Disediakan oleh; 1. Noor Izzati binti Abdul Hanid 2.

Norhidayah binti Ishak (PISMP Bahasa Melayu Ambilan Januari 2012) Pensyarah : Encik Beni bin Mahmud

PELAKSANAAN E-DAGANG

Pengesahan Pembayaran (Authetication) (Clearing)

Berterusan (Continuity)

Keterbukaan (Visibility)

Pengesahan
Authetication

Pengesahan/Authetication
Apabila melihat kepada dokumen sah seperti kontrak atau cek,kita perlu memastikan bahawa (a) ia telah ditandatangani oleh seseorang yang mempunyai autoriti/hak yang betul dan (b) penandatangan tidak dapat menafikan bahawa dokumen itu mempunyai tandatangan yang sah. Pakar dalam keselamatan dokumen memanggil ciri ini sebagai pengesahan dan non-reputability dan dokumen itu tidak diubahsuai dalam apa jua cara dan ia telah dihantar oleh penghantar yang disahkan. Ini dipanggil ketulusan. Tetapi apakah penipuan elektronik boleh dikenalpasti? Sebagai contohnya, dengan cek yang biasa, pihak bank akan menunaikannya dengan membandingkan tandatangan pada cek dengan tandatangan pada simpanan bank. Pemerhatian secara fizikal telah mencukupi untuk mengesahkan sam ada cek itu telah diubahsuai (jumlah, tarikh, pemberi) dan kertas yang digunakan adalah sah.

 Perdagangan elektronik memerlukan cara untuk mengenalpasti kesahan dokumen elektronik seperti cek dan kad kredit. Dalam dunia maya seperti perdagangan elektronik, tidak terdapat perbezaan yang jelas antara salinan dan original, atau bukti-bukti yang menunjukkan pengesahan berdasarkan bit dan bait yang terdapat pada dokumen elektronik tersebut. Untuk memastikan bahawa sesuatu dokumen itu sah disisi undang-undang, harus terdapat sesuatu cara untuk memastikan bahawa tandatangan itu tidak diubahsuai dan sah.

Definisi Pengesahan
Pengesahan merupakan proses untuk mempercayai identiti seseorang atau benda. Cara membuat Pengesahan: 1. Sesuatu yang hanya ada pada saya- Cap jari, pengesahan suara, pengesahan retina mata, tandatangan (ciri ini dapat ditiru,tetapi masih lagi merupakan salah satu cara yang biasa digunakan. 2. Cabar dan jawab- hanya anda dan orang kedua sahaja yang tahu. Cth apabila berjumpa dengan seseorang, kita bertanya soalan, adakah anda mempunyai mancis?, dan responden akan menjawab, tidak, saya hanya mempunyai pemetik api. Sekiranya kod yang digunakan betul, proses pengesahan telah berlaku.

3. Sesuatu yang hanya anda yang tahu. Dlm perdgn eletronik, adalah menjadi kebiasaan untuk mengabungkan apa yang anda ada dan apa yang anda tahu untuk mengawal akses sesuatu benda. Cth ATM

4. Pengesyoran oleh pihak ketiga yang dipercayai.- sebagai contoh, cara yang mudah ialah dengan memberikan surat dari pihak ketiga.

PENGESAHAN
Pengesahan digital menggunakan sesuatu yang hanya ada pada anda telah meningkat naik selaras dengan inovasi sains biometrik. W/bagaimanapun, pengesyoran dari pihak ketiga tetap menjadi cara yang paling banyak digunakan dalam pengesahan kepada transaksi dan dokumen digital. Definisi Kepercayaan Pakar dalam keselamatan telah bersetuju bahawa tidak terdapat keselamatan yang sempurna, namun terdapat peringkat-peringkat kepercayaan. Kepercayaan telah didefinisikan sebagai: -Keyakinan mengenai teman kongsi berdasarkan kepakaran, pengalaman dan niat. - Pergantungan kepada teman kongsi yang melibatkan ketidakkebalan dan ketidakpastian. Dalam perdagangan elektronik, pihak ketiga yang dipercayai dan encryption digunakan untuk mempercayai tandatangan digital dan wang digital. Model keseluruhannya ialah: - Penggunaan encryption untuk mendapatkan pengesahan dan menghalang pemalsuan. - Membahagikan proses pengesahan kepada beberapa pihak. - Kenyataan formal mengenai polisi keselamatan dan langkah-langkah keselamatan akan meningkatkan kepercayaan dan mengurangkan kebimbangan mengenai liabiliti.

