E-Commerce Security and Encryption

(1)

E E -- C C o o m m m m e e r r c c e e T T e e c c h h n n o o l l o o g g y

y

E-Commerce Keamanan dan

Enkripsi

(2)

E

TEC2441 ₂

Tujuan Belajar

 Memahami cakupanMemahami cakupan kejahatan dan masalah keamanan di e- kejahatan dan masalah keamanan di

e-commerce

commerce

 Jelaskan kunci dimensiJelaskan kunci dimensi e-commerce keamanan e-commerce keamanan

 Memahami keteganganMemahami ketegangan antara keamanan dan nilai-nilai lain antara keamanan dan nilai-nilai lain

 Mengidentifikasi kunci ancaman keamananMengidentifikasi kunci ancaman keamanan dalam lingkungan dalam lingkungan

e-commerce

 Jelaskan bagaimana berbagai bentuk enkripsiJelaskan bagaimana berbagai bentuk enkripsi membantu membantu

teknologi melindungi keamanan pesan yang dikirim melalui

Internet

 Identifikasi alatIdentifikasi alat digunakan untuk membangun Internet yang digunakan untuk membangun Internet yang

aman

aman saluran komunikasi saluran komunikasi

 Identifikasi alatIdentifikasi alat digunakan untuk melindungi digunakan untuk melindungi jaringan, server, jaringan, server,

dan klien

(3)

E E -- C C o o m m m m e e r r c c e e T T e e c c h h n n o o l l o o g g y y

TEC2441 ₃

Keamanan Lingkungan E-commerce :

Ruang Lingkup Masalah

 2002 Keamanan Komputer survei Institut dari 503 2002 Keamanan Komputer survei Institut dari 503

personel keamanan di perusahaan-perusahaan AS dan

pemerintah

 80% responden telah mendeteksi pelanggaran 80% responden telah mendeteksi pelanggaran

keamanan komputer dalam 12 bulan terakhir dan

menderita kerugian finansial sebagai akibat

 Hanya 44% bersedia atau mampu mengukur kerugian Hanya 44% bersedia atau mampu mengukur kerugian

yang mencapai $ 456.000.000 dalam agregat

(4)

TEC2441 ₄

Lingkungan Keamanan E-commerce

(5)

TEC2441 ₅

Dimensi Keamanan E-commerce

 Integritas:Integritas: kemampuan untuk memastikan bahwa kemampuan untuk memastikan bahwa

informasi yang ditampilkan di situs Web atau dikirim /

diterima melalui Internet belum diubah dengan cara

apapun oleh pihak yang tidak berwenang

 Nonrepudiation:Nonrepudiation: kemampuan untuk memastikan bahwa kemampuan untuk memastikan bahwa

e-commerce peserta tidak mengingkari (menolak)

tindakan secara online

 Keaslian:Keaslian: kemampuan untuk mengidentifikasi identitas kemampuan untuk mengidentifikasi identitas

orang atau badan dengan siapa Anda berurusan di

Internet

(6)

TEC2441 ₆

Dimensi Keamanan E-commerce

(lanjutan)

 Kerahasiaan:Kerahasiaan: kemampuan untuk memastikan bahwa kemampuan untuk memastikan bahwa

pesan-pesan dan data yang tersedia hanya untuk

mereka yang berwenang untuk melihatnya

 Privasi:Privasi: kemampuan untuk mengendalikan penggunaan kemampuan untuk mengendalikan penggunaan

informasi pelanggan yang telah diberikan kepada

pedagang

 Ketersediaan:Ketersediaan: kemampuan untuk memastikan bahwa kemampuan untuk memastikan bahwa

situs e-commerce terus berfungsi sebagaimana

dimaksud

(7)

(8)

TEC2441 ₈

Ketegangan Antara Keamanan dan

Nilai Lain

 Keamanan vs kemudahan penggunaan:Keamanan vs kemudahan penggunaan: langkah-

langkah-langkah keamanan yang lebih yang ditambahkan, situs

langkah keamanan yang lebih yang ditambahkan, situs

lebih sulit untuk digunakan, dan menjadi

 lebih lambatlebih lambat

 Keamanan vs KeinginanKeamanan vs Keinginan individu untuk bertindak secara individu untuk bertindak secara

anonim

(9)

TEC2441 ₉

Ancaman keamanan di Lingkungan

E-commerce

commerce

 Tiga poin penting kerentanan:Tiga poin penting kerentanan:

 Klien_Klien

 ServerServer

 Komunikasi saluranKomunikasi saluran

 Paling umum ancaman:Paling umum ancaman:

