SSL (SECURE SOCKET LAYER)
SSL merupakan salah satu metode enkripsi dalam komunikasi data yang dibuat oleh Netscape Communication Corporation. Sebagaimana yang dijelaskan dalam SSL Protocol Internet Draft.
SSL adalah Protokol berlapis. Dalam tiap lapisannya, sebuah data terdiri dari panjang, deskripsi dan isi. SSL mengambil data untuk dikirimkan, dipecahkan kedalam blok-blok yang teratur, kemudian dikompres jika perlu, menerapkan MAC, dienkripsi, dan hasilnya dikirimkan. Di tempat tujuan, data didekripsi, verifikasi, dekompres, dan disusun kembali. Hasilnya dikirimkan ke klien di atasnya
SSL hanya mengenkripsikan data yang dikirim lewat http. Bagaimana SSL berjalan dapat digambarkan sebagai berikut :
• Pada saat koneksi mulai berjalan, klien dan server membuat dan mempertukarkan kunci rahasia, yang dipergunakan untuk mengenkripsi data yang akan dikomunikasikan. Meskipun sesi antara klien dan server diintip pihak lain, namun data yang terlihat sulit untuk dibaca karena sudah dienkripsi.
• SSL mendukung kriptografi public key, sehingga server dapat melakukan autentikasi dengan metode yang sudah dikenal umum seperti RSA dan Digital Signature Standard (DSS).
• SSL dapat melakukan verifikasi integritas sesi yang sedang berjalan dengan menggunakan algoritma digest seperti MD5 dan SHA. Hal ini menghindarkan pembajakan suatu sesi.
Tujuan utama untuk SSL adalah:
• Otentikasi klien dan server satu sama lain: protokol SSL mendukung penggunaan standar teknik kriptografi kunci (enkripsi kunci publik) untuk otentikasi pihak berkomunikasi satu sama lain. Meskipun aplikasi yang paling sering terdiri di klien layanan otentikasi berdasarkan sertifikat, SSL juga dapat menggunakan metode yang sama untuk otentikasi klien.
• Memastikan integritas data: selama sesi, data tidak dapat baik sengaja atau tidak sengaja dirusak.
• Mengamankan data privasi: data dalam transportasi antara klien dan server harus dilindungi dari intersepsi dan dapat dibaca hanya oleh penerima yang dimaksud. Prasyarat ini diperlukan untuk kedua data yang terkait dengan protokol itu sendiri (mengamankan lalu lintas selama negosiasi) dan data aplikasi yang dikirim selama sesi itu sendiri. SSL sebenarnya bukan sebuah protokol tunggal tetapi lebih merupakan seperangkat protokol yang tambahan dapat dibagi lagi dalam dua lapisan:
1. Protokol untuk memastikan keamanan data dan integritas: lapisan ini terdiri dari SSL Record Protocol,
2. Protokol yang dirancang untuk membangun koneksi SSL: tiga protokol yang digunakan dalam lapisan ini: SSL Handshake Protokol, SSL ChangeCipher SpecPprotocol dan SSL Alert Protokol.
Stack protokol SSL diilustrasikan seperti berikut :
Gambar stack protokol SSL
SSL menggunakan protokol ini untuk mengatasi tugas sebagaimana dijelaskan di atas. Protokol SSL record bertanggung jawab untuk enkripsi data dan integritas. Seperti dapat dilihat pada Gambardi atas, juga digunakan untuk merangkum data yang dikirim oleh protokol SSL lain, dan karena itu, juga terlibat dalam tugas-tugas yang terkait dengan data cek SSL. Tiga lainnya protokol meliputi bidang manajemen sesi, manajemen parameter kriptografi dan pengalihan pesan SSL antara client dan server. Sebelum masuk ke diskusi yang lebih rinci tentang peran protokol individu dan fungsi mereka mari kita menjelaskan dua konsep dasar yang berhubungan dengan penggunaan SSL.
