Aktiveringslås-sikkerhet
Hvordan Apple iverksetter Aktiveringslås varierer avhengig av hvorvidt enheten er en iPhone, iPad, Mac med Apple Silicon eller Intel-basert Mac med Apple T2-sikkerhetsbrikken.
Adferd på iPhone og iPad
På iPhone- og iPad-enheter håndheves Aktiveringslås gjennom aktiveringsprosessen etter skjermen med Wi-Fi-valg i oppsettassistenten i iOS og iPadOS. Når enheten indikerer at den aktiveres, sender den en forespørsel til en Apple-tjener for å få et aktiveringssertifikat. På dette tidspunktet ber enheter med Aktiveringslås brukeren om iCloud-akkreditivene til brukeren som aktiverte Aktiveringslås. Oppsettassistenten i iOS og iPadOS fortsetter ikke med mindre det innhentes et gyldig sertifikat.
Adferd på Macer med Apple Silicon
På Macer med Apple Silicon verifiserer LLB at det eksisterer en gyldig LocalPolicy for enheten og at nonce-verdiene til LocalPolicy-regelen stemmer overens med verdiene lagret i komponenten for sikker lagring. LLB starter opp til recoveryOS hvis:
det ikke finnes en LocalPolicy for den nåværende macOS-versjonen
LocalPolicy er ugyldig for den macOS-versjonen
noncehash-verdiene i LocalPolicy ikke stemmer overens med hashene for verdiene lagret i komponenten for sikker lagring
recoveryOS oppdager at Macen ikke er aktivert og kontakter aktiveringstjeneren for å få et aktiveringssertifikat. Hvis enheten har Aktiveringslås, ber recoveryOS på dette tidspunktet brukeren om iCloud-akkreditivene til brukeren som aktiverte Aktiveringslås. Etter at et gyldig aktiveringssertifikat er innhentet, brukes denne aktiveringssertifikatnøkkelen til å innhente et RemotePolicy-sertifikat. Macen bruker LocalPolicy-nøkkelen og RemotePolicy-sertifikat til å lage en gyldig LocalPolicy. LLB tillater ikke oppstart av macOS med mindre det finnes en gyldig LocalPolicy.
Adferd på Intel-baserte Macer
På Intel-baserte Macer med T2-brikke bekrefter firmwaren i T2-brikken at det finnes et gyldig aktiveringssertifikat før datamaskinen får lov til å starte opp til macOS. UEFI-firmware lastet av T2-brikken er ansvarlig for å sende forespørsler om aktiveringsstatusen til enheten fra T2-brikken og starte opp til recoveryOS i stedet for å starte opp til macOS hvis det ikke finnes et gyldig aktiveringssertifikat. recoveryOS oppdager at Macen ikke er aktivert og kontakter aktiveringstjeneren for å få et aktiveringssertifikat. Hvis enheten har Aktiveringslås, ber recoveryOS på dette tidspunktet brukeren om iCloud-akkreditivene til brukeren som aktiverte Aktiveringslås. UEFI-firmware tillater ikke oppstart av macOS med mindre det finnes et gyldig aktiveringssertifikat.