Keamanan Sistem Ecommerce
Keamanan Sistem Ecommerce
Asih Winantu
STMIK El Rahma
Ancaman kemananan di internet
Enkripsi VS dekripsi
• Enkripsi berarti
mengkodekan data
ke format tertentu
menggunakan
kunci rahasia
• Dekripsi
mendekodekan data
yang terenkripsi ke
format asli
Contoh enkripsi : RSA
Standar keamanan internet
Standar keamanan internet -2
• Keamanan untuk Aplikasi Web
S-HTTP dan SSL
• Keamanan untuk e-Mail
PEM, S/MIME, dan PGP
• Keamanan untuk Jaringan
Firewall
Standar keamanan internet -3
Keamanan untuk Aplikasi Web:
• S-HTTP
secara spesifik dirancang untuk mendukung protokol HTTP (Hypertext
Transfer Protokol) dalam hal otorisasi dan keamanan dokumen
• SSL
• melindungi saluran komunikasi di antara 2 protokol bagian bawah
dalam layer protokol menurut standar TCP/IP.
• dapat juga digunakan untuk transaksi-transaksi selain yang berjalan di
Web
• tidak dirancang untuk menangani keputusan keamanan berbasis pada
otentikasi pada peringkat aplikasi atau dokumen → perlu metode
tambahan untuk mengendalikan akses ke berkas (file) yang berbeda
Keamanan untuk e-Mail:
• Privacy-Enhanced Mail (PEM)
•standar Internet untuk mengamankan e-mail menggunakan kunci publik
maupun kunci simetris.
•saat ini mulai berkurang penggunaannya karena ia tidak dirancang dan
dikembangkan untuk menangani surat elektronik yang memiliki berbagai
jenis lampiran (misalnya: gambar, suara serta video)
• Secure MIME (S/MIME)
•standar baru untuk keamanan e-mail yang menggunakan algoritmaalgoritma kriptografi yang telah memiliki hak paten dan dilisensi oleh RSA
Data Security Inc
•bergantung pada berbagai jenis otoritas sertifikat, apakah bersifat global
atau perusahaan, untuk memastikan otentikasi
Keamanan untuk e-Mail:
• Pretty Good Privacy (PGP)
• suatu aplikasi populer yang dikembangkan untuk
pengiriman pesan dan berkas (file)
• merupakan aplikasi keamanan yang paling banyak
digunakan untuk e-mail, serta menggunakan berbagai
standar enkripsi
• Aplikasi-aplikasi enkripsi/deskripsi PGP tersedia bagi
hampir semua sistem operasi dan pesan dapat
dienkripsi menggunakan berbagai program e-mail
Keamanan untuk jaringan
• Firewall
– melindungi serangan pada protokol individual atau
aplikasi melindungi sistem komputer dari Spoofing
(program-program merusak yang menyamar
sebagai aplikasi yang bermanfaat)
– menyediakan titik tunggal kendali keamanan bagi
jaringan (kontradiksi: Firewall dijadikan titik pusat
perhatian Hacker untuk membobol jaringan)
– Firewall tidak memeriksa adanya virus pada berkas
yang masuk, sehingga tidak dapat menjamin
integritas data
– Firewall tidak melakukan otentikasi sumber data
SSL (https:)
• Adalah teknologi yang mengenkripsi data yang
melintas bolak-balik antara browser web dan
server web
• Melindungi paket
data
Manfaat
• Menggunakan SSL memberikan privasi dan
keamanan yang lebih baik daripada koneksiweb
yang tidak dienkripsi.
• Hal ini mengurangi kemungkinan risiko penyadapan
atau penyalahgunaan informasi oleh pihak ketiga.
• Banyak pengunjung situs merasa lebih nyaman
berbagi informasi pembayaran dan informasi
pribadi lainnya saat mereka mengetahui bahwa
mereka menggunakan sambungan SSL.
Sistem enkripsi pada SSL
• Menggunakan kriptografi kunci publik &
sertifikat digital.
• Algoritma : RSA
• algoritma kunci rahasia :IDEA, DES, 3DES, dan
hash function MD5.
• Verifikasi kunci publik dapat menggunakan
sertifikat yang berstandar X.509.
