18 August 2006

Metode Keamanan Data Dalam E-Commerce

Sistem Keamanan dalam E-Commerce merupakan menjadi perhatian yang sangat serius. Karena dengan e-commerce semua transaksi yang dilakukan dengan media transmisi yang mudah di "bajak" oleh pihak-pihak yang tidak berhak.
Oleh karena itu untuk menjaganya diperlukan suatu strategi dan teknologi yang dapat melindungi paket-paket yang dikirimkan.

Strategi Melindungi Transaksi E-Commerce

Ada beberapa strategi yang dapat digunakan untuk melindungi transaksi dengan e-commerce, yaitu :

Kriptografi ( Cryptography )


Suatu proses pengkodeaan data mentah, menjadi data yang tersamar yang dikirimkan oleh pengirim yang dapat disampaikan oleh penerima dengan aman dengan teknik pemetaan tertentu.
Penggunaan kriptographi dalam e-commerce atau penggunaan internet telah banyak membantu dalam menyelesaikan masalah keamanan ( security ).
Kriteria keamanan yang dipergunakan dalam kriptographi adalah :

1. Kerahasiaan ( Confidentiality )

Kerahasiaan disini dimaksudkan adalah suatu data atau paket data tidak diperbolehkan dibaca atau diketahui oleh orang lain atau pihak lain yang tidak berkepentingan.

2. Otensitas ( Authenticity )

Otentisitas merupakan proses verifikasi terhadap identitas pengirim data atau paket data.

3. Integritas ( Integrity )

Maksud integritas disini adalah keutuhan data atau paket data yang dikirim kan oleh pengirim dan penerima data atau paket data yang diterimanya benar-benar utuh dan tidak dimanipulasi atau diubah.

4. Tidak Dapat Disangkal

Maksud dari Tidak Dapat Disangkal bahwa setiap pengiriman data atau paket data, pengirim tidak bisa menyangkal bahwa tidak pernah mengirim data atau paket data tersebut.

Data asli dalam kriptographi disebut dengan plaintext. Plaintext disini dapat berupa data gambar, video, teks dan sebagainya.
Suatu data atau paket data yang ditransformasi oleh kriptographi disebut dengan ciphertext. Proses pengembalian dari tranformasi data dalam bentuk ciphertext ke bentuk semula disebut dengan deskripsi ( decryption ).
Jenis kriptographi yang paling umum digunakan adalah Algoritma Simetris ( Symmetric Algorithm ).
Kunci yang dibuat untuk me-encrypt sama dengan kunci yang digunakan untuk membuka atau descrypt.


Gambar 1. Proses Encryption dan Descryption
Contoh penggunaan Algoritma Simetris adalah Data Encryption Standard ( DES ).

Kelemahan dari proses ini diantaranya adalah :
  1. Kunci yang dipergunakan yaitu sama. Jadi antara pengirim dan penerima haruslah saling percaya.
  2. Jika dua atau lebih orang memiliki kunci yang sama, maka mungkin salah satu orang yang memegang kunci tersebut bisa mencuri atau mendeskripsikan data tersebut.
  3. Penerima data atau peket data belum tentu yakin bahwa si pengirim data atau paket data adalah orang yang sebenarnya, bisa saja orang lain yang memakai nama orang yang bersangkutan.


Algoritma Kunci Publik ( Public-Key Algorithm )

Algoritma Kunci Publik (Public-Key Algorithm) disebut juga dengan algoritma asimetris (Asymmetric Algorithm) yaitu algorima yang menggunakan kunci yang berbeda pada saat melakukan encripsi dan melakukan deskripsi.
Pada saat melakukan encripsi dan mendistribusikan ke umum atau publik, algorima yang digunakan adalah kunci publik.
Paket data yang diterima akan dibuka atau deskripsi dengan mengunakan algoritma kunci private.
Antar kunci publik dan kunci private mempunyai hubungan secara matematis, dapat diartikan bahwa seseorang yang mempunyai kunci publik tidaklah dapat membuat kunci privat dan kunci publik tersebut.
Metode yang digunakan pada algoritma asimetris adalah :
  • RSA ( Rivest, Shamir, Adleman )
  • DH ( Diffe, Hellma )
  • PGP ( Pretty Good Privacy
  • El Gammal
  • DSA ( Digital Signature Algorithm )
  • Schnoor
Dengan adanya Algoritma Kunci Publik (Public-Key Algorithm), kekurangan-kekurangan yang ada pada Symmetric Algorithm dapat teratasi, dan solusi yang dapat diambil yaitu :
  • Setiap orang penerima atau pengirim hanya mengingat kunci pribadinya saja.
  • Algoritma bekerja berdasarkan pasangan kuncinya saja. Sehingga bila seseorang memiliki kunci yang sama akan tetapi pasangan kuncinya berbeda, maka tidak dapat mendeskripsikan data atau paket data orang lain
  • Masalah autentifikasi dapat teratasi, bahwa data, hanya dapat dibuka oleh orang yang memiliki pasangan kunci tersebut.
Kelemahan dari Asymmetric Algorithm ini adalah pada pelaksanaan secara teknis memakan waktu untuk melakukan pengkodeaan dengan kunci publik.

