9
BAB 2 TINJAUAN PUSTAKA
2.1
Pengertian E-commerce E-commerce sebagai suatu cakupan yang luas mengenai teknologi, proses dan
praktik yang dapat melakukan transaksi bisnis tanpa menggunakan kertas sebagai sarana mekanisme transaksi. Hal ini dapat dilakukan dengan berbagai cara seperti melalui e-mail atau dapat melalui World Wide Web [11]. Hal ini menggambarkan lebih kurang bahwa E-commerce merupakan satu set teknologi yang dicari, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, jasa, dan informasi yang dilakukan secara elektronik. E-commerce bukan hanya sebuah mekanisme penjualan barang atau jasa melalui medium internet tetapi lebih pada transformasi bisnis yang mengubah cara – cara perusahaan dalam melakukan aktivitas usahanya sehari–hari [11]. Secara umum David Baum, yang dikutip oleh Onno w. Purbo dan Aang arif wahyudi “E-commerce is a dynamic set of technologies, applications, and business process that link enterprieses, consumer and comunnities through electronic transactions and the electronic exchange of goods, services and information”. E-commerce merupakan satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, jasa, dan informasi yang dilakukan secara elektronik [12]. 9
Universitas Sumatera Utara
10
Ding [14] dalam bukunya E-Commerce disebutkan e-commerce merupakan suatu transaksi komersial yang dilakukan antar penjual dan pembeli atau dengan pihak lain dalam hubungan perjanjian yang sama untuk mengirimkan sejumlah barang, pelayanan atau peralihan hak. Transaksi komersial ini terdapat di dalam media elektronik (media digital) yang secara fisik tidak memerlukan pertemuan para pihak yang bertransaksi dan keberadaan media ini di dalam public network atau sistem yang berlawanan dengan private network (sistem tertutup). Dari berbagai definisi yang ditawarkan dan dipergunakan oleh berbagai kalangan diatas, terdapat kesamaan dari masing–masing definisi tersebut. Kesamaan tersebut memperlihatkan bahwa e-commerce mempunyai karakteristik, yaitu: 1. Terjadinya transaksi antar dua belah pihak 2. Adanya pertukaran barang, jasa atau informasi 3. Internet merupakan medium utama dalam proses atau mekanisme perdagangan tersebut. Dari karakteristik tersebut terlihat jelas bahwa pada dasarnya E-commerce merupakan dampak dari perkembangan teknologi informasi dan telekomunikasi, dan secara
signifikan
mengubah
cara
manusia
melakukan
interaksi
dengan
lingkungannya, yang dalam hal ini terkait dengan mekanisme dagang [14].
2.2
Aspek-Aspek Keamanan Data Untuk menjamin data dapat sampai ke pihak yang berhak menerima data,
dibutuhkan langkah-langkah, yaitu [19]:
Universitas Sumatera Utara
11
a.
Confidentiality/Privacy Merupakan usaha untuk menjaga kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang. Contohnya data-data pribadi, data-data bisnis, daftar gaji, data nasabah dan lainnya. Aspek keamanan data menjadi sangat sensitif dalam ecommerce dan militer. Serangan dalam aspek ini antara lain dilakukan dengan penyadapan, misalnya sniffer atau logger.
b. Integrity Memastikan bahwa informasi yang dikirim melalui jaringan tidak mengalami modifikasi oleh pihak yang tidak berhak. Serangan dapat berupa pengubahan data oleh orang yang tidak berhak, misalnya dengan spoofing atau virus yang dapat mengubah berkas. c. Availability Informasi harus tersedia ketika dibutuhkan. Serangan dapat berupa meniadakan layanan (Deniel of Service/Dos attack) atau menghambat layanan dengan membuat server lambat. d. Non-repudiation Pengirim tidak dapat menyangkal bahwa yang bersangkutan telah melakukan transaksi. e. Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, dan server yang digunakan. Beberapa cara yang dapat digunakan untuk membuktikan keaslian data antara lain dengan what you have (misalnya kartu identitas), what
Universitas Sumatera Utara
12
you know (misalnya password atau PIN) dan what you are (misalnya dengan biometric identity). Serangan dapat dilakukan dengan menggunakan identitas palsu, terminal palsu atau situs palsu. f. Acces Control Aspek ini berhubungan dengan mekanisme pengaturan akses ke informasi, untuk mengatur siapa yang boleh melakukan akses, membutuhkan adanya klasifikasi data. Misalnya data umum (public), pribadi (private), rahasia (confidential) atau sangat rahasia (top secret). g. Accountability Dapat dipertanggungjawabkan melalui mekanisme logging dan audit. Adanya kebijakan dan prosedur (policy and procedures).