Kelas-kelas Umum SSL
•
•
•
•
•
•
SSL Starter
Cheap SSL Certificate SSL Certificate with true 128bit – 256bit encryption.
Get secure and get secure quick with this fully trusted and supported fast issuance 256 bit Cheap SSL
Certificates. No need to fax documents or go through long validation checks, this domain validated
certificate will be delivered in only a few minutes.
SSL A
Fast, Strong & Economical SSL Certificate with true 128bit – 256bit encryption.
Trusted by all browsers and devices. SSL without any fuss!
SSL A + Wildcard Domain
Fast, Strong & Economical SSL Certificate with true 128bit – 256bit encryption. Trusted by all browsers
and devices. SSL without any fuss! Secure unlimited subdomains.
SSL B
Full Company Vetting SSL Certificate with true 128bit – 256bit encryption.
Full organization vetting provides higher levels of trust
SSL B + Wildcard Domain
Full Company Vetting SSL Certificate with true 128bit – 256bit encryption.
Full organization vetting provides higher levels of trust. Secure unlimited subdomains.
SSL C
Activate the Green Address Bar SSL Certificate with true 128bit – 256bit encryption.
The highest level of SSL trust. Visitors see the green bar and enhanced trust means enhanced sales. As
used by Virgin Atlantic, BT Shop, Dabs and more.
Jenis sertifikat
•
•
•
•
Shared Certificates
Domain Validated Certificates
Company Validated Certificates
Extended Validation Certificates
Shared Certificates
• Digunakan bersama-sama
• Shared Certificates disediakan gratis pada
beberapa webhosting.
• memungkinkan menggunakan enkripsi SSL
tanpa harus membeli Sertifikat SSL sendiri.
Domain Validated Certificates
• Kadang disediakan gratis oleh webhosting
• Domain Validated Certificates adalah Sertifikat
SSL yang sesuai untuk e-commerce website
dan untuk situasi di mana Anda inginkan
komunikasi yang aman antara website Anda
dan pengguna.
Company Validated Certificates
• Company Validated Certificates adalah jenis
sertifikat yang lebih ditunjukan untuk
perusahaan yang ingin memvalidasi keberadaan
perusahaannya.
• Untuk mendapatkan Company Validated
Certificates, sebuah perusahaan harus
memberikan dokumen tambahan untuk
menyatakan identitas perusahaan Anda
tersebut adalah benar dan jelas keberadaannya.
Extended Validation Certificates
• Sertifikat EV menyediakan koneksi yang aman,
dan membantu untuk mencegah penipuan
• untuk mendapatkannya diharuskan melalui
serangkaian pemeriksaan menyeluruh dan
validasi.
• Sertifikat ini dirancang untuk memberikan
standar yang lebih tinggi jaminan bagi
pengunjung untuk mengotentikasi website.
Sertifikat SSL
Memastikan data transaksi yang terjadi
secara online di enkripsi/acak sehingga tidak
dapat dibaca oleh pihak lain. Kegunaan
utamanya adalah untuk menjaga keamanan
dan kerahasiaan data ketika melakukan
transaksi.
Memberikan jaminan keamanan pada pemilik
dan pengunjung situs atas data yang dikirim
lewat web. Sertifikat SSL yang sering
digunakan dapat dilihat pada situs perbankan
untuk melakukan transaksi e-banking.
Sertifikat SSL
•
•
•
•
VeriSign
Geotrust
InstantSSL /Comodo
dll
Keuntungan SSL
Kriteria
SSL
Enkripsi
1. Kuat
2. Berbasis browser
Dukungan otentikasi
1. Otentikasi satu arah
2. Sertifikat digital
3. Otentikasi dua arah
Security
1. End-to-end security
2. Client to resource encrypted
Metode pengaksesan
Kapanpun dan di manapun user berada
Instalasi
1. plug and play.