Tanda Tangan Digital (Digital Signature)


Tanda tangan digital merupakan tanda tangan yang dibuat secara elektronik, dengan jaminan yang lebih terhadap keamanan data dan keaslian data, baik jaminan tentang indentitas pengirim dan kebenaran dari data atau paket data terebut.

Tanda tangan digital dapat menggunakan Algoritma Simetris atau Algoritma Kunci-Publik
Penggunaan Algoritma Simetris, akan menggunakan perantara atau arbitrator pada pembuatan tanda tangan digital yang aman. Akan tetapi untuk saat ini pembuatan tanda tangan digital sudah menggunakan Algoritma Asimetris.

Pembuatan Tanda Tangan Digital dengan menggunakan Algoritma Kunci-Publik banyak metode yang bisa digunakan diantaranya RSA yang menggunakan kunci-privat atau kunci-publik untuk melakukan enkripsi.

Biasanya Tanda tangan digital dikombinasikan dengan Fungsi Hash, dengan tujuan untuk mengefesiensikan kerja dalam penandatangannan data

Pada Digital Signature dengan Fungsi Hash langkah yang diambil yaitu :

  1. Data Asli atau Paket Data dikodekan dengan menggunakan Fungsi Hash. Misalnya menggunakan Fungsi Hash 16 Byte, yang hasilnya dinamakan Message Digest.
  2. Message Digest ini kemudian diencripsi dengan menggunakan private-key, yang hasilnya berupa Digital Signature.
  3. Digital Signature ini yang kemudian digabungkan dengan teks dokumen asli
  4. Penerima akan melakukan proses autotenfikasi.
  5. Memisahkan Data Asli dengan Digital-Signature, yang menyetainya.
  6. Melakukan Proses Fungsi Hash terhadap Data Asli sehingga didapatkan Message Digest
  7. Melakukan proses deskripsi terhadap digital-signature dengan menggunakan kunci-publik.
  8. Membadingkan hasil Aktivasi Deskripsi dengan hasil Fungsi Digest.

Jika Data tersebut identik maka, maka data dan digital-signature yang diterima adalah otentik.
Jika tidak, maka terdapat 3 (tiga) kemungkinan :
  • Data yang dikirimkan telah mengalami perubahan dari segi isi.
  • Digital-Signature telah mengalami modifikasi
  • Data dan Digital-Signature telah mengalami perubahan dan tidak asli lagi.
Beberapa masalah yang mungkin timbul dari sistem digital signature ini terkait dengan sistem hukum yang sudah ada. Pada banyak negara, disyaratkan bahwa suatu transaksi haruslah disertai dengan bukti tertulis, dengan pertimbangan kepastian hukum.

Permasalahan yang ada pada Digital-Signature yaitu, bagaimana sebuah dokumen elektronik yang ditandatangani dengan sebuah digital signature dapat dikategorikan sebagai bukti tertulis?
Di lnggris, bukti tertulis haruslah berupa tulisan, ketikan, cetakan, litografi (lithography), fotographi, atau bukti-bukti yang mempergunakan cara-cara lain, yang dapat memperlihatkan atau mengolah kata kata dalam bentuk yang terlihat secara kasat mata. Definisi dari bukti tertulis itu sendiri sudah diperluas hingga mencakup juga "telex", telegram, atau cara-cara lain dalam telekomunikasi yang menyediakan rekaman dan perjanjian" (UNCITRAL Model Law on Internatinal Commercial Arbitration, art.7 (2)).

Dokumen elektronik yang ditandatangani dengan sebuah digital signature dapat dikategorikan sebagai bukti tertulis. apabila, terdapat suatu prinsip hukum yang menyebabkan sulitnya pengembangan penggunaan dan dokumen elektronik atau digital signature, yakni adanya syarat bahwa dokumen tersebut harus dapat di lihat, dikirim dan disimpan dalam bentuk kertas.

