

• Kuvaus: Jos sip1 löytyy ja sen arvo on tosi, iBoot hyväksyy, että allekirjoitetun järjestelmätaltion juuritiivisteen tarkistus epäonnistuu. Käyttäjät voivat muuttaa tätä kenttää käyttämällä csrutil-työkalua tai bputil-työkalua 1TR:stä.

Järjestelmän eheyden suojaus (sip2)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR

• Kuvaus: Jos sip2 löytyy ja sen arvo on tosi, iBoot ei lukitse laitetason CTRR (Configurable Text Read-only Region) ‑rekisteriä, joka merkitsee kernelin muistin ei-kirjoitettavaksi. Käyttäjät voivat muuttaa tätä kenttää käyttämällä csrutil-työkalua tai bputil-työkalua 1TR:stä.

Järjestelmän eheyden suojaus (sip3)

• Tyyppi: Totuusarvo

• Muuttuvat ympäristöt: 1TR

• Kuvaus: Jos sip3 löytyy ja sen arvo on tosi, iBoot ei pakota sisäänrakennettua sallittujen luetteloaan boot-args-NVRAM-muuttujalle. Muussa tapauksessa tämä suodattaisi kernelille annettavat valinnat. Käyttäjät voivat muuttaa tätä kenttää käyttämällä csrutil-työkalua tai bputil-työkalua 1TR:stä.

Varmenteet ja RemotePolicy

Kuten kohdassa LocalPolicyn allekirjoitusavaimen luominen ja hallinta kerrotaan, LocalPolicyn Image4 sisältää myös omistajaidentiteetin varmenteen (OIC) ja sisällytetyn RemotePolicyn.