2. Tidak memerlukan perangkat lunak atau keras tertentu.
Biaya
Rendah dan murah
Kenyamanan User
1. Friendly
2. Tidak membutuhkan training
Perangkat lunak yang dibutuhkan client
web browser standar
Skalabilitas
scalable dan mudah dideploy
User
User – customer, partner, pegawai, vendor, dsb
Kekurangan SSL
Asih Winantu
STMIK El Rahma
Ancaman kemananan di internet
Enkripsi VS dekripsi
• Enkripsi berarti
mengkodekan data
ke format tertentu
menggunakan
kunci rahasia
• Dekripsi
mendekodekan data
yang terenkripsi ke
format asli
Contoh enkripsi : RSA
Standar keamanan internet
Standar keamanan internet -2
• Keamanan untuk Aplikasi Web
S-HTTP dan SSL
• Keamanan untuk e-Mail
PEM, S/MIME, dan PGP
• Keamanan untuk Jaringan
Firewall
Standar keamanan internet -3
Keamanan untuk Aplikasi Web:
• S-HTTP
secara spesifik dirancang untuk mendukung protokol HTTP (Hypertext
Transfer Protokol) dalam hal otorisasi dan keamanan dokumen
• SSL
• melindungi saluran komunikasi di antara 2 protokol bagian bawah
dalam layer protokol menurut standar TCP/IP.
• dapat juga digunakan untuk transaksi-transaksi selain yang berjalan di
Web
• tidak dirancang untuk menangani keputusan keamanan berbasis pada
otentikasi pada peringkat aplikasi atau dokumen → perlu metode
tambahan untuk mengendalikan akses ke berkas (file) yang berbeda
Keamanan untuk e-Mail:
• Privacy-Enhanced Mail (PEM)
•standar Internet untuk mengamankan e-mail menggunakan kunci publik
maupun kunci simetris.
•saat ini mulai berkurang penggunaannya karena ia tidak dirancang dan
dikembangkan untuk menangani surat elektronik yang memiliki berbagai
jenis lampiran (misalnya: gambar, suara serta video)
• Secure MIME (S/MIME)
•standar baru untuk keamanan e-mail yang menggunakan algoritmaalgoritma kriptografi yang telah memiliki hak paten dan dilisensi oleh RSA
Data Security Inc
•bergantung pada berbagai jenis otoritas sertifikat, apakah bersifat global
atau perusahaan, untuk memastikan otentikasi
Keamanan untuk e-Mail:
• Pretty Good Privacy (PGP)
• suatu aplikasi populer yang dikembangkan untuk
pengiriman pesan dan berkas (file)
• merupakan aplikasi keamanan yang paling banyak
digunakan untuk e-mail, serta menggunakan berbagai
standar enkripsi
• Aplikasi-aplikasi enkripsi/deskripsi PGP tersedia bagi
hampir semua sistem operasi dan pesan dapat
dienkripsi menggunakan berbagai program e-mail
Keamanan untuk jaringan
• Firewall
– melindungi serangan pada protokol individual atau
aplikasi melindungi sistem komputer dari Spoofing
(program-program merusak yang menyamar
sebagai aplikasi yang bermanfaat)
– menyediakan titik tunggal kendali keamanan bagi
jaringan (kontradiksi: Firewall dijadikan titik pusat
perhatian Hacker untuk membobol jaringan)
– Firewall tidak memeriksa adanya virus pada berkas
yang masuk, sehingga tidak dapat menjamin
integritas data
– Firewall tidak melakukan otentikasi sumber data
SSL (https:)
• Adalah teknologi yang mengenkripsi data yang
melintas bolak-balik antara browser web dan
server web
• Melindungi paket
data
Manfaat
• Menggunakan SSL memberikan privasi dan
keamanan yang lebih baik daripada koneksiweb
yang tidak dienkripsi.
• Hal ini mengurangi kemungkinan risiko penyadapan
atau penyalahgunaan informasi oleh pihak ketiga.
• Banyak pengunjung situs merasa lebih nyaman
berbagi informasi pembayaran dan informasi
pribadi lainnya saat mereka mengetahui bahwa
mereka menggunakan sambungan SSL.
Sistem enkripsi pada SSL
• Menggunakan kriptografi kunci publik &
sertifikat digital.
• Algoritma : RSA
• algoritma kunci rahasia :IDEA, DES, 3DES, dan
hash function MD5.
• Verifikasi kunci publik dapat menggunakan
sertifikat yang berstandar X.509.
