MAKALAH COMPUTER SECURITY. Digital Signature, Key Distribution Center dan Certificate Authority

Transkripsi

1 MAKALAH COMPUTER SECURITY Digital Signature, Key Distribution Center dan Certificate Authority Nama : Ariyady Kurniawan Muchsin NIM : Konsentrasi : MSIK PROGRAM PASCA SARJANA UNIVERSITAS UDAYANA DENPASAR 2015

2 Kata Pengantar Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa karena atas segala pertolongannya makalah yang berjudul Digital Signature, Key Distribution Center dan Certificate Authority dapat terselesaikan dengan baik dan tepat waktu. Atas dukungan dan bimbingannya penulis ingin mengucapkan terima kasih kepada Bpk. I Made Arsa Suyadnya selaku dosen pengampu matakuliah computer security. Penulis menyadari bahwa tulisan ini masih jauh dari kesempurnaan, oleh sebab itu kritik maupun saran yang membangun sangat dibutuhkan oleh penulis guna menambah pengetahuan dan penyempurnaan tulisan ini. Denpasar, 20 Maret 2015 Ariyady Kurniawan Muchsin i

3 Daftar Isi Kata Pengantar... i Daftar Isi... ii Daftar Gambar... iii BAB I Pendahuluan Latar Belakang Ruang Lingkup Pembahasan Tujuan dan Manfaat Sistematika Penulisan... 2 BAB II Pembahasan Digital Signature Pengertian Digital Signature Cara Kerja Digital Signature Kelebihan dan Kekurangan Digital Signature Key Distribution Center (KDC) Kerberos Cara Kerja Kerberos Kelebihan dan Kekurangan Key Distribution Center (KDC) Certificate Authority (CA) Digital Certificate Cara Kerja Digital Certificate di Certificate Authority (CA) Kelebihan dan Kekurangan Certificate Authority (CA) BAB III Kesimpulan Daftar Pustaka ii

4 Daftar Gambar Gambar 2.1 Digital Signature... 4 Gambar 2.2 Proses pertama cara kerja keberos... 7 Gambar 2.3 Proses ke-2 cara kerja keberos... 7 Gambar 2.4 Proses ke-3 cara kerja keberos... 8 Gambar 2.5 Proses ke-4 cara kerja keberos... 8 Gambar 2.6 Proses ke-5 cara kerja keberos... 9 Gambar 2.7 Proses ke-6 cara kerja keberos... 9 Gambar 2.8 Certificate Authority (CA) dalam real society dan network society iii

5 BAB I Pendahuluan 1.1 Latar Belakang Seperti diketahui saat ini perkembangan teknologi pada bidang komunikasi yang sangat pesat telah membuat semua orang bisa terhubung satu sama lain, baik itu dalam bentuk pertukaran data, text, suara ataupun bentuk multimedia lainnya. Hal ini pun memicu terjadinya perilaku atau perbuatan illegal untuk mencuri informasi dari tingkat yang paling rendah seperti menyebarkan virus computer sampai tingkat yang paling tinggi seperti memata-matai komunikasi kepala negara, mencuri hak akses akun bank dan lain sebagainya. Untuk itu dibutuhkan cara-cara untuk mengantisipasi serangan-serangan tersebut sehingga pertukaran data dan informasi dapat memenuhi aspek-aspek keamanannya yaitu proteksi terhadap data pribadi (Privacy/confidentiality), dapat dipercaya (Integrity), terjamin keasliannya (Authenticity), tersedia ketika dibutuhkan (Availability), tidak dapat disangkal (Non-repudiation) dan mempunyai access control terhadap informasi tersebut [1]. Beberapa metode atau mekanisme untuk mengamankan jaringan komunikasi tersebut yang pertama ialah digital signature yang memanfaatkan dua buah kunci yaitu kunci public dan kunci private (asymmetric keys) untuk melakukan enkripsi dan dekripsi dalam pertukaran data, yang kedua ialah key distribution center atau sering disingkat dengan KDC merupakan pihak ketiga yang terpercaya, KDC sendiri menyimpan database yang berisi kunci rahasia dari setiap entitas pada jaringan baik pengguna maupun server. Kunci rahasia ini berfungsi untuk membuktikan identitas entitas yang hanya diketahui oleh pembuatnya sendiri dan KDC [2], yang ketiga ialah certificate authority atau sering disingkat dengan CA adalah sebuah entitas yang mengeluarkan sertifikat digital yang memastikan apakah sebuah public key itu benar dimiliki oleh yang bersangkutan, sertifikat tersebut harus melalui autentifikasi oleh pihak yang terpercaya. 1.2 Ruang Lingkup Pembahasan Tulisan ini mencakup beberapa pembahasan yaitu digital signature, key distribution center, dan certificate authority dimana masing-masing bagian akan dibahas tentang pengertian, cara kerja, kelebihan serta kekurangannya. 1

