Keamanan Transaksi E-Commerce

Outline

• Pendahuluan

• Keamanan E-Commerce

• Faktor Keamanan

• Ancaman Keamanan & Solusi

• Kriptografi

• Standar Keamanan di Internet

• Konsultan Keamanan

Pendahuluan

• Electronic Commerce (E-Commerce), dalam hal ini EDI (Electronic DataInterchange), sudah digunakan sejak awal tahun 1980-an. Padamulanya, Edi ini digunakan terutama untuk membantuperdagangan/bisnis secara intern khususnya pada sektor industriseperti pada industri automobil, farmasi, dan industri manufactur.Pada awalnya, sistem keamanan (security) pada EDI dipandang hanyasebelah mata oleh para pelaku lingkungan EDI. Mereka masih belummemikirkan hal itu secara serius. Setalah beberapa tahun kemudianmeraka menyadari pentingnya faktor keamanan pada sistem transaksielektronik.

• Pada tahun 1990-an, peran penting sistem keamanan pada EC telahberkembang dengan pesat yang menyebabkan pusat perhatian bisnismakin lama makin terfokus pada sistem keamanan informasi dansegala kaitan yang dengan pentingnya pengakuan sah terhadapsesuatu (legal significan).

Perlu adanya perubahan (tambahan keamanan), karena:

• Kemajuan infrastruktur sistem komunikasi

Fasilitas komunikasi yang mendukung EC telah berubah secaradramatis. Hubungan antar poin yang semakin terbuka, tidak ada yangmengatur, semakin tidak terjaga, dan jaringan yang bersifat bebas.

• Meledaknya sistem perdagangan global

Kalangan bisnis kini mulai menginginkan sistem perdagangan globalyang cepat, yang didukung oleh komunitas digital dengan tingkatkepercayaan yang tinggi. Dengan memanfaatkan sistem keamananyang baik, diharapkan bisa memberikan dan mengamankan tandabukti pengesahan transaksi yang terjadi.

• dan lain-lain.

Keamanan E-Commerce

• Secara umum, keamanan merupakan salah satu komponenatau servis yang dibutuhkan untuk menjalankan EC.

• Dalam prakteknya, berbelanja di web memerlukan koneksi keinternet dan browser yang mendukung transaksi elektronikyang aman, seperti Microsoft Internet Explorer dan NetscapeNavigator.

• Microsoft dan Netscape, bekerja sama dengan perusahaankartu kredit (Visa dan MasterCard), serta perusahaan-perusahaan internet security (seperti VeriSign), telahmembuat standar enkripsi khusus yang membuat transaksimelalui web menjadi sangat aman. Bahkan, Visa danMasterCard menyediakan jaminan keamanan 100% kepadapenggunanya yang menggunakan EC.

• Tanda aman dari suatu retailer web site ditunjukkan denganadanya tanda khusus yang muncul di status bar layar browser.Tanda yang muncul adalah tanda gembok terkunci di pojokkanan status bar.

• Jika tanda-tanda tersebut muncul, berarti Anda sedang ter-connect pada server yang aman. Walaupun begitu, karenastandar yang dipakai untuk secure connection ini relatif baru,belum semua cybershop menggunakan standar ini.

• Kumpulan dari banyak cybershop yang telah terintegrasi dinamakan cybermall.

• Beberapa cybermall akan mengecek terlebih dahulu legitimasi dari cybershop yang akan masuk, sehingga dapat menghindari adanya cybershop yang palsu.

• Beberapa cybermall juga menyediakan jasa-jasa tambahan, seperti billing atau tagihan yang tersentralisasi, menjadikan proses belanja menjadi lebih mudah dan aman.

