Apple Pay ile ödeme yetkilendirmesi
Secure Enclave’e sahip aygıtlar için yalnızca Secure Enclave’den yetkilendirme alan ödemeler yapılabilir. iPhone veya iPad üzerinde bu, kullanıcının Face ID, Touch ID veya aygıt parolasıyla kimliğini doğruladığını saptamayı gerektirir. Varsa Face ID veya Touch ID saptanmış yöntemdir ama istendiği zaman parola kullanılabilir. Parmak izini eşleştirmeye yönelik üç, yüz eşleştirmeye yönelik iki başarısız girişimden sonra parola seçeneği otomatik olarak sunulur ve beş başarısız girişimden sonra parola zorunludur. Face ID’nin veya Touch ID’nin ayarlanmamış ya da Apple Pay için etkinleştirilmemiş olması durumunda da parola gerekir. Apple Watch’ta ödemenin yapılabilmesi için aygıtın kilidinin parolayla açılması ve yan düğmeye iki kez basılması gerekir.
Paylaşılan eşleme anahtarı kullanma
Secure Enclave ile Secure Element arasındaki iletişim, bir seri arabirim üzerinden gerçekleşir; Secure Element NFC denetleyiciye ve NFC denetleyici de uygulama işlemcisine bağlanır. Secure Enclave ve Secure Element doğrudan bağlantılı olmadığı hâlde, üretim sürecinde hazırlanmış paylaşılan bir eşleme anahtarını kullanarak güvenli şekilde iletişim kurabilir. İletişimin şifreleme ve kimlik doğrulama işlemleri AES tabanlıdır; yeniden gönderme saldırılarından korunmak için iki taraf da şifreli nonce’lar kullanır. Eşleme anahtarı, Secure Enclave’de UID anahtarından ve Secure Element benzersiz tanıtıcısından oluşturulur. Eşleme anahtarı daha sonra fabrikada Secure Enclave’den güvenli bir şekilde bir donanım güvenlik modülüne (HSM) aktarılır; bu modül, eşleme anahtarını daha sonra Secure Element’e eklemek için gerekli temel materyale sahiptir.
Güvenli bir işlemi yetkilendirme
Kullanıcı bir işlemi yetkilendirdiğinde (doğrudan Secure Enclave’e iletilen fiziksel bir hareket ile) Secure Enclave de kimlik doğrulama türü hakkında imzalı verileri ve işlem türünün ayrıntılarını (temassız veya uygulama içinden) bir Yetkilendirme Rasgele (AR) değerine bağlı olarak Secure Element’e gönderir. AR değeri, kullanıcı bir kredi kartının provizyonunu ilk kez gerçekleştirdiğinde Secure Enclave’de oluşturulur, Apple Pay etkin olduğu sürece tutulur ve Secure Enclave’in şifreleme ve geri döndürmeyi önleme mekanizmasıyla korunur. Eşleme anahtarından yararlanılarak Secure Element’e güvenli bir şekilde iletilir. Yeni bir AR değeri alındığında, Secure Element daha önce eklenen kartları silinmiş olarak işaretler.
Dinamik güvenlik için ödeme şifresi kullanma
Ödeme uygulamalarından gelen ödeme işlemleri, Aygıt Hesap Numarası ile birlikte bir ödeme şifresi içerir. Tek kullanımlık bir kod olan bu şifre, bir işlem sayacı ve bir anahtar kullanılarak hesaplanır. İşlem sayacı, her yeni işlem için artırılır. Anahtar, kişiselleştirme sırasında ödeme uygulamasına sağlanır ve ödeme ağı veya kartı veren kuruluş ya da her ikisi tarafından bilinir. Ödeme düzenine bağlı olarak, hesaplamada şunlar dahil olmak üzere başka veriler de kullanılabilir:
Yakın alan iletişimi (NFC) işlemleri için bir Terminal Öngürülemez Numarası
Uygulama içi işlemler için Apple Pay sunucusu nonce’ı
Bu güvenlik kodları, ödeme ağına ve kartı veren kuruluşa iletilir ve böylece kartı veren kuruluşun her işlemi doğrulamasına olanak tanır. Bu güvenlik kodlarının uzunluğu işlem türüne göre değişebilir.