6 1.3 Tujuan dan Manfaat Tujuan penulisan makalah ini ialah memberikan rangkuman pembahasan tentang digital signature, key distribution center, dan certificate authority dalam pengamanan system computer. Adapun manfaat dari penulisan makalah ini ialah menambah pemahaman lebih mendalam tentang digital signature, key distribution center, dan certificate authority dalam pengamanan system computer. 1.4 Sistematika Penulisan BAB I : Merupakan pendahuluan yang berisi tentang latar belakang, ruang lingkup pembahasan tujuan dan manfaat, serta sistematika penulisan. BAB II : Merupakan pembahasan tentang digital signature, key distribution center, dan certificate authority. BAB III : Merupakan kesimpulan dari bab sebelumnya. Daftar Pustaka : Merupakan refrensi dari penulian makalah ini. 2

7 BAB II Pembahasan 2.1 Digital Signature Tanda tangan sudah sering dipergunakan untuk membuktikan keotentikan sebuah dokumen. Sehingga, dengan dokumen yang ditandatangani, dokumen menjadi sulit untuk diubah oleh pihak lain. Tidak hanya pada dokumen, namun juga pada dokumen digital. Tanda tangan pada dokumen digital disebut digital signature[3] Pengertian Digital Signature Digital signature adalah salah satu teknologi yang digunakan untuk meningkatkan keamanan jaringan computer. Berfungsi sebagai penanda pada data yang memastikan bahwa data tersebut adalah data yang sebenarnya(tidak ada yang berubah)[4]. Tanda tangan digital ini memiliki karakteristik atau sifat, yaitu : 1. Otentik, dapat dijadikan alat bukti di peradilan (kuat). 2. Hanya sah untuk dokumen (pesan) itu saja, atau kopinya. Dokumen berubah satu titik, tanda tangan jadi invalid. 3. Dapat diperiksa dengan mudah oleh siapapun, bahkan oleh orang yang belum pernah bertemu (dengan sertifikat digital tentunya) Cara Kerja Digital Signature Prinsip yang digunakan dalam tanda tangan digital ini adalah data yang dikirimkan harus ditanda tangani oleh pengirim dan tanda tangan bisa diperiksa oleh penerima untuk memastikan keaslian data yang dikirimkan. Proses ini menganalogikan proses penandatangnan dokumen kertas oleh yang berwenang sebelum dikirimkan, dengan cara ini pengirim bertanggung jawab terhadap isi dokumen dan dapat dicek keaslian dokumen oleh penerima. 3

