Non Repudiation in Online Transaction

664 views

Published on

explaining a several methods to accommodate a non repudiation in online transaction

Published in: Education, Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
664
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Non Repudiation in Online Transaction

  1. 1. Non RepudiationTransaksi Online[material workshop]Nyoman Bogi Aditya KarnaSisfo – IM Telkombogi@imtelkom.ac.idhttp://bogi.blog.imtelkom.ac.id Institut Manajemen Telkom http://www.imtelkom.ac.id
  2. 2. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)Abstrak“Maaf, saya tidak merasa menandatangani kesepakatan itu”. Sebuah kalimat pengingkaran yangdigunakan untuk menghindari tanggung jawab atas kesepakatan yang sebelumnya telah disetujuibersama. Berbagai cara digunakan untuk menghindari pengingkaran tersebut, mulai dari yangpaling sederhana yaitu dengan menggunakan tanda tangan (signature), meterai, saksi, bahkansampai melibatkan pihak ketiga secara legal seperti notaris.Bagaimana hal ini dilakukan di dunia IT dimana transaksi bisa dilakukan secara online tanpa perlutatap muka?PendahuluanSetiap informasi yang dikirimkan di suatu jaringan komputer akan didistribusikan denganmenggunakan standar TCP/IP yang merupakan Protocol Suite yang dibangun atas 4 layer ataustack. Sama seperti standar lainnya yang dibangun dengan konsep stack, TCP/IP memilikibeberapa kelemahan terkait dengan struktur stack tersebut. Salah satu kelemahan terbesaradalah suatu layer tidak tahu menahu tentang proses yang telah dilakukan di layer atas/bawah-nya. Sepanjang suatu informasi telah ada di suatu layer, layer tersebut tidak bisa mengetahui jikaada suatu informasi tambahan dari layer di atas/bawah-nya. Yang bisa mengetahui hanyalah layerdi peer pasangannya.Hal ini menyebabkan suatu informasi yang aman di suatu layer tidak serta merta menjadi aman dilayer berikutnya. Seperti halnya pada stack sistem berikut : Saat suatu user yang memiliki login di stack Sistem Operasi, tidak Aplikasi peduli apakah login tersebut adalah user biasa atau superuser, user tersebut bisa melakukan login di layer Database sebagai superuser. Database Hal yang sama juga berlaku sebaliknya, dimana user biasa di suatu Aplikasi dapat saja melakukan akses ke Database sebagai super user. Dengan alasan tersebut lah dikembangkan mekanisme enkapsulasi, Sistem Operasi dimana akses hanya diberikan di layer Aplikasi, dan hanya Aplikasi lah yang dapat mengakses Database dengan user yang sesuaidengan kapabilitas atau Role dari user di Aplikasi.Logika berpikir dalam struktur TCP/IPStruktur TCP/IP didesain dalam 4 layer, dengan peruntukan dan pemrosesan yang berbeda-beda(independen) antara layer. Setiap layer memiliki berbagai kemungkinan protocol yang didesainuntuk suatu keperluan tertentu. Layer Application mencakup protocol DHCP, DNS, FTP, HTTP, IMAP, Application NNTP, NTP, POP, RIP, RTP, SDP, SIP, SMTP, SNMP, SSH, dan lainnya. port port port Layer Application berinteraksi dengan layer transport di bawahnya Transport melalui Port. Layer Transport berfungsi mengantarkan informasi sampai di tujuan melalui berbagai mekanisme kontrol seperti TCP, UDP, RSVP, dan lainnya. Sedangkan Layer Internet bertugas untuk Internet pengalamatan pengirim dan juga penerima agar informasi dapat diantarkan ke tujuan melalui berbagai titik persimpangan (node) Link dengan mekanisme yang sesuai dan efisien. Sementara Layer Link
