Embed Size (px)
Citation preview
M A K A L A H
KEAMANAN KOMPUTER DAN JARINGANMODEL-MODEL ENKRIPSI
DIAJUKAN UNTUK MEMENUHI TUGAS MATA KULIAH KEAMANAN KOMPUTER DAN JARINGAN
DISUSUN OLEHGINGIN GINANJAR RAHAYU
MAHASISWA FAKULTAS ILMU KOMPUTER
UNIVERSITAS SUBANGJalan R.A. Kartini Km. 3 Telp. (0260) 411415 Fax. (0260) 415677
DESEMBER 2008
BAB I
PENDAHULUAN
1.1 Latar Belakang
Perkembangan zaman memang tak dapat diduga. Dewasa ini, kemajuan
teknologi yang mengiringi perkembangan zaman sudah dapat dilihat nyata.
Disamping itu, tuntutan era globalisasi untuk membuka kerjasama dengan
negara-negara lain dalam melakukan usaha di negara-negara tertentu juga
mempengaruhi perkembangan teknologi.
Banyak perusahaan yang menggunakan teknologi mutakhir untuk menopang
segala bentuk usahanya. Kemajuan teknologi ini tidak lain adalah salah satu
kemajuan dari perkembangan Ilmu Pengetahuan dan Teknologi atau IPTEK.
Penggunaan komputer di perusahaan-perusahaan sudah bukan hal baru lagi.
Penggunaan komputer tersebut dilakukan untuk menjamin manajemen data
dan informasi yang terintegrasi dan terjamin keamanannya. Sehingga,
perusahaan-perusahaan tersebut dituntut untuk mengubah data-data analog
sebelumnya menjadi data-data digital yang tersimpan di media penyimpanan
(storage media) dalam komputer. Data yang tersimpan tersebut memerlukan
pemeliharaan (maintenance) lebih lanjut agar kualitas dan keamanannya
terjamin. Namun, dengan kemajuan teknologi itu pula banyak pihak-pihak
tertentu yang tidak bertanggung jawab menggunakan bahkan mencuri data
dari perusahaan untuk kepentingan usahanya.
Oleh sebab itu, makalah ini disusun sebagai dasar atau landasan akan
pentingnya keamanan data dalam komputer. Selain komputer, keamanan
jaringan juga perlu diperhatikan oleh perusahaan untuk terjaminnya keamanan
data-data perusahaan.
Keamanan Komputer: Model-Model Enkripsi 1
1.2 Maksud dan Tujuan
Kemajuan teknologi benar-benar menuntut setiap manusia untuk bertindak
hati-hati dalam penyimpanan data-data. Dengan disusunnya makalah ini,
penyusun memiliki beberapa tujuan diantaranya:
Sebagai media informasi bagi setiap pengguna teknologi komputer
untuk menjaga keamanan data dan informasinya,
Sebagai sarana membagi ilmu pengetahuan berkaitan dengan
keamanan dan pengamanan data digital,
Sebagai bahan rujukan setiap perusahaan dalam menerapkan metode
pengamanan data dan informasi di perusahaannya,
Sebagai media pembelajaran penyusun dalam memahami cara untuk
mengamankan data digital.
Tentunya dari beberapa tujuan diatas, penyusunan makalah ini juga memiliki
maksud untuk memotivasi setiap orang, khususnya Mahasiswa Fakultas Ilmu
Komputer, untuk mempelajari berbagai cara dan teknik dalam mengamankan
data digital.
1.3 Pembatasan Masalah
Pengamanan data dan informasi dari pihak-pihak yang tidak bertanggung-
jawab merupakan permasalahan yang sangat krusial. Oleh karena itu, setiap
pengguna komputer yang menyimpan data dalam media penyimpanannya
perlu untuk mengetahui teknik dan cara yang dapat dilakukan untuk
mengamankan datanya.
Dalam makalah kali ini, penyusun sengaja membatasi permasalahan yang
dibahas, yaitu tentang cara dan teknik dalam mengamankan data digital dalam
komputer.
Keamanan Komputer: Model-Model Enkripsi 2
1.4 Sistematika Penulisan
KATA PENGANTAR
DAFTAR ISI
BAB I PENDAHULUAN
1.1 Latar Belakang
1.2 Maksud dan Tujuan
1.3 Pembatasan Masalah
1.4 Sistematika Penulisan
BAB II KEAMANAN KOMPUTER DAN JARINGAN
2.1 Kriptografi
2.2
BAB III PENUTUP
3.1 Kesimpulan
3.2 Saran
DAFTAR PUSTAKA
Keamanan Komputer: Model-Model Enkripsi 3
BAB II
KEAMANAN KOMPUTER DAN JARINGAN
2.1 Kriptografi
Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan
berita (Bruce Schneier - Applied Cryptography). Selain pengertian tersebut
terdapat pula pengertian ilmu yang mempelajari teknik-teknik matematika
yang berhubungan dengan aspek keamanan informasi seperti kerahasiaan data,
keabsahan data, integritas data, serta autentikasi data (A. Menezes, P. van
Oorschot and S. Vanstone - Handbook of Applied Cryptography). Tidak
semua aspek keamanan informasi ditangani oleh kriptografi.
Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan
aspek keamanan informasi yaitu:
Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari
informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia
untuk membuka/mengupas informasi yang telah disandi.
Integritas data, adalah berhubungan dengan penjagaan dari perubahan
data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki
kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang
tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data
lain kedalam data yang sebenarnya.
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik
secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang
saling berkomunikasi harus saling memperkenalkan diri. Informasi yang
dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu
pengiriman, dan lain-lain.
Non-repudiasi, atau nirpenyangkalan adalah usaha untuk mencegah
terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi
oleh yang mengirimkan/membuat
Keamanan Komputer: Model-Model Enkripsi 4
ELEMEN
CRYPTOSYSTEM
Cryptographic system atau Cryptosystem adalah suatu fasilitas untuk
mengkonversikan plaintext ke ciphertext dan sebaliknya. Dalam sistem ini,
seperangkat parameter yang menentukan transformasi pen-cipher-an tertentu
disebut suatu set kunci. Proses enkripsi dan dekripsi diatur oleh satu atau
beberapa kunci kriptografi.
Karakteristik Cryptosystem yang baik:
1. Keamanan sistem terletak pada kerahasiaan kunci dan bukan pada
kerahasiaan algoritma yang digunakan.
2. Cryptosystem yang baik memiliki ruang kunci (keyspace) yang besar.
3. Cryptosystem yang baik akan menghasilkan ciphertext yang terlihat acak
dalam seluruh tes statistik yang dilakukan terhadapnya.
4. Cryptosystem yang baik mampu menahan seluruh serangan yang telah
dikenal sebelumnya
MACAM CRYPTOSYSTEM
A. Symmetric Cryptosystem
Dalam Symmetric Cryptosystemini, kunci yang digunakan untuk proses enkripsi dan
dekripsi pada prinsipnya identik, tetapi satu buah kunci dapat pula diturunkan dari
kunci yang lainnya. Kunci-kunci ini harus dirahasiakan. Oleh karena itulah sistem ini
sering disebut sebagai secret-key ciphersystem. Jumlah kunci yang dibutuhkan
umumnya adalah:
dengan n menyatakan banyaknya pengguna.
Contoh dari sistem ini adalah Data Encryption Standard (DES), Blowfish, IDEA.
Keamanan Komputer: Model-Model Enkripsi 5
B. Asymmetric Cryptosystem
Dalam Asymmetric Cryptosystem ini digunakan dua buah kunci. Satu kunci yang
disebut kunci publik (public key) dapat dipublikasikan, sedang kunci yang lain yang
disebut kunci privat (private key) harus dirahasiakan. Proses menggunakan sistem ini
dapat diterangkan secara sederhana sebagai berikut:
Bila A ingin mengirimkan pesan kepada B, A dapat menyandikan pesannya dengan
menggunakan kunci publik B, dan bila B ingin membaca surat tersebut, ia perlu
mendekripsikan surat itu dengan kunci privatnya. Dengan demikian kedua belah
pihak dapat menjamin asal surat serta keaslian surat tersebut, karena adanya
mekanisme ini. Contoh sistem ini antara lain RSA Scheme dan Merkle-Hellman
Scheme.
PROTOKOL CRYPTOSYSTEM
Cryptographic Protocol adalah suatu protokol yang menggunakan kriptografi.
Protokol ini melibatkan sejumlah algoritma kriptografi, namun secara umum
tujuan protokol lebih dari sekedar kerahasiaan. Pihak-pihak yang
berpartisipasi mungkin saja ingin membagi sebagian rahasianya untuk
menghitung sebuah nilai, menghasilkan urutan random, ataupun
menandatangani kontrak secara bersamaan.
Penggunaan kriptografi dalam sebuah protokol terutama ditujukan untuk
mencegah ataupun mendeteksi adanya eavesdropping dan cheating.
METODE CRYPTOGRAFI
METODE KUNO
a. 475 S.M. bangsa Sparta, suatu bangsa militer pada jaman Yunani
kuno, menggunakan teknik kriptografi yang disebut Scytale , untuk
kepentingan perang. Scytale terbuat dari tongkat dengan papyrus
yang mengelilinginya secara spiral.
Kunci dari scytale adalah diameter tongkat yang digunakan oleh
pengirim harus sama dengan diameter tongkat yang dimiliki oleh
Keamanan Komputer: Model-Model Enkripsi 6
penerima pesan, sehingga pesan yang disembunyikan dalam
papyrus dapat dibaca dan dimengerti oleh penerima.
b. Julius Caesar, seorang kaisar terkenal Romawi yang menaklukkan
banyak bangsa di Eropa dan Timur Tengah juga menggunakan suatu
teknik kriptografi yang sekarang disebut Caesar Cipher untuk
berkorespondensi sekitar tahun 60 S.M. Teknik yang digunakan oleh
Sang Caesar adalah mensubstitusikan alfabet secara beraturan, yaitu oleh
alfabet ketiga yang mengikutinya, misalnya, alfabet “A” digantikan oleh
"D", "B" oleh "E", dan seterusnya. Sebagai contoh, suatu pesan berikut :
Gambar 2. Caesar Cipher
Dengan aturan yang dibuat oleh Julius Caesar tersebut, pesan sebenarnya
adalah "Penjarakan panglima divisi ke tujuh segera".
TEKNIK DASAR KRIPTOGRAFI
a. Substitusi
Salah satu contoh teknik ini adalah Caesar Cipher yang telah dicontohkan diatas.
Langkah pertama adalah membuat suatu tabel substitusi. Tabel substitusi dapat
dibuat sesuka hati, dengan catatan bahwa penerima pesan memiliki tabel yang
Keamanan Komputer: Model-Model Enkripsi 7
sama untuk keperluan dekripsi. Bila tabel substitusi dibuat secara acak, akan
semakin sulit pemecahan ciphertext oleh orang yang tidak berhak.
