 |
| Selasa, 03 Juni 2008 |
| Security E-Commerce |
Keamanan di dalam dunia E-Commerce
Didalam transaksi e-commerce bisa terjadi penyadapan, misalnya penyadapan informasi kartu kredit cardholder. Untuk mengatasi hal tersebut, dikembangkan beberapa bentuk sistem pengamanan dalam bertransaksi.Sistem tersebut menggunakan metode enkripsi atau yang lebih dikenal dengan kriptografi yaitu metode penyajian suatu pesan atau data yang terkirim melalui jaringan publik dengan kunci – kunci (keys) tertentu.
Didalam kriptografi ada empat hal pokok yaitu:
Ø Confidentiality :informasi hanya, untuk dan dimengerti oleh mereka yang berhak
Ø Integrity :informasi tidak dapat diubah ditempat penyimpanan
Ø Non-Repudiation :informasi bisa dipastikan siapa pengirim dan penerimanya
Ø Authentication :pengirim dan penerima bisa saling komfirmasi tentang masing-masing identitas dan asal atau tujuan informasi.
Teknologi kriptografi yang dihasilkan harus berdasarkan pada empat hal tersebut sehingga keamanan informasi dapat terjadi. Ada beberapa teknologi enkripsi yang cukup popular diantaranya:
# Secure Socket Layer(SSL)
Digunakan untuk mengamankan komunikasi web HTTP antara browser dan web browser. SSL menggunakan tiga protocol yaitu SSL Handshake Protokol (tempat berlangsungnya session yang terjadi antara client dan SSL server), SSL Change Chiper Spec Protocol (memberikan persetujuan kepada chippersuite ketika session sedang berlangsung), SSL Alert Protokol (menyampaikan pesan error SSL antara SSL server dengan client).
SSL (Secure Sockets Layer) Certificate merupakan salah satu teknologi yang paling banyak digunakan untuk melindungi data transaksi yang dilakukan secara online. Mulai dari nama, alamat, no telp, dan informasi sensitif lainnya seperti account (nomor) kartu kredit akan di-enkrip (menjadi barisan kode yang tak terbaca oleh manusia) selama transaksi online berlangsung. Ada 3 (tiga) alasan pentingnya menggunakan SSL certificate:
Kepercayaan
Menggunakan SSL Certificate akan meningkatkan trust / kepercayaan kepada customer maupun calon pembeli anda.
Keamanan
Salah satu faktor penting untuk mengamankan transaksi yang mengandung data customer anda dari kejahatan internet (cyber crime).
Compliancy (Pemenuhan Syarat)
Sejalan dengan standar yang digariskan oleh pemerintah (Dirjen Aplikasi Telematika) untuk melengkapi keamanan e-commerce.
Apa yang di-protect oleh SSL Certificate:
1. SSL Certificate meng-enkrip data-data sensitif yang berlangsung saat transaksi online berlangsung.
2. Setiap SSL Certificate mengandung kode unik (hanya satu di dunia) yang kepemilikannya telah di-otentikasi.
3. Setiap SSL Certificate di-issue oleh CA (Certificate Authority), organisasi yang mempunyai otoritas meng-issue certificate yang mem-verifikasi pemilik certificate dan website-nya.
# Kombinasi Publik Key/Private Key Publik key
Adalah kunci yang dikenal oleh umum,sedangkan private key merupakan kunci yang diketahui oleh pemiliknya. Ada perbedaaan dalam private key dan public key yaitu private key menggunakan satu kunci untuk melakukan proses enkripsi dan deskripsi,sedangkan public key mengunakan kunci yang berbeda.
Private key memiliki keuntungan yaitu operasinya cepat, sedangkan public key mempunyai kekurangan yaitu membutuhkan komputasi yang tinggi dan membutuhkan key repository.
# Certification Authority(CA)/digital signature Digital signature
Adalah suatu konsep yang memungkinkan penerima informasi untuk menguji terlebih dahulu keaslian informasi yang didapat dan juga untuk menyediakan bahwa data yang diterimanya dalam keadaan utuh. Digital signature sebenarnya bukan merupakan tanda tangan yang kita kenal melainkan suatu cara untuk menandai suatu dokumen sehingga dokumen atau data tersebut tidak hanya mengidentifikasi pengirim, namun memastikan keutuhan dokumen sehingga tidak berubah selama proses transmisi. Certification Authority merupakan pihak ketiga yang dipercaya untuk membangun antara sepasang public atau private key dangan individu. Certification Authority ini akan memberikan suatu sertifikat digital yang menunjukkan identitas dari pengguna.