  3. 3. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)yang berada di paling bawah bertugas untuk melakukan pengontrolan dari entitas NIC sampai kelevel coding signal.Informasi transaksi online dikirimkan dari layer Application turun ke layer Transport yang denganmenggunakan protocol TCP akan ditambahkan informasi alamat pengirim dan penerima (IPAddress) di layer Internet, untuk selanjutnya dikirimkan ke jaringan dengan bantuan layer Link. Dijaringan, informasi akan melalui berbagai node, dengan kemungkinan untuk disadap sebeluminformasi sampai ke tujuan, meskipun secara teknis setiap node antara hanya diperkenankanuntuk membaca suatu informasi sampai layer Internet, hanya untuk menentukan melalui alamattujuan (IP Address) bahwa informasi tersebut adalah untuknya atau untuk entitas lain.Tipe IntrusionSebelum mengetahui apa yang bisa dilakukan oleh seorang penyusup (intruder) yang secara illegalberusaha mendapatkan informasi, terlebih dahulu kita perlu mengenal jenis-jenis intruder dilihatdari metode yang digunakannya.Dilihat dari metode yang digunakan para intruder, terdapat 3 jenis intruder :1. masquerader adalah suatu kondisi dimana seorang un-authorized user yang menggunakan akun dari authorized user, yang biasanya didapatkan melalui “social networking”. Masquerader yang mendapatkan akun authorized user melalui mencoba-coba (brute force attack) sangat jarang terjadi karena sudah banyak metode untuk menghindari hal ini, seperti misalnya keharusan untuk memasukkan suatu informasi yang didasarkan pada indra pendengar (suara) atau indra penglihat (tulisan) sehingga tidak dimungkinkan dilakukan oleh robot. Pada contoh diatas terlihat pencobaan kombinasi login-password tidak akan berhasil karena jumlah pencobaan akan dibatasi pada suatu angka tertentu.2. misfeasor adalah suatu kondisi dimana seorang authorized user yang melakukan un-authorized action di lingkungannya sendiri atau di lingkungan lainnya. Lingkungan disini bisa berarti suatu layer, dan dapat pula berarti suatu aplikasi. Hal ini terkait pula dengan mekanisme stack, dimana setiap layer memiliki lingkungan masing-masing yang independen.
  4. 4. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)3. clandestine adalah suatu kondisi dimana limited authorized user yang dengan suatu cara mendapatkan akun superuser di lingkungannya atau di lingkungan lainnya dan menggunakannya untuk merusak sistem. Kondisi ini terkait pula dengan mekanisme stack, dimana pembatasan priviledge suatu user di suatu layer tidak terkait dengan priviledge-nya di layer lain.Aspek Kehandalan SistemSuatu sistem yang handal atau memiliki performansi yang bagus adalah syarat mutlak untuksemua sistem. Meskipun banyak tolok ukur yang dapat dijadikan acuan untuk mengukurperformansi suatu sistem, pada dasarnya terdapat 4 aspek yang dapat dijadikan sebagai acuan,yaitu :1. confidentiality dimana suatu sistem hanya dapat diakses oleh authorized user, melalui mekanisme login yang mensyaratkan penginputan login, password (masked), dan character reading. Confidentiality dapat dilengkapi dengan tambahan di berbagai layer, seperti misalnya firewall untuk membatasi lokasi user yang dapat mengakses sistem.2. integrity dimana suatu pengubahan pada sistem hanya dapat dilakukan oleh authorized user, melalui mekanisme rekonfigurasi dan seminimal mungkin scripting. Hal ini semata-mata untuk menjaga integritas sistem, agar tetap solid dan tetap mengacu ke struktur sistem framework asli.
  5. 5. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)3. availability dimana suatu sistem dapat selalu digunakan oleh authorized user selama 24 jam sehari dan 7 hari seminggu. Hal ini mencakup availabilitas sistem maupun sarana aksesnya.4. authenticity dimana suatu sistem dapat menentukan identitas user, dan memilah user berdasarkan identitas yang diberikan tersebut. Identitas tersebut bisa didapat melalui berbagai metode, mulai dari layer terbawah sampai layer teratas dari stack TCP/IP.Terkait dengan aspek confidentiality, terdapat mekanisme yang disebut dengan AAA(authentication, authorization, accounting) dimana dalam operasionalnya diimplementasikanpada sistem protocol RADIUS (Remote Authentication Dial In User Service). RADIUS yang banyak
