Pengesahan pembayaran dengan Apple Pay
Untuk perangkat yang memiliki Secure Enclave, pembayaran hanya dapat dilakukan setelah menerima pengesahan dari Secure Enclave. Di iPhone, iPad, atau Mac dengan Touch ID (atau dipasangkan dengan Magic Keyboard dengan Touch ID), ini melibatkan konfirmasi bahwa pengguna telah mengesahkan baik dengan pengesahan biometrik atau kode sandi atau kata sandi. Pengesahan biometrik, jika tersedia, adalah metode default, tapi kode sandi atau kata sandi dapat digunakan kapan pun dan ditawarkan secara otomatis setelah tiga upaya gagal untuk mencocokkan sidik jari atau (untuk iPhone dan iPad) dua upaya gagal untuk mencocokkan wajah; setelah lima upaya gagal, kode sandi atau kata sandi akan diperlukan. Kode sandi atau kata sandi juga diperlukan saat pengesahan biometrik tidak dikonfigurasi atau dinyalakan untuk Apple Pay. Agar pembayaran dapat dilakukan di Apple Watch, perangkat harus dibuka dengan kode sandi dan tombol samping harus diklik dua kali.
Menggunakan kunci pemasangan bersama
Secure Enclave dan Elemen Aman berkomunikasi melalui antarmuka serial—menggunakan enkripsi dan pengesahan berbasis AES, dan menerapkan nilai anti-pemutaran ulang kriptografis untuk melindungi dari serangan pemutaran ulang. Meskipun kedua sisi tidak terhubung secara langsung, mereka berkomunikasi dengan aman menggunakan kunci pemasangan bersama yang disediakan selama manukfaktur. Selama proses tersebut, Secure Enclave membuat kunci pemasangan dari kunci UID-nya dan dari pengenal unik Elemen Aman. Secure Enclave kemudian mentransfer kunci pemasangan dengan aman ke modul keamanan perangkat keras (HSM) di pabrik. HSM kemudian memasukkan kunci pemasangan ke Elemen Aman.
Mengesahkan transaksi aman
Saat pengguna mengesahkan transaksi, yang meliputi gerakan fisik yang dikomunikasikan secara langsung ke Secure Enclave, lalu Secure Enclave akan mengirimkan data bertanda tangan mengenai jenis pengesahan dan detail mengenai jenis transaksi (nirkontak atau di dalam app) ke Elemen Aman, yang dikaitkan dengan nilai Pengesahan Acak (AR). Nilai AR dibuat di Secure Enclave saat pengguna menyediakan kartu kredit untuk pertama kalinya dan dipertahankan saat Apple Pay diaktifkan, dilindungi oleh enkripsi Secure Enclave dan mekanisme anti-rollback. AR dikirimkan dengan aman ke Elemen Aman dengan memanfaatkan kunci pemasangan. Setelah menerima nilai AR baru, Elemen Aman menandai setiap kartu yang ditambahkan sebelumnya sebagai dihapus.
Menggunakan kriptogram pembayaran untuk keamanan dinamis
Transaksi pembayaran dari applet pembayaran termasuk kriptogram pembayaran beserta Nomor Akun Perangkat. Kriptogram ini, kode sekali pakai, dihitung menggunakan penghitung transaksi dan kunci. Penghitung transaksi akan bertambah untuk setiap transaksi baru. Kunci disediakan di applet pembayaran selama personalisasi dan diketahui oleh jaringan pembayaran atau penerbit kartu atau keduanya. Bergantung pada skema pembayaran, data lainnya juga dapat digunakan dalam penghitungan, termasuk:
Nomor yang Tidak Dapat Diprediksi Terminal, untuk transaksi komunikasi medan dekat (NFC)
Nilai anti-pemutaran ulang server Apple Pay, untuk transaksi dalam app
Hasil verifikasi pengguna, seperti informasi Metode Verifikasi Pemegang Kartu (CVM)
Kode keamanan ini disediakan untuk jaringan pembayaran dan untuk penerbit kartu, yang memungkinkan penerbit untuk memverifikasi setiap transaksi. Panjang kode keamanan ini dapat berbeda-beda tergantung jenis transaksi.