Pengesahan/Autheticatio

Apabila melihat kepada dokumen

sah seperti kontrak atau cek, perlu
memastikan bahawa
i. ia
telah
ditandatangani
oleh
seseorang
yang
mempunyai
autoriti/hak yang betul.
ii.penandatangan
tidak
dapat
menafikan bahawa dokumen itu
mempunyai tandatangan yang sah.

Pakar
dalam
keselamatan
dokumen
memanggil ciri ini sebagai pengesahan
dan non-reputability.
Dokumen itu tidak diubahsuai dalam apa
jua cara dan ia telah dihantar oleh
penghantar yang disahkan.
Perdagangan elektronik memerlukan cara
untuk mengenalpasti kesahan dokumen
elektronik seperti cek dan kad kredit.

Definisi Pengesahan
Pengesahan merupakan proses untuk
mempercayai identiti seseorang atau
benda.
Cara membuat Pengesahan:
1.
Sesuatu yang hanya ada pada
saya
Cap jari, pengesahan suara, pengesahan
retina mata, tandatangan (ciri ini dapat
ditiru,tetapi masih lagi merupakan salah
satu cara yang biasa digunakan.)

2. Cabar dan jawab

hanya anda dan orang kedua sahaja
yang tahu.
Cotohnya, apabila berjumpa dengan
seseorang, kita bertanya soalan,
adakah anda mempunyai mancis?
Responden akan menjawab, tidak,
saya hanya mempunyai pemetik api.
Sekiranya kod yang digunakan betul,
proses pengesahan telah berlaku.

3. Sesuatu yang hanya anda yang tahu.

Dalam
perdagangan
eletronik,
adalah
menjadi kebiasaan untuk mengabungkan
apa yang anda ada dan apa yang anda
tahu untuk mengawal akses sesuatu benda.
Cotohnya ATM.
4. Pengesyoran oleh pihak ketiga yang
dipercayai.
Sebagai contoh, cara yang mudah ialah
dengan memberikan surat dari pihak ketiga.

Pengesahan
digital
menggunakan
sesuatu yang hanya ada pada anda
telah meningkat naik selaras dengan
inovasi sains biometrik.
Waulaubagaimanapun, pengesyoran
dari pihak ketiga tetap menjadi cara
yang paling banyak digunakan dalam
pengesahan kepada transaksi dan
dokumen digital.
6

Definisi Kepercayaan
Pakar dalam keselamatan telah bersetuju
bahawa tidak terdapat keselamatan yang
sempurna,
namun
terdapat
peringkatperingkat kepercayaan.
Kepercayaan telah didefinisikan sebagai:

Keyakinan mengenai teman kongsi

berdasarkan kepakaran, pengalaman dan niat.
Pergantungan kepada teman kongsi yang
melibatkan ketidakkebalan dan ketidakpastian.

Dalam perdagangan elektronik, pihak

ketiga yang dipercayai dan encryption
digunakan
untuk
mempercayai
tandatangan digital dan wang digital.
Model keseluruhannya ialah:
Penggunaan
encryption
untuk
mendapatkan
pengesahan
dan
menghalang pemalsuan.
Membahagikan
proses
pengesahan
kepada beberapa pihak.

PENGESAHAN MODEL KERBEROS

3. Permintaan
Perkhidmatan
menggunakan Token

Server
Aplikasi
4.
Pengesaha
n

Klient

2.Pengakse
san
dibenarkan

1. Permintaan
Token
Pensesahan

5.
Token

Server
Pengesahan

Model Kerberos
Tiga
komponen
Klient

Server
aplikasi

Server
pengesahan

Kerberos menggunakan beberapa

mesej yang telah di encrypted
untuk membuktikan kepada server
aplikasi bahawa klien yang ada ialah
pelanggan yang berhak

Kunci yang di encrypted, yang

10
hanya diketahui oleh klien dan server

 Selepas itu, server pengesahan akan

menghasilkan satu tiket yang boleh
digunakan
oleh
klien
untuk
mengakses aplikasi yang terdapat
pada server aplikasi.
Tiket ini mempunyai had masa,
sekiranya had masa telah habis, satu
tiket baru akan dihasilkan oleh server
pengesahan kepada klien.

