激活锁安全性

Apple 实施激活锁的方式各有不同，具体取决于设备是 iPhone 或 iPad、搭载 Apple 芯片的 Mac 还是基于 Intel 且搭载 Apple T2 安全芯片的 Mac。

在 iPhone 和 iPad 设备上，激活锁通过 iOS 和 iPadOS “设置助理”中无线局域网选择屏幕之后的激活过程来实施。当设备表示正在进行激活时，设备会向 Apple 服务器发送请求来获取激活证书。启用了激活锁的设备会提示用户输入启用激活锁时所使用的 iCloud 凭证。iOS 和 iPadOS “设置助理”只有在获得有效证书后才会继续。

在搭载 Apple 芯片的 Mac 中，LLB 会验证设备是否存在有效的 LocalPolicy 且 LocalPolicy 策略反重放值是否与安全储存组件中所储存的值匹配。如果出现以下情况，底层引导载入程序 (LLB) 会启动进入 recoveryOS：

当前 macOS 不存在任何 LocalPolicy

LocalPolicy 对该 macOS 无效

LocalPolicy 反重放值哈希值与储存在安全储存组件中的哈希值不匹配

recoveryOS 检测到 Mac 电脑未激活后会联系激活服务器以获取激活证书。如果设备启用了激活锁，recoveryOS 会提示用户输入启用激活锁时所使用的 iCloud 凭证。在获得有效的激活证书后，该激活证书密钥会用于获得 RemotePolicy 证书。Mac 电脑会使用 LocalPolicy 密钥和 RemotePolicy 证书来生成有效的 LocalPolicy。LLB 只有在存在有效 LocalPolicy 的情况下，才会允许启动 macOS。

在基于 Intel 且搭载 T2 芯片的 Mac 中，T2 芯片固件会先确认存在有效的激活证书，然后才会允许电脑启动进入 macOS。T2 芯片所载入的 UEFI 固件负责从 T2 芯片查询设备的激活状态，且如果不存在有效的激活证书，则会启动进入 recoveryOS 而非 macOS。recoveryOS 检测到 Mac 未激活后会联系激活服务器以获取激活证书。如果设备启用了激活锁，recoveryOS 会提示用户输入启用激活锁时所使用的 iCloud 凭证。UEFI 固件只有在有效激活证书存在的情况下，才会允许启动 macOS。

下载本手册的 PDF 版