• Tidak ada hasil yang ditemukan

Materi E Commerce e-commerce e-commerce e-commerce

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Materi E Commerce e-commerce e-commerce e-commerce"

Copied!
8
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 8 Halaman )

Teks penuh

(1)

I. Konsep Dasar Keamanan

Keamanan adalah sebuah upaya yang dilakukan untuk meminimalisir sebuah kerusakan yang terjadi pada sebuah sistem. Keamanan juga di buat untuk membentengi semua gangguan yang di buat secara sengaja maupun tidak sengaja.

Ada 3 tiga prinsip dasar keamanan :

1. Kerahasiaan (confidentiality), dimana object tidak dibocorkan/disebarkan kepada subject yang tidak seharusnya berhak terhadap object tersebut.

2. Integritas (Integrity), bahwa tidak diragukan keasliannya, tidak diubah dalam perjalanan nya dari sumber menuju penerimanya.

3. Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun Dalam membangun suatu system kemanan jaringan, terlebih dahulu perlu juga memahami berbagai jenis ancaman keamanan jaringan. Konsep Dasar Keamanan e-Commerce

Secure Socket Layer

Informasi yang dikirim melalui Internet biasanya menggunakan seperangkat aturan yang disebut TCP / IP (Transmission Control Protocol / Internet Protocol). Informasi ini dibagi menjadi paket-paket dan bernomor secara berurutan. Masing-masing paket-paket dikirim melalui rute yang berbeda. PKI dan SSL menggunakan sertifikat digital untuk memastikan privasi dan otentikasi. Prosedur adalah seperti client mengirimkan pesan ke server, yang menjawab dengan sertifikat digital. Menggunakan PKI, server dan client bernegosiasi untuk membuat sesi kunci, yang merupakan kunci rahasia simetris khusus diciptakan untuk transmisi tertentu. Setelah sesi kunci sepakat, komunikasi berlanjut dengan sesi ini kunci dan sertifikat digital. PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos

Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh

sembarang orang.

(2)

(peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang. Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.

Teknologi dasar yang dipergunakan dalam pengamanan data untuk e-commerce, yakni kriptografi dengan fokus pada cryptography (kriptografi).

1. Konsep Dasar Kriptografi

Kriptografi, sebagai batu bata utama untuk keamanan e-commerce : ilmu yang mempelajari bagaimana membuat suatu pesan yang dikirim pengirim dapat disampaikan kepada penerima dengan aman. Sifat-sifat dalam kriptografi meliputi :

1. Kerahasiaan (confidential) dari pesan dijamin dengan melakukan enkripsi (penyandian), sehingga pesan yang telah disandikan itu tidak dapat dibaca oleh orang-orang yang tidak berhak.

2. Keutuhan (integrity) dari pesan, sehingga saat pesan itu dikirimkan tidak ada yang bisa mengutak-atik ditengah jalan. Sebagai contoh, dalam suatu transaksi pembayaran, sang pengirim pesan berkepentingan agar nilai cek digital sebesar Rp. 1.000.000,- tidak diubah orang lain menjadi Rp. 10.000.000,- ditengah jalan.

3. Jaminan atas identitas dan keabsahan (authenticity) jati diri dari pihak-pihak yang melakukan transaksi. Sekedar ilustrasi, dari sisi konsumen, harus ada jaminan bahwa www.ibu-dibyo.co.id adalah benar benar ticket office milik ibu dibyo di Cikini. Sebaliknya, seorang pedagang di internet juga perlu mengetahui apakah seorang konsumen yang sedang berbelanja di websitenya benar-benar menggunakan kartu kredit miliknya sendiri.

4. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non repudiation) jika terjadi sengketa atau perselisihan pada transaksi elektronik yang telah terjadi.

Dalam kriptografi, ada dua proses utama :

1. Enkripsi (encryption) : yakni proses untuk mengubah pesan asli (plain text) menjadi pesan yang tersandikan atau pesan yang terrahasiakan (cipher text)

2. Dekripsi (decryption) : yakni proses mengubah pesan yang tersandikan (cipher text) kembali menjadi pesan pada bentuk aslinya (plain text).