8 Gambar 2.1 Digital Signature Secara digital proses tersebut dapat dilihat pada gambar 2.1 adalah sebagai berikut : 1. Tahap pertama (user A) yaitu mendapatkan message diggest dari pesan dengan menggunakan fungsi hash satu arah. Tahap kedua yaitu melakukan enkripsi terhadap message diggest yang telah didapatkan dengan menggunakan kunci privat pemilik dokumen. Dari hasil tahap kedua, didapatkan tanda tangan digital dari dokumen. Maka pengirim akan melakukan pengiriman dokumen serta tanda tangannya pada user B. 2. Tahap pertama yaitu melakukan dekripsi terhadap tanda tangan digital dengan menggunakan kunci publik pengirim untuk mendapatkan message diggest yang tersembunyi di dalamnya. Tahap kedua yaitu menggunakan fungsi hash satu arah terhadap pesan yang dikirim untuk mendapatkan message diggest. Maka verifikasi dilakukan dengan membandingkan kedua message diggest yang didapatkan. Bila keduanya ternyata sama, maka dapat dipastikan bahwa dokumen masih otentik (asli). Sebaliknya, bila hasilnya ternyata berbeda, berarti pesan sudah tidak asli lagi. Konsep ini juga dikenal sebagai assymmetric cryptosystem (sistem kriptografi non simetris). Sistem kriptografi ini menggunakan kunci privat, yang hanya diketahui oleh penandatangan dan digunakan untuk membentuk tanda tangan digital, serta kunci publik, yang digunakan untuk verifikasi tanda tangan digital. Jika beberapa orang ingin memverifikasi suatu tanda tangan digital yang dikeluarkan oleh seseorang, maka kunci publik tersebut harus 4

9 disebarkan ke orang-orang tersebut. Dan perlu dicatat ialah kunci privat tidak dapat ditemukan menggunakan informasi yang didapat dari kunci publik Kelebihan dan Kekurangan Digital Signature Kelebihan dari digital signature[4] : Pada masalah , penerapan digital signature adalah penerima dijamin bahwa pesan yang diterima dari pengirim yang dimaksudadalah benar/valid dan tidak berubah. Pada masalah pengiriman untuk penerapan digital signature adalah keamanan dan otentifikasi dari paket akan lebih terjaga. Pada masalah identitas untuk penerapan digital signatureadalah membuat pengguna internet lebih praktis dalam register pada webaplikasi. Penggunaan dari digital signature lebih aman daripada menggunakanpassword, serta isi dari informasi lebih terjaga. Kekurangan digital signature [4]: Kekurangan pada masalah untuk penerapan digital signature adalahadanya penambahan bit pada pesan. Kekurangan pada masalah pengiriman untuk penerapan digital signatureadalah butuh komputasi yang cepat dan penambahan bit pada pesan. Kekurangan pada masalah identitas untuk penerapan digital signatureadalah masih membutuhkan prosedur dari web portal identitas untukmenerapkan sistem tersebut. Dalam penggunaan sistem ini adalah membutuhkan prosedur dari sistemluar dan harus menambahkan beberapa bit sebagai tanda-tangan padapesan, tetapi kekurangan tersebut tidak terlalu berarti 2.2 Key Distribution Center (KDC) Key Distribution Center (KDC) merupakan pihak ketiga yang terpercaya, KDC menyimpan database yang berisi kunci rahasia dari setiap entitas pada jaringan baik pengguna maupun server. Kunci rahasia ini berfungsi untuk membuktikan identitas entitas yang hanya diketahui oleh pembuatnya sendiri dan KDC [2]. KDC sendiri merupakan gabungan dari Kerberos servers dengan database principal yang akan dibahas berikutnya. 5

