ANALISIS KUALITATIF VULNERABILITY SISTEM E-VOTING PILKADA KOTA BOGOR MENGGUNAKAN ATTACK TREES KODARSYAH

Transkripsi

1 ANALISIS KUALITATIF VULNERABILITY SISTEM E-VOTING PILKADA KOTA BOGOR MENGGUNAKAN ATTACK TREES KODARSYAH SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR BOGOR 2014

2

3 PERNYATAAN MENGENAI TESIS DAN SUMBER INFORMASI SERTA PELIMPAHAN HAK CIPTA Dengan ini saya menyatakan bahwa tesis berjudul Analisis Kualitatif Vulnerability Sistem E-Voting Pilkada Kota Bogor menggunakan Attack Trees adalah benar karya saya dengan arahan dari komisi pembimbing dan belum diajukan dalam bentuk apa pun kepada perguruan tinggi mana pun. Sumber informasi yang berasal atau dikutip dari karya yang diterbitkan maupun tidak diterbitkan dari penulis lain telah disebutkan dalam teks dan dicantumkan dalam Daftar Pustaka di bagian akhir tesis ini. Dengan ini saya melimpahkan hak cipta dari karya tulis saya kepada Institut Pertanian Bogor. Bogor, Februari 2014 Kodarsyah NIM G

4 ABSTRACT KODARSYAH. Vulnerability Analysis of E-Voting System Pilkada Kota Bogor using Attack Trees. Under direction of SUGI GURITMAN and HENDRA RAHMAWAN. Conventional elections process had some weakness such as double voting and the length of time recapitulation. Furthermore that cost s and relatively large resources. E-voting is one alternative to replace election. The main of problem in e-voting is safety factor, therefore be required a good method for identification and vulnerability analysis. Attack trees give way to simplify the task of vulnerability analysis. Purpose of this research is doing vulnerability analysis in e-voting system pilkada in bogor city. This research include the description of e- voting system pilkada in bogor city, defining secure voting requirement and vulnerability analysis to the components of the e-voting system using the method of attack trees. This analysis oriented e-voting special attack that aims to influence outcome of the election is not to sabotage election. Qualitative analysis results showed that there is a vulnerability in the e-voting system Bogor city pilkada election. Keyword: attack trees, elections, e-voting, vulnerability

5 RINGKASAN KODARSYAH. Analisis Kualitatif Vulnerability Sistem E-Voting Pilkada Kota Bogor menggunakan Attack Trees. Dibimbing oleh SUGI GURITMAN dan HENDRA RAHMAWAN. Proses pemilihan umum (pemilu) secara konvensional mempunyai beberapa kelemahan seperti pemilih ganda dan lamanya waktu rekapitulasi suara. Selain itu pemilu konvensional memerlukan biaya dan sumber daya yang relatif besar. E- voting merupakan salah satu alternatif untuk menggantikan pemilu konvensional. Pelaksanaan e-voting di Indonesia telah diterapkan dalam pemilihan kepala dusun di kabupaten Jembrana, Bali pada tahun 2009, dalam pilkades di Boyolali, Jateng pada bulan Maret 2013, dan dalam pilkada Bantaeng, Sulsel pada bulan April Permasalahan utama yang dihadapi dalam e-voting adalah terkait dengan faktor keamanan, oleh karena itu diperlukan metode yang baik untuk identifikasi dan analisis vulnerability agar dapat membantu analis keamanan untuk memahami cara menyerang dan letak kelemahan dari sistem e-voting, sehingga dapat ditentukan penanggulangan yang mungkin diperlukan untuk menggagalkan serangan. Attack trees memberikan cara untuk menyederhanakan tugas analisis vulnerability. (Kusumah 2011), (Prayatna 2011), dan (Priyanggodo 2012) melakukan penelitian dengan mendesian e-voting pilkada Kota Bogor menggunakan protokol Two Central Facilities yang dimodifikasi. Sistem ini telah diterapkan pada pemilihan Ketua RW 02, Kelurahan Cipaku, Kecamatan Bogor Selatan, Kota Bogor pada bulan Juni Tujuan dari penelitian ini adalah untuk melakukan analisis vulnerability pada sistem e-voting pilkada Kota Bogor secara kualitatif. Hasil yang diharapkan dari penelitian ini adalah untuk memudahkan dalam analisis keamanan agar sistem e-voting pilkada Kota Bogor dapat menjadi salah satu alternatif untuk menggantikan pemilihan umum secara konvensional. Penelitian ini meliputi pendeskripsian sistem e-voting pilkada Kota Bogor, pendefinisian secure voting requirment dan analisis vulnerability terhadap komponen-komponen sistem e- voting menggunakan metode attack trees. Analisis ini berorientasi pada serangan khusus e-voting yaitu serangan yang bertujuan untuk mempengaruhi hasil pemilu bukan untuk menggagalkan pemilu. Serangan khusus e-voting meliputi serangan pencurian suara dan serangan pencabutan suara. Serangan pencurian suara memiliki tiga kemungkinan yaitu pemilih yang tidak memenuhi syarat dapat memilih, pemilih yang memenuhi syarat dapat memilih lebih dari sekali dan menambah atau menghapus suara kandidat. Kemungkinan serangan pencabutan suara yaitu pemilih yang memenuhi syarat tidak dapat memilih. Hasil analisis menunjukan bahwa sistem e-voting pilkada Kota Bogor tidak aman dengan penggunaan mifare card sebagai alat otentikasi, penggunaan VPN PPTP untuk mengamankan pertukaran data dan terdapat vulnerability pada database server. Kata kunci: attack trees, pemilihan umum, e-voting, vulnerability

6 Hak Cipta Milik IPB, Tahun 2014 Hak Cipta Dilindungi Undang-Undang Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan atau menyebutkan sumbernya. Pengutipan hanya untuk kepentingan pendidikan, penelitian, penulisan karya ilmiah, penyusunan laporan, penulisan kritik, atau tinjauan suatu masalah; dan pengutipan tersebut tidak merugikan kepentingan IPB Dilarang mengumumkan dan memperbanyak sebagian atau seluruh karya tulis ini dalam bentuk apa pun tanpa izin IPB

7 ANALISIS KUALITATIF VULNERABILITY SISTEM E-VOTING PILKADA KOTA BOGOR MENGGUNAKAN ATTACK TREES KODARSYAH Tesis sebagai salah satu syarat untuk memperoleh gelar Magister Sains pada Program Studi Ilmu Komputer SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR BOGOR 2014

8 Penguji Luar Komisi pada Ujian Tesis: Dr Heru Sukoco, SSi MT

9 Judul Tesis : Analisis Kualitatif Vulnerability Sistem E-Voting Pilkada Kota Bogor menggunakan Attack Trees Nama : Kodarsyah NIM : G Disetujui oleh Komisi Pembimbing Dr Sugi Guritman Ketua Hendra Rahmawan, SKom MT Anggota Diketahui oleh Ketua Program Studi Ilmu Komputer Dekan Sekolah Pascasarjana Dr Wisnu Ananta Kusuma, ST MT Dr Ir Dahrul Syah, MScAgr Tanggal Ujian: 22 November 2013 Tanggal Lulus:

10

11 PRAKATA Puji dan syukur penulis panjatkan kepada Allah subhanahu wa ta ala atas segala karunia-nya sehingga karya ilmiah ini berhasil diselesaikan. Tema yang dipilih dalam penelitian yang dilaksanakan sejak bulan Juni 2013 ini ialah keamanan e-voting, dengan judul Analisis Kualitatif Vulnerability Sistem E- Voting Pilkada Kota Bogor menggunakan Attack Trees. Penulis mengucapkan terima kasih yang sebesar-besarnya kepada: 1. Isteriku Realilah dan Ananda Fathur Rahman, Zahra Arrela dan Ainiya Faida Azmi. 2. Ibunda Hj Maesaroh, Ayahanda H E Kosasih (alm), dan seluruh keluarga. 3. Dr Sugi Guritman dan Hendra Rahmawan, SKom MT selaku ketua dan anggota komisi pembimbing. 4. Dr Wisnu Ananta Kusuma, ST MT selaku ketua Program Studi Ilmu Komputer IPB. 5. Dr Heru Sukoco, SSi MT selaku dosen penguji. 6. Dr Tri Widiyanto beserta staf Pusat Penelitian Limnologi LIPI. 7. Dr Yogi Sirodz Gaos, Ir MT beserta staf Fakultas Teknik, UIKA Bogor. 8. Ir Budi Susetyo, MScIT beserta staf Program Studi Teknik Informatika, Fakultas Teknik, UIKA Bogor. 9. Pak Yadi, Ibu Nining selaku TU di Program Studi Ilmu Komputer IPB. 10. Rekan-rekan seperjuangan angkatan XII S2 Ilmu Komputer IPB (Ami, Andi, Anna, Asep, Dedi, Dian, Fikri, Ghani, Gibtha, Husna, Ilyas, Imam, Irwan, Kania, Komar, Mila, Prita, Safar, Sari, Verra, Yudith, Yustin) 11. Semua pihak yang tidak dapat disebutkan satu persatu. Semoga karya ilmiah ini bermanfaat. Bogor, Februari 2014 Kodarsyah

12 RIWAYAT HIDUP Penulis dilahirkan di Garut pada tanggal 5 Januari 1971 sebagai anak terakhir dari ayah H E Kosasih dan ibu Hj Maesaroh. Penulis mempunyai 6 kakak yaitu Iis Suryati, Memet Slamet, Iyar Suminar, Ridwan, Maeda Ningrum, Deni Mauludin. Tahun 1990 penulis lulus SMAN 2 Bogor dan pada tahun yang sama penulis melanjutkan pendidikan strata satu (S1) di Sekolah Tinggi Manajemen Informatika dan Komputer Gunadarma Jakarta Jurusan Manajemen Informasi. Pada tahun 2010 penulis melanjutkan studi Pascasarjana Program Studi Magister Ilmu Komputer Institut Pertanian Bogor. Penulis saat ini bekerja di Pusat Penelitian Limnologi LIPI dan Program Studi Teknik Informatika, Fakultas Teknik, Universitas Ibn Khaldun Bogor.

13 DAFTAR ISI Halaman PENDAHULUAN Latar Belakang Tujuan Penelitian Manfaat Penelitian Ruang Lingkup Penelitian... 2 TINJAUAN PUSTAKA Pemilihan Umum (Pemilu) Pemungutan Suara E-Voting Protokol Two Central Facilities Keamanan Komputer Attack Tree... 8 METODOLOGI PENELITIAN Deskripsi Sistem E-Voting Pilkada Kota Bogor Definisi Secure Voting Requirements Definisi Vulnerability dan Serangan Khusus Penerapan Attack Tree Analisis Vulnerability Waktu dan Tempat Penelitian HASIL DAN PEMBAHASAN Deskripsi Sistem E-Voting Pilkada Kota Bogor Secure Voting Requirements Vulnerability dan Serangan Khusus Sistem E-Voting Penerapan Attack Tree untuk Sistem E-Voting Analisis Vulnerability SIMPULAN DAN SARAN Simpulan Saran DAFTAR PUSTAKA LAMPIRAN... 34

14 DAFTAR GAMBAR Halaman 1. Skema pemilihan Two Central Facilities (Sireesha & Hakchai 2005) Attack tree Metodologi penelitian Komponen sistem e-voting Skema pemilihan dengan Two Central Facilities dimodifikasi (Kusumah 2011) Potensi serangan pada sistem e-voting Serangan e-voting Serangan pencurian suara Serangan pencabutan suara Potensi serangan pencurian suara Potensi serangan pencabutan suara...30 DAFTAR LAMPIRAN Halaman 1. Tabel kebenaran sistem e-voting pilkada Kota Bogor Diagram alir otentikasi card identity pada CLA (Prayanta 2011) Diagram alir proses pemilihan kandidat (Kusumah 2011) Diagram alir pengiriman kunci simetris AES dari CTF (Priyanggodo 2012) Diagram alir pengiriman hasil suara mesin voting ke CTF (Priyanggodo 2012)... 40

15 1 PENDAHULUAN 1.1 Latar Belakang Pemilihan Umum (Pemilu) adalah sarana pelaksanaan kedaulatan rakyat yang diselenggarakan secara langsung, umum, bebas, rahasia, jujur, dan adil dalam Negara Kesatuan Republik Indonesia berdasarkan Pancasila dan Undang- Undang Dasar Negara Republik Indonesia Tahun Pemilihan umum di Indonesia masih dilakukan secara konvensional. Proses pemilihan umum secara konvensional tersebut mempunyai beberapa kelemahan seperti pemilih ganda, penggelembungan suara dan pengumpulan kartu suara yang berjalan lambat serta lamanya waktu rekapitulasi suara. Cara konvesional ini juga memerlukan biaya dan sumber daya yang relatif besar. Pemungutan suara secara elektronik dengan memanfaatkan teknologi elektronik (e-voting) saat ini dapat menjadi salah satu alternatif untuk menggantikan pemilihan umum secara konvensional. Permasalahan utama yang dihadapi dalam e-voting adalah terkait dengan faktor keamanan. Oleh karena itu, sistem e-voting harus memenuhi secure voting requirements yang dipaparkan oleh (Schneier 1996), agar sistem e-voting dapat berjalan dengan baik dan diterima oleh masyarakat. Beberapa penelitian terdahulu yang terkait dengan topik sistem keamanan e- voting diantaranya adalah (Sireesha & Chakchai 2005) melakukan penelitian dengan memodifikasi protokol secure election dengan Two Central Facilities. Protokol ini dipilih karena termasuk protokol yang paling memenuhi sebagian besar persyaratan untuk menjalankan secure election dan memiliki tingkat keamanan yang paling tinggi dibandingkan protokol-protokol lain yang dijelaskan oleh (Schneier 1996). Penelitian ini mengembangkan protokol Central Legitimization Agency (CLA) dan Central Tabulating Facility (CTF) dengan mengkombinasikan kunci publik/simetris dan fungsi hashing. Selanjutnya (Kusumah 2011) dan (Prayatna 2011) mengembangkan penelitian Sireesha & Chakchai dengan mendesian e-voting pilkada Kota Bogor menggunakan protokol Two Central Facilities yang dimodifikasi dan penggunaan media mifare smart card untuk otentikasi voter pada server Central Legitimization Agency (CLA).