11

 Kerberos membahagikan tugas kepada

3 pihak, iaitu klien, server pengesahan
dan server aplikasi.
Klien dan server pengesahan berkongsi
rahsia yang sama, dan rahsia ini harus
disimpan.
Server aplikasi akan mengesahkan tiket
yang dikemukakan sebelum memberi
laluan
untuk
mengunakan
perkhidmatan kepada klien.
12

Tandatangan Digital
Mempunyai 2 fungsi yang utama
iaitu :
i. menentukan liabiliti
ii.
memastikan kepercayaan

Kesahihan wang digital ditentukan

oleh
penggunaan
tandatangan
digital.
Sistem
ini menyerupai
sistem Kerberos untuk menentukan
kesahihan klien dengan penggunaan
pihak ketiga/klien.

Mesti membekalkan identiti pihak yang

menandatangani dokumen itu, bukti
yang
mereka
telah
mengetahui
bahawa dokumen itu telah ditanda dan
integriti dokumen itu.
Guna encryption iaitu Asymmetric
encryption menggunakan 2 kod
(kunci yang berpasangan) satu untuk
enrypt mesej dan satu lagi untuk
decrypt mesej itu.

Asymmetric encryption dikenali sebagai

public-key cryptography kerana salah
satu daripada kunci itu (kunci peribadi)
disimpan manakala satu lagi kunci awam
diedarkan secara percuma.
Mempercayai
cryptographers
untuk
memastikan t/tangan peribadi berfungsi.
Kunci dibalut ke dalam sijil digital yang
mengandungi kunci awam dan tandatangan
digital untuk certificate authority(CA)
bagi elak pemalsuan/peniruan.

Pengesahan Wang Digital

Cara Kerajaan mengesahkan
(WD)
wang digital
rekabentu
k

Tanda

kertas atau
logam yang
istimewa

ciri-ciri fizikal

Ciri ini menjadikan wang susah untuk

dipalsukan dan disebabkan ianya
sesuatu yang fizikal, ia hanya dapat
dibelanjakan sekali sahaja.

Memalsukan WD amat susah, kerana

integritinya
telah
disahkan
oleh
tandatangan penghasilnya.
Adalah tidak berharga untuk menciplak
paten bit pada wang digital untuk
menghasilkan wang digital yang sama.
Sekiranya ia disimpan dalam smartkad,
contohnya kad telefon, ia akan
memerlukan usaha yang banyak untuk
menciplaknya.

Certificate Authorities

Sebagai pihak ketiga, Certificate Authorities

akan mengenalpasti sijil digital.
Certificate Authorities mengandungi
maklumat:
i. Satu senarai lengkap mengenai sijil
ii. Satu senarai sijil yang dibatalkan

CA
perlu menetapkan had kepada
bilangan pemegang yang mendapat
pengesahan dalam sijil itu.
CA boleh diberikan kepada sesiapa yang
mengisi borang dalam laman web.
Cotohnya kad kredit.
CA
perlu menetapkan had kepada
bilangan pemegang yang mendapat
pengesahan dalam sijil itu.

Bila pelayar laman web berhubung

dengan server (Secure Sockets Layer
(SSL), identitinya dikenalpasti dengan
menghantar salinan kunci awam yg
terdapat dalam sijil.
Guna Secure Electronic Transaction
(SET) bagi menjamin keselamatan dan
integriti pembayaran, dan kesahihan
penjual dan pelanggan.

Pelanggan perlu memastikan penjual

ada hubungan sah dengan institusi
kewangan yang mempunyai SET.
Penjual
perlukan
jaminan
iaitu
pelanggan guna akaun pembayaran
yang sah.
Penjual & pelanggan perlu memastikan
kandungan mesej tidak diubahsuai
semasa dan selepast transaksi.
SET memerlukan pembeli/pelanggan
supaya mendaftar dengan CA.