Bab IV
TEKNOLOGI JARINGAN

 

Beberapa teknologi jaringan yang mendasari perdagangan di Internet ternyata mempengaruhi keamanan dari sistem-sistem perdagangan yang ada di Internet. Teknologi-teknologi jaringan di bawah ini tentunya tidak hanya dipergunakan dalam sistem perdagangan di Internet saja, namun mencakup bidang yang sangat luas.

Tidak semua SPI yang menerapkan teknologi jaringan yang akan dibahas bab ini lantas kemudian pasti memiliki kelemahan yang sama dengan teknologi jaringan tersebut. Dengan teknik-teknik tertentu, sistem perdagangan di Internet kerap kali dapat mengatasi kelemahan teknologi di lapisan bawahnya. Teknologi-teknologi jaringan yang akan penulis jabarkan pada bab inipun ada yang berdiri di atas teknologi jaringan yang lain.

Gambar 4.1. Beberapa kemungkinan lapisan-lapisan jaringan

Bab ini akan menjelaskan mengenai TCP/IP, HTTP, SSL, SHTTP, surat elektronik, otoritas sertifikat dan kartu chip.

Transmission Control Protocol / Internet Protocol

Pendahuluan

Internet yang mewabah dewasa ini, adalah jaringan komputer publik dunia yang menggunakan protokol TCP/IP, singkatan dari Transmission Control Protocol/Internet Protocol. TCP/IP dibuat oleh Departemen Pertahanan Amerika Serikat (Department of Defense, disingkat DoD) pada tahun 1969 sebagai protokol ARPANET yang menghubungkan komputer-komputer pada berbagai lokasi penelitian milik DoD yang tersebar luas [SiHa 95]. TCP dan IP adalah dua buah protokol yang berbeda. Jika menggunakan terminologi model OSI, maka TCP berada pada lapisan transport, sedangkan IP berada pada lapisan jaringan.

Routing Pada TCP/IP

IP adalah paket yang connection-less, dengan skenario store and forward [Tane 89]. Paket IP dikirim dari satu node ke node lain dalam jaringan lain dengan menggunakan bantuan node-node diantaranya. Paket IP tersebut ‘meloncat’ dari satu node ke node yang lain. Alat untuk menerima dan mengirimkan kembali paket IP dari satu node ke node lain dalam skenario ini disebut router. ARPANET memang dirancang untuk tetap bekerja meskipun terjadi serangan nuklir. Jika beberapa node dari ARPANET hancur, paket-paket yang dikirim tidak harus melalui jalur biasanya. Router pada tiap-tiap node untuk dapat memilih jalur baru yang tepat untuk pengiriman paket IP dari satu node ke node lainnya.

Beberapa Kelemahan TCP/IP

Pada router inilah paket IP dapat dibaca mudah. Apalagi tidak ada enkripsi apapun pada protokol IP. Siapapun dapat membaca dan mengganti dengan mudah isi paket IP. Membaca paket dengan cara menyadapnya disebut dengan istilah wire-tapping atau packet sniffing. Karena bisa saja router tersebut terkadang bukan milik orang yang dipercaya, maka penyerang yang memiliki akses ke router itu dapat menyadap data yang datang dari atau menuju ke alamat tertentu. Mungkin penyerang secara pasif berusaha menangkap nomor kartu kredit yang diterima oleh http://www.cybermall.com.

Ada juga orang yang berusaha melakukan spoofing, yakni menggunakan alamat IP host lain sehingga berhasil mendapatkan paket IP yang seharusnya ditujukan untuk host lain tersebut [DHMM 96]. Pada TCP/IP memang tidak tersedia fasilitas keamanan yang baik.

Secure IP dan IPv6/IPng

Ketidakamanan protokol IP memunculkan modifikasinya yaitu Secure IP, meskipun tidak semua ISP saat ini menggunakan Secure IP. Pada Secure IP, tersedia fasilitas untuk melakukan proses otentikasi dan enkripsi, namun fasilitas tersebut tidak harus dipergunakan saat berkomunikasi. Sedangkan pada IP versi yang akan datang, yakni IPv6, setiap komunikasi harus sudah memanfaatkan seluruh fasilitas keamanan tersebut [Stal 96].