(3)

2. Kriptografi Kunci Simetrik

Ini adalah jenis kriptografi yang paling umum dipergunakan. Kunci untuk membuat pesan yang disandikan sama dengan kunci untuk membuka pesan yang disandikan itu. Jadi pengirim pesan dan penerima pesan harus memiliki kunci yang sama persis . Siapapun yang memiliki kunci tersebut termasuk pihak-pihak yang tidak diinginkan dapat membuat dan membongkar rahasia cipher text . Problem yang paling jelas disini terkadang bukanlan masalah Encryption dan Decryption pengiriman ciphertextnya , melainkan masalah bagaimana meyampaikan kunci simetris rahasia tersebut kepada pihak yang diinginkan. Dengan kata lain ada masalah pendistribusian kunci rahasia.

Contoh : algoritma kunci Simetris yang terkenal adalah DES (data encryption standart), TripleDES, IDEA, Blowfish, Twofish, AES (advanced encryption standard ) dan RC-4.

3. Kriptografi kunci publik / kunci asimetrik

Teknik kriptografi kunci publik mencoba menjawab permasalahan pendistribusian kunci pada teknologi kriptografi kunci simetrik. Dalam kriptografi kunci publik, setiap pihak memiliki sepasang kunci :

1. Sebuah kunci publik yang didistribusikan kepada umum/ khalayak ramai.

2. Sebuah kunci privat yang harus disimpan dengan rahasia dan tidak boleh diketahui orang lain.

Dalam ilustrasi yang akan dijabarkan nanti, guna mempermudah penjelasan kita akan menggunakan beberapa nama ganti orang yakni Anto, Badu, Chandra dan Deni untuk mempresentasikan pihak-pihak yang melakukan transaksi.

Ada dua kegunaan mendasar dari setiap pasangan kunci privat :

1. Membungkus pesan sehingga kerahasiaannya terjamin . Siapapun Anto, Chandra dan Deni dapat mengirim pesan rahasia kepada Badu dengan cara mengenkripsi pesan asli (plain text) dengan kunci publik milik Badu. Karena yang memiliki pasangan kunci

Enkripsi dan Dekripsi. Maka tentu yang bisa membuka pesan rahasia hanyalah Badu.

2. Menandatangani pesan untuk menjaga keotentikan pesan. Jika Anto hendak menandatangani suatu pesan , maka Anto akan menggunakan kunci privatnya untuk membuat tanda tangan digital. Semua orang lainnya (Badu, Chandra , Deni) bisa memeriksa tanda tangan itu jika memiliki kunci publik Anto.

4. Fungsi Hash Satu Arah

Fungsi hash berguna untuk menjaga keutuhan (integrity) dari pesan yang dikirimkan.

Contoh : Bagaimana jika Anto mengirimkan surat pembayaran kepada Badu sebesar 1 juta rupiah, namun ditengah jalan Maman (yang ternyata berhasil membobol sandi entah dengan cara apa) membubuhkan angka 0 lagi dibelakangnya sehingga menjadi 10 juta rupiah ? Dimana dari pesan tersebut harus utuh, tidak diubah-ubah oleh siapapun, bahkan bukan hanya oleh Maman , namun juga termasuk oleh Anto, Badu dan gangguan pada transmisi pesan (noise). Hal ini dapat dilakukan dengan fungsi hash satu arah (one way hash function ), yang terkadang disebut sidik jari (fingerprint), hash, message integrity check , atau manipulation detection code.

(4)

Kemudian Badu membandingkan sidik jari yang dibuatnya dengan sidik jari yang diterimanya dari Anto. Jika kedua sidik jari itu identik, maka Badu dapat yakin bahwa pesan itu tidak diubah-ubah sejak dibuatkan sidik jari yang diterima dari Badu. Jika pesan pembayaran 1 juta rupiah itu diubah menjadi 10 juta rupiah, tentunya akan menghasilkan nilai Hash yang berbeda.

5. Membuat sidik jari pesan

Untuk membuat sidik jari tersebut tidak dapat diketahui oleh siapapun, sehingga siapapun tidak dapat memeriksa keutuhan dokumen atau pesan tertentu. Tak ada algoritma rahasia dan umumnya tak ada pula kunci rahasia. Jaminan dari keamanan sidik jari berangkat dari kenyataan bahwa hampir tidak ada dua pre-image yang memiliki hash value yang sama. Inilah yang disebut dengan sifat collision free dari suatu fungsi hash yang baik. Selain itu , sangat sulit untuk membuat suatu pre-image jika hanya diketahui hash valuenya saja.

