KEAMANAN DAN AUTENTIFIKASI TRANSAKSI ELEKTRONIS
KEAMANAN DAN AUTENTIFIKASI TRANSAKSI ELEKTRONIS
1. Keamanan Transaksi
Dalam transaksi elektronis, keamanan tidak diperlukan hanya untuk transaksi tersebut tetapi juga dokumen atau informasi yang menyertainya. Tingkat kerahasiaan dari suatu informasi atau dokumen menentukan metoda pengamanan yang digunakan. Untuk dokumen atau informasi yang tidak memiliki tingkat kerahasiaan yang tinggi, mekanisme “symmetric encryption” ini masih cukup baik dipergunakan untuk sebuah jaringan komputer intranet maupun internet,. Aplikasi dalam dunia internet atau e-Business misalnya dipergunakan untuk pengiriman dokumen-dokumen standar (brosur, pengumuman, dsb.) baik melalui email maupun attachment. Mekanisme pengamanan untuk dokumen atau informasi yang memiliki tingkat kerahasiaan tinggi adalah dengan menggunakan metode “public-key cryptography” seperti yang digambarkan di berikut ini. Dalam sistem ini, setiap orang yang akan melakukan komunikasi via internet akan diberikan sebuah kunci (disebut sebagai “public key”) yang diketahui oleh semua orang secara terbuka. Jika seseorang ingin mengirimkan sebuah pesan, maka yang bersangkutan diharapkan untuk terlebih dahulu melihat daftar public key (kunci publik) dan mencari tahu kunci publik si penerima.
Kunci inilah yang akan menjadi variabel enkripsi terhadap dokumen atau teks asli tersebut, sebelum dokumen samaran (acak) yang ada dikirimkan melalui internet. Pesan ini baru akan dapat dideskripsikan dengan sebuah “private key” yang hanya diketahui oleh si penerima. Tanpa adanya “private key” tersebut, mustahil seseorang dapat melakukan deskripsi terhadap pesan atau dokumen yang ada. Dengan kata lain, setiap orang yang ingin berkomunikasi akan memiliki sepasang kunci:
• Kunci yang diketahui oleh umum (public key) dan
• Kunci yang hanya diketahui secara pribadi (private key).
Dengan adanya sistem semacam ini, maka kebutuhan akan tingkat pengamanan yang tinggi bisa terpenuhi dengan:
• Setiap orang hanya perlu mengingat kunci pribadinya, karena kunci untuk berkomunikasi ke orang-orang lain dapat dengan mudah ditemukan pada daftar kunci;
• Algoritma pemetaan bekerja berdasarkan pasangan kunci, sehingga walaupun seseorang memiliki salah satu kunci yang sama, namun jika pasangan kuncinya berbeda, tidak akan dapat dipergunakan untuk mendeskripsikan pesan orang lain; dan
• Dengan sendirinya problem autentifikasi akan terselesaikan karena yang bersangkutan pasti akan menggunakan kunci yang benar (bukan kunci orang lain) agar dapat dibaca oleh mereka yang memiliki pasangan kuncinya.
Mekanisme pengamanan di atas biasa pula dipergunakan dalam dunia e-Business untuk menjaga kerahasiaan sebuah data, misalnya:
• Data nomor kartu kredit yang hanya boleh diketahui oleh si pengirim dan bank atau lembaga keuangan tertentu;
• Nomor identifikasi pengguna (user id) dan password yang hanya boleh diketahui oleh konsumen dan perusahaan penyedia jasa e-Commerce;
• Mengirimkan daftar pelanggan beserta rincian profilnya yang secara prinsip merupakan milik perusahaan yang tidak boleh dilihat para saingan bisnis;
• Melakukan download dokumen atau produk digital lainnya yang hanya dapat dibaca oleh mereka yang secara sah telah membeli; dan lain sebagainya.
Satu-satunya kelemahan sistem ini adalah implementasinya secara teknis yang memakan waktu cukup lama untuk melakukan pengkodean dengan kunci publik. Berbagai teknik baru telah diperkenalkan di dunia pengamanan data sebagai alternatif untuk melakukan komunikasi secara lebih cepat sekaligus aman.
2. Autentifikasi Transaksi
Salah satu keunggulan berbisnis di dunia maya adalah dapat dilakukannya transaksi perdagangan dimana dan kapan saja tanpa harus adanya tatap muka secara fisik antara penjual dan pembeli. Namun hal ini kerap menjadi permasalahan tersendiri, terutama yang berhubungan dengan masalah autentifikasi. Bagaimana si penjual dapat yakin bahwa yang membeli produknya adalah orang yang sesungguhnya (seperti pengakuannya)? Bagaimana si penjual dapat merasa yakin, misalnya:
• Bahwa kartu kredit yang dipergunakan benar-benar milik dari si pembeli? atau
• Bahwa informasi yang dikirimkan oleh si penjual tidak jatuh ke tangan mereka yang tidak berhak kecuali pembeli yang bersangkutan? atau
• Bahwa dokumen yang dikirimkan tidak diubah-ubah oleh mereka yang tidak berhak di tengah-tengah jalur transmisi? atau
• Bahwa transaksi perdagangan dapat sah secara hukum karena tidak adanya pihak penipuan dari si pembeli?
• Dan lain sebagainya.
Di dalam dunia nyata, biasanya untuk memecahkan permasalahan ini dipergunakan “tanda tangan” sebagai bukti autentifikasi (keaslian) identifikasi seseorang. Di dalam dunia maya, ditawarkan suatu konsep yang diberi nama sebagai “Digital Signature” atau tanda tangan digital (Kosiur, 1997). Prinsip dari implementasi sebuah sistem digital signature adalah seperti yang dijelaskan berikut ini.
Berbeda dengan metoda “public-key encryption” yang secara teknis membutuhkan waktu yang relatif lama untuk melakukan enkripsi (pengkodean acak) terhadap sebuah dokumen, pada sistem digital signature, dokumen yang dikirimkan tidak dienkripsi dengan menggunakan kunci publik (public key).
Dokumen tersebut dikodekan dengan menggunakan sebuah fungsi matematika yang dinamakan “Hash Function”. Dengan menggunakan tipe Hash Function 16 bytes, maka teks yang panjang akan dapat dinyatakan dalam 16 buah karakter, misalnya menjadi: CBBV235ndsAG3D67 yang dinamakan sebagai “message digest”. Si pengirim kemudian dengan menggunakan kode pribadinya (private key) melakukan enkripsi terhadap message digest ini, dan hasilnya adalah tanda tangan digital (digital signature) dari si pengirim. Digital signature inilah yang kemudian digabungkan dengan teks yang ada (dokumen asli) untuk kemudian dikirimkan melalui internet.
Di pihak penerima akan diadakan serangkaian proses autentifikasi. Proses pertama adalah memisahkan antara dokumen asli dengan digital signature yang menyertainya. Proses kedua adalah memberlakukan kembali Hash Function terhadap dokumen asli sehingga didapatkan 16 karakter message digest. Proses ketiga adalah melakukan proses dekripsi terhadap digital signature dengan menggunakan kunci public (public key) dari si pengirim. Proses selanjutnya adalah memperbandingkan atau mengkomparasikan 16 karakter message digest hasil Hash Function dan aktivitas dekripsi. Jika kedua message digest tersebut identik, maka dokumen dan digital signature yang diterima adalah otentik, berasal dari orang yang dimaksud dan tidak diintervensi oleh yang tidak berhak dalam perjalanan transmisinya. Sebaliknya jika ternyata kedua message digest tersebut tidak sama, berarti ada tiga kemungkinan yang terjadi:
• Dokumen yang dikirimkan telah mengalami perubahan dari segi isi;
• Digital Signature yang dikirimkan telah mengalami modifikasi; atau
• Kedua-duanya telah mengalami perubahan sehingga tidak sama dengan aslinya.
Tentu saja perubahan tersebut dapat terjadi karena disengaja maupun tidak. Disengaja dalam arti kata bahwa ada seseorang atau pihak lain yang mencoba untuk mengganti dokumen atau memalsukan digital signature; tidak sengaja dalam arti kata mungkin saja terjadi “kerusakan” teknis, baik secara hardware maupun software, sepanjang media transmisi sehingga terjadi perubahan data yang dikirim. Satu-satunya permasalahan dari metoda autentifikasi ini adalah pengiriman dokumen asli tanpa harus dilakukan proses enkripsi (karena dinilai lambat, terutama jika dokumennya berisi teks yang sangat panjang). Namun konsep “pareto” dapat dipergunakan, dalam arti kata menerapkan asumsi bahwa 80% dari komunikasi adalah “aman”. Jika ternyata terjadi “intervensi” pada jalur transmisi, alternatif kedua yaitu penggunaan “symmetric encryption” atau “public-key encryption” dapat dipakai sebagai alternatif.
