激活锁安全性
Apple 实施激活锁的方式各有不同,具体取决于设备是 iPhone 或 iPad、搭载 Apple 芯片的 Mac 还是基于 Intel 且搭载 Apple T2 安全芯片的 Mac。
iPhone 和 iPad 上的表现方式
在 iPhone 和 iPad 设备上,激活锁通过 iOS 和 iPadOS “设置助理”中无线局域网选择屏幕之后的激活过程来实施。当设备表示正在进行激活时,设备会向 Apple 服务器发送请求来获取激活证书。启用了激活锁的设备会提示用户输入启用激活锁时所使用的 iCloud 凭证。iOS 和 iPadOS “设置助理”只有在获得有效证书后才会继续。
搭载 Apple 芯片的 Mac 上的表现方式
在搭载 Apple 芯片的 Mac 中,LLB 会验证设备是否存在有效的 LocalPolicy 且 LocalPolicy 策略反重放值是否与安全储存组件中所储存的值匹配。如果出现以下情况,底层引导载入程序 (LLB) 会启动进入 recoveryOS:
当前 macOS 不存在任何 LocalPolicy
LocalPolicy 对该 macOS 无效
LocalPolicy 反重放值哈希值与储存在安全储存组件中的哈希值不匹配
recoveryOS 检测到 Mac 电脑未激活后会联系激活服务器以获取激活证书。如果设备启用了激活锁,recoveryOS 会提示用户输入启用激活锁时所使用的 iCloud 凭证。在获得有效的激活证书后,该激活证书密钥会用于获得 RemotePolicy 证书。Mac 电脑会使用 LocalPolicy 密钥和 RemotePolicy 证书来生成有效的 LocalPolicy。LLB 只有在存在有效 LocalPolicy 的情况下,才会允许启动 macOS。
基于 Intel 的 Mac 电脑上的表现方式
在基于 Intel 且搭载 T2 芯片的 Mac 中,T2 芯片固件会先确认存在有效的激活证书,然后才会允许电脑启动进入 macOS。T2 芯片所载入的 UEFI 固件负责从 T2 芯片查询设备的激活状态,且如果不存在有效的激活证书,则会启动进入 recoveryOS 而非 macOS。recoveryOS 检测到 Mac 未激活后会联系激活服务器以获取激活证书。如果设备启用了激活锁,recoveryOS 会提示用户输入启用激活锁时所使用的 iCloud 凭证。UEFI 固件只有在有效激活证书存在的情况下,才会允许启动 macOS。