16 2 Sistem ini telah diterapkan pada pemilihan Ketua RW 02, Kelurahan Cipaku, Kecamatan Bogor Selatan, Kota Bogor pada bulan Juni Sistem ini diharapkan dapat digunakan sebagai alternatif untuk pilkada Kota Bogor, menggantikan pemilu konvensional. Oleh karena itu diperlukan metode yang baik untuk identifikasi dan analisis vulnerability pada sistem e-voting, agar analis keamanan dapat memahami cara dan dimana sistem e-voting dapat diserang, sehingga dapat ditentukan penanggulangan yang mungkin diperlukan untuk menggagalkan serangan. Attack trees memberikan cara untuk menyederhanakan tugas analisis vulnerability. 1.2 Tujuan Penelitian Tujuan dari penelitian ini adalah untuk melakukan analisis vulnerability pada sistem e-voting pilkada Kota Bogor secara kualitatif. Hasil yang diharapkan dari penelitian ini adalah untuk memudahkan dalam analisis keamanan. 1.3 Manfaat Penelitian Membantu analis keamanan untuk memahami cara menyerang dan letak kelemahan dari sistem e-voting, sehingga dapat ditentukan penanggulangan yang mungkin diperlukan untuk menggagalkan serangan. 1.4 Ruang Lingkup Penelitian Ruang lingkup penelitian ini adalah analisis vulnerability terhadap komponen-komponen sistem e-voting berdasarkan serangan khusus e-voting menggunakan attack trees.

17 3 TINJAUAN PUSTAKA 2.1 Pemilihan Umum (Pemilu) Peraturan tertinggi mengenai pemilu diatur dalam Undang-Undang Dasar (UUD) 1945 hasil amandemen. Pemilu secara tegas diatur pada UUD 1945 perubahan III, bab VIIB tentang Pemilihan Umum, pasal 22E. Pemilihan umum dilaksanakan secara langsung, umum, bebas, rahasia, jujur, dan adil setiap lima tahun sekali. Pemilihan umum diselenggarakan untuk memilih anggota Dewan Perwakilan Rakyat (DPR), Dewan Perwakilan Daerah (DPD), Presiden dan Wakil Presiden dan Dewan Perwakilan Rakyat Daerah (DPRD). 1. Peserta pemilihan umum untuk memilih anggota DPR dan anggota DPRD adalah partai politik. 2. Peserta pemilihan umum untuk memilih anggota DPD adalah perseorangan. 3. Pemilihan umum diselenggarakan oleh suatu komisi pemilihan umum yang bersifat nasional, tetap, dan mandiri. 4. Ketentuan lebih lanjut tentang pemilihan umum diatur dengan undang-undang. Pada Undang-Undang Nomor 8 Tahun 2012 Tentang Pemilihan Umum Anggota DPR, DPD, dan DPRD dinyatakan pemilihan umum secara langsung oleh rakyat merupakan sarana perwujudan kedaulatan rakyat guna menghasilkan pemerintahan negara yang demokratis berdasarkan Pancasila dan UUD Pemilu di Indonesia menganut asas langsung, umum, bebas, rahasia, jujur, dan adil. 2.2 Pemungutan Suara Pemungutan suara (voting) adalah salah satu tahap pelaksanaan pemilihan umum. Secara umum, di banyak negara, pemungutan suara dilaksanakan secara rahasia pada tempat yang khusus dipersiapkan untuk pelaksanaan pemungutan suara. Proses pemungutan suara di Indonesia masih menggunakan cara manual, yaitu menggunakan kertas suara. Berikut ini adalah urutan proses pada saat pemungutan suara di Indonesia.

18 4 1. Calon pemilih datang ke Tempat Pemungutan Suara (TPS). TPS adalah tempat melakukan pemungutan suara yang disediakan oleh panitia pemilihan umum. 2. Calon pemilih memberikan kartu pemilih. Kartu pemilih ini digunakan sebagai tanda bahwa calon pemilih telah terdaftar sebagai calon pemilih. 3. Calon pemilih mengambil kertas suara (ballot) dan kemudian melakukan pencoblosan di dalam bilik suara. 4. Kertas suara dimasukkan ke dalam kotak suara (ballot box). 5. Salah satu jari pemilih diberi tanda dengan tinta sebagai penanda bahwa pemilih tersebut telah melakukan pemungutan suara. 6. Setelah waktu untuk memasukkan suara selesai, maka kemudian dilakukan perhitungan suara. 7. Kertas suara dikeluarkan dari kotak suara dan kemudian dihitung bersamasama dengan diawasi oleh saksi dari berbagai pihak antara lain panitia dan perwakilan partai politik. 8. Hasil perhitungan tersebut kemudian dikirimkan ke kantor KPU untuk dilakukan rekapitulasi hasil pemungutan suara. Proses pemungutan suara secara manual menggunakan kertas suara sampai saat ini masih digunakan di Indonesia dan negara-negara lain yang belum menggunakan sistem e-voting. Berikut ini adalah beberapa alasan yang mungkin mendasari suatu negara tetap menggunakan sistem pemungutan suara secara manual. Belum ada sistem e-voting yang keamanannya sudah benar-benar teruji. Tingkat pendidikan masyarakat secara umum masih cukup rendah sehingga penerapan teknologi baru membutuhkan biaya dan waktu yang cukup besar untuk melakukan sosialisasi agar masyarakat mampu menggunakannya. Pemerintah perlu melakukan sosialisasi sistem baru agar masyarakat mau mengadopsi sistem baru. Konversi dari sistem lama (manual) ke sistem baru (e-voting) membutuhkan usaha yang cukup besar.