A-B-C-D-E-F-G-H-I-J-K-L-M-N-O-P-Q-R-S-T-U-V-W-X-Y-Z-1-2-3-4-5-6-7-8-9-0-.-,
B-F-1-K-Q-G-A-T-P-J-6-H-Y-D-2-X-5-M-V-7-C-8-4-I-9-N-R-E-U-3-L-S-W-,-.-O-Z-0
Gambar 3. Tabel Substitusi
Tabel substitusi diatas dibuat secara acak. Dengan menggunakan tabel tersebut,
dari plaintext "5 teknik dasar kriptografi" dihasilkan ciphertext "L 7Q6DP6
KBVBM 6MPX72AMBGP". Dengan menggunakan tabel substitusi yang sama
secara dengan arah yang terbalik (reverse), plaintext dapat diperoleh kembali dari
ciphertext-nya.
b. Blocking
Sistem enkripsi terkadang membagi plaintext menjadi blok-blok yang terdiri dari
beberapa karakter yang kemudian dienkripsikan secara independen. Plaintext
yang dienkripsikan dengan menggunakan teknik blocking adalah :
Gambar 4. Enkripsi dengan Blocking
Dengan menggunakan enkripsi blocking dipilih jumlah lajur dan kolom untuk
penulisan pesan. Jumlah lajur atau kolom menjadi kunci bagi kriptografi dengan
teknik ini. Plaintext dituliskan secara vertikal ke bawah berurutan pada lajur, dan
dilanjutkan pada kolom berikutnya sampai seluruhnya tertulis. Ciphertext-nya
adalah hasil pembacaan plaintext secara horizontal berurutan sesuai dengan blok-
nya. Jadi ciphertext yang dihasilkan dengan teknik ini adalah "5K G
KRTDRAEAIFKSPINAT IRO". Plaintext dapat pula ditulis secara horizontal
dan ciphertext-nya adalah hasil pembacaan secara vertikal.
Keamanan Komputer: Model-Model Enkripsi 8
BLOK 1
BLOK 2
BLOK 3
BLOK 4
BLOK 5
BLOK 6
BLOK 7
c. Permutasi
Salah satu teknik enkripsi yang terpenting adalah permutasi atau sering juga
disebut transposisi. Teknik ini memindahkan atau merotasikan karakter dengan
aturan tertentu. Prinsipnya adalah berlawanan dengan teknik substitusi. Dalam
teknik substitusi, karakter berada pada posisi yang tetap tapi identitasnya yang
diacak. Pada teknik permutasi, identitas karakternya tetap, namun posisinya yang
diacak. Sebelum dilakukan permutasi, umumnya plaintext terlebih dahulu dibagi
menjadi blok-blok dengan panjang yang sama.
Untuk contoh diatas, plaintext akan dibagi menjadi blok-blok yang terdiri dari 6
karakter, dengan aturan permutasi sebagai berikut :
Gambar 5. Permutasi
Dengan menggunakan aturan diatas, maka proses enkripsi dengan permutasi dari
plaintext adalah sebagai berikut :
Gambar 6. Proses Enkripsi dengan Permutasi
Ciphertext yang dihasilkan dengan teknik permutasi ini adalah "N ETK5 SKD
AIIRK RAATGORP FI".
Keamanan Komputer: Model-Model Enkripsi 9
d. Ekspansi
Suatu metode sederhana untuk mengacak pesan adalah dengan memelarkan pesan
itu dengan aturan tertentu. Salah satu contoh penggunaan teknik ini adalah
dengan meletakkan huruf konsonan atau bilangan ganjil yang menjadi awal dari
suatu kata di akhir kata itu dan menambahkan akhiran "an". Bila suatu kata
dimulai dengan huruf vokal atau bilangan genap, ditambahkan akhiran "i". Proses
enkripsi dengan cara ekspansi terhadap plaintext terjadi sebagai berikut :
Gambar 7. Enkripsi dengan Ekspansi
Ciphertext-nya adalah "5AN EKNIKTAN ASARDAN RIPTOGRAFIKAN".
Aturan ekspansi dapat dibuat lebih kompleks. Terkadang teknik ekspansi
digabungkan dengan teknik lainnya, karena teknik ini bila berdiri sendiri terlalu
mudah untuk dipecahkan.
e. Pemampatan (Compaction)
Mengurangi panjang pesan atau jumlah bloknya adalah cara lain untuk
menyembunyikan isi pesan. Contoh sederhana ini menggunakan cara
menghilangkan setiap karakter ke-tiga secara berurutan. Karakter-karakter yang
dihilangkan disatukan kembali dan disusulkan sebagai "lampiran" dari pesan
utama, dengan diawali oleh suatu karakter khusus, dalam contoh ini digunakan
"&". Proses yang terjadi untuk plaintext kita adalah :
Keamanan Komputer: Model-Model Enkripsi 10
Gambar 8. Enkripsi dengan Pemampatan
Aturan penghilangan karakter dan karakter khusus yang berfungsi sebagai
pemisah menjadi dasar untuk proses dekripsi ciphertext menjadi plaintext
kembali.
Dengan menggunakan kelima teknik dasar kriptografi diatas, dapat diciptakan
kombinasi teknik kriptografi yang amat banyak, dengan faktor yang membatasi
semata-mata hanyalah kreativitas dan imajinasi kita. Walaupun sekilas terlihat
sederhana, kombinasi teknik dasar kriptografi dapat menghasilkan teknik
kriptografi turunan yang cukup kompleks, dan beberapa teknik dasar kriptografi
masih digunakan dalam teknik kriptografi modern.
2.2 Data Encryption Standard (DES)
DES (Data Encryption Standard) merupakan metoda yang pertama kali
digunakan dalam penyimpanan password, metoda ini sudah tidak biasa
digunakan lagi, karena dengan mesin-mesin modern akan didapat kecepatan
cracking yang tinggi, sekitar 800.000 lebih kombinasi password per detik
pada komputer dengan prosessor Pentium 4 - 2,4 GHz, sehingga bila
menggunakan metoda ini password akan relatif lebih mudah di-crack.
DES merupakan standar bagi USA Government, didukung ANSI dan IETF,
popular untuk metode secret key, terdiri dari : 40-bit, 56-bit dan 3×56-bit
(Triple DES)
Keamanan Komputer: Model-Model Enkripsi 11
2.3 Advanced Encryption Standard (AES)
Advanced Encryption Standard (AES) merupakan pemilihan standard
enkripsi yang diselenggarakan oleh NIST (National Institute of
Standards and Technology) untuk menggantikan standard sebelumnya yaitu
Data Encryption Standard (DES). Pada awalnya terseleksi lima belas
kandidat, namun kemudian hanya lima algoritma saja yang berhasil
masuk final, yang akhirnya dimenangkan oleh Algoritma Rijndael.
Advanced Encryption Standard (AES) menggantikan DES (launching akhir
2001), menggunakan variable length block chipper, key length : 128-bit, 192-
bit, 256-bit, dapat diterapkan untuk smart card.
Algoritma kriptogenik yang digunakan AES adalah Algoritma Rijndael, yang
menggunakan blok cipher simetris untuk proses enkripsi dan dekripsi yang
dapat memproses data input 128 bit dengan menggunakan chiper key 128, 192
atau 256 bit.
Pada algoritma AES, data input atau Plaintext diproses melalui serangkaian
transformasi, disebut Chiper, yang terdiri dari transformasi SubBytes,
ShiftRows, MixColumns dan AddRoundKey, dengan menggunakan kunci
kriptogenik rahasia yaitu Cipher Key. Data yang dihasilkan cipher disebut
Ciphertext dan akan diproses untuk dikonversikan kembali menjadi plaintext
melalui serangkaian transformasi, disebut Inverse Cipher, yang terdiri dari
tansformasi InvShiftRows, InvSubBytes, AddRoundKey dan InvMixColumns,
dengan menggunakan cipher key.
2.4 Digital Certificate Server (DCS)
Digital Certificate Server melakukan verifikasi untuk digital signature,
autentikasi user, menggunakan public dan private key, contoh : Netscape
Certificate Server.
Digital Certificate memungkinkan anda untuk menyampaikan informasi
mengenai perusahaan anda ketika melakukan transaksi dengan pengguna situs
anda. Dengan demikian akan membuktikan identitas perusahaan anda. Digital
Keamanan Komputer: Model-Model Enkripsi 12
Certificate “mengikat” Identitas anda dengan sepasang key yang dapat
digunakan untuk melakukan enkripsi dan menandatangani informasi.
Sebuah Trusted Digital Certificate diterbitkan oleh Certificate Authority (CA)
-dalam hal ini adalah Thawte, dan di sign secara digital oleh CA dengan
menggunakan sebuah private key. Digital Certificate biasanya terdiri dari;
Public Key Pemilik
Nama Pemilik
Tanggal Berlaku Public Key
Serial Number Digital Certificate
Digital Signature dari CA (Issuer)
Digital Certificate dapat digunakan untuk berbagai macam keperluan yang
menuntut perlindungan dan privacy data antara pengguna situs dengan server
situs. Yang paling umum adalah digunakan untuk formulir yang berisi data
sensitif yang banyak ditemukan implementasinya pada situs e-commerce, atau
juga e-mail (seperti GMail dan YahooMail)
Anda membutuhkan Digital Certificate ketika anda ingin membangun
kepercayaan pengguna situs anda, memberikan kepastian mengenai identitas
institusi anda, dan menjamin kerahasiaan data yang dimasukkan oleh
pengguna situs anda.
Sebuah Digital Certificate dapat digunakan untuk mengamankan sebuah
Domain di sebuah Server. Lisensi tambahan memungkinkan kita untuk
mengamankan domain yang sama di server yang berbeda, misalnya pada
konfigurasi load balancing yang menggunakan banyak server untuk satu
domain.
PENTING
Lisensi tambahan yang dapat kita beli adalah maksimal 5 buah per Digital
Certificate
Keamanan Komputer: Model-Model Enkripsi 13
2.5 IP Security (IPSec)
IPSec (singkatan dari IP Security) adalah sebuah protokol yang digunakan
untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis
TCP/IP. IPSec mendefiniskan beberapa standar untuk melakukan enkripsi data
dan juga integritas data pada lapisan kedua dalam DARPA Reference Model
(internetwork layer). IPSec melakukan enkripsi terhadap data pada lapisan
yang sama dengan protokol IP dan menggunakan teknik Tunnelinguntuk
mengirimkan informasi melalui jaringan Internet atau dalam jaringan Intranet
secara aman. IPSec didefinisikan oleh badan Internet Engineering Task Force
(IETF) dan diimplementasikan di dalam banyak sistem operasi. Windows
2000 adalah sistem operasi pertama dari Microsoft yang mendukung IPSec.
IPSec diimplementasikan pada lapisan transport dalam OSI Reference Model
untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan
menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan
untuk memenuhi kebutuhan keamanan pengguna, atau jaringan. IPSec
umumnya diletakkan sebagai sebuah lapisan tambahan di dalam stack protokol
TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam
setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat
dinegosiasikan antara pengirim dan penerima. Kebijakan-kebijakan keamanan
tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu.
Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah
paket datagram IP cocok dengan filter tertentu, maka kelakukan yang
dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.
