Säkerhet för Aktiveringslås
Hur Apple driver igenom Aktiveringslås beror på om enheten är en iPhone eller en iPad, en Mac med Apple Silicon eller en Intel-baserad Mac med Apple T2-säkerhetskretsen.
Beteende på iPhone och iPad
På iPhone- och iPad-enheter drivs Aktiveringslås igenom under aktiveringsprocessen efter skärmen för val av Wi-Fi i inställningsassistenten för iOS och iPadOS. När enheten indikerar att det aktiveras skickas en begäran om att få ett aktiveringscertifikat till en Apple-server. Enheter med Aktiveringslås aktiverat uppmanar användaren att ange iCloud-inloggningsuppgifterna för den användare som aktiverade Aktiveringslås. Inställningsassistenten för iOS och iPadOS går inte vidare om inte ett giltigt certifikat erhålls.
Beteende på Mac-datorer med Apple Silicon
På Mac-datorer med Apple Silicon verifierar LLB att det finns en giltig LocalPolicy-policy för enheten och att dess anti-replay-värden stämmer överens med de värden som lagras i SSC. LLB (Low-Level Bootloader) startar i recoveryOS om:
Det inte finns någon LocalPolicy för aktuellt macOS.
LocalPolicy är giltig för aktuellt macOS.
LocalPolicys anti-replay-värden inte stämmer överens med de hash-värden som lagras i SSC.
recoveryOS märker att datorn inte är aktiverad och kontaktar aktiveringsservern för att få ett aktiveringscertifikat. Om enheten är låst med Aktiveringslås uppmanar recoveryOS användaren att ange iCloud-inloggningsuppgifterna för användaren som aktiverade Aktiveringslås. När ett giltigt aktiveringscertifikat har erhållits används nyckeln för det aktiveringscertifikatet till att få ett RemotePolicy-certifikat. Mac-datorn använder LocalPolicy-nyckeln och RemotePolicy-certifikatet till att skapa en giltig LocalPolicy. LLB tillåter inte start i macOS om det inte finns någon giltig LocalPolicy.
Beteende på Intel-baserade Mac-datorer
I Intel-baserade Mac-datorer med T2-krets verifierar T2-kretsens fasta programvara att det finns ett giltigt aktiveringscertifikat innan datorn tillåts att starta i macOS. Den fasta UEFI-programvaran som läses in av T2-kretsen ansvarar för att skicka en förfrågan om aktiveringsstatus för enheten från T2-kretsen och starta i recoveryOS i stället för macOS om det inte finns något giltigt aktiveringscertifikat. recoveryOS märker att datorn inte är aktiverad och kontaktar aktiveringsservern för att få ett aktiveringscertifikat. Om enheten är låst med Aktiveringslås uppmanar recoveryOS användaren att ange iCloud-inloggningsuppgifterna för användaren som aktiverade Aktiveringslås. Den fasta UEFI-programvaran tillåter inte start i macOS om det inte finns något giltigt aktiveringscertifikat.