19 5 2.3 E-Voting E-voting adalah proses pemungutan suara yang memanfaatkan elektronik. Seiring dengan perkembangan jaman, ada pergeseran makna terkait e-voting. E- voting saat ini lebih dikhususkan pada pemanfaatan teknologi informasi khususnya jaringan internet pada pelaksanaan pemungutan suara. Penelitian terkait e-voting yang memanfaatkan teknologi informasi mulai banyak bermunculan pada tahun 1990-an. Pelaksanaan e-voting di Indonesia telah diterapkan dalam pemilihan kepala dusun di kabupaten Jembrana, Bali pada tahun 2009, dalam pilkades di Boyolali, Jateng pada bulan Maret 2013, dan dalam pilkada Bantaeng, Sulsel pada bulan April Secara umum sistem e-voting terdiri dari 6 tahap (Buldas & Magi 2007): 1. Registrasi adalah tahap untuk menentukan pemilih yang memenuhi syarat untuk memilih pada sistem e-voting dan untuk menyediakan data otentikasi untuk login ke sistem e-voting. 2. Otentikasi adalah tahap untuk memverifikasi bahwa pemilih memiliki hak untuk memilih. 3. Pemungutan suara dan penyimpanan suara adalah tahap di mana pemilih yang memenuhi syarat memberikan suara dan sistem e-voting menyimpan suara yang diterima dari para pemilih. 4. Mengelola suara adalah fase di mana suara yang diterima dari para pemilih dikelola, dipilah dan siap untuk dihitung. 5. Penghitungan suara adalah fase untuk menghitung suara dan untuk output penghitungan akhir. 6. Audit merupakan fase untuk memeriksa bahwa pemilih yang memenuhi syarat mampu untuk memilih dan suara mereka berpartisipasi dalam perhitungan akhir. 2.4 Protokol Two Central Facilities Pemilihan menggunakan protokol Two Central Facilities dilakukan dengan membagi Central Legitimization Agency (CLA) dan Central Tabulating Facilities (CTF) menjadi dua bagian yang berbeda. Menurut (Sireesha & Chakchai 2005) pemilihan dengan Two Central Facilities adalah sebagai berikut :

20 6 1. Setiap pemilih mengirim pesan kepada CLA dan meminta nomor validasi. 2. CLA mengirim nomor validasi acak kepada pemilih dan menyimpan daftar setiap nomor validasi. CLA juga menyimpan sebuah daftar dari nomor validasi penerima, untuk mengantisipasi seseorang memilih dua kali. 3. CLA mengirim daftar nomor validasi kepada CTF. 4. Setiap pemilih memilih nomor identifikasi secara acak lalu membuat pesan dengan nomor tersebut, yaitu nomor validasi yang diperoleh dari CLA dan suaranya. Pesan ini kemudian dikirimkan kepada CTF. 5. CTF memeriksa dan membandingkan nomor validasi dengan daftar yang diterima dari CLA. Jika nomor validasi terdapat pada daftar maka nomor tersebut akan disilang untuk menghindari pemilih memilih dua kali. CTF menambahkan nomor identifikasi pada daftar pemilih yang telah memberikan suara pada kandidat tertentu dan menambahkan satu suara pada kandidat tersebut. 6. Setelah semua suara diterima, CTF mempublikasikan keluaran seperti daftar nomor identifikasi dan untuk siapa suara tersebut diberikan. Skema pemilihan dengan komunikasi two central facilities dapat dilihat pada Gambar 1. Gambar 1 Skema pemilihan Two Central Facilities (Sireesha & Hakchai 2005)

21 7 2.5 Keamanan Komputer (Bishop 2003) mengemukakan bahwa keamanan komputer mencakup tiga aspek utama, yaitu kerahasian (confidentialily), integritas (integrity) dan ketersediaan (availability). Interpretasi dari setiap aspek pada lingkungan suatu organisasi ditentukan oleh kebutuhan dari individu yang terlibat, kebiasaan dan hukum yang berlaku dalam organisasi tersebut. Kerahasiaan merupakan suatu usaha untuk menjaga kerahasian informasi dan pribadi atau sumber daya. Mekanisme kontrol akses dalam penyediaan informasi dapat memberikan aspek kerahasiaan. Salah satu mekanisme kontrol akses yang menyediakan kerahasiaan adalah kriptografi yang memiliki mekanisme pengacakan data sehingga sulit dipahami oleh pihak yang tidak berwenang. Mekanisme kontrol akses terkadang lebih mengutamakan kerahasiaan keberadaan data dari pada isi dari data itu sendiri. Aspek integritas menekankan pada tingkat kepercayaan kebenaran dengan penjagaan terhadap perubahan yang dilakukan dengan cara di luar standar atau oleh pihak yang tidak berwenang. Integritas meliputi data integritas (isi informasi) dan originalitas integritas (sumber data, sering disebut otentikasi). Mekanisme integritas terbagi dalam dua kelas, yaitu mekanisme pencegahan (prevention) dan mekanisme deteksi (detection) dengan tujuan integritas yang berbeda. Mekanisme pencegahan menghalangi seorang pemakai yang tidak berwenang untuk mengubah suatu data. Mekanisme deteksi menghalangi seorang pemakai yang mempunyai wewenang untuk mengubah data diluar cara standar. Aspek ketersediaan berhubungan dengan ketersediaan informasi atau sumber daya ketika dibutuhkan. Sistem yang diserang keamanannya dapat menghambat atau meniadakan akses ke informasi. Usaha untuk menghalangi ketersediaan informasi disebut Denial of Service (DoS Attack), contohnya suatu server menerima permintaan (biasanya palsu) yang bertubi-tubi atau diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan server tersebut menjadi down atau crash.

22 8 Gambar 2 Attack tree 2.6 Attack Tree Pohon serangan (Schneier 1999) menyediakan metode formal yang menggambarkan keamanan sistem berdasarkan serangan yang bervariasi sehingga memudahkan dalam mengembangkan tindakan untuk menggagalkan serangan tersebut. Gambar 2 menggambarkan contoh pohon serangan. Pada dasarnya pohon serangan merupakan serangan terhadap sistem dalam struktur pohon. Node merupakan tujuan dari serangan dan sub node mewakili berbagai cara bagaimana mencapai tujuan. Node dibagi menjadi node anak dan node induk. Sebuah node induk mungkin menjadi anak dari induk lain. Node anak adalah kondisi-kondisi yang harus dipenuhi untuk membuat kondisi benar pada node induk. Ada dua tipe kondisi: AND dan OR. Mereka mewakili operasi logika. Untuk memenuhi kondisi suatu node OR, cukup untuk memenuhi setidaknya salah satu dari node anaknya. Node kondisi AND adalah benar jika setiap node anak terpenuhi. Pada saat kondisi node akar terpenuhi, serangan sudah lengkap. Pohon serangan juga dapat dipandang sebagai pohon perencanaan serangan. Pada saat penyerang berencana untuk menyerang, mereka harus memperhitungkan keuntungan dan biaya dari penyerangan.. Hal ini berarti bahwa penyerang tidak akan menyerang jika serangannya tidak menguntungkan dan penyerang selalu memilih cara penyerangan yang paling menguntungkan. Selain biaya dan keuntungan serangan, penyerang juga mempertimbangkan kemungkinan sukses

23 9 tidaknya serangan, kemungkinan tertangkap dan terkena hukuman. Parameterparameter ini seluruhnya terlibat dalam proses pembuatan keputusan oleh seorang penyerang.