IPSec merupakan enkripsi public/private key , dirancang oleh CISCO System,
menggunakan DES 40-bit dan authentication, built-in pada produk CISCO,
solusi tepat untuk Virtual Private Network (VPN) dan Remote Network
Access.
Dalam sistem operasi Windows 2000, Windows XP, dan Windows Server
2003, kebijakan keamanan tersebut dibuat dan ditetapkan pada level domain
Active Directory atau pada host individual dengan menggunakan snap-in.
IPSec Management dalam Microsoft Management Console (MMC). Kebijakan
Keamanan Komputer: Model-Model Enkripsi 14
IPSec tersebut, berisi beberapa peraturan yang menentukan kebutuhan
keamanan untuk beberapa bentuk komunikasi. Peraturan-peraturan tersebut
digunakan ntuk memulai dan mengontrol komunikasi yang aman berdasarkan
sifat lalu lintas IP, sumber lalu lintas tersebut dan tujuannya. Peraturan-
peraturan tersebut dapat menentukan metode-metode autentikasi dan
negosiasi, atribut proses tunnel ing, dan jenis koneksi.
Untuk membuat sebuah sesi komunikasi yang aman antara dua komputer
dengan menggunakan IPSec, maka dibutuhkan sebuah framework protokol
yang disebut dengan ISAKMP/Oakley. Framework tersebut mencakup
beberapa algoritma kriptografi yang telah ditentukan sebelumnya, dan juga
dapat diperluas dengan menambahkan beberapa sistem kriptografi tambahan
yang dibuat oleh pihak ketiga.
Selama proses negosiasi dilakukan, persetujuan akan tercapai dengan metode
autentikasi dan kemanan yang akan digunakan, dan protokol pun akan
membuat sebuah kunci yang dapat digunakan bersama (shared key) yang
nantinya digunakan sebagi kunci enkripsi data. IPSec mendukung dua buah
sesi komunikasi keamanan, yakni sebagai berikut:
protokol Authentication Header (AH): menawarkan autentikasi pengguna
dan perlindungan dari beberapa serangan (umumnya serangan man in the
middle), dan juga menyediakan fungsi autentikasi terhadap data serta
integritas terhadap data. Protokol ini mengizinkan penerima untuk merasa
yakin bahwa identitas si pengirim adalah benar adanya, dan data pun tidak
dimodifikasi selama transmisi. Namun demikian, protokol AH tidak
menawarkan fungsi enkripsi terhadap data yang ditransmisikannya.
Informasi AH dimasukkan ke dalam header paket IP yang dikirimkan dan
dapat digunakan secara sendirian atau bersamaan dengan protokol
Encapsulating Security Payload.
protokol Encapsulating Security Payload (ESP): Protokol ini melakukan
enkapsulasi serta enkripsi terhadap data pengguna untuk meningkatkan
kerahasiaan data. ESP juga dapat memiliki skema autentikasi dan
perlindungan dari beberapa serangan dan dapat digunakan secara sendirian
atau bersamaan dengan Authentication Header. Sama seperti halnya AH,
Keamanan Komputer: Model-Model Enkripsi 15
informasi mengenai ESP juga dimasukkan ke dalam header paket IP yang
dikirimkan.
Beberapa perangkat keras serta perangkat lunak dapat dikonfigurasikan untuk
mendukung IPSec, yang dapat dilakukan dengan menggunakan enkripsi kunci
publik yang disediakan oleh Certificate Authority (dalam sebuah public key
infrastructure) atau kunci yang digunakan bersama yang telah ditentukan
sebelumnya (skema Pre-Shared Key/PSK) untuk melakukan enkripsi secara
privat
2.6 Kerberos
Kerberos, dalam keamanan komputer, merujuk kepada sebuah protokol
autentikasi yang dikembangkan oleh Massachusetts Institute of Technology
(MIT).
Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah
metode untuk melakukan autentikasi terhadap pengguna dalam sebuah
jaringan yang besar dan terdistribusi. Kerberos menggunakan enkripsi kunci
rahasia/kunci simetris dengan algoritma kunci yang kuat sehingga klien dapat
membuktikan identitas mereka kepada server dan juga menjamin privasi dan
integritas komunikasi mereka dengan server. Protokol ini dinamai Kerberos,
karena memang Kerberos (atau Cerberus) merupakan seekor anjing berkepala
tiga (protokol Kerberos memiliki tiga subprotokol) dalam mitologi Yunani
yang menjadi penjaga Tartarus, gerbang menuju Hades (atau Pluto dalam
mitologi Romawi).
Protokol Kerberos memiliki tiga subprotokol agar dapat melakukan aksinya:
Authentication Service (AS) Exchange: yang digunakan oleh Key
Distribution Center (KDC) untuk menyediakan Ticket -Granting
Ticket (TGT) kepada klien dan membuat kunci sesi logon.
Ticket -Granting Service (TGS) Exchange: yang digunakan oleh
KDC untuk mendistribusikan kunci sesi layanan dan tiket yang
diasosiasikan dengannya.
Keamanan Komputer: Model-Model Enkripsi 16
Client/Server (CS) Exchange: yang digunakan oleh klien untuk
mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah
layanan.
Sesi autentikasi Kerberos yang dilakukan antara klien dan server adalah
sebagai berikut:
Cara kerja protokol Kerberos
1. Informasi pribadi pengguna dimasukkan ke dalam komputer klien
Kerberos, yang kemudian akan mengirimkan sebuah request terhadap
KDC untuk mengakses TGS dengan menggunakan protokol AS
Exchange. Dalam request tersebut terdapat bukti identitas pengguna
dalam bentuk terenkripsi.
2. KDC kemudian menerima request dari klien Kerberos, lalu mencari
kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna
dalam layanan direktori Active Directory (dalam Windows
2000/Windows Server 2003) untuk selanjutnya melakukan dekripsi
terhadap informasi identitas yang terdapat dalam request yang
dikirimkan. Jika identitas pengguna berhasil diverifikasi, KDC akan
meresponsnya dengan memberikan TGT dan sebuah kunci sesi dengan
menggunakan protokol AS Exchange.
3. Klien selanjutnya mengirimkan request TGS kepada KDC yang
mengandung TGT yang sebelumnya diterima dari KDC dan meminta
Keamanan Komputer: Model-Model Enkripsi 17
akses tehradap beberapa layanan dalam server dengan menggunakan
protokol TGS Exchange.
4. KDC selanjutnya menerima request, malakukan autentikasi terhadap
pengguna, dan meresponsnya dengan memberikan sebuah tiket dan
kunci sesi kepada pengguna untuk mengakses server target dengan
menggunakan protokol TGS Exchange.
5. Klien selanjutnya mengirimkan request terhadap server target yang
mengandung tiket yang didapatkan sebelumnya dengan menggunakan
protokol CS Exchange. Server target kemudian melakukan autentikasi
terhadap tiket yang bersangkutan, membalasnya dengan sebuah kunci
sesi, dan klien pun akhirnya dapat mengakses layanan yang tersedia
dalam server.
Meski terlihat rumit, pekerjaan ini dilakukan di balik layar, sehingga tidak
terlihat oleh pengguna.
Dasar-Dasar Kerberos
Pendekatan dasar dari Kerberos adalah menciptakan suatu layanan yang tujuan
satu-satunya adalah untuk autentikasi. Alasannya adalah untuk membebaskan
layanan tersebut dari keharusan untuk mengurusi record akun pengguna.
Dalam pendekatan ini, pengguna dan layanan harus mempercayai.
Kerberos authentication server (AS). AS ini berperan sebagai pengenal
kepada mereka. Untuk melakukan hal ini, pengguna dan layanan harus
mempunyai shared secret key yang telah terdaftar di AS. Key tersebut
dinamakan long-term keys, karena memang digunakan dalam jangka waktu
yang cukup lama, yaitu berminggu-minggu atau berbulan-bulan.
Ada tiga langkah dasar dalam proses autentikasi pengguna kepada
layanan. Pertama, pengguna mengirimkan request kepada AS,
meminta untuk mengautentikasi dirinya terhadap layanan. Dalam langkah
kedua, AS bersiap untuk memperkenalkan pengguna dan layanan satu sama
lainnya. Hal ini dilakukan dengan cara menciptakan suatu secret key yang baru
dan random yang akan dibagikan hanya kepada pengguna dan layanan.
mengirimkan pesan kepada pengguna yang terdiri atas dua bagian. Satu bagian
Keamanan Komputer: Model-Model Enkripsi 18
mengandung random key bersama nama layanan, yang dienkripsi dengan
long-term key milik pengguna. Bagian lainnya mengandung random key yang
sama bersama nama pengguna, yang dienkripsi dengan long-term key milik
layanan.
Dalam bahasa Kerberos, pesan yang pertama sering disebut
credentials, sedangkan pesan yang kedua disebut ticket , dan random key
tersebut disebut dengan session key. Pada tahap ini, hanya pengguna yang
mengetahui session key. Pengguna membuat suatu pesan, misalnya
timestamp, kemudian dienkripsi menggunakan session key. Pesan ini
disebut authenticator. Pesan authenticator ini dikirimkan bersama dengan
ticket kepada layanan. Kemudian layanan mendekripsikan ticket dengan
long-term key-nya, mendapatkan session key, yang pada gilirannya
digunakan untuk mendekripsikan authenticator. Layanan tersebut
memercayai AS, sehingga ia dapat yakin bahwa hanya pengguna yang
terdaftar yang dapat membuat authenticator semacam itu.
2.7 Point to Point TunnelingProtocol (PPTP), Layer Two TunnelingProtocol
(L2TP)
Point-to-Point TunnelingProtocol merupakan teknologi jaringan baru yang
mendukung multiprotocol Virtual Private Networks (VPN), yang
memungkinkan pengguna untuk mengakses jaringan perusahaan secara lebih
aman melalui Internet. Dengan menggunakan PPTP, pengguna dari jarak jauh
dapat memanfaatkan Microsoft Windows NT Worstation dan Windows 95 dan
sistem yang mendukung PPP lainnya untuk mendial ke ISP lokal untuk
berkoneksi secara lebih aman kedalam jaringan perusahaan melalui Internet.
PPTP memungkinkan koneksi yang aman dan terpercaya kepada jaringan
perusahaan melalui internet.
Hal ini sangat berguna untuk pegawai yang bekerja dari rumah atau orang-
orang yang bepergian dan harus mengakses jaringan perusahaannya dari jarak
jauh atau mengecek email atau melakukan aktifitas lainnya. Dengan PPTP,
seorang pengguna dapat mendial nomor telepon local dengan menggunakan
modem analog maupun modem ISDN untuk mengaskes ISP dan kemudian
Keamanan Komputer: Model-Model Enkripsi 19
masuk ke dalam jaringan perusahaannya. Setiap sesi koneksi PPTP dapat
membuat koneksi yang aman dari Internet ke pemakai dan kembali menuju ke
jaringan perusahaan. Koneksi secara lokal dari pemakai ke ISP akan
menghubungkannya kedalam hardware device (Front-End Processor –FEP)
yang dapat berada dalam kota yang sama dengan pemakai. FEP kemudian
menghubungkan diri dengan NT Server yang berada di kota yang berbeda
melalui WAN seperti Frame Relay atau X.25 .
