Maksun valtuutus Apple Payn kanssa
Jos laitteessa on Secure Enclave, maksu voidaan maksaa vasta, kun sille on saatu valtuutus Secure Enclavelta. iPhonessa, iPadissa tai Touch ID:llä varustetussa (tai Touch ID:llä varustetun Magic Keyboardin pariksi asetetussa) Macissa tähän sisältyy sen varmistaminen, että käyttäjä on suorittanut todennuksen biometrisellä todennuksella tai laitteen pääsykoodilla tai salasanalla. Jos biometrinen todennus on käytettävissä, se on oletustapa, mutta pääsykoodia tai salasanaa voidaan käyttää milloin tahansa, ja niitä tarjotaan automaattisesti, jos sormenjäljen tunnistaminen on epäonnistunut kolme kertaa tai kasvojen tunnistaminen (iPhone ja iPad) on epäonnistunut kaksi kertaa. Viiden epäonnistuneen yrityksen jälkeen pääsykoodi tai salasana vaaditaan. Pääsykoodi tai salasana vaaditaan myös, kun biometristä todennusta ei ole määritetty tai se ei ole päällä Apple Paylle. Maksettaessa Apple Watchilla laitteen lukituksen tulee olla avattu pääsykoodilla ja sivupainiketta tulee painaa kahdesti, jotta maksu suoritetaan.
Jaetun pariavaimen käyttäminen
Secure Enclave ja Secure Element viestivät sarjaliitännän kautta käyttäen salausta ja AES:ään perustuvaa todennusta. Lisäksi ne käyttävät kryptografisia toiston estäviä arvoja suojana toistohyökkäyksiltä. Vaikka ne eivät ole suoraan toisiinsa yhdistettyjä, niiden tiedonsiirto on suojattua, koska siinä käytetään valmistuksen aikana saatua jaettua pariavainta. Kyseisessä prosessissa Secure Enclave muodostaa pariavaimen UID-avaimestaan ja Secure Elementin yksilöllisestä tunnisteesta. Sen jälkeen se siirtää pariavaimen suojatusti laitteiston suojausmoduuliin (HMS) tehtaalla. Laitteiston suojausmoduuli vie pariavaimen Secure Elementiin.
Suojatun maksutapahtuman valtuuttaminen
Kun käyttäjä valtuuttaa maksutapahtuman, joka sisältää suoraan Secure Enclavelle lähetetyn fyysisen eleen, Secure Enclave lähettää allekirjoitetun datan valtuutuksen tyypistä ja tiedot maksutapahtuman tyypistä (lähimaksu tai maksu apissa) Secure Elementille sidottuna AR (Authorization Random) ‑arvoon. AR-arvo luodaan Secure Enclavessa, kun käyttäjä ensimmäisen kerran tuo luottokortin tiedot, ja se säilyy niin kauan kuin Apple Pay on käytössä. Sitä suojaavat Secure Enclaven salaus ja heikennysten vastainen suojausmekanismi. Se toimitetaan Secure Elementille suojatusti pariavainta käyttäen. Jos Secure Element saa uuden AR-arvon, se merkitsee aiemmin lisätyt kortit kuoletetuiksi.
Maksukryptogrammin käyttäminen dynaamiseen suojaukseen
Maksusovelmista tuleviin maksutapahtumiin sisältyy maksukryptogrammi ja laitteen tilinumero. Tämä kryptogrammi on kertakäyttöinen koodi. Se lasketaan käyttäen tapahtumalaskuria ja avainta. Jokainen uusi tapahtuma kasvattaa tapahtumalaskurin lukemaa. Avaimen tiedot tuodaan maksusovelmassa personoinnin aikana ja ne ovat maksuverkon tai kortin myöntäjän tai molempien tiedossa. Maksumallista riippuen laskemiseen voidaan käyttää myös muita tietoja, kuten:
Terminal Unpredictable Number NFC-tapahtumille
Apple Pay ‑palvelimen toiston estävä arvo apeissa tapahtuville maksuille
Käyttäjän vahvistuksen tulokset, kuten CVM-menetelmän (Cardholder Verification Method) tiedot.
Nämä suojakoodit annetaan maksuverkolle ja kortin myöntäjälle, jotta myöntäjä voi vahvistaa kunkin tapahtuman. Näiden suojakoodien pituus voi vaihdella riippuen tapahtuman tyypistä.