Kelas-kelas Umum SSL
•
•
•
•
•
•
SSL Starter
Cheap SSL Certificate SSL Certificate with true 128bit – 256bit encryption.
Get secure and get secure quick with this fully trusted and supported fast issuance 256 bit Cheap SSL
Certificates. No need to fax documents or go through long validation checks, this domain validated
certificate will be delivered in only a few minutes.
SSL A
Fast, Strong & Economical SSL Certificate with true 128bit – 256bit encryption.
Trusted by all browsers and devices. SSL without any fuss!
SSL A + Wildcard Domain
Fast, Strong & Economical SSL Certificate with true 128bit – 256bit encryption. Trusted by all browsers
and devices. SSL without any fuss! Secure unlimited subdomains.
SSL B
Full Company Vetting SSL Certificate with true 128bit – 256bit encryption.
Full organization vetting provides higher levels of trust
SSL B + Wildcard Domain
Full Company Vetting SSL Certificate with true 128bit – 256bit encryption.
Full organization vetting provides higher levels of trust. Secure unlimited subdomains.
SSL C
Activate the Green Address Bar SSL Certificate with true 128bit – 256bit encryption.
The highest level of SSL trust. Visitors see the green bar and enhanced trust means enhanced sales. As
used by Virgin Atlantic, BT Shop, Dabs and more.
Jenis sertifikat
•
•
•
•
Shared Certificates
Domain Validated Certificates
Company Validated Certificates
Extended Validation Certificates
Shared Certificates
• Digunakan bersama-sama
• Shared Certificates disediakan gratis pada
beberapa webhosting.
• memungkinkan menggunakan enkripsi SSL
tanpa harus membeli Sertifikat SSL sendiri.
Domain Validated Certificates
• Kadang disediakan gratis oleh webhosting
• Domain Validated Certificates adalah Sertifikat
SSL yang sesuai untuk e-commerce website
dan untuk situasi di mana Anda inginkan
komunikasi yang aman antara website Anda
dan pengguna.
Company Validated Certificates
• Company Validated Certificates adalah jenis
sertifikat yang lebih ditunjukan untuk
perusahaan yang ingin memvalidasi keberadaan
perusahaannya.
• Untuk mendapatkan Company Validated
Certificates, sebuah perusahaan harus
memberikan dokumen tambahan untuk
menyatakan identitas perusahaan Anda
tersebut adalah benar dan jelas keberadaannya.
Extended Validation Certificates
• Sertifikat EV menyediakan koneksi yang aman,
dan membantu untuk mencegah penipuan
• untuk mendapatkannya diharuskan melalui
serangkaian pemeriksaan menyeluruh dan
validasi.
• Sertifikat ini dirancang untuk memberikan
standar yang lebih tinggi jaminan bagi
pengunjung untuk mengotentikasi website.
Sertifikat SSL
Memastikan data transaksi yang terjadi
secara online di enkripsi/acak sehingga tidak
dapat dibaca oleh pihak lain. Kegunaan
utamanya adalah untuk menjaga keamanan
dan kerahasiaan data ketika melakukan
transaksi.
Memberikan jaminan keamanan pada pemilik
dan pengunjung situs atas data yang dikirim
lewat web. Sertifikat SSL yang sering
digunakan dapat dilihat pada situs perbankan
untuk melakukan transaksi e-banking.
Sertifikat SSL
•
•
•
•
VeriSign
Geotrust
InstantSSL /Comodo
dll
Keuntungan SSL
Kriteria
SSL
Enkripsi
1. Kuat
2. Berbasis browser
Dukungan otentikasi
1. Otentikasi satu arah
2. Sertifikat digital
3. Otentikasi dua arah
Security
1. End-to-end security
2. Client to resource encrypted
Metode pengaksesan
Kapanpun dan di manapun user berada
Instalasi
1. plug and play.
2. Tidak memerlukan perangkat lunak atau keras tertentu.
Biaya
Rendah dan murah
Kenyamanan User
1. Friendly
2. Tidak membutuhkan training
Perangkat lunak yang dibutuhkan client
web browser standar
Skalabilitas
scalable dan mudah dideploy
User
User – customer, partner, pegawai, vendor, dsb
Kekurangan SSL