Betalingsgodkjenning med Apple Pay
For enheter med Secure Enclave kan en betaling kun utføres etter å ha mottatt godkjenning fra Secure Enclave. På iPhone, iPad eller Mac med Touch ID (eller sammenkoblet med et Magic Keyboard med Touch ID) innebærer dette å bekrefte at brukeren har godkjent med biometerisk autentisering eller med enhetens kode eller passord. Hvis biometrisk autentisering er tilgjengelig, er det standardmetoden, men koden eller passordet kan brukes når som helst og tilbys automatisk etter tre mislykkede forsøk med fingeravtrykk, eller (for iPhone og iPad) etter to mislykkede forsøk med ansiktsgjenkjenning. Etter fem mislykkede forsøk kreves kode eller passord. En kode eller et passord er også påkrevd når biometrisk autentisering ikke er konfigurert eller slått på for Apple Pay. For at en betaling skal kunne utføres på Apple Watch, må enheten være låst opp med koden og det må dobbelttrykkes på sideknappen.
Bruke en delt sammenkoblingsnøkkel
Secure Enclave og Secure Element kommuniserer via et serielt grensesnitt ved hjelp av kryptering og autentisering basert på AES, og ved å bruke kryptografiske anti-repetisjonsverdier for å beskytte mot repetisjonsangrep. Selv om sidene ikke er direkte sammenkoblet, kommuniserer de på en sikker måte ved hjelp av en delt sammenkoblingsnøkkel som klargjøres i produksjonsprosessen. I den prosessen genererer Secure Enclave sammenkoblingsnøkkelen fra UID-nøkkelen og den unike ID-en til Secure Element. Sammenkoblingsnøkkelen overføres på en sikker måte til en maskinvaresikkerhetsmodul (Hardware security module, HSM) på fabrikken. Deretter legger HSM sammenkoblingsnøkkelen inn i Secure Element.
Godkjenne en sikker transaksjon
Når brukeren godkjenner en transaksjon, som inkluderer en fysisk handling som kommuniseres direkte til Secure Enclave, sender Secure Enclave deretter signerte data om type autentisering og informasjon om type transaksjon (kontaktløs eller i apper) til Secure Element, knyttet til en tilfeldig godkjenningsverdi (AR-verdi). AR-verdien genereres i Secure Enclave første gang en bruker klargjør et kredittkort og opprettholdes mens Apple Pay aktiveres, beskyttet av krypteringen og anti-tilbakerullingsmekanismen i Secure Enclave. Den leveres på en sikker måte til Secure Element ved hjelp av sammenkoblingsnøkkelen. Når Secure Element mottar en ny AR-verdi, merker det eventuelle kort som er lagt til tidligere, som terminert.
Bruke et betalingskryptogram for dynamisk sikkerhet
Betalingstransaksjoner som har sitt utspring i betalings-appleten, inneholder et betalingskryptogram sammen med et enhetskontonummer. Dette kryptogrammet, en engangskode, beregnes ved hjelp av en transaksjonsteller og en nøkkel. Transaksjonstelleren økes trinnvis for hver nye transaksjon. Nøkkelen klargjøres i betalings-appleten under den personlige tilpasningen og betalingsnettverket, kortutstederen eller begge deler kjenner den. Avhengig av hvilken betalingsform som brukes, kan det hende at også andre data brukes i beregningen, blant annet:
Et Terminal Unpredictable Number for NFC-transaksjoner (Near-Field-Communication)
En anti-repetisjonsverdi for Apple Pay-tjener, for transaksjoner i apper
Resultater fra brukerverifisering, for eksempel CVM-informasjon (Cardholder Verification Method)
Disse sikkerhetskodene oppgis til betalingsnettverket og kortutstederen og gjør utstederen i stand til å bekrefte hver enkelt transaksjon. Lengden på disse sikkerhetskodene kan variere basert på transaksjonstypen.