24 10

25 11 METODOLOGI PENELITIAN Metode yang digunakan dalam penelitian ini adalah metode attack tree. Metode yang digunakan dalam analisis e-voting harus memiliki sifat keamanan yang sama dengan pemilu konvensional. Jika e-voting memiliki sifat keamanan yang sama dengan pemilu konvensional, maka dapat dipertimbangkan juga bahwa e-voting aman (Buldas & Magi 2007). Tahapan penelitian yang akan dilaksanakan dapat dilihat pada Gambar 3 adalah sebagai berikut: 3.1 Deskripsi Sistem E-Voting Pilkada Kota Bogor Pada tahap ini akan dijelaskan secara detail proses dan diagram alir sistem E-Voting Pilkada Kota Bogor yang dikembangkan oleh (Prayanta 2011), (Kusumah 2011) dan (Priyanggodo 2012). 3.2 Definisi Secure Voting Requirements Hal mendasar yang diperlukan untuk melakukan analisis keamanan e-voting adalah pendefinisian sifat-sifat yang dibutuhkan oleh sistem. Sifat-sifat yang diinginkan tersebut merepresentasikan struktur dan keberfungsian yang diharapkan dari suatu sistem e-voting. Sistem e-voting dikatakan aman, apabila sifat-sifat yang diinginkan pada sistem terpenuhi. Dalam penelitian ini sifat-sifat yang diinginkan pada sistem akan mengacu Gambar 3 Metodologi penelitian

26 12 pada requirement secure voting (Schneier 1996). Karena tidak semua requirement secure voting sesuai dengan sistem pemilu di Indonesia, maka sifat-sifat yang diinginkan pada sistem tersebut akan disesuaikan dengan kebijakan Komisi Pemilihan Umum (KPU). 3.3 Definisi Vulnerability dan Serangan Khusus Pada bagian ini, akan didefinisikan vulnerability sistem e-voting kemudian akan didefinisikan karakteristik serangan khusus terhadap sistem e-voting, yang secara langsung mempengaruhi sifat-sifat yang diinginkan dari sistem e-voting Komponen-komponen sistem e-voting dapat dilihat pada Gambar 4 yang terdiri dari: Mesin voting. Server Central Legitimization Agency (CLA). Server Central Tabulating Facilities (CTF). Saluran komunikasi. Untuk menggambarkan vulnerability sistem e-voting, akan dilakukan pengamatan terhadap komponen-komponen sistem e-voting untuk mengetahui komponen apa saja dalam sistem e-voting tersebut yang diperkirakan menjadi target musuh untuk melakukan penyerangan. Misalnya, untuk menyerang mesin voting dengan maksud mempengaruhi proses voting. Gambar 4 Komponen sistem e-voting (Kusumah 2011)

27 Penerapan Attack Tree Dalam tahapan ini akan dilakukan analisis vulnerability terhadap serangan khusus e-voting menggunakan pohon serangan. Pohon serangan dalam analisis ini akan digambarkan dalam format: grafik. Grafik attack tree akan digambarkan dalam tiga bentuk node: 1. untuk menggambarkan kondisi OR. 2. untuk menggambarkan kondisi AND. 3. untuk menggambarkan terminal. 3.5 Analisis Vulnerability Analisis vulnerability sistem e-voting akan dilakukan terhadap attack tree berdasarkan serangan khusus e-voting yang secara langsung mempengaruhi sifatsifat yang diinginkan dari sistem e-voting. 3.6 Waktu dan Tempat Penelitian Penelitian akan dilakukan di Laboratorium Net-Centric Computing (NCC) Departemen Ilmu Komputer, Institut Pertanian Bogor yang berlangsung mulai bulan Juni sampai Agustus 2013.

28 14

29 15 HASIL DAN PEMBAHASAN 4.1 Deskripsi Sistem E-Voting Pilkada Kota Bogor Sistem e-voting pilkada kota Bogor menggunakan protokol Two Central Facilities yang dimodifikasi. Protokol ini dipilih karena menurut Schneier (1996) termasuk protokol yang paling memenuhi sebagian besar persyaratan untuk menjalankan secure election dan dibandingkan protokol-protokol lain. Sistem e-voting pilkada kota Bogor memiliki tiga komponen utama yaitu mesin voting, server CLA, dan server CTF. Mesin voting merupakan satu unit Personal Computer yang dijalankan dengan sistem operasi Microsoft Windows client. Lingkungan sistem pada mesin voting sebagai berikut: a. Apache Friends XAMPP sebagai server web. b. MySQL sebagai server database. c. PHP sebagai bahasa pemrograman. d. Mozilla Firefox sebagai browser. e. VPN PPTP digunakan untuk jalur komunikasi. f. Mivare card untuk alat autentikasi pemilih. Fungsi utama dari mesin voting adalah untuk melakukan pemilihan dan menyimpan sementara hasil pemilihan sebelum dikirim ke server CTF untuk dilakukan perhitungan suara. Server Central Legitimization Agency (CLA) merupakan satu unit Personal Computer yang dijalankan dengan sistem operasi Microsoft Windows Server Lingkungan sistem pada server CLA sebagai berikut: a. MySQL sebagai server database. b. PHP sebagai bahasa pemrograman. c. VPN PPTP digunakan untuk jalur komunikasi. Server CLA merupakan badan sertifikasi pemilih yang memiliki tugas utama mengotentikasi dan mengotorisasi pemilih. Server CLA mempunyai database yang menyimpan data pemilih baik data diri maupun Unique Identification Number (UID) dan Nomor Induk Kependudukan (NIK) pemilih. Setiap proses

30 16 yang membutuhkan data pemilih, contohnya login dan verifikasi pilihan harus melakukan pengecekan langsung dengan server CLA melalui mesin voting. Server Central Tabulating Facilities (CTF) merupakan satu unit Personal Computer yang dijalankan dengan sistem operasi Microsoft Windows Server Lingkungan sistem pada server CTF sebagai berikut: a. MySQL sebagai server database. b. PHP sebagai bahasa pemrograman. c. VPN PPTP digunakan untuk jalur komunikasi. Server CTF merupakan badan tabulasi/penghitungan suara. Pangkalan data yang terdapat pada CTF berisi suara atau pilihan pemilih dan perhitungannya untuk masing-masing kandidat. Untuk keamanan pengiriman data dalam setiap proses, dilakukan pengenkripsian data menggunakan. a. RSA (2048 bits): Enkripsi kunci publik. b. AES (128 bits): Enkripsi kunci simetris. c. SHA-2 (256 bits): Signature/Hashing. Pada sistem e-voting pilkada Kota Bogor, tidak terdapat sistem keamanan yang diterapkan pada Apache Friends XAMPP dan MySQL yang digunakan sebagai server web dan server database. Mesin voting tidak menyediakan keyboard ataupun mouse selama proses evoting. Hal ini di anjurkan agar interaksi antara manusia dengan mesin voting menjadi lebih terbatas, untuk memperkecil kemungkinan human error ataupun tindakan-tindakan yang tidak diinginkan lainnya. Pemilih hanya berinteraksi dengan sistem e-voting menggunakan layar sentuh. Selanjutnya akan dijelaskan Proses pemilihan sistem e-voting pilkada Kota Bogor dengan informasi yang dihimpun dari (Prayanta 2011), Kusumah (2011), (Priyanggodo 2012). Skema pemilihan dengan Two Central Facilities dimodifikasi dapat dilihat pada Gambar 5, alur kerja online voting berdasarkan gambar tersebut terbagi menjadi empat tahapan dengan penjelasan sebagai berikut: Tahap pertama: 1. Pengiriman kunci publik oleh masing-masing mesin voting kepada CLA.