10 2.2.1 Kerberos Kerberos dirancang untuk menyediakan strong authentificationuntuk aplikasi client/server menggunakan kombinasi secret key dan public key cryptography. Pertukaran autentifikasi kerberos ini dikembangkan oleh Massachussetts Institue of Technology (MIT). Kerberos menggunakan sebuah server pusat yang disebut trusted server yang bertindak sebagai sebuah pihak ketiga yang dipercaya untuk mengotentifikasi user dan mengendalikan akses terhadap sumber data jaringan. Jadi, Server tidak perlu mengurusi account user karena Client dan Server sudah mempercayakan autentifikasi pada kerberos. Kerberos tidak pernah mentransmisikan password di dalam jaringan, terlepas dari apakah password sudah dienkripsi atau tidak. Kerberos menggunakan kunci cryptographic yang disebut tickets untuk mengendalikan akses terhadap sumber daya server jaringan Cara Kerja Kerberos Enkripsi kerberos menggunakan algoritma kunci simetris sebagai contoh DES (Data Encryption Standard) dan AES (Advanced Encryption Standard) dimana algoritma ini bekerja relative cepat karena penggunaan kunci yang sama saat enkripsi dan dekripsi. Protokol Kerberos memiliki tiga subprotokol agar dapat melakukan aksinya: Authentication Service (AS) Exchange: yang digunakan oleh Key Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada klien dan membuat kunci sesi logon. Ticket-Granting Service (TGS) Exchange: yang digunakan oleh KDC untuk mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya. Client/Server (CS) Exchange: yang digunakan oleh klien untuk mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan. Berikut ini cara kerja Kerberos. 1. Client membuat request kepada Authentication Server, meminta untuk mengotentikasi dirinya terhadap server Request diberi digital signature oleh client yang dienkripsi dengan menggunakan private key client (digitally signed client request). 6

11 Gambar 2.2 Proses pertama cara kerja keberos 2. Client meng-enkripsi digitally signed request menggunakan public key dari server Kerberos. Gambar 2.3 Proses ke-2 cara kerja keberos 3. Client mengirimkan digitally signed and encrypted request ke server Kerberos Server Kerberos men-dekripsi request menggunakan private key-nya dan meng-otentikasi pengirim request dengan cara mem-verifikasi digital signature pengirim menggunakan public key pengirim request Server Kerberos memiliki database yang berisi seluruh public keys dari authorized users sehingga server Kerberos tidak perlu mengandalkan pengirim ataupun pihak ketiga untuk memverifikasi public key pengirim Jika server Kerberos tidak memiliki public key pengirim request di dalam database-nya, maka digital signature tidak dapat diverifikasi Demikian juga bila server Kerberos tidak memiliki public key pengirim request maka pengirim bukanlah seorang authorized user jaringan, sehingga request-nya akan ditolak 7

12 Gambar 2.4 Proses ke-3 cara kerja keberos 4. Jika server Kerberos telah menerima request dan mengotentifikasi identitas pengirim request, maka server memverifikasi bahwa client memiliki otorisasi untuk mengakses sumber daya jaringan yang diminta Jika Kerberos telah menentukan bahwa client memiliki otoritas untuk mengakses server payroll, maka server Kerberos akan mengirimkan session ticket yang sama baik kepada client maupun ke server payroll Untuk mengirimkan session ticket kepada client, server Kerberos meng-enkripsi-nya menggunakan public key dari client Untuk mengirimkan session ticket ke server payroll, server Kerberos menggunakan public key server payroll Ketika menerima encrypted session ticket, baik client maupun server payroll akan mendekripsi-nya menggunakan private keys masing-masing Session ticket bisa di-tandatangani pula oleh server Kerberos untuk mencegah adanya ticket palsu yang dikirimkan ke client maupun ke sumber daya jaringan Gambar 2.5 Proses ke-4 cara kerja keberos 8

13 5. Client kemudian mengirimkan copy dari ticket-nya ke server payroll Sebelum mengirimkan ticket, client mengenkripsi ticket menggunakan public key server payroll Gambar 2.6 Proses ke-5 cara kerja keberos 6. Ketika menerima ticket yang di-enkripsi dari client, server akan mendekripsi ticket menggunakan private key server Server payroll kemudian membandingkan ticket yang diterima dari client dengan ticket yang berasal dari server Kerberosserver Jika ticket sesuai (match) maka client akan diperbolehkan untuk terhubung ke server Jika ticket tidak sesuai maka client akan ditolak Setelah koneksi terbentuk, sistem dapat meng-enkripsi komunikasi menggunakan session key atau public key dari client atau tidak menggunakan enkripsi sama sekali Gambar 2.7 Proses ke-6 cara kerja keberos Kelebihan dan Kekurangan Key Distribution Center (KDC) Kelebihan Key Distribution Center (KDC) : Mudah menambahkan user baru pada KDC. Jika seorang user ter-compromised, maka tidak semua node akan tercompromised. Kekurangan Key Distribution Center (KDC) : 9