# Secure Electronic Transactions(SET)
Merupakan gabungan antara teknologi public/ private key dengan digital signature. Pada enkripsi, public key menggunakan enkripsi 56 bit sampai dengan 1024 bit, sehingga tingkat kombinasi enkripsinya pun sangat tinggi. Didalam bertransaksi, CA membuatkan sertifikat digital yang berisi informasi jati diri dan kunci publik cardholder, berikut informasi nomor kartu kredit yang ‘disembunyikan’,sehingga cardholder seperti mempunyai “KTP” digital. Biaya pengembangan infrastruktur SET relative sangat mahal, sehingga ini merupakan salah satu kerugiannya.
Keamanan (Security)
Secara umum, keamanan merupakan salah satu komponen atau servis yang dibutuhkan untuk menjalankan eCommerce. Beberapa bagian dari keamanan ini sudah dibahas di atas dalam bagian tersendiri, seperti Infrastruktur Kunci Publik (IKP), dan privacy. Untuk menjamin keamanan, perlu adanya kemampuan dalam bidang ini yang dapat diperoleh melalui penelitian dan pemahaman. Beberapa topik (issues) yang harus dikuasai antara lain akan didaftar di bawah ini :
Teknologi Kriptografi.
Ini menjelaskan bagaimana mengamankan data dengan menggunakan enkripsi. Berbagai sistem sudah dikembangkan seperti sistem privae key dan public key. Penguasaan algoritma-algoritma populer digunakan untuk mengamankan data juga sangat penting. Contoh algoritma ini antara lain DES, IDEA, RC5, RSA dan ECC (Ellliptic Curve Cryptography). Penelitian dalam bidang ini di perguruan tinggi merupakan suatu hal yang penting. Salah satu masalah dalam mengamankan enkripsi adalah bagaimana memastikan bahwa hanya sang penerima yang dapat mengakses data. Anda dapat menggembok data dan mengirimkannya bersama kuncinya ke alamat tujuan, tetapi bagaimana memastikan kunci itu tidak dicuri orang di tengah jalan? Salah satu cara untuk memecahkannya adalah bahwa si penerima yang mengirimkan gemboknya, tetapi tidak mengirimkan kuncinya. Anda menggembok data dengan gembok yang dikirim olehnya dan mengirimkannya. Si penerima kemudian akan membukanya dengan kunci miliknya yang tidak pernah dikirimkannya ke siapa-siapa. Kini masalahnya bila data yang digembok itu dicuri orang, tetapi dengan enkripsi yang kompleks akan sangat sulit bagi orang itu untuk mengakses data yanmg sudah digembok itu.
One Time Pasword.
Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya password angka digital yang merandom angka setiap kali transaksi.
Konsultan Keamanan.
Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di bidang ini adalah IDCERT.
Cybercrime
@ Pencurian kartu kredit
@ Hacking dan Cracking beberapa situs
@ Penyadapan transmisi data dgn cara menyiapkan perintah yang tidak dikehendaki ke dalam program komputer
Dalam cybercrime dimungkinkan adanya :
# Delik Formil
masuk ke komputer orang lain tanpa ijin
# Delik materiil
menimbulkan kerugian bagi orang lain
Tujuan Dasar Keamanan
1. Confidentiality
Jaminan bahwa informasi yang dikirim melalui internet tidak dapat dibuka atau di ketahui oleh orang yang tidak berhak.
2. Integrity
Jaminan konsistensi data informasi sesuai dengan data asli shg terhindar dari penduplikatan dan perusakan data.
3. Availability
Jaminan bhw hanya pengguna sah (orang yang berhak) saja yg bisa mengakses informasi miliknya sendiri
4. Legitimate user
Jaminan kepastian bahwa sumber informasi tdk diakses oleh org yang tidak berhak/ bertanggung jawab. |
posted by ArieGayoe @ 17.30   |
|
|
|
|
| |
|
|