PRETTY GOOD PRIVACY
Pretty Good Privacy (PGP) adalah suatu pogram komputer yang dikembangkan oleh Phil Zimmermann pada pertengahan tahun 1980 yang memungkinkan seseorang untuk saling bertukar pesan melalui email dan juga file dengan memberikan perlindungan kerahasiaan berupa enkripsi dan otentikasi berupa digital signature (tanda tangan digital). PGP menggunakan kriptografi kunci simetri dan juga kriptografi kunci publik. Oleh karena itu, PGP mempunyai dua tingkatan kunci, yaitu kunci rahasia (simetri), yang disebut juga session key, untuk melakukan enkripsi data dan pasangan kunci privat dan kunci publik untuk memberikan digital signature dan sekaligus melindungi kunci simetri.
Fungsi-fungsi utama pada PGP antara lain untuk melakukan enkripsi dan membuat digital signature pada file, melakukan dekripsi dan verifikasi pada file yang memiliki digital signature, dan mengelola koleksi kunci PGP yang dimiliki.
Penggunaan PGP ditujukan untuk melindungi tiga hal sebagai berikut, pertama, privasi, kerahasiaan pada penyimpanan dan transmisi data akan dijamin sehingga hanya orang-orang yang berhaklah yang dapat mengaksesnya, kedua, integritas, jaminan terhadap data agar tidak dimodifikasi tanpa sepengetahuan pemiliknya, dan ketiga, otentikasi, jaminan kepemilikan terhadap data.
Pretty Good Privacy menggunakan kriptografi kunci simetri dan kriptografi kunci publik. Oleh karena itu, PGP mempunyai dua tingkatan kunci, yatu kunci rahasia (simetri) yang disebut juga session key untuk enkripsi data dan pasangan kunci privat-kunci publik untuk pemberian tanda tangan digital serta melindungi kunci simetri. Kunci simetri hanya dipakai sekali (one-time) dan dibuat secara otomatis dari gerakan mouse atau ketikan tombol keyboard.
Secara garis besar PGP memiliki tiga fitur utama, yaitu:
1. Fitur untuk melakukan enkripsi dan menandatangani dokumen.
2. Fitur untuk melakukan dekripsi dan verifikasi tanda tangan.
3. Fitur untuk mengelola kunci PGP yang dimiliki oleh pengguna.
PGP dan kriptografi tentu memiliki beberapa keterbatasan, berikut ini adalah ancaman yang harus diperhatikan oleh pengguna PGP:
1. Dictionary attack
Seringkali pengguna PGP memilih password untuk melakukan enkripsi kunci privat yang mudah ditebak, seperti nama kerabat, tanggal lahir, nomor telepon, atau kata umum lainnya. Seorang hacker dapat dengan mudah menebak password tersebut dengan cara melakukan dictionary attack, yaitu menebak password dengan cara mencoba semua kata yang umum digunakan oleh pengguna PGP.
2. Penghapusan dokumen secara tidak “bersih”
Proses menghapus dokumen dari komputer pribadi tidaklah semudah yang dikira. Sistem operasi hanya melakukan penghapusan indeks file dari hard disk, sedangkan file tersebut sebenarnya masih terdapat di sana.
3. Virus dan trojan horse
Seseorang dapat menyebarkan virus yang mencatat semua tombol keyboard yang
ditekan oleh pengguna, program seperti ini biasa disebut keylogger. Keylogger dapat
digunakan untukmencuri password kunci privat pengguna PGP.
4. Ancaman keamanan fisik
Selain ancaman pada sistem komputer, ancaman fisik seperti pencurian komputer
dan data juga perlu diperhatikan. Oleh karena itu diperlukan juga keamanan secara
fisik pada komputer milik pribadi dan juga perusahaan.
5. Analisis jaringan
PGP dapat mencegah seseorang membaca pesan yang dikirimkan, tetapi tidak dapat mencegah seseorang yang melakukan monitoring terhadap jaringan komputer. Serangan seperti ini dilakukan dengan menangkap paket-paket data yang dikirim melalui jaringan kemudian melakukan analisis terhadap paket-paket data tersebut.
