Segurança do Bloqueio de Ativação
A maneira como a Apple exige o Bloqueio de Ativação depende do dispositivo ser um iPhone ou iPad, um Mac com Apple Silicon ou um Mac baseado em Intel com o chip Apple T2 Security.
Comportamento no iPhone e iPad
Em dispositivos iPhone e iPad, o Bloqueio de Ativação é aplicado através do processo de ativação depois da tela de seleção de Wi-Fi no Assistente de Configuração do iOS e iPadOS. Quando um dispositivo indica que está sendo ativado, ele envia um pedido a um servidor da Apple para obter um certificado de ativação. Nesse momento, dispositivos com Bloqueio de Ativação solicitam ao usuário que digite as credenciais do iCloud do usuário que ativou o Bloqueio de Ativação. O Assistente de Configuração do iOS e iPadOS progredirá apenas se um certificado válido puder ser obtido.
Comportamento em um Mac com Apple Silicon
Em um Mac com Apple Silicon, o LLB verifica a existência de uma LocalPolicy válida e se os valores antirreprodução da política LocalPolicy coincidem com os valores armazenados no Componente de Armazenamento Seguro. O Gerenciador de Inicialização de Baixo Nível (LLB) inicializa no recoveryOS se:
Não houver uma LocalPolicy para o macOS atual
Se a LocalPolicy não for válida para o macOS em questão
Se os valores de hash do valor antirreprodução da política LocalPolicy não coincidirem com os valores dos hashes armazenados no Componente de Armazenamento Seguro
O recoveryOS detecta que o computador Mac não está ativado e contata o servidor de ativação para obter um certificado de ativação. Nesse momento, se o dispositivo estiver com o Bloqueio de Ativação, o recoveryOS solicita ao usuário que digite as credenciais do iCloud do usuário que ativou o Bloqueio de Ativação. Depois de obter um certificado de ativação válido, a chave do certificado de ativação é usada para obter um certificado de RemotePolicy. O computador Mac usa a chave da LocalPolicy e o certificado da RemotePolicy para produzir uma LocalPolicy válida. O LLB não permitirá a inicialização do macOS se uma LocalPolicy válida não estiver presente.
Comportamento em computadores Mac baseados em Intel
Em um Mac baseado em Intel com um chip T2, o firmware do chip T2 verifica se um certificado de ativação válido está presente antes de permitir que o computador inicialize no macOS. O firmware da UEFI carregado pelo chip T2 é responsável por consultar o estado de ativação do dispositivo a partir do chip T2 e inicializar no recoveryOS em vez de inicializar no macOS se um certificado de ativação válido não estiver presente. O recoveryOS detecta que o Mac não está ativado e contata o servidor de ativação para obter um certificado de ativação. Nesse momento, se o dispositivo estiver com o Bloqueio de Ativação, o recoveryOS solicita ao usuário que digite as credenciais do iCloud do usuário que ativou o Bloqueio de Ativação. O firmware da UEFI não permitirá a inicialização do macOS se um certificado de ativação válido não estiver presente.