ความปลอดภัยของการล็อคการเข้าใช้เครื่อง
วิธีที่ Apple บังคับใช้การล็อคการเข้าใช้เครื่องจะแตกต่างกันไป โดยขึ้นอยู่กับว่าอุปกรณ์นั้นเป็น iPhone หรือ iPad, Mac ที่มี Apple Silicon หรือ Mac ที่ใช้ Intel ที่มีชิป Apple T2 Security
ลักษณะการทำงานบน iPhone และ iPad
บนอุปกรณ์ iPhone และ iPad การล็อคการเข้าใช้เครื่องจะถูกบังคับใช้ผ่านกระบวนการเปิดใช้งานหลังจากหน้าจอการเลือก Wi-Fi ในผู้ช่วยตั้งค่าของ iOS และ iPadOS เมื่ออุปกรณ์ระบุว่าเปิดใช้งานอยู่ อุปกรณ์จะส่งคำขอไปยังเซิร์ฟเวอร์ Apple เพื่อรับใบรับรองการเปิดใช้งาน อุปกรณ์ที่ถูกล็อคการเข้าใช้งานจะขอให้ผู้ใช้ใส่ข้อมูลประจำตัวบน iCloud ของผู้ใช้ที่เปิดใช้งานการล็อคการเข้าใช้เครื่องอยู่ในขณะนั้น ผู้ช่วยตั้งค่า iOS และ iPadOS จะไม่ดำเนินการจนกว่าจะได้รับข้อมูลประจำตัวที่ถูกต้อง
ลักษณะการทำงานบน Mac ที่มี Apple Silicon
ใน Mac ที่มี Apple Silicon นั้น LLB จะตรวจสอบยืนยันให้แน่ใจว่ามี LocalPolicy ที่ถูกต้องสำหรับอุปกรณ์ดังกล่าวและค่าป้องกันการเล่นซ้ำของนโยบาย LocalPolicy ตรงกับค่าที่จัดเก็บอยู่ในส่วนประกอบพื้นที่จัดเก็บข้อมูลอย่างปลอดภัย ตัวโหลดเริ่มต้นระบบระดับต่ำ (LLB) จะบูตไปยัง recoveryOS หาก:
ไม่มี LocalPolicy สำหรับ macOS เวอร์ชั่นปัจจุบัน
LocalPolicy ไม่ถูกต้องสำหรับ macOS เวอร์ชั่นนั้น
ค่าแฮชของค่าป้องกันการเล่นซ้ำของ LocalPolicy ไม่ตรงกับแฮชของค่าที่จัดเก็บอยู่ในส่วนประกอบพื้นที่จัดเก็บข้อมูลอย่างปลอดภัย
recoveryOS ตรวจพบว่าคอมพิวเตอร์ Mac ไม่ได้เปิดใช้งานอยู่และติดต่อเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน ถ้าอุปกรณ์ถูกล็อคการเข้าใช้เครื่อง recoveryOS จะขอให้ผู้ใช้ใส่ข้อมูลประจำตัวบน iCloud ของผู้ใช้ที่เปิดใช้งานการล็อคการเข้าใช้เครื่องอยู่ในขณะนั้น หลังจากได้รับใบรับรองการเปิดใช้งานที่ถูกต้อง กุญแจใบรับรองการเปิดใช้งานจะถูกใช้เพื่อรับใบรับรอง RemotePolicy คอมพิวเตอร์ Mac ใช้กุญแจ LocalPolicy และใบรับรอง RemotePolicy เพื่อสร้าง LocalPolicy ที่ถูกต้อง LLB จะไม่อนุญาตการเริ่มการทำงานของ macOS หากไม่มี LocalPolicy ที่ถูกต้อง
ลักษณะการทำงานบนคอมพิวเตอร์ Mac ที่ใช้ Intel
ใน Mac ที่ใช้ Intel ที่มีชิป T2 เฟิร์มแวร์ของชิป T2 จะตรวจสอบยืนยันว่ามีใบรับรองการเปิดใช้งานที่ถูกต้องก่อนจะอนุญาตให้คอมพิวเตอร์เริ่มการทำงานของ macOS เฟิร์มแวร์ UEFI ที่โหลดโดยชิป T2 จะทำหน้าที่สอบถามสถานะการเปิดใช้งานของอุปกรณ์จากชิป T2 และบูตไปยัง recoveryOS แทนที่จะเริ่มการทำงานของ macOS หากไม่มีใบรับรองการเปิดใช้งานที่ถูกต้อง recoveryOS ตรวจพบว่า Mac ไม่ได้เปิดใช้งานอยู่และติดต่อเซิร์ฟเวอร์การเปิดใช้งานเพื่อรับใบรับรองการเปิดใช้งาน ถ้าอุปกรณ์ถูกล็อคการเข้าใช้เครื่อง recoveryOS จะขอให้ผู้ใช้ใส่ข้อมูลประจำตัวบน iCloud ของผู้ใช้ที่เปิดใช้งานการล็อคการเข้าใช้เครื่องอยู่ในขณะนั้น เฟิร์มแวร์ UEFI จะไม่อนุญาตการเริ่มการทำงานของ macOS หากไม่มีใบรับรองการเปิดใช้งานที่ถูกต้อง