PENGESAHAN MODEL KERBEROS Application Server

4. Pengesahan 5. Token

3. Permintaan Perkhidmatan menggunakan Token

Client

2.Pengaksesan dibenarkan

Authentication Server
1. Permintaan Token Pensesahan

Model Kerberos
Tiga komponen/kepala Kerberos : i. Klient ii. Server aplikasi dan iii. Server pengesahan.

Kerberos menggunakan beberapa mesej yang telah di encrypted untuk membuktikan kepada server aplikasi bahawa klien yang ada ialah pelanggan yang berhak Kunci yang di encrypted, yang hanya diketahui oleh klien dan server pengesahan digunakan untuk mengesahkan klien itu. Selepas itu, server pengesahan akan menhasilkan satu tiket yang boleh digunakan oleh klien untuk mengakses aplikasi yang terdapat pada server aplikasi. Tiket ini mempunyai had masa, sekiranya had masa telah habis, satu tiket baru akan dihasilkan oleh server pengesahan kepada klien. Kerberos membahagikan tugas kepada 3 pihak, iaitu klien, server pengesahan dan server aplikasi. Klien dan server pengesahan berkongsi rahsia yang sama, dan rahsia ini harus disimpan. Server aplikasi akan mengesahkan tiket yang dikemukakan sebelum memberi laluan untuk mengunakan perkhidmatan kepada klien.

Tandatangan Digital / Digital Signatures

Mempunyai 2 fungsi yang utama iaitu : i. menentukan liabiliti dan ii. memastikan kepercayaan. Kesahihan wang digital ditentukan oleh penggunaan tandatangan digital. Sistem ini menyerupai sistem Kerberos untuk menentukan kesahihan klien dengan penggunaan pihak ketiga./klien. Mesti membekalkan identiti pihak yang menandatangani dokumen itu, bukti yang mereka telah mengetahui bahawa dokumen itu telah ditanda dan integriti dokumen itu. Guna encryption iaitu Asymmetric encryption menggunakan 2 kod (kunci yang berpasangan) satu untuk enrypt mesej dan satu lagi untuk decrypt mesej itu. Asymmetric encryption dikenali sebagai public-key cryptography kerana salah satu daripada kunci itu (kunci peribadi) disimpan manakala satu lagi kunci awam diedarkan secara percuma. Maklumat yang di encrypted menggunakan kunci awam hanya dapat di decypted menggunakan kunci peribadi. Encryption algorithms yang kuat,(kebal, nombor PIN, kata laluan, atau ciri-ciri biometrik) digunakan untuk mengakses kunci perbadi) Mempercayai cryptographers untuk memastikan t/tangan peribadi berfungsi. Kunci dibalut ke dalam sijil digital yang mengandungi kunci awam dan tandatangan digital untuk certificate authority(CA).bagi elak pemalsuan/peniruan.

Sijil Pihak Berkuasa / Certificate Authorities

Sebagai pihak ketiga, CA akan mengenalpasti sijil digital CA mengandungi 2 maklumat: i. Satu senarai lengkap mengenai sijil dan ii. Satu senarai sijil yang dibatalkan. Jika pekerja meninggalkan syarikat/komputer dicuri, pemilik boleh menghubungi CA dan meminta agar sijil itu dinafikan. CA (standartd X.509) diiktiraf di seluruh dunia dan turut mempunyai tarikh luput dan dpt dikeluarkan daripada pengkalan data online. CA perlu menetapkan had kepada bilangan pemegang yang mendapat pengesahan dalam sijil itu. CA boleh diberikan kepada sesiapa yang mengisi borang dalam laman web. Cth kad kredit. CA mempunyai sistem pengesahan dan menyiasat satu tahap dalam hieraki sijil itu. Tetapi sistem ini direka untuk menyokong hierarchy of trust, biasanya topped oleh pihak berkuasa kerajaan.