1. Keamanan Transaksi
Dalam transaksi elektronis, keamanan tidak diperlukan hanya untuk transaksi tersebut tetapi juga dokumen atau informasi yang menyertainya. Tingkat kerahasiaan dari suatu informasi atau dokumen menentukan metoda pengamanan yang digunakan. Untuk dokumen atau informasi yang tidak memiliki tingkat kerahasiaan yang tinggi, mekanisme “symmetric encryption” ini masih cukup baik dipergunakan untuk sebuah jaringan komputer intranet maupun internet,. Aplikasi dalam dunia internet atau e-Business misalnya dipergunakan untuk pengiriman dokumen-dokumen standar (brosur, pengumuman, dsb.) baik melalui email maupun attachment. Mekanisme pengamanan untuk dokumen atau informasi yang memiliki tingkat kerahasiaan tinggi adalah dengan menggunakan metode “public-key cryptography” seperti yang digambarkan di berikut ini. Dalam sistem ini, setiap orang yang akan melakukan komunikasi via internet akan diberikan sebuah kunci (disebut sebagai “public key”) yang diketahui oleh semua orang secara terbuka. Jika seseorang ingin mengirimkan sebuah pesan, maka yang bersangkutan diharapkan untuk terlebih dahulu melihat daftar public key (kunci publik) dan mencari tahu kunci publik si penerima.
Kunci inilah yang akan menjadi variabel enkripsi terhadap dokumen atau teks asli tersebut, sebelum dokumen samaran (acak) yang ada dikirimkan melalui internet. Pesan ini baru akan dapat dideskripsikan dengan sebuah “private key” yang hanya diketahui oleh si penerima. Tanpa adanya “private key” tersebut, mustahil seseorang dapat melakukan deskripsi terhadap pesan atau dokumen yang ada. Dengan kata lain, setiap orang yang ingin berkomunikasi akan memiliki sepasang kunci:
• Kunci yang diketahui oleh umum (public key) dan
• Kunci yang hanya diketahui secara pribadi (private key).
Dengan adanya sistem semacam ini, maka kebutuhan akan tingkat pengamanan yang tinggi bisa terpenuhi dengan:
• Setiap orang hanya perlu mengingat kunci pribadinya, karena kunci untuk berkomunikasi ke orang-orang lain dapat dengan mudah ditemukan pada daftar kunci;
• Algoritma pemetaan bekerja berdasarkan pasangan kunci, sehingga walaupun seseorang memiliki salah satu kunci yang sama, namun jika pasangan kuncinya berbeda, tidak akan dapat dipergunakan untuk mendeskripsikan pesan orang lain; dan
• Dengan sendirinya problem autentifikasi akan terselesaikan karena yang bersangkutan pasti akan menggunakan kunci yang benar (bukan kunci orang lain) agar dapat dibaca oleh mereka yang memiliki pasangan kuncinya.
Mekanisme pengamanan di atas biasa pula dipergunakan dalam dunia e-Business untuk menjaga kerahasiaan sebuah data, misalnya:
• Data nomor kartu kredit yang hanya boleh diketahui oleh si pengirim dan bank atau lembaga keuangan tertentu;
• Nomor identifikasi pengguna (user id) dan password yang hanya boleh diketahui oleh konsumen dan perusahaan penyedia jasa e-Commerce;
• Mengirimkan daftar pelanggan beserta rincian profilnya yang secara prinsip merupakan milik perusahaan yang tidak boleh dilihat para saingan bisnis;
• Melakukan download dokumen atau produk digital lainnya yang hanya dapat dibaca oleh mereka yang secara sah telah membeli; dan lain sebagainya.
Satu-satunya kelemahan sistem ini adalah implementasinya secara teknis yang memakan waktu cukup lama untuk melakukan pengkodean dengan kunci publik. Berbagai teknik baru telah diperkenalkan di dunia pengamanan data sebagai alternatif untuk melakukan komunikasi secara lebih cepat sekaligus aman.