FEP melakukan hal ini dengan mengambil paket PPP dari pemakai dan
melakukan Tunnelingmelalui WAN. Dan karena PPTP mendukung banyak
protocol (IP, IPX dan NetBEUI) maka PPTP dapat digunakan untuk
mengakses berbagai macam infrastruktur LAN.
PPTP juga mudah dan murah untuk diimplementasikan. Banyak organisasi
yang dapat menggunakan PPTP ini untuk menyediakan koneksi yang murah,
mudah dan aman kedalam jaringan di perusahaannya. Hal yang terpenting
dengan menggunakan PPTP adalah konfigurasi jaringan perusahaan tidak
perlu berubah, termasuk pengalamatan komputer-komputer didalam jaringan
intranet. Virtual WAN mendukung penggunaan PPTP melalui backbone IP
dan sangat efektif digunakan.
Keuntungan Menggunakan PPTP
Para pegawai yang bekerja di luar kota atau bekerja dari rumahnya atau berada
di jalan dan memerlukan akses kepada jaringan komputer di perusahannya
akan sangat merasakan manfaat PTP ini. Administrator LAN juga memperoleh
keuntungan dengan kemudahan implementasi dan keamanan yang ditawarkan
oleh protocol PPTP. Selain itu administrator LAN juga memperoleh
keuntungan dari implementasi yang murah, dimana aplikasi PPTP tidak
membutuhkan peralatan yang baru, kemudahan dalam pengaturan media
pembawa/media komunikasi dan perawatan yang mudah. PPTP juga
memungkinkan ISP (Internet Service Provider) dengan PPTP, dapat
menyediakan layanan dengan nilai tambahdan nilai jual yang tinggi yang
sangat diminati oleh perusahaan-perusahaan dengan jaringan komputer yang
tersebar di beberapa cabang. Penyedia jasa keamanan jaringan seperti
Keamanan Komputer: Model-Model Enkripsi 20
perusahaan pembuat firewall dan jasa-jasa internet lainnya juga memperoleh
kemudahan serta jaminan keamanan dari PPTP.
Kalau diantara kita pernah mendengar mengenai Secure Socket Layer (SSL)
yang menurut banyak pakar sangat memakan proses didalam CPU baik pada
saat enkripsi maupun pada saat dekripsi, maka PPTP tidaklah demikian.
Kebutuhan akan kerja prosesor yang kita lihat pada SSL biasanya terjadi
karena faktor pemilihan algoritma enkripsi. RC4 memiliki overhead 14
instruksi per byte yang membuatnya lebih cepat jika dibandingkan dengan
stream chipper yang tersedia.dalam RAS. Selain itu PPTP juga memiliki
keunggulan bahwa enkripsi dilakukan pada tingkat kernel atau di dalam sistem
operasi.
SSL memiliki penurunan performansi karena dua hal, operasi kunci privat
(private key operation) yang membutuhkan 85ms waktu kerja CPU untuk
melakukan set up koneksi dan setelah itu, stream encryption dilakukan pada
level aplikasi kemudian dimasukkan ke dalam socket layer, sebagai bagian
dari proses transmisi data dan memungkinkan semua proses dilakukan pada
tingkat kernel.
Lebih Jauh Mengenai PPTP
Pada saat ini, banyak perusahaan harus mengubah skema pengalamatan
jaringan yang ada semua komputer didalam intranet dapat berhubungan
dengan dunia luar (internet). Hal itu terjadi khususnya jika perusahaan-
perusahaan itu menyusun alamat jaringannya tanpa mematuhi konvensi-
konvensi internasional. Selain itu, seorang karyawan yang berada diluar kota
juga tidak dapat mengakses alamat-alamat komputer yang berada didalam
jaringan intranet perusahaan mereka dengan mudah, karena keterbatasan pada
proxy yang menghubungkan jaringan intranet perusahaan dengan internet.
Dengan menggunakan PPTP, sebuah perusahaan dapat menciptakan sistem
baru dimana para karyawan yang berada di luar kota dapat dengan mudah
mengakses komputer-komputer yang berada di intranet perusahaan mereka,
tanpa harus mengubah konfigurasi pengalamatan jaringan intranet. Dengan
menggunakan tuneeling PPP maka administrator LAN perusahaan
Keamanan Komputer: Model-Model Enkripsi 21
dimungkinkan untuk secara cepat mengubah akses ke jaringan semua pegawai
tanpa diganggu oleh delay, meskipun koneksi ke dalam jaringan intranet harus
melalu ISP. Dengan kata lain, administrator LAN tetap memegang kendali,
kepada siapa akses jaringan intranet perusahaan diberikan, serta dapat
mengatur akses ini secara mudah dan efisien. Pada dasarnya komunikasi yang
memanfaatkan PPTP dapat dijamin lebih aman.
Otentifikasi pemakai jaringan dilakukan dengan menggunakan protocol
otentifikasi yang ada di dalam Windows NT Remote Access Service (RAS) –
PAP dan CHAP. MS-CHAP mendukung hash MD4 serta DES yang
digunakan di LAN Manager. Otentifikasi tambahan dapat dilakukan oleh ISP
pada ujung hubungan antara pemakai dengan ISP jika dibutuhkan. Enkripsi
data dilakukan dengan menggunakan protocol enkripsi RAS-RSA RC4.
Dengan menggunakan Microsoft Remote Access Services (RAS) maka kita
dapat menurunkan waktu kompresi, enkripsi dan integrasi kedalam model
administrasi Windows NT. PPTP juga menggunakan fasilitas keamanan yang
disediakan oleh PPP, MS-CHAP (PPP authentication) dan digunakan untuk
mevalidasi data-data pemakai dalam domain di Windows NT. Hasilnya adalah
session key yang digunakan untuk mengenkripsi data pemakai. Selain itu
Microsoft mengimplementasikan CCP (Compression Control Protocol) yang
memiliki bit untuk negoisasi enkripsi.
RAS client dapat diatur untuk hanya melakukan koneksi dengan mode
terenkripsi, sementara itu RAS server juga dapat dikonfigurasi untuk hanya
menerima koneksi dengan RAS yang terenkripsi.
RAS menggunakan shared secret antara RAS client dan RAS server.
Biasanya, sebelum masuk kedalam sistem, seorang pemakai memberikan
password pada cleitn untuk memperoleh MD4 hash yang sama dengan yang
disimpan di dalam database keamanan Windows NT server. Dengan
menggunakan shared secret antara RAS client dan RAS server maka masalah
pendistribusian kunci (key distribution) dapat terpecahkan. Masalah
pendistribusian kunci ini sangat penting, mengingat bahwa session key inilah
Keamanan Komputer: Model-Model Enkripsi 22
yang memegan peranan penting apakah data dapat dibaca kembali oleh kita
atau oleh orang lain.
Point to Point TunnelingProtocol (PPTP) dan Layer Two TunnelingProtocol
(L2TP) merupakan teknologi tunnel ing. Tunnelingmerupakan metode untuk
transfer data dari satu jaringan ke jaringan lain dengan memanfaatkan jaringan
internet secara terselubung. Disebut tunnel atau saluran karena aplikasi yang
memanfaatkannya hanya melihat dua end point atau ujung, sehingga paket
yang lewat pada tunnel hanya akan melakukan satu kali lompatan atau hop.
Data yang akan ditransfer dapat berupa frame (atau paket) dari protokol yang
lain.
Protokol tunneling tidak mengirimkan frame sebagaimana yang dihasilkan
oleh node asalnya begitu saja melainkan membungkusnya (meng-enkapsulasi)
dalam header tambahan. Header tambahan tersebut berisi informasi routing
sehingga data (frame) yang dikirim dapat melewati jaringan internet. Jalur
yang dilewati data dalam internet disebut tunnel. Saat data tiba pada jaringan
tujuan, proses yang terjadi selanjutnya adalah dekapsulasi, kemudian data
original akan dikirim ke penerima terakhir. Tunneling mencakup keseluruhan
proses mulai dari enkapsulasi, transmisi dan dekapsulasi.
Berikut adalah teknologi Tunnelingyang sudah ada :
1. SNA Tunneling over IP internetwork
2. IPX Tunneling for Novel Netware over IP Internetwork
Sedangkan teknologi tunneling yang baru diperkenalkan adalah :
1. Point to Point TunnelingProtocol (PPTP)
PPTP memungkinkan untuk mengenkripsikan paket IP, IPX dan
NETBEUI lalu mengenkapsulasi dalam IP header untuk kemudian
ditransfer melalui jaringan internet.
2. Layer Two TunnelingProtocol (L2TP)
L2TP memungkinkan untuk mengenkripsikan paket IP, IPX dan
NETBEUI untuk kemudian dikirim melalui media yang mendukung
point-to-point datagram seperti, IP, X.25, Frame Relay dan ATM.
3. IPSEC Tunnel mode
Keamanan Komputer: Model-Model Enkripsi 23
IPSEC memungkinkan untuk mengenkripsikan paket IP, meng-
enkapsulasikannya dalam IP header dan mengirimkannya melalui
jaringan internet.
Agar saluran atau tunnel dapat dibuat, maka antara klien dan server harus
menggunakan protokol yang sama. Teknologi Tunnelingdapat dibuat pada
layer 2 atau layer 3 dari protokol tunnel ing . Layer-Layer ini mengacu pada
model OSI (Open System Interconnection). Layer 2 mengacu kepada layer
datalink dan menggunakan frame sebagai media pertukaran.
PPTP dan L2TP adalah protokol Tunnelinglayer 2. Keduanya meng-
enkapsulasi data dalam sebuah frame PPP untuk kemudian dikirim melewati
jaringan internet. Layer 3 mengacu kepada layer Network dan menggunakan
paket-paket. IPSEC merupakan contoh protokol Tunneling layer 3 yang
mengenkapsulasi paket-paket IP dalam sebuah header IP tambahan sebelum
mengirimkannya melewati jaringan IP.
Prinsip kerja tunnel ing
Untuk teknologi Tunneling Layer 2, seperti PPTP dan L2TP, sebuah tunnel
mirip dengan sebuah sesi, kedua ujung tunnel harus mengikuti aturan tunnel
dan menegosiasikan variabel-variabel tunnel seperti pengalamatan, parameter
enkripsi atau parameter kompresi. Pada umumnya data yang dikirim melalui
tunnel menggunakan protokol berbasis datagram, sedangkan protokol
maintenance dari tunnel digunakan sebagai mekanisme untuk mengatur
tunnel. Jadi, teknologi Layer 2 dan membuat tunnel, mengaturnya dan
memutuskannya bila tidak diperlukan.
Untuk teknologi Layer 3, seluruh parameter konfigurasi telah ditentukan
sebelumnya secara manual. Teknologi ini tidak memiliki protokol
maintenance. Setelah tunnel tercipta, proses transfer data siap dilangsungkan.