Salah satu implementasi dari proses otentikasi pada IP adalah penggunaan keyed SHA 160-bit, seperti tercantum dalam RFC 1852 [MePS 95]. Meskipun dipergunakan kunci simetris, namun hal ini cukup menjamin keotentikan saat berlangsungnya komunikasi. Memang, kunci itu dapat ditangkap sebelum dimulainya komunikasi, namun yang menjadi ide di sini adalah bagaimana menurunkan penggunaan kriptografi ke lapisan komunikasi yang lebih rendah, sehingga lebih transparan pada lapisan di atasnya.

Hyper Text Transfer Protocol

Protokol HTTP karena dibangun di atas protokol TCP/IP yang tidak memiliki fasilitas keamanan yang baik, maka tentunya memiliki seluruh kekurangan sistem keamanan dari TCP/IP. Seseorang dapat dengan mudah mengendus paket IP untuk membacanya, kemudian mengubahnya untuk dikirimkan kembali. Namun, banyak sekali sistem perdagangan di Internet menggunakan HTTP untuk membangun toko digitalnya. Beberapa alasannya yang penting adalah:

  1. World Wide Web di Internet dibangun dengan protokol HTTP, dan kemudian HTTP muncul menjadi standar de facto.
  2. HTML (Hyper Text Markup Language) bekerja di atas HTTP. Dengan HTML, seseorang dapat menampilkan halaman-halaman multimedia yang ‘cantik’ dan ‘indah’ yang dapat ditampilkan pada browser-browser populer. Ini sangat penting artinya bagi sebuah toko digital.

Ada cara yang unik untuk membajak informasi yang dikirim dalam HTTP dengan cara spoofing. Penyerang berada diantara klien dan pelayan (server), yakni posisi man-in-the-middle attack. Teknik serangan di bawah di sebut web spoofing [FBDW]:

  1. Penyerang harus memodifikasi sedikit URL pada suatu halaman Web agar klien menunjuk kepada pelayan penyerang. Andaikan URL (Uniform Resource Locator) yang asli adalah http://home.netscape.com, maka harus diubah menjadi http://ww.attacker.org/http://home.netscape.com, dimana http://www.attacker.org adalah pelayan penyerang.
  2. Saat dokumen asli dari URL http://home.netscape.com diambil, dokumen itu akan melalui pelayan penyerang. Disini, pelayan penyerang membubuhkan tambahan http://www.attacker.org lagi di depan link URL dari dokumen asli tersebut. Penyerang kemudian menyerahkan dokumen yang sudah diubah itu kepada klien.
  3. Karena seluruh URL dalam dokumen yang sudah berubah menunjuk pula ke http://www.attacker.org, tentunya jika sang korban mengikuti link dalam dokumen HTML tersebut, tentunya link baru itu akan melalui pelayan penyerang lagi. Demikian berulang-ulang sang korban terjebak dalam intaian maut.

Penyerang dapat mengambil nomor kartu kredit yang diketikkan klien saat klien mengetikkan nomor kartu kreditnya pada form. Hal ini disebabkan karena pengiriman isian form juga dilakukan dengan meng-encode-nya pada URL. Karena URL di-spoof, maka form tentu saja juga bisa di-spoof. Sekali lagi tak hanya mengambil nomor kartu kredit itu saja, namun penyerang juga bisa mengubahnya saat akan dikirimkan ke pelayan. Demikian juga balasan dari pelayan untuk klien pun bisa diubah-ubah.

Secure Socket Layer

SSL adalah suatu protokol komunikasi pada Internet yang menyediakan fasilitas keamanan seperti kerahasiaan, keutuhan dan keabsahan. Protokol ini bebas dipergunakan siapa saja, bahkan didukung oleh dua browser utama, yaitu Netscape Navigator dan Microsoft Internet Explorer. SSL juga tidak mengkhususkan diri untuk hanya mendukung protokol tertentu – seperti HTTP misalnya, karenanya SSL menggunakan port 443 untuk berhubungan dengan pelayan internet yang juga memiliki fasilitas SSL. Lapisan aplikasi diatasnya dapat memanfaatkan kunci yang telah dinegosiasikan oleh SSL. SSL dirancang agar fasilitas keamanan pada aplikasi yang memanfaatkan SSL tidak merepotkan pemakainya. Dengan memanfaatkan SSL, aplikasi internet dapat melakukan komunikasi yang aman melalui fasilitas yang disediakan oleh SSL [ElTC 96]:

  1. Kerahasiaan pesan, sehingga tidak bisa dibaca oleh pihak yang tidak diinginkan
  2. Keutuhan pesan, sehingga tidak bisa diubah-ubah di tengah jalan
  3. Keabsahan, sehingga meyakinkan pihak-pihak yang berkomunikasi mengenai keabsahan pesan dan keabsahan jati diri lawan bicaranya.

