啟用鎖定安全性
Apple 執行「啟用鎖定」的方式取決於該裝置是 iPhone 或 iPad、配備 Apple 晶片的 Mac、還是配備 Apple T2 安全晶片的 Intel 架構式 Mac。
在 iPhone 和 iPad 上如何運作
在 iPhone 和 iPad 裝置上,在 iOS 和 iPadOS 設定輔助程式中的 Wi-Fi 選擇螢幕之後,將透過啟用程序來強制執行「啟用鎖定」。當裝置指出其正在啟用時,將會向 Apple 伺服器傳送要求以取得啟用憑證。已啟用鎖定的裝置會提示使用者輸入 iCloud 帳號和密碼,這組帳號和密碼必須屬於當初開啟「啟用鎖定」的使用者。除非取得有效的憑證,否則 iOS 和 iPadOS 設定輔助程式將不會進行。
在配備 Apple 晶片的 Mac 上如何運作
在配備 Apple 晶片的 Mac 上,LLB 會驗證該裝置是否存在有效的 LocalPolicy,以及 LocalPolicy 規則的反重放值是否與「安全儲存元件」中儲存的值相符。如果出現以下情況,Low-Level Bootloader(LLB)會開機進入 RecoveryOS:
目前的 macOS 沒有 LocalPolicy
該 macOS 的 LocalPolicy 無效
LocalPolicy 反重放值雜湊值與「安全儲存元件」中儲存的值不相符
RecoveryOS 偵測到 Mac 電腦未啟用,就會與啟用伺服器聯絡以取得啟用憑證。如果裝置處於已啟用鎖定的狀態,則 RecoveryOS 會提示使用者輸入 iCloud 帳號和密碼,這組帳號和密碼必須屬於當初開啟「啟用鎖定」的使用者。取得有效的啟用憑證後,該啟用憑證密鑰將用來取得 RemotePolicy 憑證。Mac 電腦使用 LocalPolicy 密鑰和 RemotePolicy 憑證來產生有效的 LocalPolicy。除非存在有效的 LocalPolicy,否則 LLB 將不會允許 macOS 開機。
在採用 Intel 架構的 Mac 電腦上如何運作
在採用 Intel 架構並配備 T2 晶片的 Mac 中,T2 晶片韌體會先驗證是否存在有效的啟用憑證,再允許電腦開機至 macOS。如果不存在有效的啟用憑證,則由 T2 晶片載入的 UEFI 韌體會負責向 T2 晶片查詢裝置的啟用狀態,並開機進入 RecoveryOS 而不是 macOS。RecoveryOS 偵測到 Mac 沒有啟用,就會與啟用伺服器聯絡以取得啟用憑證。如果裝置處於已啟用鎖定的狀態,則 RecoveryOS 會提示使用者輸入 iCloud 帳號和密碼,這組帳號和密碼必須屬於當初開啟「啟用鎖定」的使用者。除非具有有效的啟用憑證,否則 UEFI 韌體將不允許 macOS 開機。