Faktor Keamanan

Yang perlu dilakukan:

– pengelolaan dan penjagaan keamanan secara fisik

– penambahan perangkat-perangkat elektronik (perangkat lunak dan perangkat keras) untuk melindungi data, sarana komunikasi serta transaksi

Pilar Keamanan Sistem e-Commerce

• Authentication (keabsahan pengirim)

– Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan penipuan)

• Confidentiality (kerahasiaan data)

– data tidak dapat dibaca oleh pihak yang tidak berhak

• Integrity (keaslian data)

– data tidak dapat diubah secara tidak sah

• Non-Repudiation (anti-penyangkalan)

– tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak pengirim)

Ancaman Keamanan & Solusi

ANCAMAN SOLUSI KEAMANAN FUNGSI TEKNOLOGI

Pencegatan data, Enkripsi Menyandikan Enkripsi simetrik

pembacaan dan modifikasi (Encryption) data (menggunakan kunci yang sama

data secara tidak sah di sisi pengirim dan penerima)

dan enkripsi asimetrik

(menggunakan kunci yang berbeda

di sisi pengirim dan penerima,

misalnya enkripsi dg algoritma DES,

RSA, PGP, dsb

Kecurangan (fraud) yang Otentikasi Melakukan Tanda tangan digital

dilakukan oleh orang-orang verifikasi thd (digital signature)

yang identitasnya tidak identitas

diketahui pengirim &

penerima

Akses yg tidak sah oleh Firewall Menyaring Firewall;

seseorang thd data milik serta melindungi jaringan maya pribadi

orang lain. lalu lintas data di

jaringan atau di

server

• Kriptografi merupakan Algoritma untuk proses keamanan komunikasi datadari pengintipan atau pembajakan oleh pihak-pihak yang tidak berhak .

• Istilah-istilah yang digunakan dalam bidang kriptografi antara lain :

Plainteks, merupakan data atau pesan asli yang ingin dikirim.

Cipherteks, merupakan data hasil enkripsi.

Enkripsi, merupakan proses untuk mengubah plainteks menjadichiperteks.

Deskripsi, merupakan proses untuk mengubah chiperteks menjadiplainteks atau pesan asli.

Key (Kunci), suatu bilangan yang dirahasiakan, dan digunakan untukproses enkripsi dan deskripsi.

• Algoritma kriptografi masa kini, sangat dimungkinkan dengan hadirnyakomputer-komputer yang memiliki prosesor berkinerja tinggi dan memilikikemampuan pemrosesan data yang sangat tinggi, merupakan salah satucara untuk melakukan otentikasi terhadap pihak-pihak yang terlibat dalamperdagangan elektronik.

Kriptografi

Algoritma kriptografi dibagi menjadi tiga bagian berdasarkankunci yang dipakainya :

• Kriptografi Simetris (private key algorithm)

• Kriptografi Asimetris (public key algorithm)

• Kriptografi Hibrid

Kriptografi Simetris (private key algorithm)

• Disebut sebagai algoritma simetris, karena dalam proses enkripsidan dekripsinya menggunakan kunci yang sama.

• Algoritma enkripsi dan deskripsi merupakan algoritma yang sudahumum diketahui, namun kunci yang dipakai harus terjagakerahasiaanya, dan hanya diketahui oleh pihak pengirim danpenerima saja. Kunci ini disebut sebagai private key.

• Sebelum berkomunikasi kedua pihak harus bersepakat lebih dahulutentang kunci yang dipergunakan. Pendistribusian kunci dari satupihak ke pihak lainnya memerlukan suatu kanal tersendiri yangterjagaan kerahasiaannya.

• Contoh skema enkripsi kunci simetrik adalah :

- DES (Data Encryption Standard)

- IDEA (International Data Encryption Algorithm)

- FEAL (Fast Data Encipherment Algorithm)

• Sistem (algoritma) kriptografi asimetris menggunakan kunci yangberbeda di sisi pengirim dan penerima.

• Ada beberapa yang saat ini populer :

- Data Encryption Standard (DES)

- Sistem Rivest, Shamir, Adleman (RSA)

- Pretty Good Privacy (PGP)

DES menggunakan kunci tunggal untuk mengenkripsi dandekripsi.

RSA merupakan metode enkripsi yang populer menggunakan 2kunci.

PGP melakukan enkripsi dan membuat digital signature pada file,melakukan dekripsi dan verifikasi pada file yang memiliki digitalsignature, dan mengelola koleksi kunci PGP yang dimiliki.