Apabila tunnel klien ingin mengirim data kepada tunnel server, atau
sebaliknya, maka klien harus menambahkan data transfer protokol header pada
data (proses enkapsulasi). Klien kemudian mengirim hasil dari enkapsulasi ini
melalui internet untuk kemudian akan di routing kepada tunnel server. Setelah
tunnel server menerima data tersebut, kemudian tunnel server memisahkan
Keamanan Komputer: Model-Model Enkripsi 24
header data transfer protokol (proses dekapsulasi), dan mem-forward data ke
jaringan tujuan.
PPTP dan L2TP dapat juga merupakan protocol yang digunakan untuk
pengembangan VPN (Virtual Private Network)
1. PPTP (Point to Point TunnelingProtocol)
PPTP memberikan sarana selubung (tunneling ) untuk berkomunikasi
melalui internet. Salah satu kelebihan yang membuat PPTP ini terkenal
adalah karena protokol ini mendukung protokol non-IP seperti
IPX/SPX, NETBEUI, Appletalk dan sebagainya. Protokol ini
merupakan protokol standar pada enkapsulasi VPN yang digunakan
oleh Windows Virtual Private Network. Protokol ini bekerja
berdasarkan PPP protokol yang digunakan pada dial-up connection.
2. L2TP (Layer Two TunnelingProtocol)
L2TP memberikan sarana ekripsi dan selubung untuk berkomunikasi
melalui internet. L2TP merupakan kombinasi dari dua protokol Cisco
yaitu L2F dan PPTP. Seperti PPTP, L2TP juga mendukung protokol-
protokol non-IP. L2TP lebih banyak digunakan pada VPN non-internet
(frame relay, ATM, dsb)
2.8 Remote Access Dial-in User Service (RADIUS)
RADIUS atau Remote Authentication Dial-In User Service merupakan sebuah
protocol yang memungkinkan perusahaan untuk melakukan Authentication
(pembuktian keaslian), Authorize (otoritas/pemberian hak) dan Accounting
(akutansi) (AAA) untuk me-remote para pengguna atau user yang ingin
mengakses suatu sistem atau layanan dari pusat server jaringan komputer.
Anda mungkin telah mendapatkan pengalaman dalam hal Authentication,
misalnya saja Anda menggunakan account internet dial up untuk masuk dan
melakukan browsing untuk mendapatkan informasi mengenai berita-berita
terkini. Selain itu, anda mengecek email perusahaan untuk melihat email-
email yang telah dikirim oleh client-client anda. Dan akhir pekan ini, mungkin
saja anda menggunakan VPN (Virtual Private Network) untuk
menghubungkan ke jaringan kantor perusahaan sehingga bisa memonitoring
kondisi jaringan client perusahaan anda. Agar anda bisa menggunakan VPN
Keamanan Komputer: Model-Model Enkripsi 25
dan account internet dial up maka anda harus melakukan authentication
terlebih dahulu.
Tetapi apa yang terjadi dibelakang layar ketika anda melakukan authentication
pada komputer?. Komputer harus mempunyai satu set protocol dan proses
untuk memverifikasi authentication yang telah anda lakukan. Salah satu
protocol yang mampu mengerjakan proses authentication tersebut adalah
RADIUS (Remote Authentication Dial-In User Service).
RADIUS, mula-mula dikembangkan oleh perusahan Livingston, merupakan
sebuah protocol access-control yang memverifikasi dan yang melakukan
authentication para pengguna berdasarkan metoda yang umum digunakan.
RADIUS umumnya digunakan oleh ISP (Internet Service Provider) atau
penyedia layanan internet untuk melakukan Authentication (pembuktian
keaslian pengguna), Authorize (mengatur pemberian hak/otoritas) dan
Accounting (mencatat penggunaan layanan yang digunakan).
RADIUS menjalankan sistem administrasi pengguna yang terpusat, sistem
ini akan mempermudah tugas administrator. Dapat kita bayangkan berapa
banyak jumlah pelanggan yang dimiliki oleh sebuah ISP, dan ditambah
lagi dengan penambahan pelanggan baru dan penghapusan pelanggan
yang sudah tidak berlangganan lagi. Apabila tidak ada suatu sistem
administrasi yang terpusat, maka akan merepotkan administrator dan tidak
menutup kemungkinan ISP akan merugi atau pendapatannya berkurang.
Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang
berbeda-beda dengan melakukan autentikasi ke sebuah RADIUS server.
RADIUS merupakan suatu protokol yang dikembangkan untuk proses
AAA (authentication, authorization, and Accounting.)
Berikut ini adalah RFC (Request For Comment) yang berhubungan dengan
RADIUS:
• RFC2865 : Remote Authentication Dial-In User Service (RADIUS)
• RFC 2866 : RADIUS Accounting
• RFC 2867 : RADIUS Accounting for Tunneling
• RFC 2868 : RADIUS Authentication for Tunneling
Keamanan Komputer: Model-Model Enkripsi 26
• RFC2869 : RADIUS Extensions
• RFC 3162 : RADIUS over IP6
• RFC 2548 : Microsoft Vendor-Specific RADIUS Attributes
Pada awal pengembangannya, RADIUS menggunakan port 1645, yang
ternyata bentrok dengan layanan “datametrics”. Sekarang, port yang
dipakai RADIUS adalah port 1812 .
Gambar Struktur Paket Data RADIUS
Struktur paket data RADIUS pada Gambar diatas terdiri dari lima bagian,
yaitu:
1. Code
Code memiliki panjang adalah satu oktet, digunakan untuk membedakan tipe
pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam
desimal) ialah:
2. Identifier
Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan.
3. Length
Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.
4. Authenticator
Keamanan Komputer: Model-Model Enkripsi 27
Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari
RADIUS server, selain itu digunakan juga untuk algoritma password.
5. Attributes
Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat
membawa satu atau lebih atribut. Contoh atribut RADIUS: nama
pengguna, password, CHAP-password, alamat IP access point(AP), pesan
balasan.
2.9 RSA Encryption
RSA di bidang kriptografi adalah sebuah algoritma pada enkripsi public key.
RSA merupakan algoritma pertama yang cocok untuk digital signature seperti
halnya ekripsi, dan salah satu yang paling maju dalam bidang kriptografi
public key. RSA masih digunakan secara luas dalam protokol electronic
commerce, dan dipercaya dalam mengamnkan dengan menggunakan kunci
yang cukup panjang.
Algortima RSA dijabarkan pada tahun 1977 oleh tiga orang : Ron Rivest, Adi
Shamir dan Len Adleman dari Massachusetts Institute of Technology. Huruf
RSA itu sendiri berasal dari inisial nama mereka (Rivest—Shamir—
Adleman).
Clifford Cocks, seorang matematikawan Inggris yang bekerja untuk GCHQ,
menjabarkan tentang sistem equivalen pada dokumen internal di tahun 1973.
Penemuan Clifford Cocks tidak terungkap hingga tahun 1997 karena alasan
top-secret classification.
Algoritma tersebut dipatenkan oleh Massachusetts Institute of Technology
pada tahun 1983 di Amerika Serikat sebagai U.S. Patent 4405829. Paten
tersebut berlaku hingga 21 September 2000. Semenjak Algoritma RSA
dipublikasikan sebagai aplikasi paten, regulasi di sebagian besar negara-
negara lain tidak memungkinkan penggunaan paten. Hal ini menyebabkan
hasil temuan Clifford Cocks di kenal secara umum, paten di Amerika Serikat
tidak dapat mematenkannya.
Keamanan Komputer: Model-Model Enkripsi 28
Penyerangan yang paling umum pada RSA ialah pada penanganan masalah
faktorisasi pada bilangan yang sangat besar. Apabila terdapat faktorisasi
metode yang baru dan cepat telah dikembangkan, maka ada kemungkinan
untuk membongkar RSA.
Pada tahun 2005, bilangan faktorisasi terbesar yang digunakan secara umum
ialah sepanjang 663 bit, menggunakan metode distribusi mutakhir. Kunci RSA
pada umumnya sepanjang 1024—2048 bit. Beberapa pakar meyakini bahwa
kunci 1024-bit ada kemungkinan dipecahkan pada waktu dekat (hal ini masih
dalam perdebatan), tetapi tidak ada seorangpun yang berpendapat kunci 2048-
bit akan pecah pada masa depan yang terprediksi.
Semisal Eve, seorang eavesdropper (pencuri dengar—penguping),
mendapatkan public key N dan e, dan ciphertext c. Bagimanapun juga, Eve
tidak mampu untuk secara langsung memperoleh d yang dijaga kerahasiannya
oleh Alice. Masalah untuk menemukan n seperti pada ne=c mod N di kenal
sebagai permasalahan RSA.
Cara paling efektif yang ditempuh oleh Eve untuk memperoleh n dari c ialah
dengan melakukan faktorisasi N kedalam p dan q, dengan tujuan untuk
menghitung (p-1)(q-1) yang dapat menghasilkan d dari e. Tidak ada metode
waktu polinomial untuk melakukan faktorisasi pada bilangan bulat berukuran
besar di komputer saat ini, tapi hal tersebut pun masih belum terbukti.
Masih belum ada bukti pula bahwa melakukan faktorisasi N adalah satu-
satunya cara untuk memperoleh n dari c, tetapi tidak ditemukan adanya
metode yang lebih mudah (setidaknya dari sepengatahuan publik).
Bagaimanapun juga, secara umum dianggap bahwa Eve telah kalah jika N
berukuran sangat besar.
Jika N sepanjang 256-bit atau lebih pendek, N akan dapat difaktorisasi dalam
beberapa jam pada Personal Komputer, dengan menggunakan perangkat lunak
yang tersedia secara bebas. Jika N sepanjang 512-bit atau lebih pendek, N akan
Keamanan Komputer: Model-Model Enkripsi 29
dapat difaktorisasi dalam hitungan ratusan jam seperti pada tahun 1999.
Secara teori, perangkat keras bernama TWIRL dan penjelasan dari Shamir dan
Tromer pada tahun 2003 mengundang berbagai pertanyaan akan keamanan
dari kunci 1024-bit. Santa disarankan bahwa N setidaknya sepanjang 2048-bit.
Pada thaun 1993, Peter Shor menerbitkan Algoritma Shor, menunjukkan
bahwa sebuah komputer quantum secara prinsip dapat melakukan faktorisasi
dalam waktu polinomial, mengurai RSA dan algoritma lainnya.
Bagaimanapun juga, masih terdapat pedebatan dalam pembangunan komputer
quantum secara prinsip.
RSA memiliki kecepatan yang lebih lambat dibandingkan dengan DES dan
algoritma simetrik lainnya. Pada prakteknya, Bob menyandikan pesan rahasia
menggunakan algoritma simetrik, menyandikan kunci simetrik menggunakan
RSA, dan mengirimkan kunci simetrik yang dienkripsi menggunakan RSA
dan juga mengirimkan pesan yang dienkripasi secara simetrik kepada Alice.