  6. 6. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)diterapkan untuk ijin akses ke suatu jaringan, memiliki 3 fungsi sesuai dengan mekanisme AAA,yaitu :1. melakukan autentikasi user atau perangkat, sebelum menyediakan akses ke suatu jaringan2. memberikan otorisasi kepada user atau perangkat yang memiliki akun sesuai priviledgenya3. melakukan akunting penggunaan dari user atau perangkat tersebut MAC IP PORT DATA Authorized User non-Authorized UserPengamanan InformasiTerkait dengan aspek ke-empat diatas yaitu autentikasi identitas user, terdapat 4 metode untukmengamankan informasi yang dikirimkan meskipun pada suatu kondisi terburuk, dengan suatucara tertentu, seseorang berhasil menyadap informasi tersebut, yaitu :1. signature menambahkan informasi yang dapat diliat jelas oleh user lain sesuai dengan desain yang telah disepakati (baik yang didesain untuk hanya dapat dilihat oleh yang memiliki kunci pembuka atau oleh semua pihak tanpa membutuhkan suatu kunci).2. enkripsi mengacak informasi yang dikirim dengan suatu kunci agar tidak ada yang bisa membaca informasi tersebut kecuali yang memiliki kunci pembukanya. User A User B digitally signed and encrypted encryption decryption program Public Network program non-Authorized User ? Key ?? Key
  7. 7. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)3. scrambling mengacak informasi yang dikirim dengan suatu metode atau algoritma tertentu agar tidak ada yang bisa membaca informasi tersebut kecuali yang mengetahui metode atau algoritma yang digunakan oleh pengirim informasi tersebut.4. watermark memberikan suatu tanda atau menyelipkan suatu informasi tambahan (metadata) yang hanya pengirim dan penerima informasi yang mengetahuinya dan dapat membacanya melalui mekanisme dan algoritma tertentu. Informasi tambahan ini biasanya ditambahkan pada bagian data asli dan bukan pada header data sehingga cukup rentan untuk menghilang jika informasi yang telah diterima tersebut menerima manipulasi tertentu.Non Repudiation dalam Transaksi OnlineSuatu transaksi yang dilakukan secara online tidak memiliki pihak ketiga, tidak juga tersedia tandatangan diatas meterai maupun kesaksian dari notaris. Penjaminan bahwa suatu transaksi onlineadalah valid, dapat dilakukan melalui beberapa aspek :1. authentication menjamin melalui berbagai mekanisme dan algoritma bahwa hanya user tertentu yang dapat mengakses aplikasi yang akan digunakan.2. authorization menjamin bahwa user tersebut dapat menggunakan fitur-fitur yang memang sesuai dengan priviledgenya3. signature menjamin informasi yang dikirimkan memang berasal dari user tersebut dan dari aplikasi tertentu4. enkripsi menjamin tidak ada perubahan informasi sepanjang perjalanan dan kandungan informasi tetap terjaga sampai ke penerima yang sah5. watermark menjamin tidak ada perubahan informasi sepanjang perjalanan, dan sekaligus sebagai penanda bahwa informasi tersebut memang dikirimkan oleh user dan aplikasi terkait.Dari 5 aspek tersebut diatas, semua harus diposisikan sesuai kondisi di lapangan untukmenentukan skala prioritas dan tingkat kedalaman implementasi. Pada suatu kondisi dimana
  8. 8. non Repudiation Transaction @ Institut Manajemen Telkom (http://www.imtelkom.ac.id)transaksi online dijalankan pada jaringan yang telah aman, maka tidak perlu dilakukan enkripsidan penambahan signature maupun watermark. Cukup dilakukan autentikasi dan otorisasi di sisiuser dan sistem pengirim informasi.KesimpulanDari penjelasan diatas, dapat diketahui bahwa transaksi non repudiation (tak dapat diingkari)dapat terjadi untuk kedua belah pihak, pihak pengirim informasi (untuk menjamin bahwainformasi tersebut memang benar darinya) maupun pihak penerima informasi (untuk menjaminbahwa informasi tersebut memang hanya untuknya). Untuk menjamin validitas pengirim, dapatdilakukan dengan mengimbuhkan informasi tambahan (signature) maupun denganmenambahkan watermark. Sementara untuk memastikan bahwa hanya pihak-pihak tertentu sajayang dapat membaca informasi yang terkandung didalamnya, maka dapat dilakukan melaluienkripsi dengan menggunakan kunci tertentu yang telah disepakati sebelumnya.Disamping itu, transaksi non repudiation juga dapat dijamin dengan memastikan bahwa hanyauser-user tersebut lah yang melakukan transaksi dan dapat melakukan transaksi tersebut, melaluimekanisme 3A (authentication, authorization, dan accounting).PustakaDari berbagai sumber, terutama The Internet

×