Sealed Key Protection (SKP)
På Apple-enheder, der understøtter Databeskyttelse, beskyttes (forsegles) nøglekrypteringsnøglen (KEK) med foranstaltninger i softwaren på systemet, og den er desuden knyttet til det UID, der kun er tilgængeligt fra Secure Enclave. På en Mac med Apple Silicon gøres beskyttelsen af KEK endnu stærkere, ved at den inkorporerer oplysninger om sikkerhedspolitikken på systemet, fordi macOS understøtter kritiske ændringer af sikkerhedspolitikken (f.eks. slå sikker start eller SIP fra), som ikke understøttes på andre platforme. På en Mac med Apple Silicon omfatter denne beskyttelse nøgler i FileVault, fordi FileVault er implementeret med brug af Databeskyttelse (klasse C).
Den nøgle, der dannes som en kombination af brugeradgangskoden, den langtidsholdbare SKP-nøgle og Hardwarenøgle 1 (UID fra Secure Enclave), kaldes nøglen afledt af kode. Nøglen bruges til at beskytte nøglesamlingen Bruger (på alle understøttede platforme) og KEK (kun macOS) og derefter slå oplåsning eller automatisk oplåsning til på andre enheder, f.eks. Apple Watch.
Secure Enclaves startovervågning indhenter målingen af det Secure Enclave-operativsystem, der indlæses. Når app-processorens Boot ROM måler det Image4-manifest, der er knyttet til LLB, indeholder dette manifest en måling af al den anden systemparrede firmware, der også indlæses. LocalPolicy (den lokale politik) indeholder de centrale sikkerhedskonfigurationer for det macOS, der indlæses. LocalPolicy indeholder også feltet nsih, som er en hash-værdi af Image4-manifestet i macOS. Image4-manifestet i macOS indeholder målinger af al macOS-parret firmware og alle parrede centrale macOS-startobjekter, f.eks. kernesamlingen til systemstart og hash-værdien for den signerede systemenheds rod.
Hvis det mod forventning sker, at en person med onde hensigter kan ændre noget af den firmware, software eller de komponenter til sikkerhedskonfiguration, der er nævnt ovenfor som målt, ændrer det de målinger, der opbevares i hardwareregistrene. Ændringen af målingerne får rodnøglen til systemmåling (SMRK), som er afledt af krypteringshardware, til at aflede til en anden værdi, hvorved forseglingen af nøglehierarkiet brydes. Det medfører, at der ikke er adgang til enhedsnøglen til systemmåling (SMDK), og dette medfører videre, at der ikke kan fås adgang til KEK og dermed heller ikke til dataene.
Når systemet ikke er under angreb, skal det dog være i stand til at tage højde for gyldige softwareopdateringer, som ændrer firmware-målingerne og nsih-feltet i LocalPolicy for at pege på nye macOS-målinger. I andre systemer, som forsøger at inkorporere firmwaremålinger, men ikke har en kendt fungerende sandhedskilde, skal brugeren slå sikkerheden fra, opdatere firmwaren og slå funktionerne til igen, så der kan indhentes et nyt grundlag for målingerne. Det giver en betydeligt større risiko for, at en person med ondsindede hensigter kan manipulere med firmwaren under en softwareopdatering. Systemet har gavn af, at Image4-manifestet indeholder alle de nødvendige målinger. Den hardware, som dekrypterer SMDK med SMRK, når målingerne stemmer overens under en normal start, kan også kryptere SMDK til en foreslået fremtidig SMRK. Ved at angive de målinger, som forventes efter en softwareopdatering, kan hardwaren kryptere en SMDK, som der er adgang til i et aktuelt operativsystem, så der fortsat er adgang til det i et kommende operativsystem. Noget tilsvarende sker, når en kunde legitimt ændrer sine sikkerhedsindstillinger i LocalPolicy, idet SMDK så skal krypteres til den fremtidige SMRK ud fra den måling til LocalPolicy, som LLB vil beregne ved næste genstart.