Penggunaan M-Payment (Mobile Payment) dalam rangka pembayaran transaksi E-Commerce (Electronic Commerce) telah semakin luas. Hal ini tidak terlepas dari perkembangan E-Commerce sendiri yang sudah dimulai sejak tahun 1970-an. Di beberapa negara, M-Payment, bahkan sudah dapat digunakan untuk bertransaksi di supermarket.
Di dalam laporan akhir ini akan dibahas mengenai aspek keamanan dalam sistem M-Payment meliputi penggunaan MPKI (Mobile Publik Key Infrastruktur) sebagai standar keamanan serta ulasan secara umum mengenai beberapa aplikasi M-Payment yang telah ada.
Pembahasan akan diawali dengan penjelasan mengenai definisi E-Commerce dan M-Payment. Pembahasan berikutnya adalah dasar-dasar infrastuktur public key, infrastruktur public key X.509, WAP (Wireless Aplication Protocol), dan terakhir akan dibahas juga mengenai nilai tawar antara keaman dan aksesibilitas terkait dengan penggunaan MPKI. Hasil dari pembahasan ini diharapkan dapat digunakan sebagai langkah landasan teori dalam merancang sebuah aplikasi M-Payment yang aman.
Istilah E-Commerce (electronic commerce) digunakan untuk menyebut proses jual beli produk, jasa, dan informasi melalui jaringan komputer, termasuk di dalamnya adalah internet. Istilah ini muncul pada tahun 1970-an bersamaan dengan dikembangkannya sistem transfer keuangan secara elektronik.
Pada saat ini, istilah E-Commerce tidak hanya diterapkan pada proses jual beli yang dilakukan melalui jaringan komputer tetapi juga segala bentuk transaksi secara elektronik. Karena hal itu pula, untuk membedakan berbagai bentuk sistem transaksi secara elektronik, ada beberapa istilah baru yang dimunculkan. Salah satu contohnya adalah M-Commerce (Mobile Commerce) yang ditujukan bagi sistem jual beli yang memanfaatkan telepon selular.
Sebagai sarana pembayaran transaksi pada E-Commerce maupun M-Commerce, pada saat ini telah berkembang pula M-Payment. M-Payment mencoba untuk melengkapi perkembangan M-Commerce menjadisebuah sistem commerce yang utuh, tentunya hal ini berlaku pula bagi E-Commerce.
Konsep public-key cryptography berangkat dari usaha mencari solusi bagi dua buah persoalan yang muncul pada penggunaan symetric encription. Dua persoalan tersebut adalah distribusi kunci dan identitas digital.
Dalam menerapkan symetric encription kita membutuhkan dua buah hal yaitu (1) dua pihak yang berkepentingan, pengirim dan penerima , telah berbagi kunci, dan (2) terdapat pusat distribusi dokumen dan kunci yang bertugas untuk membagikan kunci tersebut kepada pihak yang berhak mendapatkannya. Hal kedua terkait dengan permasalahan apabila dokumen yang bersangkutan akan didistribusikan kepada banyak pihak. Ini adalah hal pertama yang menyebabkan adanya kebutuhan untuk menerapkan public-cryptography.
Persoalan kedua, yang dianggap tidak terlalu terkait dengan dengan persoalan pertama, adalah identitas digital. Ketika penggunaan kriptografi sudah semakin luas maka muncul persoalan baru yaitu menyangkut asal-usul dokumen. Seringkali, identitas digital ini hanya digunakan untuk memenuhi kepuasan pihak-pihak yang terkait.
Algoritma public key menggunakan dua buah kunci untuk keperluan pengamanan dokumen. Kunci pertama diguanakan untuk melakukan enkripsi dan kunci kedua, berbeda dengan kunci pertama tetapi masih berhubungan, digunakan untuk mendekripsi dokumen yang sebelumnya dienkripsi. Algoritma ini memiliki karakteristik penting sebagai berikut:
1. Tidak ada kemungkinan, secara komputasi, untuk mengetahui kunci dekripsi hanya dari sekedar mengetahui algoritma enkripsi dan kunci enkripsinya saja.
2. Dalam beberapa algoritma, sperti RSA, dimungkinkan untuk menggunakan kedua buah kunci tersebut, secara bergantian, untuk enkripsi maupun dekripsi.
Rekomendasi X.509 ITU-T merupakan bagian dari rekomendasi seri X.500 yang mendefinisikan layanan direktori. Yang dimaksud dengan direktori, dalam hal ini, adalah server atau sekumpulan server terdistribusi yang melakukan perawatan database informasi mengenai pengguna. Informasi tersebut termasuk pemetaan alamat jaringan dengan nama user, sama halnya dengan atribut dan informasi lainnya mengenai user.
Sertifikat X.509 serupa dengan segel notaris dalam hal mereka mengikat identitas personal menjdai kunci kriptografi. Ketika digunakan untuk memberikan tanda pengenal bagi pesan elektronik (membuat pengenal digital), kunci privat berasosiasi dengan kunci publik di dalam sertifikat digital menciptakan sidik jari yang tidak dapat dipalsukan.
Pada umumnya, sertifikat X.509 memuat:
1. Nama pengguna (nama direktori publik, biasanya ditemukan di direktori X.500)
2. Organisasi pengguna
3. Tanggal efektif berlakunya sertifikat
4. Tanggal berakhirnya sertifikat
5. Kunci publik pengguna
6. Nama CA yang mengeluarkan
7. Tanda pengenal CA yang mengeluarkan
Bersamaan dengan informasi di atas, kadang kala sertifikat tersebut memuat ekstensi yang menjelaskan mengenai penggunaan sertifikat tersebut beserta kondisinya. Dengan kata lain, sertifikat yanf digunakan untuk mengakses sumber daya jaringan tidak dapatdigunakan untuk mengakses account di bank.
Keluarga protokol WAP (Wireless Aplication Protocol) saat ini merupakan standar industri bagi Internet mobile yang interaktif pada sistem GSM. Versi terbaru saat ini yang semakin didukung oleh terminal mobile terbaru adalah 1.2. Versi 1.2 meliputi seluruh spesifikasi penting yang dibutuhkan untuk mendukung mosel keamanan berbasis PKI pada lingkungan nirkabel. Spesifikasi Forum WAP yang berhubungan dengan bagian fungsiaonal dari keamanan nirkabel adalah:
1. Spesifikasi WPKI
2. Spesifikasi Wireless Transport Layer Security (WTLS)
3. Spesifikasi Wireless Identity Module (WIMS)
4. Spesifikasi WMLScript Crypto API
5. Spesifikasi WAP Certificate Profile
6. Spesifikasi WAP TLS Profile dan Tunneling
7. Spesifikasi End-to-End Transport Layer Security
Selasa, 10 November 2009
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar