การอนุญาตการชำระเงินกับ Apple Pay
สำหรับอุปกรณ์ที่มี Secure Enclave การชำระเงินจะทำได้หลังจากที่ได้รับอนุญาตจาก Secure Enclave เท่านั้น บน iPhone, iPad หรือ Mac ที่มี Touch ID (หรือจับคู่กับ Magic Keyboard ที่มี Touch ID) สิ่งนี้หมายถึงการยืนยันว่าผู้ใช้ได้ตรวจสอบสิทธิ์ด้วยการตรวจสอบสิทธิ์ด้วยมิติทางกายภาพหรือด้วยรหัสหรือรหัสผ่านของอุปกรณ์แล้ว การตรวจสอบสิทธิ์ด้วยมิติทางกายภาพ หากมี จะเป็นวิธีการเริ่มต้น แต่รหัสหรือรหัสผ่านจะสามารถใช้ได้ตลอดเวลาและเสนอให้โดยอัตโนมัติหลังจากพยายามไม่สำเร็จสามครั้งในการจับคู่ลายนิ้วมือหรือ (สำหรับ iPhone และ iPad) พยายามไม่สำเร็จสองครั้งในการจับคู่ใบหน้า โดยจะต้องใช้รหัสหรือรหัสผ่านหลังจากพยายามไม่สำเร็จห้าครั้ง นอกจากนี้ยังต้องใช้รหัสหรือรหัสผ่านเมื่อไม่มีการกำหนดค่าหรือการเปิดใช้การตรวจสอบสิทธิ์ด้วยมิติทางกายภาพไว้สำหรับ Apple Pay อีกด้วย สำหรับการชำระเงินบน Apple Watch อุปกรณ์จะต้องปลดล็อคด้วยรหัสแล้วกดปุ่มด้านข้างสองครั้ง
การใช้กุญแจการจับคู่ที่แชร์
Secure Enclave และ Secure Element จะสื่อสารผ่านอินเทอร์เฟซแบบอนุกรม โดยใช้การเข้ารหัสและการตรวจสอบสิทธิ์ตาม AES และใช้ค่าป้องกันการเล่นซ้ำแบบเข้ารหัสเพื่อป้องกันการโจมตีแบบเล่นซ้ำ แม้ว่าด้านข้างจะไม่เชื่อมต่อกันโดยตรง แต่จะสื่อสารอย่างปลอดภัยโดยใช้กุญแจการจับคู่ที่แชร์ซึ่งกำหนดสิทธิ์ในระหว่างการผลิต ระหว่างกระบวนการนั้น Secure Enclave จะสร้างกุญแจการจับคู่จากกุญแจ UID และจากข้อมูลจำเพาะที่ไม่ซ้ำกันของ Secure Element จากนั้นจะถ่ายโอนกุญแจการจับคู่อย่างปลอดภัยไปยังโมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ในโรงงาน จากนั้น HSM จะส่งกุญแจการจับคู่เข้าไปใน Secure Element
การอนุญาตการทำธุรกรรมอย่างปลอดภัย
เมื่อผู้ใช้อนุญาตธุรกรรม ซึ่งรวมถึงลักษณะท่าทางทางกายภาพที่สื่อสารโดยตรงกับ Secure Enclave จากนั้น Secure Enclave จะส่งข้อมูลที่เซ็นชื่อแล้วเกี่ยวกับประเภทของการตรวจสอบสิทธิ์และรายละเอียดเกี่ยวกับประเภทของธุรกรรม (แบบไร้การสัมผัสหรือภายในแอป) ไปที่ Secure Element ซึ่งผูกอยู่กับค่า Authorization Random (AR) ค่า AR ถูกสร้างขึ้นใน Secure Enclave เมื่อผู้ใช้กำหนดสิทธิ์ของบัตรเครดิตเป็นครั้งแรก และค่าจะยังคงอยู่ต่อไปขณะที่ Apple Pay เปิดใช้งาน โดยได้รับการปกป้องด้วยการเข้ารหัสและกลไกป้องกันการย้อนกลับของ Secure Enclave AR จะถูกส่งไปยัง Secure Element อย่างปลอดภัยโดยใช้กุญแจการจับคู่ เมื่อได้รับค่า AR ใหม่ Secure Element จะทำเครื่องหมายบัตรใดๆ ที่เพิ่มไว้ก่อนหน้านี้ว่าถูกยุติ
การใช้รหัสลับการชำระเงินเพื่อความปลอดภัยที่เปลี่ยนทุกครั้ง
รายการธุรกรรมการชำระเงินที่มาจากแอปเพล็ตการชำระเงินประกอบด้วยรหัสลับการชำระเงินพร้อมหมายเลขบัญชีอุปกรณ์ รหัสลับนี้ซึ่งเป็นรหัสแบบครั้งเดียวจะมีการคำนวณโดยใช้ตัวนับธุรกรรมและกุญแจ ตัวนับธุรกรรมจะเพิ่มขึ้นทุกครั้งที่มีธุรกรรมรายการใหม่ กุญแจจะถูกกำหนดสิทธิ์ในแอปเพล็ตการชำระเงินระหว่างการตั้งค่าส่วนบุคคล และเป็นกุญแจที่เครือข่ายการชำระเงิน หรือผู้ออกบัตร หรือเครือข่ายการชำระเงินและผู้ออกบัตรรู้จัก ข้อมูลอื่นๆ อาจถูกใช้ในการคำนวณเช่นกัน ทั้งนี้ขึ้นอยู่กับแบบแผนการชำระเงิน ข้อมูลดังกล่าวรวมถึง:
Terminal Unpredictable Number สำหรับธุรกรรมผ่าน Near Field Communication (NFC)
ค่าป้องกันการเล่นซ้ำจากเซิร์ฟเวอร์ Apple Pay สำหรับธุรกรรมภายในแอป
ผลการตรวจสอบยืนยันผู้ใช้ เช่น ข้อมูลวิธีการตรวจสอบยืนยันผู้ถือบัตร (CVM)
รหัสความปลอดภัยเหล่านี้จะมีการส่งมอบให้กับเครือข่ายการชำระเงินและผู้ออกบัตร ซึ่งจะทำให้ผู้ออกบัตรสามารถตรวจสอบยืนยันรายการธุรกรรมแต่ละรายการได้ ความยาวของรหัสความปลอดภัยเหล่านี้อาจแตกต่างออกไปขึ้นอยู่กับประเภทของรายการธุรกรรม