Saat aplikasi menggunakan SSL, sebenarnya terjadi dua sesi, yakni sesi handshake dan sesi pertukaran informasi. Berikut akan dijabarkan sebuah skenario yang aman dari sesi handshake SSL versi 3.0:

  1. Klien mengirimkan client hello yang harus dijawab dengan server hello. Tahap ini terjadi kesepakatan atas pengunaan versi protokol, session ID, perangkat kriptografi, metoda kompresi.
  2. Pelayan kemudian dapat mengirim sertifikat kepada klien. Selain itu pelayan bisa meminta klien untuk menunjukkan sertifikatnya – namun tidak harus. Pelayan lantas mengirimkan pesan server hello done, lalu menunggu jawaban dari klien.

Gambar 4.2. Handshake SSL

  1. Jika pelayan meminta sertifikat dengan pesan certificate request, maka klien harus mengirimkan pesan certificate mesaage atau no certificate.
  2. Pesan client key exchange kini dikirim, dimana pesan yang disandikan itu tergantung dari algoritma kriptografi kunci publik yang disepakati pada tahap pertama. Pesan itu berisi kunci-kunci yang dibuat secara acak oleh klien untuk keperluan enkripsi dan perhitungan sidik jari (hash). Jika memungkinkan, dapat pula disertai tanda tangan digital melalui pengiriman pesan certificate verify.
  3. Lalu pesan change cipher spec dikirimkan oleh klien sambil mengaktifkan spesifikasi cipher yang telah disepakati. Hal ini dilakukan dengan mengkopi pending cipher spec ke current cipher spec. Segera setelah itu, klien mengirimkan pesan finished guna mengakhiri handshake. Hal serupa dilakukan pula oleh pelayan.
  4. Akhirnya pelayan dan klien dapat bertukar pesan dengan menyandikannya dengan kunci dan algoritma yang telah disepakati bersama pada level aplikasi.

Guna mencegah serangan yang dilakukan terhadap pesan yang disandikan, pelayan dan klien dapat melakukan handshake beberapa kali pada session ID yang sama guna mengubah kunci, namun mereka tidak perlu mengubah parameter komunikasi yang telah disepakati sebelumnya.

Gambar 4.3. Mengubah kunci pada session ID yang sama

Patut juga dicatat bahwa klien perlu memeriksa sertifikat yang diterimanya agar lebih yakin bahwa dia sedang berkomunikasi dengan pelayan yang diinginkan. Jika klien tidak memeriksanya, masih ada kesempatan bagi seseorang untuk menyamar menjadi pelayan yang seharusnya diajak bicara (masih termasuk serangan man-in-the-middle). Klien memeriksa sertifikat digital itu dengan membandingkan tanda tangan OS (otoritas sertifikat) pada sertifikat digital itu dengan daftar OS yang dimiliki. Biasanya, browser-browser seperti Netscape Navigator atau Microsoft Internet Explorer sudah menyertakan sertifikat digital dari OS utama yang terkenal, sehingga memudahkan pemeriksaan sertifikat digital pada koneksi SSL. Penyertaan serfikat digital OS utama pada browser akan menghindarkan klien dari pemalsuan sertifikat OS utama.

SSL memanfaatkan teknologi kunci publik 40-bit dari RSA, yang ternyata dapat dijebol dalam waktu 1,3 hari dengan 100 komputer menggunakan brute-force attack. Ini tidak berarti teknologi SSL tidak bermanfaat. Tujuannya jelas, yakni agar biaya yang dikeluarkan oleh pihak penyerang lebih besar dari pada ‘harga’ informasi yang dienkripsi melalui SSL, sehingga secara ekonomi tidak menguntungkan.

Sedangkan kunci enkripsi simetris yang dipergunakan adalah 128-bit (40-bit dienkripsi dan 80-bit tidak dienkripsi saat kunci dipertukarkan). Dengan clear-text attack, masih sangat sulit untuk memecahkannya.

Ada serangan yang berusaha menipu pelayan dengan merekam pembicaraan antara klien dan pelayan sebelumnya. Dalam skenario SSL tanpa sertifikat klien, hal ini dapat dicegah dengan penggunaan angka random yang dipertukarkan setiap terjadi pertukaran pesan. ClientHello.random dan Serverhello.random dapat dibuat dan dipertukarkan saat tahap pertama.

