Maksun valtuutus Apple Payn kanssa
Jos laitteessa on Secure Enclave, maksu voidaan maksaa vasta, kun sille on saatu valtuutus Secure Enclavelta. iPhonessa tai iPadissa tähän kuuluu sen vahvistaminen, että käyttäjä on suorittanut todennuksen Face ID:llä, Touch ID:llä tai laitteen pääsykoodilla. Jos Face ID tai Touch ID on käytettävissä, sitä käytetään oletusarvoisesti, mutta aina voidaan kuitenkin käyttää pääsykoodia. Pääsykoodia ehdotetaan automaattisesti, jos sormenjäljen tunnistaminen on epäonnistunut kolme kertaa tai kasvojen tunnistaminen on epäonnistunut kaksi kertaa. Viiden epäonnistuneen yrityksen jälkeen vaaditaan pääsykoodi. Pääsykoodia vaaditaan myös silloin, kun Face ID:tä tai Touch ID:tä ei ole määritetty tai se ei ole käytössä Apple Paylle. Maksettaessa Apple Watchilla laitteen lukituksen tulee olla avattu pääsykoodilla ja sivupainiketta tulee painaa kahdesti, jotta maksu suoritetaan.
Jaetun pariavaimen käyttäminen
Tiedonsiirto Secure Enclaven ja Secure Elementin välillä tapahtuu sarjaliitännän kautta siten, että Secure Element on yhdistetty NFC-ohjaimeen, joka puolestaan on yhdistetty appeja suorittavaan prosessoriin. Vaikka niitä ei ole yhdistetty suoraan, Secure Enclave ja Secure Element voivat viestiä suojatusti käyttäen jaettua pariavainta, jonka ne saavat valmistusprosessin aikana. Viestinnän salaus ja todennus perustuvat AES-menetelmään, jossa kumpikin puoli käyttää salauksessa satunnaisia lisämerkkejä (nonce) suojana toistohyökkäyksiltä. Pariavain luodaan Secure Enclavessa sen UID-avaimesta ja Secure Elementin yksilöllisestä tunnisteesta. Sen jälkeen pariavain siirretään tehtaalla suojatusti Secure Enclavesta laitteiston suojausmoduuliin, jossa on tarvittava avainmateriaali pariavaimen viemiseksi Secure Elementiin.
Suojatun maksutapahtuman valtuuttaminen
Kun käyttäjä valtuuttaa maksutapahtuman, joka sisältää suoraan Secure Enclavelle lähetetyn fyysisen eleen, Secure Enclave lähettää allekirjoitetun datan valtuutuksen tyypistä ja tiedot maksutapahtuman tyypistä (lähimaksu tai maksu apissa) Secure Elementille sidottuna AR (Authorization Random) ‑arvoon. AR-arvo luodaan Secure Enclavessa, kun käyttäjä ensimmäisen kerran tuo luottokortin tiedot, ja se säilyy niin kauan kuin Apple Pay on käytössä. Sitä suojaavat Secure Enclaven salaus ja heikennysten vastainen suojausmekanismi. Se toimitetaan Secure Elementille suojatusti pariavainta käyttäen. Jos Secure Element saa uuden AR-arvon, se merkitsee aiemmin lisätyt kortit poistetuiksi.
Maksukryptogrammin käyttäminen dynaamiseen suojaukseen
Maksusovelmista tuleviin maksutapahtumiin sisältyy maksukryptogrammi ja laitteen tilinumero. Tämä kryptogrammi on kertakäyttöinen koodi. Se lasketaan käyttäen tapahtumalaskuria ja avainta. Jokainen uusi tapahtuma kasvattaa tapahtumalaskurin lukemaa. Avaimen tiedot tuodaan maksusovelmassa personoinnin aikana ja ne ovat maksuverkon tai kortin myöntäjän tai molempien tiedossa. Maksumallista riippuen laskemiseen voidaan käyttää myös muita tietoja, kuten:
Terminal Unpredictable Number NFC-tapahtumille
Apple Pay ‑palvelimen nonce apeissa tapahtuville maksuille
Nämä suojakoodit annetaan maksuverkolle ja kortin myöntäjälle, jotta myöntäjä voi vahvistaa kunkin tapahtuman. Näiden suojakoodien pituus voi vaihdella riippuen tapahtuman tyypistä.