 Kode berbahaya_{Kode berbahaya}

 Hacking dan cybervandalism_{Hacking dan cybervandalism}

 Kartu kredit penipuan / pencurianKartu kredit penipuan / pencurian  SpoofingSpoofing

 Penolakan serangan layananPenolakan serangan layanan  Sniffing_Sniffing

(10)

TEC2441 ₁

0

Sebuah Transaksi Khas E-commerce

(11)

TEC2441 ₁

1

Poin Rentan dalam Lingkungan

E-commerce

(12)

E

TEC2441 ₁

2

Kode berbahaya

 Virus:Virus: program komputer yang sebagai kemampuan program komputer yang sebagai kemampuan

untuk mereplikasi dan menyebar ke file lain, sering juga

membawa sebuah "payload" dari beberapa macam

(mungkin merusak atau jinak); termasuk virus makro,

menginfeksi file virus dan virus script

 Worm:Worm: dirancang untuk menyebarkan salinan dirinya dirancang untuk menyebarkan salinan dirinya

sebagai program mandiri melalui jaringan

 Trojan horse:Trojan horse: tampaknya jinak, tetapi kemudian tampaknya jinak, tetapi kemudian

melakukan sesuatu yang lain dari yang diharapkan

 Bad applet (kode mobile berbahaya):Bad applet (kode mobile berbahaya): berbahaya Java berbahaya Java

applet atau kontrol ActiveX yang dapat didownload ke

klien dan diaktifkan hanya dengan berselancar ke situs

Web

(13)

TEC2441 ₁

(14)

E

TEC2441 ₁

4

Hacking dan Cybervandalism

 Hacker:Hacker: Individu yang bermaksud untuk mendapatkan akses Individu yang bermaksud untuk mendapatkan akses

tidak sah ke sistem komputer

 Cracker:Cracker: Digunakan untuk menunjukkan hacker dengan Digunakan untuk menunjukkan hacker dengan

maksud kriminal (dua istilah yang sering digunakan secara

bergantian)

 Cybervandalism:_{Cybervandalism:} Sengaja mengganggu, defacing atau _{Sengaja mengganggu, defacing atau}

menghancurkan situs Web

 Jenis hacker meliputi:_{Jenis hacker meliputi:}

 Topi putih_{Topi putih} - Anggota "tim macan" yang digunakan oleh - Anggota "tim macan" yang digunakan oleh

departemen keamanan perusahaan untuk menguji departemen keamanan perusahaan untuk menguji langkah-langkah keamanan mereka sendiri

langkah keamanan mereka sendiri

 Topi hitam_{Topi hitam} - Undang-Undang dengan maksud menyebabkan - Undang-Undang dengan maksud menyebabkan kerusakan

kerusakan

(15)

TEC2441 ₁

5

Penipuan Kartu Kredit

 Ketakutan bahwa informasi kartu kredit akan dicuri Ketakutan bahwa informasi kartu kredit akan dicuri

menghalangi pembelian online

 Hacker target file kartu kredit dan informasi lainnya file Hacker target file kartu kredit dan informasi lainnya file

pelanggan pada server pedagang; menggunakan data

curian untuk membangun kredit di bawah identitas palsu

 Solusi Baru :Solusi Baru : mekanisme baru verifikasi identitas untuk mekanisme baru verifikasi identitas untuk

mengidentifikasi identitas pelanggan

(16)

E

TEC2441 ₁

6

Spoofing, DoS dan serangan DDoS,

Sniffing, Insider Lowongan Kerja

 Spoofing:Spoofing: Menyamar diri dengan menggunakan e-mail Menyamar diri dengan menggunakan e-mail

palsu atau menyamar sebagai orang lain

 Denial of service (DoS) serangan:Denial of service (DoS) serangan: Hacker banjir dengan Hacker banjir dengan

lalu lintas situs Web berguna untuk menggenangi dan

membanjiri jaringan

 Distributed denial of service (dDoS) serangan:Distributed denial of service (dDoS) serangan: hacker hacker

menggunakan komputer untuk menyerang berbagai

jaringan target dari titik berbagai peluncuran

 Sniffing:Sniffing: jenis program menguping yang memonitor jenis program menguping yang memonitor

informasi perjalanan melalui jaringan; memungkinkan

hacker untuk mencuri informasi rahasia dari mana saja

pada jaringan

(17)

TEC2441 ₁

7

Solusi Teknologi

 Melindungi komunikasi internet (enkripsi)Melindungi komunikasi internet (enkripsi)

 Mengamankan saluran komunikasi (SSL, S-HTTP, VPN)Mengamankan saluran komunikasi (SSL, S-HTTP, VPN)  Melindungi jaringan (firewall)Melindungi jaringan (firewall)

(18)

TEC2441 ₁

8

Tersedia Alat untuk Mencapai

Keamanan Situs

(19)

TEC2441 ₁

9

Melindungi Komunikasi Internet:

Enkripsi

 Enkripsi:Enkripsi: Proses transformasi teks biasa atau data ke Proses transformasi teks biasa atau data ke

dalam teks cipher yang tidak dapat dibaca oleh

siapapun selain pengirim dan penerima

 Tujuan:Tujuan:

 Aman menyimpan informasi_{Aman menyimpan informasi}

 Aman transmisi informasi_{Aman transmisi informasi}

 Menyediakan:Menyediakan:

 Integritas pesan_{Integritas pesan}

 Nonrepudiation_{Nonrepudiation}

 Otentikasi_Otentikasi

(20)

TEC2441 ₂

0

Simetris Kunci Enkripsi

 Juga dikenal sebagai enkripsi kunci rahasiaJuga dikenal sebagai enkripsi kunci rahasia

 Baik pengirim dan penerima menggunakan kunci digital Baik pengirim dan penerima menggunakan kunci digital

yang sama

yang sama untuk mengenkripsi dan mendekripsi pesan untuk mengenkripsi dan mendekripsi pesan

 Membutuhkan satu set kunci yang berbeda untuk setiap Membutuhkan satu set kunci yang berbeda untuk setiap

transaksi

 Data Encryption Standard (DES):Data Encryption Standard (DES): Paling banyak Paling banyak

digunakan enkripsi kunci simetris hari ini; menggunakan

56-bit enkripsi kunci; jenis lain menggunakan 128-bit

kunci hingga 2048 bit melalui

(21)

E

TEC2441 ₂

1

Publik Kunci Enkripsi

 Kriptografi kunci publik memecahkan masalah enkripsi Kriptografi kunci publik memecahkan masalah enkripsi

kunci simetris harus pertukaran kunci rahasia

 Menggunakan dua kunci digital matematis terkait - kunci Menggunakan dua kunci digital matematis terkait - kunci

publik (disebarluaskan) dan kunci pribadi (rahasia

disimpan oleh pemilik)

 Kedua tombol ini digunakan untuk mengenkripsi dan Kedua tombol ini digunakan untuk mengenkripsi dan

mendekripsi pesan

 Setelah kunci digunakan untuk mengenkripsi pesan, Setelah kunci digunakan untuk mengenkripsi pesan,

tombol yang sama tidak dapat digunakan untuk

mendekripsi pesan

 Sebagai contoh, pengirim menggunakan kunci publik Sebagai contoh, pengirim menggunakan kunci publik

penerima untuk mengenkripsi pesan; penerima

menggunakan kunci / nya pribadi untuk mendekripsi itu

(22)

TEC2441 ₂

2

Kriptografi Kunci Publik - Kasus

Sederhana

(23)

TEC2441 ₂

3

Enkripsi Public Key menggunakan

Digital Signatures dan Hash Digests

 Aplikasi fungsi hash (algoritma matematika) oleh Aplikasi fungsi hash (algoritma matematika) oleh

pengirim sebelum enkripsi menghasilkan mencerna

hash penerima yang dapat menggunakan untuk

memverifikasi integritas data

 Enkripsi ganda dengan kunci pribadi pengirim (tanda Enkripsi ganda dengan kunci pribadi pengirim (tanda

tangan digital) membantu memastikan keaslian dan

nonrepudiation

(24)

TEC2441 ₂

4

Kriptografi Kunci Publik dengan

Digital Signature

(25)

E

TEC2441 ₂

5

Digital Amplop

 Alamat kelemahan enkripsi kunci publik (komputasi Alamat kelemahan enkripsi kunci publik (komputasi

lambat, menurunkan kecepatan transmisi,

meningkatkan waktu pengolahan) dan enkripsi kunci

simetrik (lebih cepat, tetapi lebih aman)

 Adalah teknik kriptografi generik yang digunakan untuk Adalah teknik kriptografi generik yang digunakan untuk

mengenkripsi data dan mengirimkan kunci enkripsi

bersama dengan data.