31 17 Gambar 5 Skema pemilihan dengan Two Central Facilities dimodifikasi (Kusumah 2011) 2. CLA mengirimkan kunci simetris yang telah dienkripsi menggunakan kunci publik yang diterima dari masing-masing mesin voting dan diberikan kepada masing-masing mesin voting sesuai alamat IP address masing-masing mesin voting. 3. Pemilih mengirimkan permintaan untuk memilih melalui mesin voting dengan cara menempelkan kartu identitasnya. 4. Mesin voting akan mengirimkan data kartu identitas pemilih yang telah dienkripsi kepada CLA. 5. CLA akan melakukan proses dekripsi terhadap data yang diterima. 6. CLA akan melakukan autentikasi pemilih dengan database. Diagam alir tahap pertama digambarkan pada Lampiran 2. Tahap kedua: 1. Apabila pemilih dinyatakan berhak memilih dengan ketentuan pemilih telah terdaftar di database dan belum memilih sebelumnya, pemilih akan diarahkan kepada halaman pemilihan dan status pemilih akan diubah menjadi status telah melakukan autentikasi. Namun, apabila pemilih dinyatakan tidak berhak memilih, pemilih langsung diarahkan ke halaman gagal memilih. 2. Setelah pemilih melakukan pemilihan, pilihan pemilih akan disimpan pada mesin voting dan status pemilih akan diubah menjadi status telah melakukan

32 18 pemilihan. Mesin akan terus menerus melakukan proses yang sama sampai pada waktu pemilihan usai. Diagam alir tahap kedua digambarkan pada Lampiran 3. Tahap ketiga: 1. Pengiriman kunci publik oleh masing masing mesin voting kepada CTF. 2. CTF mengirimkan kunci simetris yang telah dienkripsi menggunakan kunci publik yang diterima dari tiap-tiap mesin dan dikirimkan kepada masingmasing mesin sesuai alamat IP address mesin. Diagam alir tahap ketiga digambarkan pada Lampiran 4. Tahap keempat: 1. Mesin secara periodik akan melakukan permintaan kepada CLA untuk mengirimkan data ke CTF dengan mengirimkan informasi identitas mesin yang dienkripsi. 2. CLA akan melakukan proses autentikasi dan mengirimkan suatu random key mesin kepada mesin voting dan CTF yang dienkripsi. 3. Mesin voting akan mengirimkan identitas mesin, data hasil pemilihan, dan juga nilai random kepada CTF yang didapatkan dari CLA yang telah dienkripsi. 4. CTF melakukan pencocokan nilai random key yang diberikan mesin dengan random key yang diterima dari CLA untuk mesin tersebut. 5. Apabila random key yang dikirimkan mesin dan CLA sesuai, jumlah suara yang diberikan mesin kepada CTF akan disimpan ke dalam CTF. 6. Mesin akan terus menerus melakukan proses yang sama sampai pada waktu pemilihan usai. Diagam alir tahap keempat digambarkan pada Lampiran 5. Kelebihan dari protokol Two Central Facilities yang dimodifikasi ialah penggunaan jalur komunikasi untuk autentikasi pemilih pada CLA tidak akan terganggu oleh data yang dikirimkan ke CTF, sebab waktu pengirimannya yang berbeda. Pemisahan waktu pengiriman mempermudah penyelenggara untuk mengecek kecurangan yang terjadi pada mesin CTF. Sebab suara pemilih akan dikirimkan pada waktu yang random ke CTF setelah waktu pemilihan selesai,

33 19 sehingga apabila sebelum waktu pemilihan selesai pada CTF telah ditemukan suara pemilih dari mesin voting dapat dipastikan suara tersebut bukanlah suara yang sah. Sistem ini tidak memenuhi salah satu kriteria secure election yang ideal yang disebutkan pada buku karangan (Schneier 1996), yaitu setiap pemilih dapat memastikan bahwa suara mereka sudah dikirimkan dan terhitung dalam penghitungan akhir sebab suara yang dikirimkan ke CTF bukanlah suara yang dikirimkan secara langsung oleh pemilih, melainkan suara yang diakumulasi terlebih dahulu pada mesin voting. Tidak ada seorang pun yang dapat mengetahui pemilih dan pilihan yang dipilihnya. Namun, di sisi lain, hal ini menjadi salah satu kekuatan dari sistem ini, sebab tidak akan dimungkinkan terjadi penelusuran ke belakang oleh pihak-pihak manapun yang mampu mengumpulkan database dari CLA, CTF, dan mesin voting. 4.2 Secure Voting Requirements Hal mendasar yang diperlukan untuk melakukan analisis keamanan e-voting adalah pendefinisian sifat-sifat yang diinginkan oleh sistem. Sifat-sifat yang diinginkan tersebut merepresentasikan struktur dan keberfungsian yang diharapkan dari suatu sistem e-voting. Sistem e-voting dikatakan aman, apabila sifat-sifat yang diinginkan pada sistem terpenuhi. Dalam penelitian ini sifat-sifat yang diinginkan pada sistem akan mengacu pada sebagian requirement secure voting (Schneier 1996), yaitu: 1. Hanya pemilih yang berhak yang dapat memberikan suara (otentifikasi). 2. Tidak boleh memberikan lebih dari satu suara. 3. Tidak boleh menentukan orang lain harus memilih untuk siapa. 4. Tidak ada yang bisa menduplikasi suara orang lain. 5. Tidak boleh mengubah pilihan orang lain. 6. Setiap pemilih dapat memastikan bahwa suara mereka sudah dikirimkan dan terhitung dalam penghitungan akhir. Berdasarkan kebijakan KPU (Komisi Pemilihan Umum) tidak semua requirement secure voting sesuai dengan sistem pemilu di Indonesia, dimana menurut peraturan KPU, setiap pemilih tidak dapat memastikan bahwa suara