Secure Hyper Text Transfer Protocol

Tidak seperti SSL, SHTTP – sesuai namanya – berangkat dari protokol HTTP yang dikembangkan. SHTTP hanya mendukung protokol HTTP dan tidak mendukung protokol-protokol lainnya seperti FTP dan Telnet. SHTTP memiliki kemampuan yang sama dengan SSL, bahkan SHTTP maupun membubuhkan tanda tangan digital pada halaman HTML yang dikirimkan. Hal ini penting karena halaman HTML yang dikirim itu, dapat menjadi bukti otentik bahwa pelayan yang menandatanganinya memang benar-benar pernah menandatanganinya. Penanda tangan tidak bisa menyangkal bahwa dia tidak pernah menandatanganinya. Inilah salah satu keunggulan SHTTP dari SSL.

Salah satu browser yang mendukung SHTTP adalah NCSA Secure Mosaic. Perlu diketahui bahwa Netscape Navigator dan Microsoft Internet Explorer hanya mendukung SSL saja. SSL mungkin dipilih karena SSL tidak terikat pada protokol lapis atas tertentu (HTTP atau FTP) dan juga masalah non-repudiation yang ternyata tidak terlalu sering dipergunakan. Bahkan, sebenarnya setelah handshake SSL selesai, bisa saja dilakukan penandatanganan di level aplikasi – meskipun ini membutuhkan protokol lapis atas lagi. Sesungguhnya SSL dan SHTTP bukanlah protokol-protokol keamanan yang saling berebut pengaruh menjadi standar, karena keduanya sebenarnya bisa dipergunakan bersama-sama dalam sebuah program aplikasi. Ingat bahwa SSL dan SHTTP menggunakan port yang berbeda.

Karena tidak banyak browser populer yang menggunakan SHTTP dan hanya sedikit sekali pedagang yang menggunakan web server yang mendukung SHTTP, maka SHTTP tidak akan dibahas lebih jauh pada tulisan ini.

Surat Elektronik

Pengiriman pesan melalui surat elektronik sudah biasa kita lakukan sehari-hari. Namun, surat elektronik yang kita kirimkan itu umumnya tidak dienkripsi. Karena menggunakan protokol TCP/IP sebagai media perantaranya, tentunya surat elektronik tanpa enkripsi tadi tentu memiliki kelamahan yang sama dengan TCP/IP, seperti misalnya rentan terhadap bahaya spoofing dan man-in-the-middle attack. Oleh karena itu, pengamanan terhadap surat elektronik yang lalu-lalang di Internet dirasakan perlu.

Philip Zimmerman membuat program PGP (Pretty Good Privacy) agar para pengguna Internet dapat mengirimkan surat elektronik dan berkas dengan aman [DHMM 96]. PGP menyediakan fasilitas untuk menjamin kerahasiaan dan keabsahan dari surat elektronik dan berkas yang dikirim tersebut. PGP tersedia sebagai freeware untuk berbagai platform seperti Unix, MS-DOS, dan Macintosh. Kini PGP juga tersedia sebagai plug-ins untuk Eudora Mail, dan juga sebagai fasilitas surat elektronik pada NCSA S-Mosaic versi 2.4.

Keamanan PGP didasarkan atas penggunaan kriptografi kunci publik. Pertukaran dan pendistribusian kunci publik dapat dilakukan dengan memanfaatkan jaringan ‘kepercayaan’ (web of trust). Jika Badu sebagai penerima surat mempercayai keotentikan kunci publik Chandra dan Chandra mempercayai keotentikan kunci publik Anto sebagai pengirim, maka kemungkinan besar Badu dapat mempercayai keotentikan kunci publik Anto yang diberikan melalui Chandra. Meskipun bisa saja dilakukan penyerangan man-in-the-middle dimana Maman mengganti kunci publik pihak-pihak yang berkomunikasi, namun untuk pemakaian umum, PGP sudah jauh lebih aman ketimbang penggunaan surat elektronik biasa.

Proses penggunaan PGP dapat dijabarkan secara singkat sebagai berikut:

  1. Pengirim dan penerima harus sudah memiliki kunci publik satu sama lain.
  2. Sebuah kunci simetris untuk sesi yang akan dilakukan, dibuat secara acak oleh perangkat lunak PGP. Pesan yang akan dikirim kemudian dienkripsi dengan kunci simetris itu.
  3. Kunci simetris sesi tadi kemudian dienkripsi dengan kunci publik penerima.
  4. Pesan yang telah dienkripsi beserta kunci simetris yang telah dienkripsi tadi dikirim kepada penerima
  5. Penerima mendekripsi kunci simetris tadi menggunakan kunci privatnya guna mendapatkan kunci simetris.
  6. Berbekal kunci simetris itu, penerima kemudian dapat mendekripsikan pesan yang tersandikan.