14 KDC bisa memalsukan jati diri orang lain. Performa KDC bisa berkurang jika pada waktu yang bersamaan banyak user yang berhubungan dengan KDC. 2.3 Certificate Authority (CA) Certification Authority (CA) adalah pihak ketiga terpercaya yang tanda tangannya pada sertifikat digital menjamin keabsahan public key yang dimiliki oleh entitas tertentu Digital Certificate Tujuan utama dari sertifikat digital adalah untuk memastikan bahwa kunci publik yang terkandung dalam sertifikat milik entitas yang diterbitkan sertifikat[5]. Digital Certificate atau Sertifikat Digital digunakan untuk memastikan apakah public key itu benar-benar milik orang yang bersangkutan. Agar sertifikat tersebut dipercaya, sertifikat tersebut harus ditandatangani oleh pihak terpercaya yang disebut dengan Certificate Authority (CA). Salah satu contoh Certificate Authority adalah Verisign dan Thawte[6]. Sertifikat digital berisi informasi sebagai berikut: - nama subjek (perusahaan/individu yang disertifikasi) - kunci publik si subjek - waktu kadaluarsa sertifikat (expired time) - informasi relevan lain seperti nomor seri sertifikat, dll Cara Kerja Digital Certificate di Certificate Authority (CA) CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA), lalu menandatangani nilai hash tersebut dengan menggunakan kunci privat CA. Contoh sebuah sertifikat digital: Bob membawa kunci publiknya dan mendatangi CA untuk meminta sertifikat digital. CA mengeluarkan sertifikat digital dan menandatangani sertifikat tersebut dengan cara mengenkripsi nilai hash dari kunci publik Bob (atau nilai hash dari sertifikat digital keseluruhan) dengan menggunakan kunci privat CA. Supaya sertifikat digital itu dapat diverifikasi (dicek kebenarannya), maka kunci publik CA harus diketahui secara luas. Seseorang yang memiliki kunci publik CA dapat memverifikasi bahwa tanda tangan di dalam suatu sertifikat itu sah dan karena itu mendapat jaminan bahwa kunci public di dalam sertifikat itu memang benar[6]. 10

15 Sertifikat digital sendiri tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories. Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat. Bob mungkin meletakkan sertifikat tersebut di dalam homepage-nya, dengan link ke halaman web yang menyatakan: Klik ini untuk melihat sertifikat kunci publikku. Hasil klik akan memperlihatkan sertifikat digital dan tandatangan dari CA. Misalkan Alice mengakses homepage Bob untuk mendapatkan kunci publik Bob. Misalkan Carol berhasil memintas (ineterception) request Alice (client) ke homepage Bob (server), sehingga request tersebut masuk ke homepage Bob palsu (yang dibuat oleh Carol) (Tujuan memintas adalah agar Alice mengira Carol adalah Bob, sehingga Carol dapat memperoleh informasi rahasia dari Alice, misalnya kunci). Carol sudah meletakkan sertifikat digitalnya di dalam halaman web palsu, tapi jika Alice membaca sertifikat tersebut dia langsung paham bahwa dirinya sedang tidak berkomunikasi dengan Bob asli karena identitas Bob tidak terdapat di dalam sertifikat tersebut. Misalkan lagi Carol berhasil mengubah homepage Bob, mengganti kunci publik Bob di dalam sertifikat digital dengan kunci publiknya. Tetapi, jika Alice meng-hash sertifikat digital tersebut, dia memperoleh nilai hash yang tidak sama dengan nilai hash yang dihasilkan jika tandatangan digital diverifikasi dengan kunci publik CA. Karena Carol tidak mempunyai kunci privat CA, maka Carol tidak dapat membangkitkan tanda-tangan digital dari sertifikat Bob yang sudah diubah tersebut. Dengan cara ini, Alice dapat meyakini bahwa dia memiliki kunci publik Bob dan bukan kunci publik Carol. Lagipula, skema ini juga tidak membutuhkan CA harus online untuk melakukan verifikasi. 11