2. Autentifikasi Transaksi
Salah satu keunggulan berbisnis di dunia maya adalah dapat dilakukannya transaksi perdagangan dimana dan kapan saja tanpa harus adanya tatap muka secara fisik antara penjual dan pembeli. Namun hal ini kerap menjadi permasalahan tersendiri, terutama yang berhubungan dengan masalah autentifikasi. Bagaimana si penjual dapat yakin bahwa yang membeli produknya adalah orang yang sesungguhnya (seperti pengakuannya)? Bagaimana si penjual dapat merasa yakin, misalnya:
• Bahwa kartu kredit yang dipergunakan benar-benar milik dari si pembeli? atau
• Bahwa informasi yang dikirimkan oleh si penjual tidak jatuh ke tangan mereka yang tidak berhak kecuali pembeli yang bersangkutan? atau
• Bahwa dokumen yang dikirimkan tidak diubah-ubah oleh mereka yang tidak berhak di tengah-tengah jalur transmisi? atau
• Bahwa transaksi perdagangan dapat sah secara hukum karena tidak adanya pihak penipuan dari si pembeli?
• Dan lain sebagainya.
Di dalam dunia nyata, biasanya untuk memecahkan permasalahan ini dipergunakan “tanda tangan” sebagai bukti autentifikasi (keaslian) identifikasi seseorang. Di dalam dunia maya, ditawarkan suatu konsep yang diberi nama sebagai “Digital Signature” atau tanda tangan digital (Kosiur, 1997). Prinsip dari implementasi sebuah sistem digital signature adalah seperti yang dijelaskan berikut ini.
Berbeda dengan metoda “public-key encryption” yang secara teknis membutuhkan waktu yang relatif lama untuk melakukan enkripsi (pengkodean acak) terhadap sebuah dokumen, pada sistem digital signature, dokumen yang dikirimkan tidak dienkripsi dengan menggunakan kunci publik (public key).
Dokumen tersebut dikodekan dengan menggunakan sebuah fungsi matematika yang dinamakan “Hash Function”. Dengan menggunakan tipe Hash Function 16 bytes, maka teks yang panjang akan dapat dinyatakan dalam 16 buah karakter, misalnya menjadi: CBBV235ndsAG3D67 yang dinamakan sebagai “message digest”. Si pengirim kemudian dengan menggunakan kode pribadinya (private key) melakukan enkripsi terhadap message digest ini, dan hasilnya adalah tanda tangan digital (digital signature) dari si pengirim. Digital signature inilah yang kemudian digabungkan dengan teks yang ada (dokumen asli) untuk kemudian dikirimkan melalui internet.
Di pihak penerima akan diadakan serangkaian proses autentifikasi. Proses pertama adalah memisahkan antara dokumen asli dengan digital signature yang menyertainya. Proses kedua adalah memberlakukan kembali Hash Function terhadap dokumen asli sehingga didapatkan 16 karakter message digest. Proses ketiga adalah melakukan proses dekripsi terhadap digital signature dengan menggunakan kunci public (public key) dari si pengirim. Proses selanjutnya adalah memperbandingkan atau mengkomparasikan 16 karakter message digest hasil Hash Function dan aktivitas dekripsi. Jika kedua message digest tersebut identik, maka dokumen dan digital signature yang diterima adalah otentik, berasal dari orang yang dimaksud dan tidak diintervensi oleh yang tidak berhak dalam perjalanan transmisinya. Sebaliknya jika ternyata kedua message digest tersebut tidak sama, berarti ada tiga kemungkinan yang terjadi:
• Dokumen yang dikirimkan telah mengalami perubahan dari segi isi;
• Digital Signature yang dikirimkan telah mengalami modifikasi; atau
• Kedua-duanya telah mengalami perubahan sehingga tidak sama dengan aslinya.
Tentu saja perubahan tersebut dapat terjadi karena disengaja maupun tidak. Disengaja dalam arti kata bahwa ada seseorang atau pihak lain yang mencoba untuk mengganti dokumen atau memalsukan digital signature; tidak sengaja dalam arti kata mungkin saja terjadi “kerusakan” teknis, baik secara hardware maupun software, sepanjang media transmisi sehingga terjadi perubahan data yang dikirim. Satu-satunya permasalahan dari metoda autentifikasi ini adalah pengiriman dokumen asli tanpa harus dilakukan proses enkripsi (karena dinilai lambat, terutama jika dokumennya berisi teks yang sangat panjang). Namun konsep “pareto” dapat dipergunakan, dalam arti kata menerapkan asumsi bahwa 80% dari komunikasi adalah “aman”. Jika ternyata terjadi “intervensi” pada jalur transmisi, alternatif kedua yaitu penggunaan “symmetric encryption” atau “public-key encryption” dapat dipakai sebagai alternatif.
Komentar