Contoh algoritma fungsi hash satu arah adalah MD-4, MD-5 dan SHA .

Message authentication code (MAC) adalah satu variasi dari fungsi hash satu arah, hanya saja selain pre-image , sebuah kunci rahasia juga menjadi input bagi fungsi MAC.

6. Tanda Tangan digital Contoh :

Badu memang dapat merasa yakin bahwa sidik jari yang datang bersama pesan yang diterimanya memang berkorelasi. Namun bagaimana Badu dapat merasa yakin bahwa pesan itu berasal dari Anto ? Bisa saja saat dikirimkan oleh Anto melalui saluran komunikasi yang tidak aman, pesan tersebut diambil oleh Maman. Maman kemudian mengganti isi pesan tadi, dan membuat lagi sidik jari dari pesan yang baru diubahnya itu. Lalu, Maman mengirimkan lagi pesan beserta sidik jarinya itu kepada Badu, seolah-olah dari Anto. Untuk mencegah pemalsuan, Anto membubuhkan tanda tangannya pada pesan tersebut. Dalam dunia elektronik, Anto membubuhkan tanda tangan digital pada pesan yang akan dikirimkan untuk Badu, sehingga Badu dapat merasa yakin bahwa pesan itu memang dikirim Anto.

Sifat yang diinginkan dari tanda tangan digital diantaranya adalah :

1. Tanda tangan asli (otentik), tidak mudah ditulis/ ditiru oleh orang lain. Pesan dan tanda tangan pesan tersebut juga dapat menjadi barang bukti sehingga penandatangan tidak bisa menyangkal bahwa dulu ia tidak pernah menandatanganinya. 2. Tanda tangan itu hanya sah untuk dokumen (pesan) itu saja .

Tanda tangan itu tidak bisa dipindahkan dari suatu dokumen ke dokumen lainnya .Ini juga berarti bahwa jika dokumen itu diubah, maka tanda tangan digital dari pesan tersebut tidak sah lagi.

3. Tanda tangan itu dapat diperiksa dengan mudah.

4. Tanda tangan itu dapat diperiksa oleh pihak-pihak yang belum pernah bertemu dengan penandatangan.

5. Tanda tangan itu juga sah untuk kopi dari dokumen yang sama persis. Meskipun ada banyak skenario, ada baiknya kita perhatikan salah satu skenario yang cukup umum dalam penggunaan tanda tangan digital .

Tanda tangan digital memanfaatkan fungsi hash satu arah untuk menjamin bahwa tanda tangan itu hanya berlaku untuk dokumen yang bersangkutan saja. Bukan dokumen tersebut secara keseluruhan yang ditandatangani, namun biasanya yang ditandatangani adalah sidik jari dari dokumen itu beserta time stamp-nya dengan menggunakan kunci privat. Time stamp berguna untuk berguna untuk menentukan waktu pengesahan dokumen.

(5)

Keabsahan tanda tangan digital itu dapat diperiksa oleh Badu. Pertama-tama Badu membuat lagi sidik jari dari pesan yang diterimanya. Lalu Badu mendekripsi tanda atangan digital Anto untuk mendapatkan sidik jari yang asli. Badu lantas membandingkan kedua sidik jari tersebut. Jika kedua sidik jari tersebut sama, maka dapat diyakini bahwa pesan tersebut ditandatangani oleh Anto. panjangnya kunci. Semakin panjang kunci semakin sulit pula untuk membobolnya dengan brute force attack.

9. Key Backup & Recovery

Tujuan dari adanya kriptografi adalah memberikan proteksi kerahasiaan pada data. Dengan kritografi kunci publik, kerahasiaan terjamin karena kunci privat yang dipergunakan untuk proses deskripsi digital, hanya diketahui oleh pemilik kunci privat yang sah.