16 Gambar 2.8 Certificate Authority (CA) dalam real society dan network society Kelebihan dan Kekurangan Certificate Authority (CA) Kelebihan Certificate Authority (CA) : CA tidak harus on-line. Terlebih lagi root CA, biasanya selalu off-line. Kenapa? Karena hanya dibutuhkan untuk proses signing certificate satu kali saja. Kalau CA mengalami crash, maka user masih bisa bertransaksi. Hanya saja, tidak bisa ada pendaftaran user baru. Penempatan certificate tidak perlu penempatan yang sangat secure. CA yang tercompromised, tetap tidak bisa mendekripsi pesan yang pernah dipertukarkan oleh user-usernya. Kekurangan Certificate Authority (CA) : Memeiliki masa expired yang harus diupdate secara terus menerus. CA yang tidak trusted, bisa memalsukan jati diri orang lain. Dalam multiple CA, bisa terjadi monopoli dan bisa terjadi penurunan kepercayaan dalam chain of trust yang panjang 12

17 BAB III Kesimpulan 1. Digital signature, key distribution center, dan certificate authority merupakan metodemetode untuk melakukan pengamanan terhadap pertukaran data sehingga aspek-aspek yang menjadi keamanan sistem computer yaitu proteksi terhadap data pribadi (Privacy/confidentiality), dapat dipercaya (Integrity), terjamin keasliannya (Authenticity), tersedia ketika dibutuhkan (Availability), tidak dapat disangkal (Non-repudiation) dan mempunyai access control dapat terlaksana dengan baik. 2. Dalam proses pengamanan data atau suatu infromasi digital signature memanfaatkan dua buah kunci yaitu kunci public dan kunci private (asymmetric keys) untuk melakukan enkripsi dan dekripsi dalam pertukaran data. 3. Dalam proses pengamanan data atau suatu infromasi key distribution center (KDC) menyimpan database yang berisi kunci rahasia dari setiap entitas pada jaringan baik pengguna maupun server. Kunci rahasia ini berfungsi untuk membuktikan identitas entitas yang hanya diketahui oleh pembuatnya sendiri dan KDC. 4. Salah satu penerepan KDC ialah Kerberos yang dirancang untuk menyediakan strong authentification untuk aplikasi client/server menggunakan kombinasi secret key dan public key cryptography. Kerberos menggunakan sebuah server pusat yang disebut trusted server yang bertindak sebagai sebuah pihak ketiga yang dipercaya untuk mengotentifikasi user dan mengendalikan akses terhadap sumber data jaringan. Jadi, Server tidak perlu mengurusi account user karena Client dan Server sudah mempercayakan autentifikasi pada kerberos. Kerberos tidak pernah 4. Dalam proses pengamanan data atau suatu infromasi certificate authority (CA) adalah sebuah entitas yang mengeluarkan sertifikat digital yang memastikan apakah sebuah public key itu benar dimiliki oleh yang bersangkutan. 13

18 Daftar Pustaka [1] Jhon E. Canavan Fundamental of Network Security. [2] repository.usu.ac.id/bitstream/ /31207/3/chapter%20ii.pdf (diakses tanggal 20 maret jam 19:50) [3] Igor Bonny Tua Panggabean Penggunaan Digital Signature untuk Autentikasi pada Kartu Tanda Penduduk Jurusan Teknik Informatika ITB, Bandung 2008 [4] (di akses tanggal 20 maret 2015 jam 20:20) [5] (di akses tanggal 20 maret 2015 jam 23:18) [6] Ir. Rinaldi Munir, M.T Public Key Infrastructure (PKI) Departemen Teknik Informatika Institut Teknologi Bandung [7] (diakses tanggal 21 maret jam 15:40) 14