Prosedur ini menambah permasalahan akan keamanan. Singkatnya, Sangatlah
penting untuk menggunakan pembangkit bilangan acak yang kuat untuk kunci
simetrik yang digunakan, karena Eve dapat melakukan bypass terhadap RSA
dengan menebak kunci simterik yang digunakan.
2.10 Secure Hash Algorithm (SHA)
SHA adalah fungsi hash satu-arah yang dibuat oleh NIST dan digunakan
bersama DSS (Digital Signature Standard). Oleh NSA, SHA dinyatakan
sebagai standard fungsi hash satu-arah. SHA didasarkan pada MD4 yang
dibuat oleh Ronald L. Rivest dari MIT.
SHA disebut aman (secure) karena ia dirancang sedemikian sehingga secara
komputasi tidak mungkin menemukan pesan yang berkoresponden dengan
message digest yang diberikan.
Algoritma SHA menerima masukan berupa pesan dengan ukuran maksimum
264 bit (2.147.483.648 gigabyte) dan menghasilkan message digest yang
Keamanan Komputer: Model-Model Enkripsi 30
panjangnya 160 bit, lebih panjang dari message digest yang dihasilkan oleh
MD5
Gambaran pembuatan message digest dengan algoritma SHA diperlihatkan
pada Gambar 1.
Gambar 1. Pembuatan message digest dengan algoritma SHA
Langkah-langkah pembuatan message digest secara garis besar adalah
sebagai berikut:
1. Penambahan bit-bit pengganjal (padding bits).
2. Penambahan nilai panjang pesan semula.
3. Inisialisasi penyangga (buffer) MD.
4. Pengolahan pesan dalam blok berukuran 512 bit.
1. Penambahan Bit-bit Pengganjal
Pesan ditambah dengan sejumlah bit pengganjal sedemikian sehingga panjang
pesan (dalam satuan bit) kongruen dengan 448 modulo 512. Ini berarti panjang
pesan setelah ditambahi bit-bit pengganjal adalah 64 bit kurang dari kelipatan
512. Angka 512 ini muncul karena SHA memperoses pesan dalam blok-blok
yang berukuran 512.
Keamanan Komputer: Model-Model Enkripsi 31
Pesan dengan panjang 448 bit pun tetap ditambah dengan bit-bit pengganjal.
Jika panjang pesan 448 bit, maka pesan tersebut ditambah dengan 512 bit
menjadi 960 bit. Jadi, panjang bit-bit pengganjal adalah antara 1 sampai 512.
Bit-bit pengganjal terdiri dari sebuah bit 1 diikuti dengan sisanya bit 0.
2. Penambahan Nilai Panjang Pesan Semula
Pesan yang telah diberi bit-bit pengganjal selanjutnya ditambah lagi dengan 64
bit yang menyatakan panjang pesan semula.
Setelah ditambah dengan 64 bit, panjang pesan sekarang menjadi 512 bit.
3. Inisialisai Penyangga MD
SHA membutuhkan 5 buah penyangga (buffer) yang masing-masing
panjangnya 32 bit (MD5 hanya mempunyai 4 buah penyangga). Total panjang
penyangga adalah 5 32 = 160 bit. Keempat penyangga ini menampung hasil
antara dan hasil akhir.
Kelima penyangga ini diberi nama A, B, C, D, dan E. Setiap penyangga
diinisialisasi dengan nilai-nilai (dalam notasi HEX) sebagai berikut:
A = 67452301
B = EFCDAB89
C = 98BADCFE
D = 10325476
E = C3D2E1F0
4. Pengolahan Pesan dalam Blok Berukuran 512 bit.
Pesan dibagi menjadi L buah blok yang masing-masing panjangnya 512 bit (Y0
sampai YL – 1).
Setiap blok 512-bit diproses bersama dengan penyangga MD menjadi keluaran
128-bit, dan ini disebut proses HSHA. Gambaran proses HSHA diperlihatkan pada
Gambar 2.
Keamanan Komputer: Model-Model Enkripsi 32
Gambar 2. Pengolahan blok 512 bit (Proses HSHA)
Proses HSHA terdiri dari 80 buah putaran (MD5 hanya 4 putaran), dan masing-
masing putaran menggunakan bilangan penambah Kt, yaitu:
Putaran 0 t 19 Kt = 5A827999
Putaran 20 t 39 Kt = 6ED9EBA1
Putaran 40 t 59 Kt = 8F1BBCDC
Putaran 60 t 79 Kt = CA62C1D6
Pada Gambar 2, Yq menyatakan blok 512-bit ke-q dari pesan yang telah
ditambah bit-bit pengganjal dan tambahan 64 bit nilai panjang pesan semula.
MDq adalah nilai message digest 160-bit dari proses HSHA ke-q. Pada awal
proses, MDq berisi nilai inisialisasi penyangga MD.
Keamanan Komputer: Model-Model Enkripsi 33
Setiap putaran menggunakan operasi dasar yang sama (dinyatakan sebagai
fungsi f). Operasi dasar SHA diperlihatkan pada Gambar 3.
Gambar 3. Operasi dasar SHA dalam satu putaran (fungsi f)
Operasi dasar SHA yang diperlihatkan pada Gambar 3 dapat ditulis dengan
persamaan sebagai berikut:
a, b, c, d, e (CLS5(a) + ft(b, c, d) + e + Wt + Kt), a,
CLS30(b), c, d
yang dalam hal ini,
a, b, c, d, e = lima buah peubah penyangga 32-bit (berisi nilai penyangga A, B, C, D, E)
t = putaran, 0 t 79
ft = fungsi logika
CLSs = circular left shift sebanyak s bit
Keamanan Komputer: Model-Model Enkripsi 34
Wt = word 32-bit yang diturunkan dari blok 512 bit yang sedang diproses
Kt = konstanta penambah
+ = operasi penjumlahan modulo 232
atau dapat dinyatakan dalam kode program berikut:
for t 0 to 79 do
TEMP (a <<< 5) + ft(b, c, d) + e + Wt + Kt)
e d
d c
c b <<< 30
b a
a TEMP
endfor
yang dalam hal ini, <<< menyatakan operasi pergeseran circular left shift.
Fungsi f t adalah fungsi logika yang melakukan operasi logika bitwise.
Operasi logika yang dilakukan dapat dilihat pada Tabel 1.
Tabel 1. Fungsi logika ft pada setiap putaran
Putaran ft( b , c , d )
0 .. 19 ( b c ) (~ b d )
20 .. 39 b c d
40 .. 59 ( b c ) ( b d ) ( c d )
60 .. 79 b c d
Catatan: operator logika AND, OR, NOT, XOR masing-masing
dilambangkan dengan , , ~,
Nilai W1 sampai W16 berasal dari 16 word pada blok yang sedang diproses,
sedangkan nilai Wt berikutnya didapatkan dari persamaan
Keamanan Komputer: Model-Model Enkripsi 35
Wt = Wt – 16 Wt – 14 Wt – 8 Wt – 3
Setelah putaran ke-79, a, b, c, d, dan e ditambahkan ke A, B, C, D, dan E dan
selanjutnya algoritma memproses untuk blok data berikutnya (Yq+1). Keluaran
akhir dari algoritma SHA adalah hasil penyambungan bit-bit di A, B, C, D, dan
E.
2.11 MD5
Dalam kriptografi, MD5 (Message-Digest algortihm 5) ialah fungsi hash
kriptografik yang digunakan secara luas dengan hash value 128-bit. Pada
standart Internet (RFC 1321), MD5 telah dimanfaatkan secara bermacam-
macam pada aplikasi keamanan, dan MD5 juga umum digunakan untuk
melakukan pengujian integritas sebuah file.
MD5 di desain oleh Ronald Rivest pada tahun 1991 untuk menggantikan hash
function sebelumnya, MD4. Pada tahun 1996, sebuah kecacatan ditemukan
dalam desainnya, walau bukan kelemahan fatal, pengguna kriptografi mulai
menganjurkan menggunakan algoritma lain, seperti SHA-1 (klaim terbaru
menyatakan bahwa SHA-1 juga cacat). Pada tahun 2004, kecacatan-kecacatan
yang lebih serius ditemukan menyebabkan penggunaan algoritma tersebut
dalam tujuan untuk keamanan jadi makin dipertanyakan.
Sejarah dan kriptoanalisis
MD5 adalah salah satu dari serangkaian algortima message digest yang
didesain oleh Profesor Ronald Rivest dari MIT (Rivest, 1994). Saat kerja
analitik menunjukkan bahwa pendahulu MD5 — MD4 — mulai tidak aman,
MD5 kemudian didesain pada tahun 1991 sebagai pengganti dari MD4
(kelemahan MD4 ditemukan oleh Hans Dobbertin).
Pada tahun 1993, den Boer dan Bosselaers memberikan awal, bahkan terbatas,
hasil dari penemuan pseudo-collision dari fungsi kompresi MD5. Dua vektor
inisialisasi berbeda I dan J dengan beda 4-bit diantara keduanya.
MD5compress(I,X) = MD5compress(J,X)
Keamanan Komputer: Model-Model Enkripsi 36
Pada tahun 1996 Dobbertin mengumumkan sebuah kerusakan pada fungsi
kompresi MD5. Dikarenakan hal ini bukanlah serangan terhadap fungsi hash
MD5 sepenuhnya, hal ini menyebabkan para pengguna kriptografi
menganjurkan pengganti seperti WHIRLPOOL, SHA-1 atau RIPEMD-160.
Ukuran dari hash — 128-bit — cukup kecil untuk terjadinya serangan brute
force birthday attack. MD5CRK adalah proyek distribusi mulai Maret 2004
dengan tujuan untuk menunjukka kelemahan dari MD5 dengan menemukan
kerusakan kompresi menggunakan brute force attack.
Bagaimanapun juga, MD5CRK berhenti pada tanggal 17 Agustus 2004, saat
(kerusakan hash) pada MD5 diumumkan oleh Xiaoyun Wang, Dengguo Feng,
Xuejia Lai dan Hongbo Yu [1] [2] . Serangan analitik mereka dikabarkan hanya
memerlukan satu jam dengan menggunakan IBM P690 cluster.
Pada tanggal 1 Maret 2005, Arjen Lenstra, Xiaoyun Wang, and Benne de
Weger mendemontrasikan[3] kunstruksi dari dua buah sertifikat X.509 dengan
public key yang berbeda dan hash MD5 yang sama, hasil dari demontrasi
menunjukkan adanya kerusakan. Konstruksi tersebut melibatkan private key
untuk kedua public key tersebut. Dan beberapa hari setelahnya, Vlastimil
Klima menjabarkan[4] dan mengembangkan algortima, mampu membuat
kerusakan Md5 dalam beberapa jam dengan menggunakan sebuah komputer
notebook. Hal ini menyebabkan MD5 tidak bebas dari kerusakan.