Sijil Pihak Berkuasa / Certificate Authorities

Bila pelayar laman web berhubung dengan server (Secure Sockets Layer (SSL), ) identitinya dikenalpasti dgn menghantar salinan kunci awam yg terdpt dalam sijil. Guna Secure Electronic Transaction (SET) bagi menjamin keselamatan dan integriti pembayaran, dan kesahihan penjual dan pelanggan. Pelanggan perlu memastikan penjual ada hubungan sah dengan institusi kewangan yang mempunyai SET. Penjual perlukan jaminan iaitu pelanggan guna akaun pembayaran yang sah. Penjual & pelanggan perlu memastikan kandungan mesej tidak diubahsuai semasa dan selepast transaksi. SET memerlukan pembeli/pelanggan supaya mendaftar dengan CA. Kerajaan mungkin memilih untuk menandatangani sijil kepada setiap mereka.cth United Nation mungkin menandatangani sijil kepada United Stated. Protokol SET membuat peruntukan kepada CA korporat dan geopolitik bagi mengurangkan kontrak sempadan berlainan dan liabiliti. Jika berlaku kehilangan duit kerana sijil (dikompromi,) pemegang sijil dipersalahkan kerana tidak melindungi kunci peribadi yang diperlukan untuk menanda fail.Namun CA juga bertanggungjawab sekiranya seseorang mendaftarkan kunci dengan nama orang lain, atau sijil itu dibatalkan oleh seseorang lain dari pemiliknya. Ada syarikat merasa mempunyai sedikit kuasa untuk mengawal perkerja mereka dan apa yang mereka lakukan dengan internet

Pengesahan Wang Digital (WD) / Digital Cash

Cara Kerajaan mengesahkan wang digital: i. rekabentuk, ii. Tanda iii. kertas atau logam yang istimewa iv. ciri-ciri fizikal . Ciri ini menjadikan wang susah untuk dipalsukan dan disebabkan ianya sesuatu yang fizikal, ia hanya dapat dibelanjakan sekali sahaja. Memalsukan WD amat susah, kerana integritinya telah disahkan oleh tandatangan penghasilnya. Adalah tidak berharga untuk menciplak paten bit pada wang digital untuk menghasilkan wang digital yang sama. Sekiranya ia disimpan dalam smartkad, contohnya kad telefon, ia akan memerlukan usaha yang banyak untuk menciplaknya. Jika WD digunakan secara online, pemberi perlu pastikan wang digital itu mempunyai nilai dan tidak pernah digunakan sebelum ini spt dengan cek; penerima tidak mengetahui apakah terdapat duit yang terdapat dalam cek itu sehinggalah penerima menghubungi pihak bank. Satu lagi sistem yang digunakan ialah skima encryption dan beberapa ciri pada media penyimpanan untuk memastikan bahawa pengguna tidak dapat menyalin dompet elektronik yang penuh dengan wang digital ke dalam disket, membelanjakan semua wang dalam dompet yang asli dan menciplak kembali wang salinan kedalam yang asli dan membelanjakannya kembali. Sistem jenis ini direka untuk mengatasi masalah penyimpanan dan trafik talian. Terdedah kepada hacking oleh cryptographer berpengalaman.

Clearing

Pembayaran / Clearing
Merujuk kepada penghantaran pembayaran kepada penjual dan barang kepada pembeli. Perjalanan audit yang selari ini akan merekodkan butiran mengenai penghantaran, untuk penyesuaian akaun dan laporan kewangan. Barangan fizikal memerlukan penghantaran fizikal; perdagangan elektronik boleh menguruskan pesanan, penghantaran pembayaran, permintaan pembayaran melalui kad kredit dan penghantaran barang menggunakan servis penghantaran kepada pelanggan. Perkembangan jejak audit ini melibatkan beberapa pihak: pihak penjual dan pihak pembeli merekodkan pesanan; bank penjual, bank pembeli, dan syarikat kad kredit yang merekodkan pembayaran; syarikat penghantaran merekodkan resit mengenai barang dari penjual dan penghantran kepada pembeli. Penghantaran barang mungkin lebih jelas, namun sistem pembayaran elektronik adalah lebih kompleks. Kepelbagaian sistem pembayaran dan mekanismanya memberikan banyak peluang kepada penghantaran elektronik untuk pembayaran dan teknik untuk pengurusan akaun baru.