ความปลอดภัยของการล็อคการเข้าใช้เครื่อง
วิธีที่ Apple บังคับใช้การล็อคการเข้าใช้เครื่องจะแตกต่างกันไป โดยขึ้นอยู่กับว่าอุปกรณ์นั้นเป็น iPhone หรือ iPad, Mac ที่ใช้ Apple Silicon หรือ Mac ที่ใช้ Intel ที่มีชิป Apple T2 Security
ลักษณะการทำงานบน iPhone และ iPad
บนอุปกรณ์ iPhone และ iPad การล็อคการเข้าใช้เครื่องจะถูกบังคับใช้ผ่านกระบวนการเปิดใช้งานหลังจากหน้าจอการเลือก Wi-Fi ในผู้ช่วยตั้งค่าของ iOS และ iPadOS เมื่ออุปกรณ์ระบุว่าเปิดใช้งานอยู่ อุปกรณ์จะส่งคำขอไปยังเซิร์ฟเวอร์ Apple เพื่อรับใบรับรองการเปิดใช้งาน อุปกรณ์ที่ถูกล็อคการเข้าใช้งานจะขอให้ผู้ใช้ใส่เอกสารสิทธิ์ iCloud ของผู้ใช้ที่เปิดใช้งานการล็อคการเข้าใช้เครื่องอยู่ในขณะนั้น ผู้ช่วยตั้งค่า iOS และ iPadOS จะไม่ดำเนินการจนกว่าจะได้รับเอกสารสิทธิ์ที่ถูกต้อง
ลักษณะการทำงานบน Mac ที่ใช้ Apple Silicon
ใน Mac ที่มี Apple Silicon LLB จะตรวจสอบว่ามี LocalPolicy ที่ถูกต้องสำหรับอุปกรณ์นั้น และค่า nonce ของนโยบาย LocalPolicy ตรงกับค่าที่จัดเก็บไว้ในส่วนประกอบพื้นที่จัดเก็บข้อมูลอย่างปลอดภัย LLB จะบูตไปยัง recoveryOS หาก:
ไม่มี LocalPolicy สำหรับ macOS เวอร์ชั่นปัจจุบัน
LocalPolicy ไม่ถูกต้องสำหรับ macOS เวอร์ชั่นนั้น
ค่าแฮช Nonce ของ LocalPolicy ไม่ตรงกับแฮชของค่าที่จัดเก็บอยู่ในส่วนประกอบพื้นที่จัดเก็บข้อมูลอย่างปลอดภัย
recoveryOS ตรวจพบว่าคอมพิวเตอร์ Mac ไม่ได้เปิดใช้งานอยู่และติดต่อเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน ถ้าอุปกรณ์ถูกล็อคการเข้าใช้เครื่อง recoveryOS จะขอให้ผู้ใช้ใส่เอกสารสิทธิ์ iCloud ของผู้ใช้ที่เปิดใช้งานการล็อคการเข้าใช้เครื่องอยู่ในขณะนั้น หลังจากได้รับใบรับรองการเปิดใช้งานที่ถูกต้อง กุญแจใบรับรองการเปิดใช้งานจะถูกใช้เพื่อรับใบรับรอง RemotePolicy คอมพิวเตอร์ Mac ใช้กุญแจ LocalPolicy และใบรับรอง RemotePolicy เพื่อสร้าง LocalPolicy ที่ถูกต้อง LLB จะไม่อนุญาตการบูตของ macOS หากไม่มี LocalPolicy ที่ถูกต้อง
ลักษณะการทำงานบนคอมพิวเตอร์ Mac ที่ใช้ Intel
ใน Mac ที่ใช้ Intel ที่มีชิป T2 เฟิร์มแวร์ของชิป T2 จะตรวจสอบยืนยันว่ามีใบรับรองการเปิดใช้งานที่ถูกต้องก่อนจะอนุญาตให้คอมพิวเตอร์บูตไปยัง macOS เฟิร์มแวร์ UEFI ที่โหลดโดยชิป T2 จะทำหน้าที่สอบถามสถานะการเปิดใช้งานของอุปกรณ์จากชิป T2 และบูตไปยัง recoveryOS แทนที่จะบูตไปยัง macOS หากไม่มีใบรับรองการเปิดใช้งานที่ถูกต้อง recoveryOS ตรวจพบว่า Mac ไม่ได้เปิดใช้งานอยู่และติดต่อเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน ถ้าอุปกรณ์ถูกล็อคการเข้าใช้เครื่อง recoveryOS จะขอให้ผู้ใช้ใส่เอกสารสิทธิ์ iCloud ของผู้ใช้ที่เปิดใช้งานการล็อคการเข้าใช้เครื่องอยู่ในขณะนั้น เฟิร์มแวร์ UEFI จะไม่อนุญาตการบูตของ macOS หากไม่มีใบรับรองการเปิดใช้งานที่ถูกต้อง