6. TEMPEST
TEMPEST merupakan metode untuk mengumpulkan informasi rahasia dengan cara “mendengarkan” pada radiasi yang dipancarkan peralatan elektronik. Pada tahun 1960-an, perlengkapan militer dilengkapi alat untuk melindungi jenis serangan seperti ini.
Untuk mencari semua bug dan celah keamanan pada source code suatu program yang besar merupakan sesuatu yang sangat sulit. Dengan hanya membaca source code dari awal sampai akhir bukanlah merupakan metode yang efektif. Metode yang dapat
digunakan adalah dengan membaca source code dengan cepat, membaca seluruh komentar, dan mempelajari beberapa bagian yang dianggap menarik. Dengan cara demikian maka dihasilkan hal-hal berikut:
1. Implementasi hingga tingkat yang lebih detil pada beberapa algoritma kriptografi. Hal ini menunjukkan bahwa PGP melakukan beberapa hal secara tepat,
misalnya pada bagian algoritma kunci publik. Deskripsi pada petunjuk detil (manual) mengenai PGP memberikan banyak petunjuk kepada programmer. Hal ini sangat penting karena dapat mempengaruhi tingkat keamanan aplikasi.
2. Beberapa bug, perbaikan, dan sesuatu yang tidak biasa pada kode. Hal ini juga
memungkinkan ditemukannya lebih banyak lagi celah keamanan pada PGP.
Hal yang menarik dan berkesan adalah tim pengembang aplikasi PGP sangat memahami apa yang mereka lakukan karena setiap kode sudah diperiksa lebih dari satu kali dan terlihat pula usaha untuk membuat PGP menjadi program yang aman.
Akan tetapi PGP juga memiliki beberapa celah keamanan seperti pada program lainnya. Pengguna PGP sebaiknya tetap berhati-hati saat menggunakan program ini meski tingkat keamanan pada PGP sudah sangat teruji dengan baik. Walaupun
demikian, tingkat keamanan pada PGP bukanlah sesuatu yang absolut.
SSL adalah Protokol berlapis. Dalam tiap lapisannya, sebuah data terdiri dari panjang, deskripsi dan isi. SSL mengambil data untuk dikirimkan, dipecahkan kedalam blok-blok yang teratur, kemudian dikompres jika perlu, menerapkan MAC, dienkripsi, dan hasilnya dikirimkan. Di tempat tujuan, data didekripsi, verifikasi, dekompres, dan disusun kembali. Hasilnya dikirimkan ke klien di atasnya
SSL hanya mengenkripsikan data yang dikirim lewat http. Bagaimana SSL berjalan dapat digambarkan sebagai berikut :
• Pada saat koneksi mulai berjalan, klien dan server membuat dan mempertukarkan kunci rahasia, yang dipergunakan untuk mengenkripsi data yang akan dikomunikasikan. Meskipun sesi antara klien dan server diintip pihak lain, namun data yang terlihat sulit untuk dibaca karena sudah dienkripsi.
• SSL mendukung kriptografi public key, sehingga server dapat melakukan autentikasi dengan metode yang sudah dikenal umum seperti RSA dan Digital Signature Standard (DSS).
• SSL dapat melakukan verifikasi integritas sesi yang sedang berjalan dengan menggunakan algoritma digest seperti MD5 dan SHA. Hal ini menghindarkan pembajakan suatu sesi.
Tujuan utama untuk SSL adalah:
• Otentikasi klien dan server satu sama lain: protokol SSL mendukung penggunaan standar teknik kriptografi kunci (enkripsi kunci publik) untuk otentikasi pihak berkomunikasi satu sama lain. Meskipun aplikasi yang paling sering terdiri di klien layanan otentikasi berdasarkan sertifikat, SSL juga dapat menggunakan metode yang sama untuk otentikasi klien.
• Memastikan integritas data: selama sesi, data tidak dapat baik sengaja atau tidak sengaja dirusak.
