Rabu, 12 Mei 2010

Cara kerja sertifikat digital (PKI -Public Key Infrastructure dan CA –Certification Authority)

A. PENDAHULUAN  
Penggunaan electronic messaging dan transaksi e-commerce semakin meluas seiring dengan kemajuan telekomunikasi dan teknologi informasi. Hal ini mendorong peningkatan interkoneksi user dan penggunaan komunikasi secara digital, yang berarti semakin banyak informasi yang dikirim secara elektronik, sehingga menjadi rentan terhadap serangan eavesdropping dan modifikasi. Sistem kriptografi kunci public dan digital signature memegang peranan penting dalam mengatasi serangan dengan menyediakan end-to-end security yang dapat menjaga confidentiality, integrity, nonrepudiation, authentication, access control, dan availability. Pada sistem kriptografi kunci public konvensional, kunci publik disimpan dan dapat diakses oleh pihak umum. Enemy/bad guy dapat berpura-pura menyediakan kunci publik yang asli untuk digunakan pihak lain yang memerlukan. Dengan berpura-pura sebagai penyedia kunci publik maka bad guy dapat mengakses informasi penting yang akan digunakan selama transaksi yang menggunakan pengamanan sistem kunci publik.

B. PUBLIC KEY INFRASTRUCTURE

Masalah tersebut memerlukan solusi untuk melindungi confidentiality kunci privat dan menjaga integritas kunci publik selama penyimpanan dan pendistribusian. Mekanisme ini dilakukan dengan cara memberikan sertifikasi pada kunci public sehingga pengguna kunci publik akan dapat meyakini kunci publik yang digunakan adalah kunci yang benar. Sertifikasi diperoleh dari pihak yang bernama Certification Authorities (CAs). CA, pengguna aplikasi, dan manajemen kunci publik membentuk suatu infrastruktur yang disebut Public Key Infrastructure (PKI).

C. CARA KERJA PUBLIC KEY INFRASTRUCTURE 
Salah satu bagian infrastruktur penting dari e-business adalah Publik Key Infrastructure dimana harus ada satu lembaga independen dan dipercaya (trust agent) sebagai penyelenggara Public Key. Lembaga ini dikenal dengan lembaga Certification Authority (CA). Dengan adanya lembaga ini maka order, kontrak elektronik dijamin keamanannya dan secara teknis hampir tidak mungkin untuk diubah atau dipalsukan. Setiap order atau kontrak yang dikirimkan dengan menggunakan kombinasi private key dan public key maka order atau kontrak yang sudah sampai ke penerima baru bisa dibuka atau diketahui isinya setelah public key diverifikasi oleh lembaga CA. Di bawah ini adalah diagram cara kerja lembaga CA.

Mengingat pentingnya lembaga CA untuk menjamin keamanan transaksi elektronik maka pemerintah Indonesia dalam hal ini diwakili oleh Kementerian Kominfo perlu untuk segera mendorong pengambil keputusan di pemerintah untuk membentuk lembaga ini. Dengan mengingat perannya sebagai fasilitator maka Kominfo berperan untuk menyiapkan program realisasi lembaga CA. Sedangkan dengan perannya sebagai regulator Kominfo perlu menyiapkan peraturan atau tata cara penggunaan lembaga ini agar bisa digunakan secara efektif, aman, dan akurat.


D. DIGITAL SIGNATURE
Digital Signature adalah suatu tanda (sekumpulan data) yang diattach ke pesan/dokumen elektronik untuk mengindentifikasi apakah pesan/ dokumen tersebut mengalami perubahan selama pengiriman. Cara membuat digital signature adalah sbb :
1. Membuat „message digest“ (lihat gambar di bawah) yang merupakan sekumpulan data dalam jumlah yang kecil. Message digest dibuat dengan menggunakan algoritma hash
2. Message digest dienkripsi dengan menggunakan private key pengirim dan menjadi digiital signature
3. Digital signature diattach ke pesan/ dokumen yang akan dikirim
4. Dengan menggunakan public key dari pengirim digital signature diubah menjadi message digest
5. Dengan algoritma hash yang digunakan pengirim message digest dikembalikan menjadi sekumpulan data
6. Membandingkan message digest yang dikirimkan dengan message digest yang dibuka oleh pengirim. Jika sama maka message/dokumen tersebut adalah asli

 
Tujuan penggunaan dari digital signature yang paling utama adalah menjaga keaslian pesan/ dokumen elektronik yang dikirimkan melalui internet. Jika di Indonesia sudah ada lembaga yang mengelola public key maka transaksi elektronik terutama B2B yang melibatkan dokumen kontrak yang berlembar-lembar bisa dilakukan pertukaran dalam bentuk elektronik yang menggunakan digital signature agar keasliannya bisa dijamin. 


E. LEMBAGA PEMBAYAR
Lembaga Layanan Pembayaran (e-commerce payment service) menjadi sangat penting agar transaksi jual beli termasuk pembayaran bisa dilakukan secara real-time. Saat ini sudah banyak lembaga pembayar transaksi elektronis yang sudah ada dan sebagian besar memiliki jaringan global. Saat ini sudah ada beberapa lembaga pembayar di Indonesia yang sudah siap untuk memberikan layanan pembayaran elektronis secara real time misalnya PT Arta Jasa. Kendala saat ini adalah masih belum adanya aturan yang jelas bagaimana transaksi elektronis bisa dilakukan secara aman bagi pembeli dan penjual. 
Belum adanya lembaya pembayar transaksi elektronis saat ini di Indonesia paling tidak menimbulkan dampak berikut antara lain :
1. Setiap pelaku e-business di Indonesia yang akan menyelenggarakan transaksi online harus menggunakan jasa dari luar negeri yang tentu saja akan menyebabkan penarikan modal ke luar negeri
2. Biaya menjadi mahal dan akan dibebankan kepada pembeli sehingga menyebabkan harga melalui penjualan online akan menjadi lebih tinggi dan opsi pembelian melalui internet menjadi tidak menarik
3. Ketiadaan lembaga pembayar yang ekonomis dan tidak adanya pilihan membuat kondisi perkembangan e-commerce atau e-business di indonesia menjadi sangat lambat
Di bawah ini adalah diagram proses pembayaran elektronis dengan menggunakan kartu kredit 

Sedangkan di bawah ini adalah diagram proses dibelakang layar (background processing) yang dilakukan oleh lembaga pembayar dengan pihak-pihak terkait misalnya acquiring bank, isuer kartu kredit dan merchant bank. Proses ini merupakan proses yang kompleks yang sarat teknologi dan aturan internasional sehingga perlu dipikirkan strategi bagaimana bisa mengakusisi proses ini agar sedapat mungkin dilakukan di Indonesia.



2 komentar:

Pengikut