Dikarenakan MD5 hanya menggunakan satu langkah pada data, jika dua buah
awalan dengan hash yang sama dapat dibangun, sebuah akhiran yang umum
dapat ditambahkan pada keduanya untuk membuat kerusakan lebih masuk
akal. Dan dikarenakan teknik penemuan kerusakan mengijinkan pendahuluan
kondisi hash menjadi arbitari tertentu, sebuah kerusakan dapat ditemukan
dengan awalan apapun. Proses tersebut memerlukan pembangkitan dua buah
file perusak sebagai file templat, dengan menggunakan blok 128-byte dari
tatanan data pada 64-byte batasan, file-file tersebut dapat mengubah dengan
bebas dengan menggunakan algoritma penemuan kerusakan.
Keamanan Komputer: Model-Model Enkripsi 37
Efek nyata dari kriptoanalisis
Saat ini dapat diketahui, dengan beberapa jam kerja, bagaimana proses
pembangkitan kerusakan MD5. Yaitu dengan membangkitkan dua byte string
dengan hash yang sama. Dikarenakan terdapat bilangan yang terbatas pada
keluaran MD5 (2128), tetapi terdapat bilangan yang tak terbatas sebagai
masukannya, hal ini harus dipahami sebelum kerusakan dapat ditimbulkan,
tapi hal ini telah diyakini benar bahwa menemukannya adalah hal yang sulit.
Sebagai hasilnya bahwa hash MD5 dari informasi tertentu tidak dapat lagi
mengenalinya secara berbeda. Jika ditunjukkan informasi dari sebuah public
key, hash MD5 tidak mengenalinya secata berbeda jika terdapat public key
selanjutnya yang mempunyai hash MD5 yang sama.
Bagaimanapun juga, penyerangan tersebut memerlukan kemampuan untuk
memilih kedua pesan kerusakan. Kedua pesan tersebut tidak dengan mudah
untuk memberikan serangan preimage, menemukan pesan dengan hash MD5
yang sudah ditentukan, ataupun serangan preimage kedua, menemukan pesan
dengan hash MD5 yang sama sebagai pesan yang diinginkan.
Hash MD5 lama, yang dibuat sebelum serangan-serangan tersebut diungkap,
masih dinilai aman untuk saat ini. Khususnya pada digital signature lama
masih dianggap layak pakai. Seorang user boleh saja tidak ingin
membangkitkan atau mempercayai signature baru menggunakan MD5 jika
masih ada kemungkinan kecil pada teks (kerusakan dilakukan dengan
melibatkan pelompatan beberapa bit pada bagian 128-byte pada masukan
hash) akan memberikan perubahan yang berarti.
Penjaminan ini berdasar pada posisi saat ini dari kriptoanalisis. Situasi bisa
saja berubah secara tiba-tiba, tetapi menemukan kerusakan dengan beberapa
data yang belum-ada adalah permasalahan yang lebih susah lagi, dan akan
selalu butuh waktu untuk terjadinya sebuah transisi.
Keamanan Komputer: Model-Model Enkripsi 38
Pengujian Integritas
Ringkasan MD5 digunakan secara luas dalam dunia perangkat lunak untuk
menyediakan semacam jaminan bahwa file yang diambil (download) belum
terdapat perubahan. Seorang user dapat membandingkan MD5 sum yang
dipublikasikan dengan checksum dari file yang diambil. Dengan asumsi bahwa
checksum yang dipublikasikan dapat dipercaya akan keasliannya, seorang user
dapat secara yakin bahwa dile tersebut adalah file yang sama dengan file yang
dirilis oleh para developer, jaminan perlindungan dari Trojan Horse dan virus
komputer yang ditambahkan pada perangkat lunak.
Bagaimanapun juga, seringkali kasus yangterjadi bahwa checksum yang
dipublikasikan tidak dapat dipercaya (sebagai contoh, checksum didapat dari
channel atau lokasi yang sama dengan tempat mengambil file), dalam hal ini
MD5 hanya mampu melakukan error-checking. MD5 akan mengenali file
yang didownload tidak sempurna, cacat atau tidak lengkap.
Algortima
Gambar diatas. Satu operasi MD5 — MD5 terdiri atas 64 operasi,
dikelompokkan dalam empat putaran dari 16 operasi. F adalah fungsi
nonlinear; satu fungsi digunakan pada tiap-tiap putaran. Mi menujukkan blok
Keamanan Komputer: Model-Model Enkripsi 39
32-bit dari masukan pesan, dan Ki menunjukkan konstanta 32-bit, berbeda
untuk tiap-tiap operasi.
s menunjukkan perputaran bit kiri oleh s; s bervariasi untuk tiap-tiap
operasi. menunjukan tambahan modulo 232. MD5 memproses variasi panjang
pesan kedalam keluaran 128-bit dengan panjang yang tetap. Pesan masukan
dipecah menjadi dua gumpalan blok 512-bit; Pesan ditata sehingga panjang
pesan dapat dibagi 512. Penataan bekerja sebagai berikut: bit tunggal pertama,
1, diletakkan pada akhir pedan. Proses ini diikuti dengan serangkaian nol (0)
yang diperlukan agar panjang pesan lebih dari 64-bit dan kurang dari kelipatan
512. Bit-bit sisa diisi dengan 64-bit integer untuk menunjukkan panjang pesan
yang asli. Sebuah pesan selalu ditata setidaknya dengan 1-bit tunggal, seperti
jika panjang pesan adalah kelipatan 512 dikurangi 64-bit untuk informasi
panjang (panjang mod(512) = 448), sebuah blok baru dari 512-bit
ditambahkan dengan 1-bit diikuti dengan 447 bit-bit nol (0) diikuti dengan
panjang 64-bit.
Algortima MD5 yang utama beroperasi pada kondisi 128-bit, dibagi menjadi
empat word 32-bit, menunjukkan A, B, C dan D. Operasi tersebut di
inisialisasi dijaga untuk tetap konstan. Algoritma utama kemudian beroperasi
pada masing-masing blok pesan 512-bit, masing-masing blok melakukan
pengubahan terhadap kondisi.Pemrosesan blok pesan terdiri atas empat tahap,
batasan putaran; tiap putasan membuat 16 operasi serupa berdasar pada fungsi
non-linear F, tambahan modular, dan rotasi ke kiri. Gambar satu
mengilustrasikan satu operasi dalam putaran. Ada empat macam kemungkinan
fungsi F, berbeda dari yang digunakan pada tiap-tiap putaran:
menunjukkan operasi logikan XOR, AND, OR dan NOT.
Keamanan Komputer: Model-Model Enkripsi 40
Hash-hash MD5
Hash-hash MD5 sepanjang 128-bit (16-byte), yang dikenal juga sebagai
ringkasan pesan, secara tipikal ditampilkan dalam bilangan heksadesimal 32-
digit. Berikut ini merupakan contoh pesan ASCII sepanjang 43-byte sebagai
masukan dan hash MD5 terkait:
MD5("The quick brown fox jumps over the lazy dog") =
9e107d9d372bb6826bd81d3542a419d6
Bahkan perubahan yang kecil pada pesan akan (dengan probabilitas lebih)
menghasilkan hash yang benar-benar berbeda, misalnya pada kata "dog",
huruf d diganti menjadi c:
MD5("The quick brown fox jumps over the lazy cog") =
1055d3e698d289f2af8663725127bd4b
Hash dari panjang-nol ialah:
MD5("") = d41d8cd98f00b204e9800998ecf8427e
2.12 Secure Shell (SSH)
SSH merupakan kependekan dari Secure Shell adalah sebuah protocol network
yang memungkinkan data di pertukarkan melalui sebuah kanal yang aman
antara dua komputer. Satu unsur di dalam SSH yang memberikan jaminan
keamanan dan integritas data adalah enkripsi. SSH menggunakan kunci publik
(public-key cryptography) untuk mengautentikasi komputer yang akan
melakukan pertukaran data. Pada web hosting, SSH biasanya digunakan untuk
masuk ke server hosting dan mengeksekusi perintah - perintah tertentu secara
remote (jarak jauh) dari komputer pelanggan sendiri.
Dengan SSH pelanggan dapat mengedit file, menghapus, membuat file baru,
memindahkan lokasi file dan hal - hal lain. Selain itu SSH memungkinkan
transfer data (upload / download) menggunakan protokol SFTP (Secure FTP)
dan SCP (Secure Copy). Client software yang sering digunakan untuk
Keamanan Komputer: Model-Model Enkripsi 41
melakukan SSH adalah Putty. Sedangkan untuk melakukan upload dengan
SCP, biasanya menggunakan WinSCP.
Secure Shell (SSH) adalah suatu protocol yang memfasilitasi system
komunikasi yang aman diantara dua system yang menggunakan arsitektur
client/server, serta memungkinkan sorang user untuk login ke server secara
remote. Berbeda dengan telnet dan FTP yang menggunakan plain text, SSH
meng-enkripsi data selama proses komunikasi sehingga menyulitkan intruder
yang mencoba mendapatkan password yang tidak dienkripsi. Fungsi utama
aplikasi ini adalah untuk mengakses mesin secara remote. Bentuk akses
remote yang bias diperoleh adalah akses pada mode teks maupun mode
grafis/X apabila konfigurasinya mengizinkan.
SSH dirancang untuk menggantikan service-service di system unix/linux yang
menggunakan system plain-text seperti telnet, FTP, rlogin, RSH, RCP, dll.
Untuk menggantikan FTP, dapat digunakan SFTP (Secure FTP), sedangkan
untuk menggantikan RCP (Remote Copy) dapat digunakan SCP (Secure
Copy).
Dengan SSH, semua percakapan antara server dan client dienkripsi. Artinya,
apabila percakapan tersebut disadap, penyadap tidak mungkin memahami
isinya. Bayangkan seandainya Anda sedang melakukan maintenance server
dari jauh, tentunya dengan account yang punya hak khusus, tanpa setahu
Anda, account dan password tersebut disadap orang lain, kemudian server
Anda dirusak setelahnya.
Implementasi SSH yang banyak dipakai saat ini adalah OpenSSH, apliplikasi
ini telah dimasukkan ke dalam berbagai macam distribusi linux. Redhat Linux
versi 9 sudah menyediakan program tersebut dalam format RPM.
Fitur-fitur SSH
Protokol SSH menyediakan layanan sebagai berikut:
Pada saat awal terjadinya koneksi, client melakukan pengecekan
apakah host yang dihubungi sudah terdaftar pada client atau tidak.
Keamanan Komputer: Model-Model Enkripsi 42
Client mengirimkan proses autentifikasi ke server menggunakan teknik
enkripsi 128 bit.
Semua data yang dikirimkan dan diterima menggunakan teknik
enkripsi 128 bit sehingga sangat sulit untuk dibaca tanpa mengetahui
kode enkripsinya.
Client dapat mem-forwared aplikasi Xwindows / XII ke server.
2.13 Secure Socket Layer (SSL)
Secure Socket Layer (SSL) dan Transport Layer Security (TLS), merupakan
kelanjutan dari protokol kriptografi yang menyediakan komunikasi yang aman
di Internet.