• Mengamankan data privasi: data dalam transportasi antara klien dan server harus dilindungi dari intersepsi dan dapat dibaca hanya oleh penerima yang dimaksud. Prasyarat ini diperlukan untuk kedua data yang terkait dengan protokol itu sendiri (mengamankan lalu lintas selama negosiasi) dan data aplikasi yang dikirim selama sesi itu sendiri. SSL sebenarnya bukan sebuah protokol tunggal tetapi lebih merupakan seperangkat protokol yang tambahan dapat dibagi lagi dalam dua lapisan:
1. Protokol untuk memastikan keamanan data dan integritas: lapisan ini terdiri dari SSL Record Protocol,
2. Protokol yang dirancang untuk membangun koneksi SSL: tiga protokol yang digunakan dalam lapisan ini: SSL Handshake Protokol, SSL ChangeCipher SpecPprotocol dan SSL Alert Protokol.
Stack protokol SSL diilustrasikan seperti berikut :
Gambar stack protokol SSL
SSL menggunakan protokol ini untuk mengatasi tugas sebagaimana dijelaskan di atas. Protokol SSL record bertanggung jawab untuk enkripsi data dan integritas. Seperti dapat dilihat pada Gambardi atas, juga digunakan untuk merangkum data yang dikirim oleh protokol SSL lain, dan karena itu, juga terlibat dalam tugas-tugas yang terkait dengan data cek SSL. Tiga lainnya protokol meliputi bidang manajemen sesi, manajemen parameter kriptografi dan pengalihan pesan SSL antara client dan server. Sebelum masuk ke diskusi yang lebih rinci tentang peran protokol individu dan fungsi mereka mari kita menjelaskan dua konsep dasar yang berhubungan dengan penggunaan SSL.
PRETTY GOOD PRIVACY
Pretty Good Privacy (PGP) adalah suatu pogram komputer yang dikembangkan oleh Phil Zimmermann pada pertengahan tahun 1980 yang memungkinkan seseorang untuk saling bertukar pesan melalui email dan juga file dengan memberikan perlindungan kerahasiaan berupa enkripsi dan otentikasi berupa digital signature (tanda tangan digital). PGP menggunakan kriptografi kunci simetri dan juga kriptografi kunci publik. Oleh karena itu, PGP mempunyai dua tingkatan kunci, yaitu kunci rahasia (simetri), yang disebut juga session key, untuk melakukan enkripsi data dan pasangan kunci privat dan kunci publik untuk memberikan digital signature dan sekaligus melindungi kunci simetri.
Fungsi-fungsi utama pada PGP antara lain untuk melakukan enkripsi dan membuat digital signature pada file, melakukan dekripsi dan verifikasi pada file yang memiliki digital signature, dan mengelola koleksi kunci PGP yang dimiliki.
Penggunaan PGP ditujukan untuk melindungi tiga hal sebagai berikut, pertama, privasi, kerahasiaan pada penyimpanan dan transmisi data akan dijamin sehingga hanya orang-orang yang berhaklah yang dapat mengaksesnya, kedua, integritas, jaminan terhadap data agar tidak dimodifikasi tanpa sepengetahuan pemiliknya, dan ketiga, otentikasi, jaminan kepemilikan terhadap data.
Pretty Good Privacy menggunakan kriptografi kunci simetri dan kriptografi kunci publik. Oleh karena itu, PGP mempunyai dua tingkatan kunci, yatu kunci rahasia (simetri) yang disebut juga session key untuk enkripsi data dan pasangan kunci privat-kunci publik untuk pemberian tanda tangan digital serta melindungi kunci simetri. Kunci simetri hanya dipakai sekali (one-time) dan dibuat secara otomatis dari gerakan mouse atau ketikan tombol keyboard.