Kriptografi Asimetris (public key algorithm)

Enkripsi vs Dekripsi

Enkripsi berarti pengkodekan data ke format tertentu menggunakan kunci rahasia

Enkripsi vs Dekripsi

Dekripsi mendekodekan data yang terenkripsi ke format asli

Enkripsi vs Dekripsi

Enkripsi vs Dekripsi

Contoh: Enkripsi RSA

Sifat yang diinginkan dari tanda tangan digital diantaranya adalah:

• Tanda tangan itu asli (otentik), tidak mudah ditulis/ditiru olehorang lain. Pesan dan tanda tangan pesan tersebut juga dapatmenjadi barang bukti, sehingga penandatangan tak bisamenyangkal bahwa dulu ia tidak pernah menandatanganinya.

• Tanda tangan itu hanya sah untuk dokumen (pesan) itu saja. Tandatangan itu tidak bisa dipindahkan dari suatu dokumen ke dokumenlainnya. Ini juga berarti bahwa jika dokumen itu diubah, makatanda tangan digital dari pesan tersebut tidak lagi sah.

Tanda Tangan Digital

• Tanda tangan itu dapat diperiksa dengan mudah.

• Tanda tangan itu dapat diperiksa oleh pihak-pihak yang belumpernah bertemu dengan penandatangan.

• Tanda tangan itu juga sah untuk kopi dari dokumen yang samapersis.

Tanda Tangan Digital

Pembuatan Tanda Tangan Digital

Kelebihan dan Kelemahan berbagai sistem kriptografi

TIPE ENKRIPSI KEUNGGULAN KELEMAHAN

Kunci Simetrik

CepatKunci di kedua sisi (pengirim dan penerima) sama

Dapat dg mudah diimplementasikan Sukar untuk mendistribusikan kunci

pada perangkat keras Tidak mendukung tanda tangan digital

Kunci asimetrik

Menggunakan 2 kunci yg berbeda

Lambat dan membutuhkan komputasi yang intensif

Relatif mudah utk mendistribusikan

kunciMemungkinkan pemeliharaan integritas lewat tanda tangan digital

Standar Keamanan di Internet

• Keamanan untuk Aplikasi Web

– S-HTTP dan SSL

• Keamanan untuk e-Mail

– PEM, S/MIME, dan PGP

• Keamanan untuk Jaringan

– Firewall

Keamanan untuk Aplikasi Web:

• S-HTTP

– secara spesifik dirancang untuk mendukung protokol HTTP (Hypertext Transfer Protokol) dalam hal otorisasi dan keamanan dokumen

• SSL

– Melindungi saluran komunikasi di antara 2 protokol bagian bawah dalam tumpukan protokol menurut standar TCP/IP.

– Dapat juga digunakan untuk transaksi-transaksi selain yang berjalan di Web

– Tidak dirancang untuk menangani keputusan keamanan berbasis pada otentikasi pada peringkat aplikasi atau dokumen → perlu metode tambahan untuk mengendalikan akses ke berkas (file) yang berbeda

Keamanan untuk e-Mail:

• Privacy-Enhanced Mail (PEM)

– standar Internet untuk mengamankan e-mail menggunakan kunci publik maupun kunci simetris.

– saat ini mulai berkurang penggunaannya karena ia tidak dirancang dan dikembangkan untuk menangani surat elektronik yang memiliki berbagai jenis lampiran (misalnya: gambar, suara serta video)

• Secure MIME (S/MIME)

– standar baru untuk keamanan e-mail yang menggunakan algoritma-algoritma kriptografi yang telah memiliki hak paten dan dilisensi oleh RSA Data Security Inc

– bergantung pada berbagai jenis otoritas sertifikat, apakah bersifat global atau perusahaan, untuk memastikan otentikasi

Keamanan untuk e-Mail:

• Pretty Good Privacy (PGP)

– suatu aplikasi populer yang dikembangkan untuk pengiriman pesan dan berkas (file)