Sebuah pengembangan dari PGP, yakni PEM (Privacy Enhanced Mail) maju selangkah dengan menggunakan sertifikat digital untuk mendistribusikan kunci publik.

Otoritas Sertifikat

Sudah dijelaskan pada bab sebelumnya bahwa sertifikat digital diterbitkan oleh otoritas sertifikat (certificate authority). Seseorang atau suatu badan mendapatkan sertifikat digital jika sudah mendaftarkan diri mereka kepada otoritas sertifikat. Masalah yang cukup penting bagi otoritas sertifikat adalah bagaimana memastikan bahwa sertifikat digital yang dipesan benar-benar sampai ke tangan orang yang berhak.

Otoritas sertikat tidak hanya menerbitkan sertifikat saja, namun juga memeriksa apakah suatu sertifikat digital masih berlaku atau tidak. Otoritas sertifikat selain memiliki daftar sertifikat digital yang telah diterbitkannya, juga memiliki apa yang disebut dengan daftar sertifikat yang dibatalkan (certificate revocation list / CRL). Daftar sertifikat terbatalkan (DSB) itu berisi sertifikat-sertifikat apa saja yang sudah tidak berlaku lagi karena tercuri, hilang atau ada perubahan identitas (misalnya perubahan alamat surat elektronik dan alamat rumah). Setiap kali ada pihak yang ingin memeriksa sertifikat digital, ia dapat menghubungi otoritas sertifikat secara on-line untuk memastikan bahwa sertifikat yang diterimanya masih berlaku. Jika semakin banyak sertifikat yang dibatalkan, tentu otoritas sertifikat akan terbebani dan akan memperlambat proses pemeriksaan sertifikat digital yang ingin diuji keabsahannya. Oleh karena itu, dalam sertifikat digital terdapat tanggal kadaluarsa. Sertifikat digital yang sudah melampaui tanggal kadaluarsa akan dihapus dari dalam DSB, karena tidak ada pihak manapun yang akan mau memeriksa sertifikat digital yang sudah kadaluarsa [Wayn 97].

Pada sistem perdagangan di Internet yang menggunakan sertifikat digital, bagian rentan adalah keabsahan sertifikat milik otoritas sertifikat utama (root CA) yang didistribusikan kepada konsumen. Oleh karena itu umumnya sertifikat digital milik OS utama (yang berisi kunci publik OS utama) dijadikan bagian yang integral dalam program aplikasi. Kalau diperhatikan lebih jeli lagi, sebenarnya yang penting adalah bagaimana pihak pengembang perangkat lunak bisa mendapatkan sertifikat digital milik OS utama yang terjamin keasliannya.

VeriSign, sebuah otoritas sertifikat yang didirikan pada bulan Mei 1995, menyediakan sertifikat digital untuk produk-produk terkenal dari Netscape dan Microsoft. Visa juga telah memilih VeriSign sebagai otoritas sertifikat yang dipergunakannya dalam implementasi protokol Secure Electronic Transaction (SET) yang dirancang oleh Visa dan MasterCard. Namun pihak MasterCard dan American Express memilih GTE CyberTrust sebagai otoritas sertifikat yang dipercaya. GTE memang memiliki pengalaman 10 tahun dalam membuat sertifikat digital untuk pemerintah federal Amerika Serikat. Berbeda dengan GTE, VeriSign lebih mengkonsentrasikan dirinya pada pemberian sertifikat digital untuk individu atau badan usaha umum [Robe 97].

Kartu Chip

Deskripsi

Kartu chip (smart card) adalah suatu jenis perangkat yang dapat menyimpan dan memanipulasi informasi. Ukurannya tidak berbeda dari ukuran kartu kredit biasa. Namun perbedaan pertama yang terlihat adalah adanya beberapa pelat logam yang umumnya tidak tercetak seperti bagian lain dari kartu itu.

Yang menarik dari kartu chip adalah caranya yang lebih aman menyimpan informasi ketimbang kartu magnetik biasa. Kartu magnetik relatif lebih mudah ditiru. Cukup dengan mengkopi pita magnetik pada kartu tersebut serta memasangnya pada kartu yang baru, sudah dapat dibuat kartu palsu.

