تخويل الدفع باستخدام Apple Pay
بالنسبة للأجهزة التي تحتوي على Secure Enclave، لا يمكن إجراء أي عملية دفع إلا بعد تلقي تخويل من Secure Enclave. وعلى iPhone أو iPad، يتضمن ذلك تأكيد قيام المستخدم بالمصادقة باستخدام بصمة الوجه أو بصمة الإصبع أو رمز مرور الجهاز. يعد بصمة الوجه أو بصمة الإصبع، إذا كان متوفرًا، الطريقة الافتراضية، ولكن يمكن استخدام رمز المرور في أي وقت. يتم تقديم رمز الدخول تلقائيًا بعد ثلاث محاولات فاشلة لمطابقة بصمة الإصبع أو محاولتين فاشلتين لمطابقة الوجه؛ ويلزم إدخال رمز الدخول بعد خمس محاولات فاشلة. ويلزم إدخال رمز المرور كذلك في حالة عدم تكوين أو تمكين بصمة الوجه أو بصمة الإصبع لاستخدام Apple Pay. لإجراء عملية الدفع على Apple Watch، يجب فتح قفل الجهاز برمز الدخول ويجب النقر مرتين على الزر الجانبي.
استخدام مفتاح اقتران مشترك
يجري الاتصال بين Secure Enclave و Secure Element عبر واجهة تسلسلية، مع توصيل Secure Element بوحدة تحكم NFC، والتي بدورها تكون متصلة بمعالج التطبيق. على الرغم من عدم الاتصال المباشر، تستطيع Secure Enclave و Secure Element التواصل بشكل آمن باستخدام مفتاح اقتران مشترك يتم توفيره أثناء عملية التصنيع. ويستند تشفير الاتصال والمصادقة عليه إلى AES، مع استخدام قيم عشوائية مشفرة من قِبل كلا الجانبين للحماية من هجمات إعادة التشغيل. يتم إنشاء مفتاح الاقتران داخل Secure Enclave من مفتاح UID الخاص به ومعرف Secure Element الفريد. بعد ذلك، يُنقَل مفتاح الاقتران بشكل آمن من Secure Enclave إلى وحدة من وحدات أمن المكونات المادية (HSM) في المصنع، والتي تحتوي على المادة الأساسية المطلوبة لتضمين مفتاح الاقتران في Secure Element لاحقًا.
تخويل المعاملات الآمنة
عندما يصرّح المستخدم بإجراء معاملة تتضمن إيماءة فعلية يتم توصيلها مباشرةً إلى Secure Enclave، ترسل Secure Enclave بيانات مُوقَّعة حول نوع المصادقة وتفاصيل حول نوع المعاملة (غير تلامسية أو داخل التطبيقات) إلى Secure Element، وتكون مرتبطة بقيمة تخويل عشوائي (AR). يتم إنشاء قيمة AR في Secure Enclave عندما يقوم المستخدم أولاً بتوفير بطاقة ائتمان مع استمرار ذلك أثناء تمكين Apple Pay، وتكون محمية بتشفير Secure Enclave وآلية مكافحة التراجع. ويتم تسليمها بشكل آمن إلى Secure Element من خلال الاستفادة من مفتاح الاقتران. عند استلام قيمة AR جديدة، تقوم Secure Element بتمييز أي بطاقات تمت إضافتها سابقًا على أنها محذوفة.
استخدام تشفير الدفع للأمن الديناميكي
تتضمن معاملات الدفع التي تنشأ من تطبيقات الدفع الصغيرة تشفيرًا لعملية الدفع بجانب رقم حساب الجهاز. ويتم حساب هذا الرمز المشفر المخصص للاستخدام مرة واحدة باستخدام عدّاد معاملات ومفتاح. ويزداد عدّاد المعاملات مع كل معاملة جديدة. بينما يتم توفير المفتاح في تطبيق الدفع الصغير أثناء التخصيص ويكون معروفًا لدى شبكة الدفع أو جهة إصدار البطاقة أو كليهما. وحسب نظام الدفع، قد تُستخدم أيضًا بيانات أخرى في عملية الحساب، بما في ذلك التالي:
رقم وحدة طرفية غير متوقع لمعاملات الاتصال بالحقل القريب (NFC)
قيمة عشوائية لخادم Apple Pay، للمعاملات داخل التطبيقات
يتم تقديم رموز الأمن هذه إلى شبكة الدفع وإلى جهة إصدار البطاقة، مما يتيح لجهة الإصدار التحقق من كل معاملة. وقد يختلف طول رموز الأمان هذه بناءً على نوع المعاملة.