Sicurezza del blocco attivazione
L’implementazione del blocco attivazione da parte di Apple varia a seconda del tipo di dispositivo: iPhone o iPad, Mac dotato di chip Apple o Mac dotato di processore Intel con chip di sicurezza Apple T2.
Funzionamento su iPhone e iPad
Su iPhone e iPad, il blocco attivazione viene implementato durante il processo di attivazione, dopo la schermata di selezione del Wi-Fi in Impostazione Assistita di iOS e iPadOS. Quando il dispositivo segnala di essere in fase di attivazione, invia una richiesta a un server Apple per ottenere un certificato di attivazione. I dispositivi su cui è attivo il blocco attivazione richiedono all’utente di inserire le credenziali di iCloud dell’utente che ha abilitato il blocco attivazione. Impostazione Assistita di iOS e iPadOS non continua il processo di attivazione finché non ottiene un certificato valido.
Funzionamento sui Mac dotati di chip Apple
Nei Mac dotati di chip Apple, il bootloader di livello inferiore verifica che sia presente un LocalPolicy valido per il dispositivo e che i valori anti-replay delle politiche di LocalPolicy corrispondano ai valori archiviati nel componente Secure Storage. Il bootloader di livello inferiore si riavvia in recoveryOS se:
Non è presente un LocalPolicy per l’attuale versione di macOS.
LocalPolicy non è valido per tale versione di macOS.
I valori degli hash dei valori anti-replay di LocalPolicy non corrispondono a quelli archiviati nel componente Secure Storage.
recoveryOS rileva che il Mac non è attivato e contatta il server di attivazione per ottenere un certificato. Se sul dispositivo è attivo il blocco attivazione, recoveryOS richiede all’utente di inserire le credenziali di iCloud dell’utente che a abilitato il blocco attivazione. Una volta ottenuto un certificato di attivazione valido, la relativa chiave viene usata per ottenere un certificato RemotePolicy. Il computer Mac utilizza la chiave di LocalPolicy e il certificato di RemotePolicy per produrre un LocalPolicy valido. Il bootloader di livello inferiore non consentirà l’avvio di macOS finché non è presente un LocalPolicy valido.
Comportamento sui computer Mac dotati di processore Intel
Sui Mac dotati di processore Intel con chip di sicurezza Apple T2, il firmware del chip T2 verifica che sia presente un certificato di attivazione valido prima di consentire l’avvio del computer in macOS. Il firmware UEFI caricato dal chip T2 si occupa di controllare lo stato di attivazione del dispositivo dal chip T2 stesso e di eseguire l’avvio in recoveryOS invece di macOS se non è presente un certificato di attivazione valido. recoveryOS rileva che il Mac non è attivato e contatta il server di attivazione per ottenere un certificato. Se sul dispositivo è attivo il blocco attivazione, recoveryOS richiede all’utente di inserire le credenziali di iCloud dell’utente che a abilitato il blocco attivazione. Il firmware UEFI non consentirà l’avvio di macOS finché non è presente un certificato di attivazione valido.