Senin, 13 September 2010

WAP (Wireless Application Protocol)

Akhir-akhir ini, beberapa produsen handphone merilis produk mereka yang dilengkapi fasilitas WAP (Wirelless Application Protocol) atau Protokol Aplikasi Nirkabel. Dengan adanya WAP, pengguna handphone dapat mengaksses informasi dan bertransaksi di Internet langsung dengan handphone. Sebagaimana akses Internet dengan kompoter biasa, akses dengan WAP ini juga memerlukan keamanan tinggi, terutama untuk transaksi atau ecommerce.

Dalam bulan Juni 1999, Forum WAP secara formal menyetujui WAP Versi 1.1 dengan menyertakan spesifikasi Wireless Transport Layer Security (WTLS) yang menjelaskan keamanan Internet nirkabel. Saat ini WTLS telah memasuki pasar e-commerce pada internet nirkabel, seperti SSL (Secure Socket Layer) yang telah diterima sebagai sistem keamanan untuk transaksi di Internet.

Langkah pertama untuk memahami bagaimana model keamanan WAP bekerja adalah dengan membahas cara kerja SSL dalam msengamankan e-commerce di Internet. SSL menjamin bahwa data dijaga aman dan kecurangan transaksi dapat dicegah.

Ada empat ciri yang berbeda tentang sistem yang aman yaitu privacy (privasi), integrity, otenticity (otentisitas), dan non-repudiation (tidak terjadi penolakan). Privasi berarti menyakinkan bahwa hanya pengirim dan penerima pesan yang dapat membaca isi pesan tersebut. Untuk memperoleh privasi, solusi keamanan harus memastikan bahwa tidak ada seorang pun yang dapat melihat, mengakses, atau menggunakan informasi privat (seperti alamat, nomor kartu kredit, dan nomor telepon) yang ditransmisikan melalui internet. Itnegritas menjamin pendeteksian adanya perubahan isi pesan di antara waktu pengiriman dan penerimaan. Sebagai contoh, ketikan pengguna internet memberi instruksi kepada bank untuk mentransfer Rp 10 juta dari suatu rekening ke rekening yang lain, integritas memberi garansi bahwa nomor rekening dan jumlah yang ditulis tidak dapat diubah tanpa validasi bank atau pemberitahuan pengguna. Bila pesan diubah dengan cara apapun selama transmisi, sistem keamanan harus mampu mendeteksi dan memberi laporan ini. Dalam berbagi sistem jika terdeteksi adanya perubahan, sistem penerima akan meminta pesan dikirim ulang.

Otentifikasi memberi jaminan bahwa semua pelaku dalam komunikasi adalah otentik atau mereka yang dapat diklaim. Otentifikasi server menyediakan aturan bagi pengguna untuk melakukan verifikasi bahwa mereka benar-benar berkomunikasi dengan web site yang mereka yakini terkoneksi. Otentifikasi client menjamin bahwa pengguna adalah orang yang dapat diklaim. Contoh otentifikasi dalam dunia nyata adalah menunjukkan KTP atau Passport untuk pengakuan indentitas. Non-repudiation menyediakan metode untuk menjamin bahwa tidak terjadi kesalahan dalam melakukan klaim terhadap pihak yang melakukan transaksi. Dalam dunia nyata, tanda tangan digunakan untuk menjamin non-repudiation, sehingga yang bersangkutan tidak dapat mengelak. Ketika pelanggan berbelanja di supermarket, penunjukan kartu kredit menjamin identitas pelanggan (otentifikasi), sedangkan tanda tangan pada kuintansi menjamin bahwa pelanggan setuju untuk transaksi (non-repudiation)

Di Internet, protokol Secure Socket Layer (SSL), sertifikat digital,user name dan password atau tanda tangan digital digunakan secara bersama-sama untuk menghasilkan empat tipe keamanan. WTLS secara khusus didesain untuk menjalankan transaksi aman tanpa memerlukan kekuatan pemrosesan setara dekstop dan tanpa memory dihandset. WTLS memroses algoritma keamanan lebih cepat dengan protocol overhead minimization (minimisasi overhead protokol), dan kompresi data yang lebih baik daripada pendekatan SSL tradisional. Hasilnya, WTLS mampu menghasilkan keamanan yang baik dengan keterbatasan jaringan nirkabel, sehingga dengan handphone kita dapat berkomunikasi secara aman melalui Internet.