 Umumnya, sebuah simetris Umumnya, sebuah simetris algoritma (kunci pribadi)algoritma (kunci pribadi)

digunakan untuk

digunakan untuk mendekripsi datamendekripsi data, Dan algoritma , Dan algoritma asimetris (kunci publik)

asimetris (kunci publik) digunakan untuk mengenkripsi digunakan untuk mengenkripsi

(26)

TEC2441 ₂

6

Kriptografi Kunci Publik: Membuat

Amplop Digital

(27)

TEC2441 ₂

7

Sertifikat digital dan Public Key

Infrastructure (PKI)

 Sertifikat digital:Sertifikat digital: Dokumen digital yang meliputi: Dokumen digital yang meliputi:

 Nama subjek atau perusahaan_{Nama subjek atau perusahaan}

 Subjek kunci publik_{Subjek kunci publik}

 Nomor seri sertifikat digital_{Nomor seri sertifikat digital}

 Tanggal kadaluwarsa_{Tanggal kadaluwarsa}

 Penerbitan tanggal_{Penerbitan tanggal}

 Tanda tangan digital dari otoritas sertifikasi (pihak ketiga _{Tanda tangan digital dari otoritas sertifikasi (pihak ketiga}

terpercaya (institusi) yang isu-isu sertifikat

 Lain mengidentifikasi informasi_{Lain mengidentifikasi informasi}

 Infrastruktur Kunci Publik (PKI):Infrastruktur Kunci Publik (PKI): mengacu pada Otoritas mengacu pada Otoritas

Sertifikasi (CA) dan prosedur sertifikat digital yang

diterima oleh semua pihak

(28)

TEC2441 ₂

8

Sertifikat digital dan Otoritas

Sertifikasi

(29)

TEC2441 ₂

9

Batas untuk Solusi Enkripsi

 PKI berlaku terutama untuk melindungi pesan dalam PKI berlaku terutama untuk melindungi pesan dalam

transit

 PKI adalah tidak efektif terhadap orang dalamPKI adalah tidak efektif terhadap orang dalam  Perlindungan kunci privat oleh individu dapat Perlindungan kunci privat oleh individu dapat

serampangan

 Tidak ada jaminan bahwa komputer memverifikasi Tidak ada jaminan bahwa komputer memverifikasi

pedagang aman

(30)

E

TEC2441 ₃

0

Mengamankan Saluran Komunikasi

 Secure Socket Layer (SSL):Secure Socket Layer (SSL): Paling umum bentuk Paling umum bentuk

mengamankan saluran komunikasi; digunakan untuk

membangun sebuah sesi negosiasi aman (client-server

sesi di mana URL dokumen yang diminta, bersama dengan

isi, dienkripsi)

 S-HTTP:S-HTTP: Metode alternatif; memberikan pesan protokol Metode alternatif; memberikan pesan protokol

berorientasi mengamankan komunikasi yang dirancang

untuk digunakan dalam hubungannya dengan HTTP

 Virtual Private Networks (VPN):Virtual Private Networks (VPN): Memungkinkan pengguna Memungkinkan pengguna

remote untuk secara aman mengakses jaringan internal

melalui internet, menggunakan Point-to-Point Tunneling

Protocol (PPTP)

(31)

TEC2441 ₃

1

Negosiasi aman Sesi Menggunakan

SSL

(32)

TEC2441 ₃

2

Melindungi Jaringan: Firewall dan

Proxy Server

 Firewall:Firewall: Perangkat lunak aplikasi yang bertindak Perangkat lunak aplikasi yang bertindak

sebagai filter antara jaringan privat perusahaan dan

Internet

 Metode firewall termasuk:Metode firewall termasuk:

 Packet filter_{Packet filter}

 Aplikasi gateway_{Aplikasi gateway}

 Proxy server:Proxy server: Perangkat lunak server yang menangani Perangkat lunak server yang menangani

semua komunikasi yang berasal dari untuk dikirim ke

Internet (bertindak sebagai "juru bicara" atau "pengawal"

untuk organisasi)

(33)

TEC2441 ₃

3

(34)

TEC2441 ₃

4

Melindungi Server dan Klien

 Operasi sistem kontrol:Operasi sistem kontrol: Otentikasi dan mekanisme Otentikasi dan mekanisme

kontrol akses

 Anti-virus perangkat lunak:Anti-virus perangkat lunak: Termudah dan paling murah Termudah dan paling murah

cara untuk mencegah ancaman terhadap integritas

sistem

(35)

TEC2441 ₃

5

Mengembangkan E-commerce

Rencana Keamanan

(36)

E

TEC2441 ₃

6

Mengembangkan E-commerce

Rencana Keamanan

5 Langkah-langkah:

1.

1. Lakukan penilaian risikoLakukan penilaian risiko - Penilaian risiko dan kerentanan - Penilaian risiko dan kerentanan poin

poin 2.