34 20 mereka sudah dikirimkan dan terhitung dalam penghitungan akhir. Sebagian dari persyaratan tersebut di atas diantaranya: 1. Hanya pemilih yang berhak yang dapat memberikan suara. Terdapat UID dan NIK pada mifare card yang bersifat unique. Hanya UID dan NIK yang terdapat pada database CLA yang dapat melakukan proses pemilihan. 2. Tidak boleh memberikan lebih dari satu suara. UID dan NIK dari mifare card yang telah melakukan pemilihan dicatat pada CLA sehingga setiap pemilih hanya dapat memberikan satu suara. Tidak boleh memberikan lebih dari satu hasil suara. 3. Tidak ada yang bisa mengubah pilihan orang lain. UID dan NIK dari mifare card yang telah melakukan pemilihan dicatat pada CLA sehingga mifare card tidak dapat digunakan lagi. 4.3 Vulnerability dan Serangan Khusus Sistem E-Voting Sistem e-voting dapat diserang pada titik-titik penyimpanan data, pengolahan suara, dan saluran komunikasi. Pada bagian ini akan diidentifikasi potensi titik serangan dan ancaman yang berkaitan dengan komponen sistem e- voting yang secara langsung mempengaruhi sifat-sifat yang diinginkan dari sistem e-voting. Ada jutaan pemilih dengan mesin voting, server CLA dan server CTF. Seorang penyerang dapat menyerang komponen tersebut atau koneksi antar komponen untuk mempengaruhi proses voting. Sistem e-voting memiliki komponen-komponen berikut: Mesin voting. Server Central Legitimization Agency (CLA). Server Central Tabulating Facilities (CTF). Saluran komunikasi. Kemungkinan serangan pada komponen-komponen sistem e-voting dapat dilihat pada Gambar 6, dengan penjelasan sebagai berikut: 1. Menyerang mesin voting. Tujuan dari serangan ini untuk mempengaruhi proses pemilihan, pengelolaan suara, dan penyimpanan data.

35 21 Gambar 6 Potensi serangan pada sistem e-voting Sebagai contoh, pengaturan beberapa bagian dari database mesin voting untuk memperoleh informasi pada surat suara, untuk menambahkan surat suara atau untuk menghapus suara yang tidak diinginkan. Hal ini dapat dilakukan dengan cara merubah kode program agar terjadi kecurangan pada e-voting. Serangan lain adalah penyalahgunaan mifare card oleh orang yang bukan pemegang kartu yang sah, sehingga orang yang tidak berhak untuk memilih dapat melakukan pemilihan. 2. Menyerang server CLA. Tujuan dari serangan ini untuk mempengaruhi proses otentikasi. Contoh dari serangan ini adalah pengubahan UID dan NIK yang akan dikirimkan sistem ke pemilih serta status pemilih. Pengubahan ini mungkin dilakukan apabila database server CLA dapat ditembus oleh penyerang sehingga akun pemilih tidak lagi sama dan tidak dapat digunakan oleh pemilih. Serangan lain adalah. penolakan layanan yang mengakibatkan Server CLA tidak dapat diakses oleh para pemilih. Penyerangan ini dapat dilakukan melalui serangan DoS atau (Denial Of Service). 3. Menyerang server CTF. Tujuan dari serangan ini untuk mempengaruhi tahap penghitungan suara.

36 22 Seorang lawan merubah kode program pada database server CTF untuk mengubah fungsionalitas server CTF. Contohnya, untuk mempengaruhi penghitungan suara. 4. Menyerang koneksi antara mesin voting dan server CLA. Tujuan dari serangan ini untuk mempengaruhi proses komunikasi antara mesin voting dan server CLA. Sebagai contoh, penyerang dapat bertindak sebagai Man in the Middle saat CLA mengirimkan kunci simetris kepada mesin voting untuk melakukan komunikasi, pihak yang mengirimkan kunci tersebut bukanlah CLA yang resmi melainkan server lain yang mengaku sebagai CLA. Berdasarkan potensi-potensi serangan pada sistem e-voting, akan dilakukan analisis terhadap serangan khusus pada sistem e-voting. Menurut (Buldas & Magi 2007), serangan khusus e-voting adalah serangan yang mengakibatkan perubahan besar dalam penghitungan akhir. Jika suatu sistem e-voting aman dalam hal serangan khusus voting, maka dapat ditentukan bahwa sistem tersebut aman pada prakteknya. Ada beberapa serangan khusus voting. 1. Pencurian suara. Tujuan serangan ini adalah untuk memberi lebih banyak suara untuk kandidat tertentu. Jika sistem e-voting tidak aman terhadap pencurian suara, maka penyerang dapat memberikan surat suara dan diterima dalam penghitungan akhir. Ancaman lainnya adalah pemilih mampu untuk memberikan lebih dari satu suara, sehingga seluruh suara diterima dalam penghitungan akhir dan penyerang dapat menambahkan atau mengurangi suara kandidat. 2. Penggagalan/pencabutan suara. Tujuan serangan pencabutan suara adalah untuk mengeliminasi suara yang tidak diinginkan. Jika sistem e-voting tidak aman terhadap penggagalan suara, maka pemilih yang berhak tidak dapat melakukan pemilihan, dan suara pemilih tidak diperhitungkan dalam perhitungan akhir suara. Serangan ini bukan untuk menggagalkan e-voting, karena hal itu tidak menguntungkan bagi penyerang.

37 23 Gambar 7 Serangan e-voting 4.4 Penerapan Attack Tree untuk Sistem E-Voting Pada bagian ini akan disajikan penerapan attack tree pada sistem e-voting pilkada Kota Bogor yang digambarkan dalam format: grafik. Attack tree yang telah dijelaskan pada Subbab 2.6 merupakan grafik acyclic di mana setiap node dalam grafik memiliki tepat satu orangtua. Akar pohon adalah simpul yatim. Node adalah tempat untuk menyimpan informasi. Grafik attack tree akan digambarkan dalam tiga bentuk node: 1. untuk menggambarkan kondisi OR. 2. untuk menggambarkan kondisi AND. 3. untuk menggambarkan terminal. Setelah grafik attack tree selesai dibuat, berbagai node anak akan diberi nilai P (possible) dan I (impossible), kemudian dilakukan perhitungan terhadap node tersebut. Menurut (Schneier 1999) nilai node OR adalah P jika salah satu nilai node anaknya P dan I jika semua nilai node anaknya I. Nilai node AND hanya P jika semua node anaknya P dan I jika sebaliknya. Hasil perhitungan attack tree dapat dilihat pada Lampiran 1. Pohon serangan pada analisis ini belum sempurna karena belum semua kemungkinan cara menyerang dipertimbangkan. Namun, tahap ini merupakan upaya pertama untuk menganalisis serangan khusus e-voting pada sistem e-voting pilkada Kota Bogor.

38 24 Grafik serangan pohon sistem e-voting dapat dilihat pada Gambar 7 Simpul akar dari pohon bernama Serangan e-voting adalah simpul OR dengan 2 node anak yaitu: Serangan pencurian suara dan Serangan pencabutan suara. Grafik serangan untuk pencurian suara dan pencabutan suara secara detail dapat dilihat pada Gambar 8 dan Gambar 9.