Secara garis besar PGP memiliki tiga fitur utama, yaitu:
1. Fitur untuk melakukan enkripsi dan menandatangani dokumen.
2. Fitur untuk melakukan dekripsi dan verifikasi tanda tangan.
3. Fitur untuk mengelola kunci PGP yang dimiliki oleh pengguna.
PGP dan kriptografi tentu memiliki beberapa keterbatasan, berikut ini adalah ancaman yang harus diperhatikan oleh pengguna PGP:
1. Dictionary attack
Seringkali pengguna PGP memilih password untuk melakukan enkripsi kunci privat yang mudah ditebak, seperti nama kerabat, tanggal lahir, nomor telepon, atau kata umum lainnya. Seorang hacker dapat dengan mudah menebak password tersebut dengan cara melakukan dictionary attack, yaitu menebak password dengan cara mencoba semua kata yang umum digunakan oleh pengguna PGP.
2. Penghapusan dokumen secara tidak “bersih”
Proses menghapus dokumen dari komputer pribadi tidaklah semudah yang dikira. Sistem operasi hanya melakukan penghapusan indeks file dari hard disk, sedangkan file tersebut sebenarnya masih terdapat di sana.
3. Virus dan trojan horse
Seseorang dapat menyebarkan virus yang mencatat semua tombol keyboard yang
ditekan oleh pengguna, program seperti ini biasa disebut keylogger. Keylogger dapat
digunakan untukmencuri password kunci privat pengguna PGP.
4. Ancaman keamanan fisik
Selain ancaman pada sistem komputer, ancaman fisik seperti pencurian komputer
dan data juga perlu diperhatikan. Oleh karena itu diperlukan juga keamanan secara
fisik pada komputer milik pribadi dan juga perusahaan.
5. Analisis jaringan
PGP dapat mencegah seseorang membaca pesan yang dikirimkan, tetapi tidak dapat mencegah seseorang yang melakukan monitoring terhadap jaringan komputer. Serangan seperti ini dilakukan dengan menangkap paket-paket data yang dikirim melalui jaringan kemudian melakukan analisis terhadap paket-paket data tersebut.
6. TEMPEST
TEMPEST merupakan metode untuk mengumpulkan informasi rahasia dengan cara “mendengarkan” pada radiasi yang dipancarkan peralatan elektronik. Pada tahun 1960-an, perlengkapan militer dilengkapi alat untuk melindungi jenis serangan seperti ini.
Untuk mencari semua bug dan celah keamanan pada source code suatu program yang besar merupakan sesuatu yang sangat sulit. Dengan hanya membaca source code dari awal sampai akhir bukanlah merupakan metode yang efektif. Metode yang dapat
digunakan adalah dengan membaca source code dengan cepat, membaca seluruh komentar, dan mempelajari beberapa bagian yang dianggap menarik. Dengan cara demikian maka dihasilkan hal-hal berikut:
1. Implementasi hingga tingkat yang lebih detil pada beberapa algoritma kriptografi. Hal ini menunjukkan bahwa PGP melakukan beberapa hal secara tepat,
misalnya pada bagian algoritma kunci publik. Deskripsi pada petunjuk detil (manual) mengenai PGP memberikan banyak petunjuk kepada programmer. Hal ini sangat penting karena dapat mempengaruhi tingkat keamanan aplikasi.
2. Beberapa bug, perbaikan, dan sesuatu yang tidak biasa pada kode. Hal ini juga
memungkinkan ditemukannya lebih banyak lagi celah keamanan pada PGP.
Hal yang menarik dan berkesan adalah tim pengembang aplikasi PGP sangat memahami apa yang mereka lakukan karena setiap kode sudah diperiksa lebih dari satu kali dan terlihat pula usaha untuk membuat PGP menjadi program yang aman.
Akan tetapi PGP juga memiliki beberapa celah keamanan seperti pada program lainnya. Pengguna PGP sebaiknya tetap berhati-hati saat menggunakan program ini meski tingkat keamanan pada PGP sudah sangat teruji dengan baik. Walaupun
demikian, tingkat keamanan pada PGP bukanlah sesuatu yang absolut.
Tidak ada komentar:
Posting Komentar