Gambaran
Protokol ini mnyediakan authentikasi akhir dan privasi komunikasi di Internet
menggunakan cryptography. Dalam penggunaan umumnya, hanya server yang
diauthentikasi (dalam hal ini, memiliki identitas yang jelas) selama dari sisi
client tetap tidak terauthentikasi. Authentikasi dari kedua sisi (mutual
authentikasi) memerlukan penyebaran PKI pada client-nya. Protocol ini
mengizinkan aplikasi dari client atau server untuk berkomunikasi dengan
didesain untuk mencegah eavesdropping, [[tampering]] dan message forgery.
Baik TLS dan SSL melibatkan beberapa langkah dasar:
Negosiasi dengan ujung client atau server untuk dukungan
algoritma.
Public key, encryption-based-key, dan sertificate-based
authentication
Enkripsi lalulintas symmetric-cipher-based
Penerapan
Protocol SSL dan TLS berjalan pada layer dibawah application protocol
seperti HTTP, SMTP and NNTP dan di atas layer TCP transport protocol,
yang juga merupakan bagian dari TCP/IP protocol. Selama SSL dan TLS
dapat menambahkan keamanan ke protocol apa saja yang menggunakan TCP,
Keamanan Komputer: Model-Model Enkripsi 43
keduanya terdapat paling sering pada metode akses HTTPS. HTTPS
menyediakan keamanan web-pages untuk aplikasi seperti pada Electronic
commerce. Protocol SSL dan TLS menggunakan cryptography public-key dan
sertifikat publik key untuk memastikan identitas dari pihak yang dimaksud.
Sejalan dengan peningkatan jumlah client dan server yang dapat mendukung
TLS atau SSL alami, dan beberapa masih belum mendukung. Dalam hal ini,
pengguna dari server atau client dapat menggunakan produk standalone-SSL
seperti halnya Stunnel untuk menyediakan enkripsi SSL.
Sejarah dan pengembangan: Dikembangkan oleh Netscape, SSL versi 3.0
dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan
Transport Layer Security, sebagai protocol standart IETF. Definisi awal dari
TLS muncul pada RFC,2246 : “The TLS Protocol Version 1.0″. Visa,
MaterCard, American Express dan banyak lagi institusi finansial terkemuka
yang memanfaatkan TLS untuk dukungan commerce melalui internet. Seprti
halnya SSL, protocol TLS beroperasi dalam tata-cara modular. TLS didesain
untuk berkembang, dengan mendukung kemampuan meningkat dan kembali
ke kondisi semula dan negosiasi antar ujung.
Standar
Definisi awal dari TLS muncul dalam RFC 2246 “The TLS Protocol Version
1.0″ RFC-RFC lain juga menerangkan lebih lanjut, termasuk:
RFC 2712 : “Addition of Kerberos Chiper Suites to Transport Later
Security (TLS)” (’Tambahan dari Kerberos Cipher Suites pada
Transport Layer Security’). 40-bit ciphersuite didefinisikan dalam
memo ini muncul hanya untuk tujuan pendokumentasian dari fakta
bahwa kode ciphersuite tersebut telah terdaftar.
RFC 2817 : “Upgrading to TLS Within HTTP/1.1" (’Peningkatan
TLS dalam HTTP/1.1'), menjelaskan bagaimana penggunaan
mekanisme upgrade dalam HTTP/1.1 untuk menginisialisasi
Transport Layer Security melalui koneksi TCP yang ada. Hal ini
mengijinkan lalulintas HTTP secure dan tidak-secure untuk saling
berbagi port “populer” yang sama (dalam hal ini, http pada 80 dan
https pada 443)
Keamanan Komputer: Model-Model Enkripsi 44
RFC 2818 : “HTTP Over TLS” (’HTTP melalui TLS’),
membedakan laluintas secure dari lalulintas tidak-secure dengan
menggunakan port yang berbeda.
RFC 3268 : “AES Ciphersuites for TLS” (’AES Ciphersuite untuk
TLS’). Menambahkan ciphersuite Advanced Encryption Standard
(AES) (Standar Enkripsi Lanjut) ke symmetric cipher sebelumnya,
seperti RC2, RC4, International Data Encryption Algorithm
(IDEA) (Algorithma Enkripsi Data Internasional), Data Enryption
Standard (DES) (Standar Enkripsi Data), dan Triple DES.
2.14 Security Token
Token merupakan istilah bahasa asing untuk tanda. Security Token adalah
tanda keamanan yang diberikan oleh sebuah perusahaan untuk menjaga
keamanan datanya. Biasanya perusahaan yang menggunakan Security Token
adalah bank.
Untuk memberikan keyamanan bagi nasabah, banyak pihak perbankan
mengembangkan layanan-layanan yang memanfaatkan teknologi informasi
dan komunikasi. Layanan-layanan tersebut adalah SMS Banking, Phone
Banking dan Internet banking. Salah satu faktor penting pihak perbankan
dalam memberikann layanan-layanan ini ada jaminan terhadap seluruh
transaksi yang dilakukan agar tidak terjadi seperti yang dialami oleh salah satu
bank swasta di tahun 2001 lalu dimana situs plesetannya muncul dan
menangkap PIN penggunanya walaupun tidak disalahgunakan oleh pelakunya,
namun hal ini telah menunjukan bahwa security harus merupakan faktor
penting yang perlu diperhatikan selain tambahan fitur bagi kenyaman
pengguna.
Mungkin belajar dari pengalaman yang pernah dialami bank tersebut sehingga
saat ini semua instansi perbankan meningkatkan keamanan layanan internet
banking. Keamananan yang ditingkatkan adalah dengan menggunakan two-
factor authentication atau yang biasanya dikenal juga sebagai strong
authentication sehingga apabila kita ingin menggunakan layanan internet
banking pasti akan diberikan security token. Setiap bank memiliki security
Keamanan Komputer: Model-Model Enkripsi 45
token yang berbeda sehingga apabila kita memiliki rekening di empat bank
yang berbeda dan menggunakan layanan internet banking maka sudah bisa
dipastikan kita akan mengantongi empat Security Token.
Gambar Security Token dari Bank BNI
BAB III
PENUTUP
3.1 Kesimpulan
Dari banyaknya teknik pengamanan data tersebut, dapat disimpulkan sebagai
berikut:
1. Data Encryption Standard (DES)
standar bagi USA Government, didukung ANSI dan IETF, popular untuk
metode secret key, terdiri dari : 40-bit, 56-bit dan 3×56-bit (Triple DES)
2. Advanced Encryption Standard (AES)
untuk menggantikan DES (launching akhir 2001), menggunakan variable
length block chipper, key length : 128-bit, 192-bit, 256-bit, dapat
diterapkan untuk smart card.
3. Digital Certificate Server (DCS)
Keamanan Komputer: Model-Model Enkripsi 46
verifikasi untuk digital signature, autentikasi user, menggunakan public
dan private key, contoh : Netscape Certificate Server
4. IP Security (IPSec)
enkripsi public/private key , dirancang oleh CISCO System, menggunakan
DES 40-bit dan authentication, built-in pada produk CISCO, solusi tepat
untuk Virtual Private Network (VPN) dan Remote Network Access
5. Kerberos
solusi untuk user authentication, dapat menangani multiple
platform/system, free charge (open source), IBM menyediakan versi
komersial : Global Sign On (GSO)
6. Point to point TunnelingProtocol(PPTP)
Layer Two TunnelingProtocol (L2TP), dirancang oleh Microsoft,
autentication berdasarkan PPP(Point to point protocol), enkripsi
berdasarkan algoritm Microsoft (tidak terbuka), terintegrasi dengan NOS
Microsoft (NT, 2000, XP)
7. Remote Access Dial-in User Service (RADIUS)
multiple remote access device menggunakan 1 database untuk
authentication, didukung oleh 3com, CISCO, Ascend, tidak menggunakan
encryption
8. RSA Encryption
dirancang oleh Rivest, Shamir, Adleman tahun 1977, standar de facto
dalam enkripsi public/private key , didukung oleh Microsoft, apple, novell,
sun, lotus, mendukung proses authentication, multi platform
9. Secure Hash Algoritm (SHA)
dirancang oleh National Institute of Standard and Technology (NIST)
USA., bagian dari standar DSS(Decision Support System) USA dan
bekerja sama dengan DES untuk digital signature., SHA-1 menyediakan
160-bit message digest, Versi : SHA-256, SHA-384, SHA-512
(terintegrasi dengan AES)
10. MD5
Keamanan Komputer: Model-Model Enkripsi 47
dirancang oleh Prof. Robert Rivest (RSA, MIT) tahun 1991, menghasilkan
128-bit digest., cepat tapi kurang aman
11. Secure Shell (SSH)
digunakan untuk client side authentication antara 2 sistem, mendukung
UNIX, windows, OS/2, melindungi telnet dan ftp (file transfer protocol
12. Secure Socket Layer (SSL)
dirancang oleh Netscape, menyediakan enkripsi RSA pada layes session
dari model OSI., independen terhadap servise yang digunakan.,
melindungi system secure web e-commerce, metode public/private key
dan dapat melakukan authentication, terintegrasi dalam produk browser
dan web server Netscape.
13. Security Token,
aplikasi penyimpanan password dan data user di smart card
14. Simple Key Management for Internet Protocol
seperti SSL bekerja pada level session model OSI., menghasilkan key yang
static, mudah bobol.
3.2 Saran
Begitu banyak teknik dalam mengamankan data dan informasi yang tersimpan
pada sebuah media penyimpanan di komputer. Teknik tersebut patut
diterapkan apabila kita tidak menginginkan terjadinya resiko kehilangan data
penting. Namun, pemilihan teknik tersebut perlu dilakukan dengan cermat.
Keamanan Komputer: Model-Model Enkripsi 48
DAFTAR PUSTAKA
Aris Wendy, Ahmad SS Ramadhana, 2005. Membangun VPN Linux Secara
Cepat, Andi Yogyakarta.
http://id.wikipedia.org/wiki/Transport_Layer_Security
http://blog.re.or.id/metode-metode-enkripsi-modern.htm
http://wordpress.comSecurity Token « INterMezZo.htm
http://dumeh.wordpress.com/2008/09/13/remote-authentication-dial-in-user-
service/
http://ganingku.com/index.php
http://indrasufian.web.id/
http://id.wikipedia.org/wiki/IP_Security.htm
http://id.wikipedia.org/wiki/Kerberos.htm
Keamanan Komputer: Model-Model Enkripsi 49
http://kriptografi.multiply.com/
http://johanfirdaus.zo-ka01.com/2008/11/materi-kuliah-keamanan-komputer-
kriptografi/
http://www.skma.org
http://id.wikipedia.org/wiki/Kriptografi
http://id.wikipedia.org/wiki/MD5.htm
http://id.wikipedia.org/wiki/RADIUS.htm
http://id.wikipedia.org/wiki/RSA.htm
http://www.indorackhosting.com/kamus/ssh-atau-secure-shell.html
http://venley-venley.blogspot.com/2008/07/virtual-private-networking-
dengan.html
http://kur2003.if.itb.ac.id/file/SHA.doc
http://artikel.magnet-id.com/tanya-jawab/digital-certificate/kapan-kita-
membutuhkan-digital-certificate/
Keamanan Komputer: Model-Model Enkripsi 50