2.3
Kriptografi Kriptografi adalah ilmu untuk menjaga keamanan pesan. Setiap orang
mempunyai cara unik untuk merahasiakan pesan. Cara- cara unik tersebut berbedabeda pada setiap pelaku kriptografi, sehingga akan terlihat pada saat menulis pesan rahasia, pesan mempunyai nilai estetika tersendiri sehingga kriptografi berkembang menjadi sebuah seni merahasiakan pesan. Pada perkembangan selanjutnya kriptografi berkembang menjadi sebuah disiplin ilmu sendiri karena teknik-teknik kriptografi dapat diformulasikan secara matematik sehingga menjadi sebuah metode yang formal [18].
Universitas Sumatera Utara
13
2.1.1. Komponen kriptografi Kriptografi terdiri dari beberapa komponen sebagai berikut [18]: a.
Algoritma, merupakan himpunan aturan matematis yang digunakan dalam enkripsi dan dekripsi.
b.
Enkripsi, adalah transformasi data ke dalam bentuk yang tidak dapat terbaca tanpa sebuah kunci tertentu.
c.
Dekripsi, merupakan kebalikan dari enkripsi, yaitu transformasi data terenkripsi kembali ke bentuknya semula.
d.
Kunci, digunakan pada saat melakukan enkripsi dan dekripsi. Pada kriptografi modern, keamanan enkripsi tergantung pada kunci, dan tidak tergantung kepada algoritmanya apakah dilihat orang lain atau tidak.
e.
Pesan asli (Plaintext), disebut juga dengan clear-text, merupakan teks asli yang akan diproses menggunakan algoritma kriptografi tertentu untuk menjadi ciphertext.
f.
Ciphertext, merupakan pesan yang telah melalui proses enkripsi yang merupakan himpunan karakter acak.
g.
Kriptologi, merupakan studi tentang kriptografi dan kriptanalisis.
h.
Kriptalis (Cryptanalysis), merupakan aksi memecahkan mekanisme kriptografi dengan cara menganalisisnya untuk menemukan kelemahan dari suatu algoritma kriptografi sehingga akhirnya dapat ditemukan kunci atau teks asli.
Universitas Sumatera Utara
14
i. Kriptosistem, adalah perangkat keras atau implementasi perangkat lunak kriptografi yang diperlukan dalam mentransformasi sebuah pesan asli menjadi ciphertext dan juga sebaliknya.
Gambar 2.1 Skema Enkripsi Dan Dekripsi Dengan Kunci [18]
2.3.2 Serangan Terhadap Kriptografi (Cryptanalysis) Kriptanalisis (cryptanalysis) adalah ilmu untuk mendapatkan pesan asli (plaintext) tanpa harus mengetahui kunci secara wajar. Pemecahan sandi rahasia yang berhasil akan menghasilkan plaintext atau kunci. Kriptanalisis juga dapat menemukan kelemahan dari kriptosistem yang pada akhirnya dapat menemukan kunci atau plaintext. Asumsi dasar dalam kriptanalisis pertama kali diungkapkan oleh Dutchman A Kerckhoffs, yaitu bahwa kerahasiaan harus terletak pada kunci. Kerckhoffs mengasumsikan bahwa kriptanalis mempunyai detail lengkap tentang algoritma kriptografi dan implementasinya [20].
Universitas Sumatera Utara
15
2.3.3
Kriptografi AES Advanced Encryption Standard (AES) merupakan kriptografi yang didesain
untuk beroperasi pada blok pesan 128 dan menggunakan blok kunci dengan panjang 128 bit, 192 bit , atau 256 bit. Proses enkripsi AES digambarkan pada Gambar 2.2 proses enkripsi AES diawali proses AddRoundKey diikuti sembilan round dengan arsitektur yang tersusun atas empat proses. Akhir proses AES digunakan round kesepuluh yang tersusun atas tiga proses yaitu SubBytes, ShiftRows, dan AddRoundKey [21]. Proses dekripsi AES umumnya sama dengan proses enkripsi, tetapi pada proses dekripsi memiliki urutan proses penyusunan pada round yang berbeda. Secara skematis proses dekripsi dapat digambarkan seperti Gambar 2.3.