Masalah lain yang dapat timbul berkaitan dengan dokumen elektronik dan digital signature ini adalah masalah cara untuk menentukan dokumen yang asli dan dokumen salinan. Berkaitan dengan hal ini sudah menjadi prinsip hukum umum bahwa:
  1. Dokumen asli mestilah dalam bentuk perjanjian tertulis yang ditandatangani oleh para pihak yang melaksanakan perjanjian.
  2. Dokumen asli hanya ada satu dalam setiap perjanjian; dan
  3. Semua reproduksi dari perjanjian tersebut merupakan salinan.
Sertifikat Otoritas ( Certificate Autority )

Sertifikat Otoritas merupakan pihak ke-tiga yang bisa dipercaya (Trust Thrid Parti / TTP). Sertifikat Otoritas yang akan menghubungkan kunci dengan pemiliknya. TTP ini akan menerbitkan sertifikat yang berisi identitas seseorang dan juga kunci privat dari orang tersebut.
Tugas dari Sertifikat Otoritas adalah :
  1. Membuat Kunci Publik atau Privat miliknya sendiri.
  2. Melakukan verifikasi terhadap identitas seorang calon pelanggan yang hendak meminta sertifikat dari Sertifika Otoritas tersebut
  3. Pelanggan melakukan penyerahan kunci publiknya kepada sertifkat otoritas.
  4. Sertifikat Otoritas mengecek kunci tersebut pasangan dari kunci privat yang dimiliki calon pelanggan.
  5. Jika keseluruhan persyaratan terpenuhi makan Sertifikat Otoritas akan menerbitkan sebuah sertifikat digital atas nama orang tersebut.
Digital Serficate berisikan kunci duplikat dari kunci-publik pelanggan dan juga identitas dari pelanggan.

Secure Socket Layer ( SSL )


Secure Socket Layer (SSL) merupakan suatu protokol yang membuat sebuah pipa pelindung antara browser cardholder dengan merchant, sehingga pembajak atau penyerang tidak dapat menyadap atau membajak informasi yang mengalir pada pipa tersebut.
Pada penggunaannya SSL digunakan bersaman dengan protokol lain, seperti HTTP ( Hyper Text Transfer Protocol ), dan Sertificate Autority
Penggunaan Sertificate Autority ini ditujukan untuk meningkatkan pengamanan terhadap pembajak atau penyadap informasi yang terdapat pada pipa SSL. Pembajak yang melakukan penyadapan informasi bisa melakukan pengubahan-pengubahan informasi dengan cara menukar public-key chardholder dan merchant dengan public-key pembajak.
Penggunaan Symmetric-Key yang digunakan pada SSL, untuk membungkus data asli a misalnya data kartu kredit.
Symmetric-Key yang dipergunakan pada web browser, pada umumnya menggunakan RC4 dan DES (Data Encryption Standard).
Teknologi Encripsi berkekuatan tinggi ( Strong Encryption) yang ada sekarang yaitu RSA 1024 bit dan RC4 / DES 128 bit.

Web browser yang menggunakan teknologi encripsi berkekuatan tinggi diantaranya Microsoft Internet Explorer (IE) dan Netscape Communicator(NC).
Berikut Contoh Membuat SSL dengan SSL Manager, dengan SSL Manager ini memungkinkan kita untuk membuat SSL Certificate, Signing Request, SSL Key.

Daftar Pustaka
  1. Barakatullah, Abdul Halim dan Teguh Prasetyo. 2005. Bisnis E-Commerce Studi Sistem Keamanan dan Hukum Di Indonesia. Pustaka Pelajar. Yogyakarta
  2. Eko Indrajit, Richardus Dr, .2005. E-Commerce : Kiat dan Strategi Bisnis Didunia Maya.
  3. Purbo, Onno W. 2000. Mengenal E-Commerce.PT. Elex Media Komputindo.Jakarta

URL :
  • Safitri, Indra. 1999. E-Commerce Dalam Persfektif Hukum, http://business.fortunecity.com/buffett/842/art080399_ecommerce.htm
  • Cpanel.2004.SSL Manager,http://www.komisi-mi.com
  • Anoname.2004. Konsep Ecommerce. http://www.sentralweb.com/sentralweb/mod.php?mod=publisher&op=viewarticle&artid=13

2 komentar:

Ruspandi said...

Wah ini materi perkuliahan e-commerce nih.

abrori said...

Terima kasih, saya telah menggunakan blog anda sebagai referensi paper saya

http://abrori35e.blogstudent.mb.ipb.ac.id/

abrori.35e@mma.ipb.ac.id