– merupakan aplikasi keamanan yang paling banyak digunakan untuk e-mail, serta menggunakan berbagai standar enkripsi

– Aplikasi-aplikasi enkripsi/deskripsi PGP tersedia bagi hampir semua sistem operasi dan pesan dapat dienkripsi

Keamanan untuk jaringan:

Firewall

• melindungi serangan pada protokol individual atau aplikasi

• melindungi sistem komputer dari Spoofing (program-program merusak yang menyamar sebagai aplikasi yang bermanfaat)

• menyediakan titik tunggal kendali keamanan bagi jaringan(kontradiksi: Firewall dijadikan titik pusat perhatian Hacker untuk membobol jaringan)

• Firewall tidak memeriksa adanya virus pada berkas yang masuk, sehingga tidak dapat menjamin integritas data

• Firewall tidak melakukan otentikasi sumber data

Keamanan untuk Jaringan:

• Kategori dalam Firewall:– Statis:

1. mengijinkan semua lalu lintas data melewatinya, kecualisecara eksplisit dihalangi (blocked) oleh administrator firewall

2. menghalangi semua lalu lintas data yang masuk, kecualisecara eksplisit diijinkan oleh administrator firewall

– Dinamis: layanan yang keluar masuk ditetapkan untukperiode waktu tertentu (membutuhkan sumber dayamanusia yang lebih

Keamanan untuk Jaringan:

• Karakteristik Firewall:

– penyaringan paket (packet filtering)

– penerjemahan alamat jaringan (network address translation)

– proxy peringkat aplikasi (application-level proxies)

– pemeriksaan keadaan (stateful inspection)

– VPN (Virtual Private Network)

– real-time monitoring

• Di URL muncul tulisan https:// bukan lagi http://

• Di Netscape Navigator (versi 3.0 dan sebelumnya ) simbol kuncipatah yang ada disudut kiri layer menjadi kunci yang utuhmenyambung. Di Netscape Communicator 4.0, kunci gembok yangtadinya terbuka menjadi tertutup. Di Microsoft Internet Explorer,muncul tanda kunci di bagian bawah browser.

• Enskripsi E-mail

Kerahasiaan email bisa terancam dari siapa saja baik dari pihak luaratau dalam organisasi kita sendiri seperti para administrator system

Ciri-ciri Secure Mode

Konsultan, organisasi, dan institusi yang bergerak di bidangkeamanan dapat membantu meningkatkan dan menjagakeamanan. Contoh organisasi yang bergerak di bidang iniadalah IDCERT.

Konsultan Keamanan

• Internet meningkatkan kenyamanan dalam belanja

• Namun banyak yang masih belum percaya dengan tingkatkeamanan Internet

• Kepercayaan (trust) adalah fondasi bagi e-commerce

– Apakah sudah pada level yang dapat diterima?

– Bisnis tidak dapat menunggu sampai terjadi aman 100%

Amankah Belanja Online?

• Lebih mudah mendapatkan nomor kartu kredit lewattransaksi konvensional daripada melalui jaringankomputer– Penggunaan kartu kredit di hotel, restoran menyisakan slip

kartu kredit

• Kredibilitas penjual & pembeli menentukan keamanan– Percayakah anda kepada orang yang tiba-tiba mengirim

email agar anda mengirimkan uang ke rekeningnya?

– Percayakah anda kepada saran dari sebuah situs web (yang anda tidak kenal)?

Amankah Belanja Online?

Sumber Lubang Keamanan

• Banyak orang menyangka sumber utama lubang keamanan padanetwork

• Network dapat diamankan dengan menggunakan enkripsi (misal: SSL, SSH, TLS, RSA, ECC dll.) sehingga data susah disadap

• Summary: network dapat diamankan dengan baik

• Sekuriti belanja online bergantung kepada kepercayaan (trust) anda kepada penjual

• Belanja pada tempat yang terpercaya

• Keamanan jaringan sudah cukup untuk transaksi online

Keamanan Network

Kepercayaan pada Penjual

Fungsi Payment Gateway