Gambar 2.2 Proses Enkripsi AE [21]
Universitas Sumatera Utara
16
Gambar 2.3 Proses Dekripsi AES [21]
Universitas Sumatera Utara
17
2.4
Pertukaran Algoritma Metode ini dapat membantu sistem keamanan jaringan memperoleh tujuan
awal, yaitu untuk mengawasi permasalahan pada koneksi internet. Bila menggunakan metode ini, diperkirakan bahwa sistem keamanan dapat mengirim dan menerima data dengan baik dan untuk mengantisipasi kegiatan yang mencurigakan [6]. 2.4.1
Dinamika Pertukaran Algoritma Untuk melindungi pesan yang sangat penting dan bersifat rahasia, kebanyakan
dari transaksi internet menggunakan kata kunci dalam proses enkripsi maupun dekripsi. Penggunaan aplikasi internet seperti Web atau P2P ( peer to peer ) pada saat mengirim dan menerima data, contohnya data jenis XML dipindahkan dengan menggunakan protokol yang dapat dibaca seperti menggunakan HTTP. Proses mengirim dan menerima data dimungkinkan untuk dimonitor dan diproses lebih lanjut dengan menggunakan algoritma untuk mengirim dan menerima pesan enkripsi/dekripsi pada transaksi di internet (termasuk juga dalam kegiatan web) seperti DES dan Triple DES, RC2,RC4, blowfish, atau IDEA, pengguna dapat melakukan analisis dengan analisa terhadap kata kunci dengan menggunakan kata kunci seperti Field Programmable Gate Arrays (FPGA) atau Application Specific Integrated Circuits (ASIC). Ketergantungan terhadap kata kunci menyebabkan pemilik kata kunci kesulitan untuk memperbaharui/merubah kata kunci secara dinamis. Alasan utamanya adalah karena adanya PKI (Public Key Infrastructure) yang merupakan infrastruktur
Universitas Sumatera Utara
18
yang sangat kompleks. Kebalikan dari sistem tersebut, sistem keamanan dengan menggunakan pertukaran algoritma sebagai tambahan terhadap kata kunci membuat Kedua pihak dapat bertukar algoritma melalui sebuah koneksi. Karena keduanya menggunakan algoritma yang berbeda, pihak yang tidak berhak akan memakan waktu lebih lama untuk mengetahui isi pesan secara keseluruhan [6].
2.4.2
Konsep Pertukaran Algoritma Kata kunci dalam konsep pertukaran algoritma adalah selama algoritma
tersebut akan dijalankan pada sebuah program, kelompok algoritma dapat dikonversi ke dalam kelompok objek, kemudian ditandai sebelum dapat digunakan, selanjutnya algoritma dapat dimasukkan secara dinamis pada bagian pemograman
dengan
menggunakan konsep java.lang.reflect. Hasilnya, kedua belah pihak dapat menggunakan algoritma secara bersamaan sesuai kebutuhan. Keamanan pertukaran algoritma tidak hanya digunakan untuk meningkatkan tingkat kerahasiaan dari transaksi/kegiatan, tetapi juga dapat menilai keaslian dan integritas pesan. Sama halnya dengan kata kunci publik dan kunci pribadi, setiap pihak harus memiliki dua algoritma yang berbeda untuk dienkripsi dan didekripsi. Dengan menggunakan mekanisme ini, penerima yang tidak berhak tidak dapat menggunakan algoritma yang dibuat oleh pengirim. Dan pemilik algoritma dapat menyediakan sebuah metode algoritma yang dapat merahasiakan pemiliknya. Untuk menjaga integritas data, penerima harus menggunakan algoritma sebelumnya untuk
Universitas Sumatera Utara
19
memastikan keaslian data melalui validasi yang sesuai dengan algoritma yang digunakan. Untuk menghindari ukuran pesan XML yang besar, bytes dapat dikonversi menjadi string. Walaupun mengirim byte sebagai string di dalam pesan berbasiskan XML melalui internet bukanlah merupakan opsi utama. Terdapat beberapa standar pengkodean, seperti tulisan huruf China, Jepang, Arab dll, yang secara normal dapat menimbulkan kesulitan selama mengkonversi dari dan menjadi karakteristik alphabet, dan untuk meningkatkan kecepatan transaksi dan menghemat bandwith, sangat dianjurkan supaya pengguna tidak memperbaharui algoritma selama transaksi berlangsung [6].
Universitas Sumatera Utara