Pada kartu chip, tidak ada cara untuk membaca ‘peta’ seluruh memori yang ada di dalam kartu chip [ToHo 96]. Komunikasi antara kartu chip dengan dunia luar secara fisik harus melalui pelat-pelat logam tadi, yang disebut contact plate. Untuk mengeluarkan informasi dari dalam kartu chip, memerlukan perintah-perintah dengan protokol-protokol tertentu. Bahkan penggunaan protokol kriptografis pada kartu chip bukanlah hal yang tidak umum.

Fungsi Dalam SPI

Kartu chip dapat dimanfaatkan dalam suatu sistem perdagangan di Internet sebagai:

  1. Penempatan sertifikat digital dan kunci privat

    Cara yang umum dilakukan sekarang bagi seorang konsumen untuk memiliki sebuah sertifikat digital beserta kunci privat yang bersangkutan adalah menyimpannya ke dalam sebuah berkas dalam hard disk/floppy, yang akan dibaca oleh sebuah program. Meskipun ada yang diproteksi dengan password, namun jika ada orang lain menggunakan komputer itu, terdapat kemungkinan orang yang tidak beritikad baik itu mencoba membongkar password.

    Penempatan kunci privat di dalam kartu chip bahkan tidak perlu membeberkan kunci privatnya kepada komputer yang digunakan konsumen sebagai klien. Pengolahan kriptografis seperti membuat dan memeriksa tanda tangan digital dapat dilakukan di dalam kartu chip itu sendiri. Hal ini mengurangi resiko kemungkinan kunci privat itu ditemukan seorang penyerang yang membaca memori dari komputer konsumen. Kartu chip yang sanggup melakukan pengolahan kriptografi memiliki mikroprosesor di dalamnya.

    Selain itu, ada keuntungan tambahan dengan menampatkan sertifikat digital dan kunci privat di dalam kartu chip. Seorang user dapat login di komputer mana saja yang memiliki pembaca kartu chip, dan ia dapat menikmati fasilitas yang sama dimanapun dia login. Ini sangat memudahkan administrasi jaringan [ElTC 96].

  2. Stored value card

Ini adalah pengunaan yang sangat umum dari sebuah kartu chip. Biasanya dipergunakan sebagai sarana pembayaran untuk telepon, sarana kantor dan juga untuk perbankan. Ada berbagai macam level pengamanan untuk stored value card, dari yang tidak terproteksi sampai yang menggunakan teknik kriptografi yang canggih.

Pada suatu skenario SPI, stored value card dapat benar-benar menyimpan uang elektronik (digital cash) [Chau 94]. Uang tersebut akan sulit digandakan karena untuk mengeluarkan uang tersebut harus melalui perintah-perintah khusus yang sering dilengkapi fasilitas kriptografi.

Mungkin sebagian besar penggunaan uang elekronik tidak dilakukan di Internet karena alasan keamanan. Tetapi mengingat Internet merupakan media komunikasi yang secara global dipergunakan, kiranya tidak layak untuk menepis Internet sebagai salah satu media pembayaran uang elektronik. Lebih dari itu, dengan munculnya IPng, aneka macam peralatan di masa depan akan memiliki alamat IP [Hind 96]. Dengan menimbang besarnya alamat yang dimiliki IPng, tentunya Internet dapat menjadi salah satu media untuk pertukaran uang elektronik.

Prospek

Memang benar bahwa kini ada berbagai jenis kartu chip yang tidak kompatibel satu sama lain. Langkah penting pertama yang harus dilakukan adalah menetapkan standar dari alat pembaca kartu chip itu dahulu, yang disebut card acceptance device (CAD). Hal ini sangat penting mengingat ada beragam jenis kartu chip yang kini diedarkan, dan tentunya pedagang di tokonya tidak ingin memiliki 12 CAD untuk 12 macam kartu chip yang disodorkan konsumen. Pedagang cukup memiliki satu alat untuk membaca kartu chip dan kartu magnetik biasa.

Setelah itu, adanya standar dari kartu chip itu sendiri juga cukup penting agar para pengembang dapat memprogram kartu chip dengan mudah. Salah satu contoh standar kartu chip yang dibuat adalah EMV yang dirancang oleh Europay, MasterCard dan VISA [EuMV 96].

Kembali ke daftar isi

1