Pengesahan pembayaran dengan Apple Pay
Untuk perangkat dengan Elemen Aman, pembayaran hanya dapat dilakukan setelah menerima pengesahan dari Secure Enclave. Ini termasuk memverifikasi bahwa pengguna telah mengonfirmasi tujuannya untuk membayar dan bahwa pengguna telah mengesahkan dirinya sendiri menggunakan salah satu metode berikut:
Pengesahan biometrik
Kode sandi atau kata sandi perangkat
Mengeklik dua kali tombol samping pada Apple Watch yang terbuka
Pengesahan biometrik, jika tersedia, adalah metode default, tapi kode sandi atau kata sandi dapat digunakan kapan pun dan ditawarkan secara otomatis setelah tiga upaya gagal untuk mencocokkan sidik jari atau dua upaya gagal untuk mencocokkan wajah. Setelah lima percobaan yang gagal, kode sandi atau kata sandi akan diperlukan.
Kode sandi atau kata sandi juga diperlukan saat pengesahan biometrik tidak dikonfigurasi atau dinyalakan untuk Apple Pay.
Menggunakan kunci pemasangan bersama
Secure Enclave dan Elemen Aman berkomunikasi melalui antarmuka serial. Elemen Aman menautkan ke pengontrol NFC, yang terhubung ke Prosesor Aplikasi. Meskipun tidak terhubung secara langsung, Elemen Aman dan Secure Enclave dapat berkomunikasi dengan aman menggunakan rahasia yang dibuat selama runtime. Di pabrik, keduanya diatur dengan kunci publik jangka panjang satu sama lain. Kunci publik Secure Enclave berasal dari kunci UID-nya dan pengenal Elemen Aman. Kunci pribadi yang sesuai disimpan di perangkat keras, yang disembunyikan dari perangkat lunak. Selama runtime, kunci publik jangka panjang membuat rahasia bersama menggunakan protokol persetujuan kunci Diffie-Hellman Kurva Eliptis (ECDH). Rahasia bersama ini memastikan komunikasi yang aman.
Mengesahkan transaksi aman
Saat pengguna mengesahkan transaksi, yang meliputi gerakan fisik yang dikomunikasikan secara langsung ke Secure Enclave, lalu Secure Enclave akan mengirimkan data bertanda tangan mengenai jenis pengesahan dan detail mengenai jenis transaksi (nirkontak atau di dalam app) ke Elemen Aman, yang dikaitkan dengan nilai Pengesahan Acak (AR). Nilai AR dibuat di Secure Enclave saat pengguna menyediakan kartu kredit untuk pertama kalinya dan dipertahankan saat Apple Pay diaktifkan, dilindungi oleh enkripsi Secure Enclave dan mekanisme anti-rollback. AR dikirimkan dengan aman ke Elemen Aman dengan memanfaatkan kunci pemasangan. Setelah menerima nilai AR baru, Elemen Aman menandai setiap kartu yang ditambahkan sebelumnya sebagai dihapus.
Menggunakan kriptogram pembayaran untuk keamanan dinamis
Transaksi pembayaran dari applet pembayaran termasuk kriptogram pembayaran beserta Nomor Akun Perangkat. Kriptogram ini, kode sekali pakai, dihitung menggunakan penghitung transaksi dan kunci. Penghitung transaksi akan bertambah untuk setiap transaksi baru. Kunci disediakan di applet pembayaran selama personalisasi dan diketahui oleh jaringan pembayaran atau penerbit kartu atau keduanya. Bergantung pada skema pembayaran, data lainnya juga dapat digunakan dalam penghitungan, termasuk:
Nomor yang Tidak Dapat Diprediksi Terminal, untuk transaksi komunikasi medan dekat (NFC)
Nilai anti-pemutaran ulang server Apple Pay, untuk transaksi dalam app
Hasil verifikasi pengguna, seperti informasi Metode Verifikasi Pemegang Kartu (CVM)
Kode keamanan ini disediakan untuk jaringan pembayaran dan untuk penerbit kartu, yang memungkinkan penerbit untuk memverifikasi setiap transaksi. Panjang kode keamanan ini dapat berbeda-beda tergantung jenis transaksi.