Ada beberapa hal yang bisa memaksa kunci privat juga diback up oleh pihak ketiga yang dipercaya (trusted third party/ TTP ),

Misalnya : kunci privatnya yang ada dalam harddisk, secara tidak sengaja sengaja terhapus, smart card yang dipergunakannya hilang atau rusak, ada pegawai kantor yang mengenskripsi data-data penting perusahaan menggunakan kunci publiknya, sehingga saat pegawai kantor berhenti bekerja, perusahaan tidak bisa membuka data-data penting tersebut.

Perlu dicatat,bahwa yang dibackup oleh TTP hanya private descrition key (kunci privat yang dipergunakan untuk mendeskripsi pesan), bukan private signing key ,( kunci yang dipergunakan untuk membuat tanda tangan) . Hal ini disebabkan karena kalau yang di backup adalah pivate signing key, maka dikuatirkan terjadi pemalsuan tanda tangan.

Dalam kasus dimana private signing key-nya hilang, maka terpaksalah sertifikat yang berkaitan dibatalkan (di-revoke).

10. Time Stamping

Dalam bisnis, waktu terjadinya kesepakatan, kontrak atau pembuatan surat amatlah penting. Oleh karena itu, diperlukan suatu mekanisme khusus untuk menyediakan `waktu’ yang terpercaya dalam infrastruktur kunci publik. Artinya,’waktu’ tersebut tidak didapatkan dari `clock’ setiap komputer, namun didapatkan dari satu sumber yang dipercaya. Penyedia jasa sumber `waktu’ yang dipercaya, juga termasuk kategori TTP.

Waktu yang disediakan oleh time stamp server ,tidaklah harus tepat sekali, karena yang paling penting adalah waktu `relatif’ dari suatu kejadian lain. Misalnya suatu transaksi purchase order terjadi sebelum transaksi payment.

Meskipun demikian, memang lebih bagus kalau waktu yang bersumber dari time stamp server mendekati waktu resmi (dari Badan Meteorologi dan Geofisika/BMG).

Perdagangan melalui internet tidak hanya penjual dan pembeli tetapi banyak peran yang ikut dalam terwujudnya e-commerce. Seperti : Jasa pengiriman atau pos, jasa jaringan perbankan internasional, Web Server ( Penyedia Web site ).

(6)

saat membeli barang maupun jasa. Pengiriman barang dari gudang perusahaan sampai ke pembeli bukan suatu hal yang sederhana, karena pengiriman lintas negara harus mengikuti aturan bea-cukai di negara pengirim maupun penerima. Oleh sebab itu jasa pengiriman barang ini menjadi sangat vital, karena membutuhkan jasa pengiriman yang cepat dan aman. Seringkali cyber shop memberikan jaminan baik dalam hal produknya dan pengirimannya karena Pelayanan yang diberikan tidak jauh berbeda toko yang offline. Dan pelayanan terhadap konsumen merupakan hal yang terpenting dalam mencari pelanggan.\

II. Pilar Keamanan Sistem E-Commerce 1. Authentication (keabsahan pengirim)

Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan penipuan). Hal ini berkaitan dengan kebenaran identitas pengirim. Dengan kata lain, masalah ini dapat diungkapkan “Apakah data yang diterima benar-benar berasal dari pengirim yang sesungguhnya?”

Bentuk dukungan :

 Adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga "intellectual property", yaitu dengan menandai dokumen atau hasil karya dengan "tanda tangan" pembuat ) dan digital signature.

 Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

2. Confidentiality (kerahasiaan data)

Data tidak dapat dibaca oleh pihak yang tidak berhak.

Contoh : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.

 Bentuk Serangan : usaha penyadapan (dengan program sniffer).

 Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.

3. Integrity (keaslian data)

Data tidak dapat diubah secara tidak sah. Hal ini berkaitan dengan keutuhan (integrity) data. Dengan kata lain, masalah ini dapat diungkapkan “Apakah data yang diterima tidak mengalami perubahan (modifikasi)?”

(7)

 Bentuk serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, "man in the middle attack" dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

4. Non-Repudiation (anti-penyangkalan)

Tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak pengirim) Tujuan Sistem Keamanan Informasi :

- Confidentially: menjamin apakah informasi yang dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.

- Integrity: menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa dihindari.