2. Mengembangkan kebijakan keamananMengembangkan kebijakan keamanan - Set pernyataan - Set pernyataan memprioritaskan risiko informasi, mengidentifikasi target

memprioritaskan risiko informasi, mengidentifikasi target

risiko yang dapat diterima dan mengidentifikasi mekanisme

untuk mencapai target

untuk mencapai target 3.

3. Mengembangkan rencana implementasiMengembangkan rencana implementasi - Tindakan langkah - Tindakan langkah yang diperlukan untuk mencapai tujuan rencana keamanan

yang diperlukan untuk mencapai tujuan rencana keamanan 4.

4. Buat organisasi keamananBuat organisasi keamanan - Bertanggung jawab atas - Bertanggung jawab atas keamanan, mendidik dan melatih pengguna, membuat

keamanan, mendidik dan melatih pengguna, membuat

manajemen menyadari masalah keamanan; mengelola

kontrol akses, prosedur otentikasi dan otorisasi kebijakan

kontrol akses, prosedur otentikasi dan otorisasi kebijakan 5.

5. Lakukan audit keamananLakukan audit keamanan - Tinjauan praktek dan prosedur - Tinjauan praktek dan prosedur keamanan

(37)

TEC2441 ₃

7

(38)

TEC2441 ₃

8

Upaya pemerintah untuk Mengatur

dan Kontrol Enkripsi

(39)

TEC2441 ₃

9

VeriSign: Selimut Keamanan Web

(40)

E

TEC2441 ₄

0

Studi Kasus: VeriSign: Selimut

Keamanan Web

 Universitas Pittsburgh e-Store contoh Internet Universitas Pittsburgh e-Store contoh Internet

(keamanan) jasa kepercayaan yang ditawarkan oleh

VeriSign

 VeriSign telah tumbuh keahlian di awal enkripsi kunci VeriSign telah tumbuh keahlian di awal enkripsi kunci

publik ke dalam bisnis infrastruktur Internet keamanan

terkait

 Mendominasi pasar situs Web enkripsi jasa dengan Mendominasi pasar situs Web enkripsi jasa dengan

lebih dari 75% pangsa pasar

 Menyediakan layanan pembayaran yang amanMenyediakan layanan pembayaran yang aman

 Menyediakan bisnis dan instansi pemerintah dengan Menyediakan bisnis dan instansi pemerintah dengan

layanan keamanan berhasil

 Menyediakan pendaftaran nama domain, dan mengelola Menyediakan pendaftaran nama domain, dan mengelola

com dan. Net domain.

(41)

E

TEC2441 ₄

1

Review Tujuan Pembelajaran

 Memahami cakupan Memahami cakupan e-commerce kejahatan dan masalah e-commerce kejahatan dan masalah

keamanan

 Jelaskan kunci dimensiJelaskan kunci dimensi e-commerce keamanan e-commerce keamanan

 Memahami keteganganMemahami ketegangan antara keamanan dan nilai-nilai lain antara keamanan dan nilai-nilai lain  Mengidentifikasi kunci ancaman keamananMengidentifikasi kunci ancaman keamanan dalam lingkungan dalam lingkungan

e-commerce

 Jelaskan bagaimana berbagai bentuk enkripsiJelaskan bagaimana berbagai bentuk enkripsi membantu membantu

teknologi melindungi keamanan pesan yang dikirim melalui

Internet

 Identifikasi alat Identifikasi alat digunakan untuk membangun Internet yang digunakan untuk membangun Internet yang

aman

aman saluran komunikasi saluran komunikasi

 Identifikasi alatIdentifikasi alat digunakan untuk melindungi jaringan, server, digunakan untuk melindungi jaringan, server,

dan klien

(42)

TEC2441 ₄

2

Ucapan Terima Kasih dan Referensi

 Gambar di halaman judul yang diadopsi dan diubah dariGambar di halaman judul yang diadopsi dan diubah dari » http://www2.automation.siemens.com/_{http://www2.automation.siemens.com/}

» www.worldexposure.com/v3/webdesign/_{www.worldexposure.com/v3/webdesign/}

» http://www.tigerwebsolutions.com/ecommerce.php_{http://www.tigerwebsolutions.com/ecommerce.php}

 Kenneth C. Laudon, Carol Guercio Traver, "E-Kenneth C. Laudon, Carol Guercio Traver, "

E-Commerce: Bisnis. Teknologi. Masyarakat - Edisi 2

Commerce: Bisnis. Teknologi. Masyarakat - Edisi 2", ", Addison Wesley, 2004 (ISBN: 032120056X)