Transaksi antara SSL dan WTLS pada gateway WAP UP.Link (dari Phone.com) hanya dalam orde milidetik dan terjadi dalam memory. Ini memungkinkan koneksi virtual yang aman antara dua protokol tersebut. WTLS menyediakan privasi, integritas dan ontentifikasi antara gateway WAP dan browser WAP. Berdasar WTLS memiliki standar keamanan Internet yang tinggi di jalur nirkabel. Kemampuan WTLS berada di atas TLS 1.0 karena adanya fasilitas baru seperti support terhadap datagram, handshake yang di optimalkan, dan dynamic key refreshing.

WTLS menghasilkan solusi sangat aman yang dibangun dengan teknologi terbaik dari dunia Internet dan nirkabel. Bila gateway WAP diaplikasikan sesuai prosedur keamanan operator standar, pelanggan dan content provider akan memperoleh jaminan bahwa data dan aplikasinya aman. Phone.com merupakan perusahaan pertama yang menyediakan komunikasi Iternet nirkabel yang aman pada handset yang memiliki kemampuan browser berstandar HDTP2.0. HDTP2.0 telah tersedia secara komersial sejak 1997. Phone.com juga merupakan perusahaan pertama yang menyediakan gateway WAP 1.1 compliant, dengan mengimplementasiakn WTLS 1.1 secara lengkap.

Hasilnya, Phone.com telah mampu membangun gateway WAP bernama UP.Link dengan kemampuan keamanan yang bagus. Sebagai contoh, UP.Link mendukung sertifikat untuk client yang memungkinkan server web menyediakan otentifikasi atas nama pengguna. Dengan menggunakan standar Itnernet yang telah ada dengan user-name dan password, content provider dapat segera mengimplementasikan aplikasi yang aman, yang memberikan privasi, integritas, otentifikasi, dan non-repudiation. Gateway WAP UP.Link juga mendukung otoritas sertifikat yang fleksibel, termasuk dukungan terhadap sertifikat server yang disediakan pihak lain.

Data yang tidak dienkripsi tidak pernah disimpan dalam media permanen, sehingga tidak ada rekaman isi transaksi. Algoritma enkripsi/dekripsi UP.Link beroperasi dalam proses UNIX single. Algoritma ini telah dioptimasi untuk meminimalkan waktu penyimpanan data yang tidak terenkripsi dalam memory dan penghapusannya saat translasi protokol keamanan telah selesai.

Hanya root di sistem UNIX yang bisa melihat pesan yang tidak terenkripsi. Sangat sulit untuk menemukan data di memory yang tidak terenkripsi. Tool khusus di UNIX hanya tersedia bagi root untuk melihat isi memory. Itupun membutuhkan banyak pekerjaan penggeseran data untuk menentukan kapan dan di mana transaksi terjadi. Karena transaksi terjadi di memory, maka perkerjaan ini sangat sulit. Akses ke transmisi WTLS membutuhkan pengetahuan tentang implementasi WAP yang sangat tinggi. Beberapa informasi yang diperlukan untuk mencoba penetrasi gateway WAP tidak tersedia dalam dokumentasi yang diterima operator jaringan dari Phone.com. Meskipun telah ada lima proteksi di atas, usaha untuk transaksi yang curang pada gateway melalui console masih bisa terjadi. Untuk itu, fasilitas keamanan tambahan diperlukan sesuai tingkatan aplikasi nirkabel.

Solusi WAP yang didesain untuk menyediakan transmisi aman pada jaringan nirkabel harus sesuai dengan kebutuhan pelanggan, operator jaringan dan content provider. Solusi ini harus terbuka sesuai standar sehingga dapat beroperasi dengan peralatan lain (interoperable). Sebagai contoh, Phone.com bekerjasama dengan WAP Forum untuk menghasilkan standar untuk solusi di masa depan, yang akan menjadikan e-commerce nirkabel dapat diterima pasar.