- Availability: menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri.

- Legitimate Use: menjamin kepastian bahwa sumber tidak digunakan oleh orang-orang yang tidak bertanggung jawab.

III. Ancaman Keamanan Pada Sistem E-Commerce

1. Pencegatan data , pembacaan dan modifikasi data secara tidak sah. 2. Puncurian data terhadap orang yang tidak bertanggung jawab.

3. Kecurangan (fraud) yang dilakukan oleh orang-orang yang identitasnya tidak diketahui. 4. Akses yang tidak sah oleh seseorang terhadap data milik orang lain.

Solusi Ancaman Keamanan Sistem E-Commerce

1. Enkripsi (penyandian data), Metode enkripsi atau yang lebih dikenal dengan kriptografi (cryptograph) adalah metode penyandian suatu pesan atau data yang terkirim melalui jaringan publik dengan menggunakan kunci-kunci (keys) tertentu.

2. Otentifikasi (Melakukan verifikasi terhadap identitas pengirim dan penerima)

Metode ini akan melakukan verifikasi pada terhadap seluruh data yang diterima, system akan melakukan pengenalan terhadap identitas pengirim data maupun identitas penerima data yang akan dikirimi file atau dokumen. Hal ini menghindari masuknya data yang tidak dibutuhkan system serta menghindari kesalahan pengiriman data kepada orang lain. 3. Firewall ( Menyaring serta Melindungi lalu lintas data di jaringan atau server). Firewall

(8)

Referensi

Unduh sekarang ( DOCX - 8 Halaman - 28.96 KB )

Dokumen terkait

Pengertian Pertumbuhan dan Perkembangan karya

Buku tersebut merupakan hasil penelitian Thorndike terhadap tingkah beberapa jenis hewan seperti kucing, anjing, dan burung yang mencerminkan prinsip dasar

Kepuasan Mahasiswa Terhadap Kualitas Pelayanan Perpustakaan Universitas Muhammadiyah Pontianak

o Petugas perpustakaan UMP mema- hamikebutuhan pengunjung perpus- takaan.Variabel ini berada pada kuadran A, artinya variabel ini diang- gap penting oleh mahasiswa

Peran dan Martabat Bahasa Indonesia dala

Bahasa Indonesia memiliki peran yang sangat penting tidak hanya dalam menyatukan berbagai perbedaan budaya, melainkan juga mendorong perkembangan budaya di Indonesia.. Kelahiran

ppl2_1401409295_R112_1350223494. 1.51MB 2013-07-11 22:14:08

Kompetensi pendidik merupakan sesuatu yang utuh, sehingga proses pembentukannya tidak bisa dilakukan dengan instan karena pendidik merupakan profesi yang akan

Pengaruh Bauran Pemasaran Terhadap Keputusan Konsumen Membeli Bingka Khatulistiwa Di Kota Pontianak Abstrak - Pengaruh Bauran Pemasaran Terhadap Keputusan Konsumen Membeli Bingka Khatulistiwa Di Kota Pontianak

Hasil uji reliabilitas, baik variabel variabel produk, harga, promosi dan tempat sebagai variabel bebas maupun keputusan konsumen membeli Bingka Khatulistiwa di

T0 552013012 BAB III

Diawali dengan itikat semangat kebersamaan dalam meningkatkan kesejahteraan serta sadar akan semua kebutuhan yang tidak mungkin selamanya bisa dipenuhi oleh

Pengaruh Economic Value Added (Eva) Dan Market Value Added (Mva) Terhadap Return Saham Pada Perusahaan Yang Diperdagangkan Di Bursa Efek Indonesia

Hasil dari penelitian dengan menggunakan secara parsial (uji t) menunjukkan bahwa variabel EVA dan MVA berpengaruh terhadap variabel return saham terbukti dari nilai t

DETERMINANT FACTORS OF NURSING COMPLIANCE OF HAND WASHING PRACTICE IN ADE MUHAMMAD DJOEN REGIONAL HOSPITAL (RSUD) SINTANG

Hasil studi pendahuluan yang peneliti lakukan di ruang perawatan dalam dan ruang perawatan bedah RSUD Ade Muhammad Djoen Sintang terhadap 10 orang perawat