Aktiveringslås-sikkerhet
Hvordan Apple iverksetter Aktiveringslås varierer avhengig av hvorvidt enheten er en iPhone, iPad, Mac med Apple-chip eller Intel-basert Mac med Apple T2-sikkerhetsbrikken.
Adferd på iPhone og iPad
På iPhone- og iPad-enheter håndheves Aktiveringslås gjennom aktiveringsprosessen etter skjermen med Wi-Fi-valg i oppsettassistenten i iOS og iPadOS. Når enheten indikerer at den aktiveres, sender den en forespørsel til en Apple-tjener for å få et aktiveringssertifikat. På dette tidspunktet ber enheter med Aktiveringslås brukeren om iCloud-akkreditivene til brukeren som aktiverte Aktiveringslås. Oppsettassistenten i iOS og iPadOS fortsetter ikke med mindre det innhentes et gyldig sertifikat.
Adferd på Macer med Apple-chip
På Macer med Apple-chip verifiserer LLB at det eksisterer en gyldig LocalPolicy for enheten, og at anti-repetisjonsverdiene til LocalPolicy-regelen stemmer overens med verdiene lagret i komponenten for sikker lagring. Low-Level Bootloader (LLB) starter opp til recoveryOS hvis:
det ikke finnes en LocalPolicy for den nåværende macOS-versjonen
LocalPolicy er ugyldig for den macOS-versjonen
hash-verdiene for anti-repetisjonsverdien i LocalPolicy ikke stemmer overens med hashene for verdiene lagret i komponenten for sikker lagring
recoveryOS oppdager at Macen ikke er aktivert og kontakter aktiveringstjeneren for å få et aktiveringssertifikat. Hvis enheten har Aktiveringslås, ber recoveryOS på dette tidspunktet brukeren om iCloud-akkreditivene til brukeren som aktiverte Aktiveringslås. Etter at et gyldig aktiveringssertifikat er innhentet, brukes denne aktiveringssertifikatnøkkelen til å innhente et RemotePolicy-sertifikat. Macen bruker LocalPolicy-nøkkelen og RemotePolicy-sertifikat til å lage en gyldig LocalPolicy. LLB tillater ikke oppstart av macOS med mindre det finnes en gyldig LocalPolicy.
Adferd på Intel-baserte Macer
På Intel-baserte Macer med T2-brikke bekrefter firmwaren i T2-brikken at det finnes et gyldig aktiveringssertifikat før datamaskinen får lov til å starte opp til macOS. UEFI-firmware lastet av T2-brikken er ansvarlig for å sende forespørsler om aktiveringsstatusen til enheten fra T2-brikken og starte opp til recoveryOS i stedet for å starte opp til macOS hvis det ikke finnes et gyldig aktiveringssertifikat. recoveryOS oppdager at Macen ikke er aktivert og kontakter aktiveringstjeneren for å få et aktiveringssertifikat. Hvis enheten har Aktiveringslås, ber recoveryOS på dette tidspunktet brukeren om iCloud-akkreditivene til brukeren som aktiverte Aktiveringslås. UEFI-firmware tillater ikke oppstart av macOS med mindre det finnes et gyldig aktiveringssertifikat.