Bagian 2 (dari 2) Baca Bag. 1 (Overview)
Semakin pesatnya perkembangan dan pertumbuhan pengguna M-Commerce masalah security menjadi isu penting sebagai salah satu bagian dalam proses transaksi, pihak-pihak yang terkait dalam M-Commerce adalah Pengguna (Pembeli), Operator Jaringan, Institusi Finansial, dan Marchant (Pihak penyedia produk/jasa yang ditawarkan kepada pengguna), seluruh pihak ini memiliki kebutuhan yang sama terhadap security.
Jaminan security berperan sangat penting dalam M-Commerce, berikut beberapa element security dalam M-Commerce:
• Authentikasi, yang memungkinkan pihak fasilitator pembayaran (antara lain institusi keuangan)
untuk memastikan bahwa yang menggunakan sistem adalah pihak yang berhak.
• Confidentiality, yang memastikan bahwa pihak lain yang tidak berhak tidak dapat mengakses data pembayaran.
• Data Integrity, yang memastikan bahwa data pembayaran tidak berubah setelah pengguna menyetujui seluruh detail transaksi.
• Non-repudiation, yang mengikat seluruh pihak yang terlibat sehingga tidak dapat menyangkal seluruh proses yang telah dilakukannya.
M-Commerce memanfaatkan jaringan seluler untuk melakukan transaksi remote service, dalam proses ini akan melewati beberapa level yang memanfaatkan teknologi masing-masing sebelum akhirnya suatu transaksi selesai dilakukan, oleh kerena itu dibutuhkan beberapa tingkat security untuk menangani setiap level selama proses transaksi berlangsung.
1. Security Pada Level Jaringan
• GSM
Merupakan sistem dengan pengguna terbanyak saat ini. Pada awalnya hanya
mendukung koneksi circuit data 9,6 Kbps. Layanan saat ini SMS, WAP, GPRS,
High speed CSD. Security pada GSM menggunakan IMSI (kode internasional
pelanggan) dan Ki (kunci yang digunakan untuk authentikasi) yang disimpan di
SIM Card. Encripsi air interface menggunakan symmetric key yang diturunkan
dari Ki. Kelemahan utama dari GSM adalah bahwa jaringan inter operator tidak
terenkripsi. Kelemahan lainnya adalah authentikasi hanya dilakukan satu arah,
yaitu dari sisi jaringan kepada perangkat end-user, sehingga dimungkinkan
terjadinya penyadapan oleh perangkat yang ‘menyamar’ sebagai BTS dari sisi
perangkat end-user
• UMTS
Pada jaringan UMTS telah dilakukan perbaikan terhadap aspek security
dibandingkan yang dimiliki oleh jaringan GSM. Perbaikan tersebut mencakup
proses authentikasi dan enkripsi data pelanggan. Proses authentikasi yang
semula dilakukan secara satu arah, pada jaringan UMTS dilakukan secara
mutual, yaitu dari network kepada handset dan dari handset kepada network.
Sedangkan dari sisi pengamanan pesan atau percakapan yang dikirimkan oleh
pengguna, proses enkripsi selalu dilakukan secara end-to-end, kecuali jika baik
handset dan network sepakat untuk berkomunikasi tanpa enkripsi.Integrity protection
digunakan untuk menjaga signaling message. UMTS menggunakan algoritma chipper yang baru
dan encryption keys yang lebih panjang.
•Wireless LAN
Secara default tidak menerapkan security pada air interfacenya. Kemudian IEEE
menerapkan WEP (Wired Equivalent Privacy), yang memberikan:
1. Autentikasi kepada Access Point.
2. Integrity dan Confidentiality dari MAC Frame.• Blue tooth
Ad hoc piconet, pada personal environment, sangat potensial untuk m-Commerce.
Pada link layer sekuriti dilakukan dengan challenge-response
protocol untuk authentikasi dan stream chipper algorithm untuk user dan
signaling data. Jika perangkat-perangkatnya tidak saling menukarkan key, maka
yang ditukarkan adalah PIN yang harus sama, dapat dengan cara input manual
pada handset maupun dengan cara mengimportnya dari aplikasi yang sama.
2. Security Pada Level Transport
Seperti telah disinggung di atas, bahwa m-commerce melibatkan beberapa protocol dalam siklus prosesnya, tidak hanya melibatkan jaringan akses dari satu provider melainkan dari beberapa pihak sekaligus, ini membutuhkan pengamanan yang berbeda pula, pengamanan dalam level transport sebagai berikut:
• SSL/TLS
Merupakan salah satu protocol yang paling banyak digunakan di internet saat ini. Salah
satu penerapannya adalah HTTPS. SUN telah berhasil mengembangkan versi client
side dari SSL untuk device dengan keterbatasan processing dan memory, dinamakan
kilobytes SSL (KSSL). Walaupun tidak mendukung client side authentication, dan hanya
mendukung beberapa chipper yang umum digunakan, namun kelebihan SSL adalah
dapat dijalankan di atas platform J2ME, dengan hanya menghabiskan sedikit memory.
• WTLS
WAP forum telah menstandarkan protocol security pada layer transport yang disebut
WTLS, dan mengimplentasikannya pada WAP 1. WTLS memfasilitasi sekuriti antara
perangkat mobile dengan WAP Gateway, yang selanjutnya melakukan konversi kepada
SSL / TLS. Sehingga memang belum memfasilitasi security yang sifatnya end-to-end,
dan WAP gateway harus dapat dipercaya. Namun demikian, saat ini WAP forum telah
mengusulkan suatu stack protocol WAP 2, yang identik dengan TCP/IP untuk media
wireless. Sehingga dengan demikian security yang sifatnya end-to-end dapat diselenggarakan.
3. Security Pada Level Service
• SMS
Merupakan service yang paling banyak digunakan untuk transaksi saat ini, walaupun
hanya dapat memfasilitasi maksimal 160 karakter. Pengirim dan penerima SMS
diidentifikasi dengan menggunakan IMSI, sehingga keamanan layanan ini termasuk
tinggi, karena didukung oleh keamanan GSM itu sendiri (keamanan SIM Card).
Sehingga SMS dapat digunakan sebagai authentikasi, setidaknya pada jaringan GSM
itu sendiri. Selanjutnya pesan SMS dikirimkan melalui signaling plane GSM, dimana
tidak tersedia security yang sifatnya end-to-end, sehingga memang seluruh pihak yang
terlibat pada m-Commerce harus percaya sepenuhnya kepada operator GSM.
• SIM Tool Kit
Memungkinkan operator atau provider lain untuk membuat suatu aplikasi khusus yang
tertanam di SIM Card. Aplikasi tersebut bertugas untuk mengirimkan, menerima, serta
mengartikan sebuah SMS atau USSD. STK memungkinkan aplikasi pengirim (yaitu
aplikasi yang terdapat pada SIM Card) untuk mengirimkan pesan yang sudah terproteksi
kepada aplikasi penerima (yaitu pada server payment operator). Mekanisme security
yang mungkin untuk diterapkan adalah:
1. Authentikasi
2. Integritas Informasi Transaksi
3. Integritas urutan transaksi dan deteksi pengulangan transaksi
4. Bukti Penerimaan dan eksekusi transaksi
5. Kerahasiaan Informasi
-o0o-
sumber :
– http://www.cert.or.id/
– http://en.wikipedia.org/wiki/M-commerce
– dari berbagai sumber
