Apple Pay ile ödeme yetkilendirmesi
Secure Element’e sahip aygıtlar için yalnızca Secure Enclave’den yetkilendirme alan ödemeler yapılabilir. Bu, kullanıcının ödeme niyetini onayladığını ve şu yöntemlerden birini kullanarak kimliğini doğruladığını saptamayı gerektirir:
Biyometrik kimlik doğrulama
Aygıt parolası
Kilidi açık bir Apple Watch’un yan düğmesine iki kez basma
Varsa biyometrik kimlik doğrulama saptanmış yöntemdir ancak istendiği zaman parola kullanılabilir ve parmak izini eşleştirmeye yönelik üç veya yüz eşleştirmeye yönelik iki başarısız girişimden sonra parola seçeneği otomatik olarak sunulur. Beş başarısız girişimden sonra parola zorunludur.
Apple Pay için biyometrik kimlik doğrulama ayarlanmadığında veya açılmadığında da parola gereklidir.
Paylaşılan eşleme anahtarı kullanma
Secure Enclave ve Secure Element, seri arabirim üzerinden iletişim kurar. Secure Element, NFC denetleyici ile bağlantı kurar; o da uygulama işlemcisine bağlanır. Secure Element ve Secure Enclave doğrudan bağlantılı olmasa da çalıştırma sırasında yaratılan bir sırrı kullanarak güvenli bir şekilde iletişim kurar. Her ikisi de fabrikada birbirlerinin uzun dönemli açık anahtarıyla ayarlanmıştır. Secure Enclave’in açık anahtarı, kendi UID anahtarından ve Secure Element’in tanıtıcısından gelir. İlgili gizli anahtarı, yazılımdan gizli bir şekilde donanımda saklanır. Çalıştırma sırasında, uzun dönemli açık anahtarlar Eliptik Eğri Diffie-Hellman (ECDH) anahtar anlaşması protokolünü kullanarak bir paylaşılan sır yaratır. Bu paylaşılan sır güvenli iletişim sağlar.
Güvenli bir işlemi yetkilendirme
Kullanıcı bir işlemi yetkilendirdiğinde (doğrudan Secure Enclave’e iletilen fiziksel bir hareket ile) Secure Enclave de kimlik doğrulama türü hakkında imzalı verileri ve işlem türünün ayrıntılarını (temassız veya uygulama içinden) bir Yetkilendirme Rasgele (AR) değerine bağlı olarak Secure Element’e gönderir. AR değeri, kullanıcı bir kredi kartının provizyonunu ilk kez gerçekleştirdiğinde Secure Enclave’de oluşturulur, Apple Pay etkin olduğu sürece tutulur ve Secure Enclave’in şifreleme ve geri döndürmeyi önleme mekanizmasıyla korunur. Eşleme anahtarından yararlanılarak Secure Element’e güvenli bir şekilde iletilir. Yeni bir AR değeri alındığında, Secure Element daha önce eklenen kartları sonlandırılmış olarak işaretler.
Dinamik güvenlik için ödeme şifresi kullanma
Ödeme uygulamalarından gelen ödeme işlemleri, Aygıt Hesap Numarası ile birlikte bir ödeme şifresi içerir. Tek kullanımlık bir kod olan bu şifre, bir işlem sayacı ve bir anahtar kullanılarak hesaplanır. İşlem sayacı, her yeni işlem için artırılır. Anahtar, kişiselleştirme sırasında ödeme uygulamasına sağlanır ve ödeme ağı veya kartı veren kuruluş ya da her ikisi tarafından bilinir. Ödeme düzenine bağlı olarak, hesaplamada şunlar dahil olmak üzere başka veriler de kullanılabilir:
Yakın alan iletişimi (NFC) işlemleri için bir Terminal Öngürülemez Numarası
Uygulama içi işlemler için Apple Pay sunucusu yeniden göndermeyi önleme değeri
Kart Sahibi Doğrulama Yöntemi (CVM) bilgileri gibi kullanıcı doğrulama sonuçları
Bu güvenlik kodları, ödeme ağına ve kartı veren kuruluşa iletilir ve böylece kartı veren kuruluşun her işlemi doğrulamasına olanak tanır. Bu güvenlik kodlarının uzunluğu işlem türüne göre değişebilir.