Modul : Perkuliahan ke-6 (On Line)
Judul Modul : Portal dan Keamanan
Sebuah infrastruktur penting dari
e-bisnis adalah Publik Key Infrastructure dimana harus ada satu lembaga
independen dan dipercaya ( trust agen ) sebagai penyelenggara PKI. Lembaga ini
dikenal dengan lembaga Certification Authority ( CA ).
Komponen Public Key Infrastructure
1. Certification Authority (CAs)
Suatu badan yang berwenang untuk
memberikan validasi atau sertifikat digital pada kunci publik dalam suatu
negara.
2. Repository Key, sertifikat dan
Certification Revocatiaon (CRLs) Basis data untuk menyimpan semua data tentang
kunci publik dan sertifikat kunci publik tersebut. Disamping itu terdapat list
expiry time untuk manajemen kunci bagi para pemilik kunci. CRL merupakan daftar
kunci yang harus ditarik dan diganti dengan kunci baru. CA secara perodik mengeluarkan
CRL yang berisi nomor seri sertifikat digital yang ditarik. sertifikat digital
yang sudah kadaluarsa otomatis dianggap sudah tidak sah lagi dan dimasukkan
kedalam CRL. dengan cara ini, maka CA tidak perlu memberitahu perubahan
sertifikat digital kepada setiap orang.
3. Management Function
Satu prosedur yang digunakan
untuk menjadi guideline dari keseluruhan proses yang ada dalam kunci publik (
PKI ).
4. Policy Approving authority
(PAA), memberikan guideline untuk keseluruhan PKI dan mlakukan sertifikat kunci
publik dari PCA.
5. Policy Certification
Authority(PCA),memberikan policy untuk semua CA dan user yang ada pada
domainnya dan melakukan sertifikat kunci publik dari CA.
6.Organization Registration
Authority (ORA), entitas yang berperan sebagai perantara antara CA dan user .
Fungsi yang dilakukan PKI
PKI melindungi keamanan informasi
yang dikirimkan selama transmisi atau transaksi dilakukan dalam berbagai cara
sebagai berikut :
1. Mengautentikasi identitas.
Dengan sertifikat digital yang dikeluarkan oleh PKI maka tiap pihak dapat
mengautentifikasi pihak lawan dalam melakuakan transaksi sehingga pihak dapat
meyakini bahwa pihak yang melakukan transaksi adalah pihak yang berhak.
2. Verifikasi integritas dokumen.
Dengan adanya sertifikasi digital maka dokumen dapat diyakini tidak mengalami
perubahan selama pengiriman.
3. Jaminan privasi. Dengan
protokol yang digunakan selama transmisi dengan menggunakan sertifikat digital
maka jalur yang digunakan dalam transmisi dipastikan aman dan tidak dapat
diakses oleh pihak lain yang tidak berhak.
4. Sertifikat digital dari PKI
dapat menggantikan peranan proses autentifikasi user dalam sebuah sistem.
5. Dengan menggunakan sertifikat
digital dari PKi maka suatu pihak dapat menetukan transaksi yang aman dengan
menggunakan validasi kunci publik.
6. dukungan anti penyangkalan.
Dengan adanya validasi pada sertifikat digital maka tidak mungkin untuk melakukan
penyangkalan pada suatu transaksi yang telah dilakukan.
Aktivitas Kunci Publik ( PKI )
Fungsi PKI pada bahasan
sebelumnya diimplentasikan dalam aktifitas sbb :
1. Pembangkitan, pemberian
sertifikat, dan pendistribusian knci
2. Pemberian tanda tangan dan
verifikasi tanda tangan
3. Perolehan sertifikat
4. Verifikasi sertifikat
5. Penyimpanan sertifikat untuk
penggunaaan lebih lanjut
6. Perolehan sertifikat yang
sudah disimpan
7. Laporan kehilangan kunci
8. Pembangkitan ulang kunci yang
hilang
9. Perolehan CRL
10. Pemberian ulang kunci dan
pemberian sertifikat ulang
11. Pelaksanaan audit terhadap
kejadian, seperti permintaan pasangan kunci dan sertifikat
12. Pengarsipan kunci
Peranan dan cara kerja secara umum dari PKI dalam upaya menjaga
keamanan transaksi melalui situs web:
>>Internet Banking
Secara umum, cara kerja internet
banking agar dapat menjaga keamanan transaksi secara online adalah dengan
menggunakan sertifikat digital (Certificate Authority). Sertifikat ini
memastikan proses transaksi berjalan aman. Proses ini disebut Public Key
Infrastructure (PKI), yaitu adalah sebuah cara untuk otentikasi, pengamanan
data dan perangkat anti sangkal. Secara teknis, PKI adalah implementasi dari
berbagai teknik kriptografi yang bertujuan untuk mengamankan data, memastikan
keaslian data maupun pengirimnya dan mencegah penyangkalan. Secara singkat,
ketika
seseorang melakukan proses
transaksi online, baik pemilik rekening maupun bank melakukan pertukaran data
yang telah dienkripsi. Keduanya saling bertukar public key dan private key
untuk dapat bertukar data rahasia melalui sertifikat masing-masing.
>>Smart Card
--Contoh ini diambil dari
Identity Management di ITB dengan menggunakan Smart Campus. Setiap pengguna
sumber daya IT di kampus ITB harus memiliki sebuah digital identity. Dalam
penerapannya seorang mahiswa ITB akan memiliki kartu mahasiswa yang berbasis
smartcard dimana di dalamnya ditanamkan kunci privat dan kunci publik yang
menjadi bagian dari PKI. Akses kepada sumber daya yang terbatas akan
menggunakan smartcard ini sebagai basis dari authentication-nya
--Contoh lain adalah Smart Card
yang serupa dengan kartu kredit seperti smart card dari siemen dan lain-lain.
Smart Card atau Kartu cerdas menyimpan kunci privat, sertifikat digital, dan
informasi lainnya untuk mengimplementaiskan PKI. Kartu cerdas juga menyimpan
nomor kartu kredit dan informasi kontak personal (no telpon). Sertifikat
digital ditandatangani oleh card issuer (CA) untuk mensertifikasi kunci publik
pemilik kartu. Penggunaan kartu cerdas dikombinasikan dengan PIN (Personal
Identification Number). Jadi, ada dua level yang harus dari penggunaan kartu
cerdas, yaitu memiliki kartu cerdas itu sendiri dan mengetahui PIN yang
mengakses informasi yang disimpan di dalam kartu. Komputer server
mengotentikasi kartu dengan cara mengirimkan suatu nilai atau string (yang
disebut challenge) ke kartu untuk ditandatangani dengan menggunakan kunci
privat (yang tersimpan di dalam kartu), lalu tanda-tangan tersebut diverifikasi
oleh mesin dengan menggunakan kunci publik pemilik kartu. Komputer server perlu
menyimpan kunci publik card issuer untuk memvalidasi sertifikat digital.
0 komentar:
Posting Komentar