39 Gambar 8 Serangan pencurian suara 25

40 26 Gambar 9 Serangan pencabutan suara

41 Analisis Vulnerability Analisis vulnerability sistem e-voting akan dilakukan terhadap serangan khusus e-voting berikut: 1. Serangan pencurian suara. 2. Serangan pencabutan suara. Serangan pencurian suara Jika sistem e-voting aman terhadap serangan pencurian suara maka dua sifat keamanan berikut harus terpenuhi: Pemilih yang tidak memenuhi syarat tidak dapat memilih dan pemilih yang memenuhi syarat tidak dapat memilih lebih dari sekali. Serangan pencurian suara memiliki tiga kemungkinan yang dapat dilihat pada Gambar 10, yaitu: 1. Pemilih yang tidak memenuhi syarat dapat memilih. 2. Pemilih yang memenuhi syarat dapat memilih lebih dari sekali. 3. Menambah atau menghapus suara kandidat. Pertama, analisis terhadap pemilih yang tidak memenuhi syarat (pemilih palsu) dapat memilih. Ada tiga kemungkinan pemilih palsu dapat melakukan pemilihan, yaitu: Menggunakan mifare card orang lain (milik pemilih yang terdaftar). Menyerang server CLA. Menyerang koneksi koneksi antara mesin voting dan server CLA. Dalam sistem e-voting pilkada Kota Bogor, dimungkinkan orang yang tidak berhak memilih untuk dapat melakukan pemilihan dengan menggunakan mifare card milik orang lain (pemilih yang terdaftar). Pemilih yang tidak berhak juga dapat menyerang koneksi antara mesin voting dan server CLA dengan membuat serangan Man in the Middle, sehingga mesin voting dapat terhubung ke server CLA palsu. Untuk dapat melakukan serangan ini, langkah pertama yang harus dilakukan adalah mendapatkan password VPN, karena sistem e-voting Pilkada Kota Bogor menggunakan VPN untuk mengamankan jalur komunikasi antara mesin voting dan server CLA. Apabila password VPN telah didapatkan, maka dapat dilakukan serangan Man ini

42 28 the Middle dengan tujuan untuk manipulasi transaksi pemilih. Serangan Man in the Middle dilakukan dengan mengembangkan server CLA palsu dan menghubungkan mesin voting dengan server CLA palsu. Analisis vulnerability serangan ini disajikan dalam pohon serangan 1.2. Selanjutnya penyerang dapat melakukan pemilihan apabila database server CLA dapat ditembus oleh penyerang, dimana UID dan NIK pemilih yang sah terdaftar pada database server CLA. Untuk dapat melakukan serangan terhadap database server CLA, penyerang dapat membuat kode program yang mengakibatkan fungsionalitas server CLA terganggu. Analisis vulnerability serangan ini disajikan dalam pohon serangan 1.3. Kedua, analisis terhadap pemilih yang memenuhi syarat dapat memilih lebih dari sekali. Ada tiga kemungkinan pemilih palsu dapat melakukan pemilihan, yaitu: Menyerang server CLA. Menyerang koneksi koneksi antara mesin voting dan server CLA. Menyerang mesin voting. Analisis serangan terhadap server CLA dan serangan koneksi antara mesin voting dan server CLA telah dijelaskan pada analisis terhadap pemilih yang tidak memenuhi syarat (pemilih palsu) dapat memilih. Selanjutnya, akan dijelaskan analisis serangan terhadap mesin voting. Pada saat pemilihan, akan dicek apakah pemilih telah memberikan suara? Apabila pemilih telah melakukan pemilihan, Gambar 10 Potensi serangan pencurian suara

43 29 status di database mesin voting akan berubah dan aplikasi pada mesin voting tidak akan mengijinkan pemilih untuk melakukan pemilihan kembali. Oleh karena itu, agar serangan sukses penyerang membutuhkan akses ke database mesin voting untuk mempengaruhi proses yang berjalan di mesin voting. Untuk dapat melakukan serangan terhadap database mesin voting, penyerang dapat membuat kode program yang mengakibatkan fungsionalitas mesin voting terganggu. Tujuan dari serangan ini untuk mengubah status pemilih. Analisis vulnerability serangan ini disajikan dalam pohon serangan 1.4. Ketiga, analisis terhadap serangan untuk menambah atau mengurangi suara kandidat. Kemungkinan serangan yang dapat dilakukan untuk menambah atau mengurangi suara kandidat yaitu dengan menyerang server CTF. Penyerang dapat melakukan penambahan atau pengurangan suara kandidat apabila database server CTF dapat ditembus oleh penyerang, dimana suara kandidat dari semua mesin voting dikumpulkan pada database server CTF. Untuk dapat melakukan serangan terhadap database server CTF, penyerang dapat membuat kode program yang mengakibatkan fungsionalitas server CLA terganggu. Pencabutan suara Jika sistem e-voting aman terhadap pencabutan suara pemilih maka sifat keamanan berikut harus terpenuhi, yaitu pemilih yang memenuhi syarat dapat melakukan pemilihan. Kemungkinan serangan pencabutan suara dapat dilihat pada Gambar 11 yaitu pemilih yang memenuhi syarat tidak dapat memilih. Ada dua kemungkinan pemilih yang memenuhi syarat tidak dapat memilih, yaitu: Menyerang server CLA. Menyerang koneksi antara mesin voting dan server CLA. Analisis vulnerability serangan terhadap server CLA disajikan dalam pohon serangan 2.1 dan analisis vulnerability serangan koneksi antara mesin voting dan server CLA disajikan dalam pohon serangan 2.2. Analisis serangan terhadap server CLA dan serangan koneksi antara mesin voting dan server CLA telah dijelaskan pada serangan pencurian suara.

44 30 Gambar 11 Potensi serangan pencabutan suara Pada sistem e-voting pilkada Kota Bogor, untuk mengamankan pertukaran data antara mesin voting - server CLA dan mesin voting - server CTF menggunakan VPN PPTP. Otentikasi antara server VPN dan client VPN menggunakan password. Menurut (Eisinger 2001), serangan brute force yang dicoba dengan kombinasi berbeda dari kunci DES, 16 bit terakhir dari NT password hash bisa ditentukan. Sistem e-voting pilkada Kota Bogor, tidak menerapkan keamanan pada database mesin voting, server CLA dan server CTF. SQL Injection merupakan salah satu masalah vulnerability dalam implementasi database. SQL Injection adalah suatu teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data. Secara kualitatif sistem e-voting pilkada Kota Bogor tidak aman untuk diimplementasikan yang digambarkan pada Lampiran 1.

45 31 SIMPULAN DAN SARAN 5.1 Simpulan Analisis vulnerability terhadap sistem e-voting pilkada Kota Bogor menggunakan metode attack trees yang dilakukan terhadap serangan khusus e- voting, diharapkan dapat membantu analis keamanan untuk memahami cara menyerang dan letak kelemahan dari sistem e-voting, sehingga dapat ditentukan penanggulangan yang mungkin diperlukan untuk menggagalkan serangan. Hasil analisis menunjukan bahwa sistem e-voting pilkada Kota Bogor tidak aman dengan penggunaan mifare card sebagai alat otentikasi, penggunaan VPN PPTP untuk mengamankan pertukaran data dan terdapat vulnerability pada database server. Attack trees pada analisis ini belum sempurna karena belum semua kemungkinan cara menyerang dipertimbangkan. Analisis vulnerability terhadap attack trees juga masih dilakukan secara kualitatif. 5.2 Saran Penelitian ini masih memiliki kelemahan dan kekurangan yang diharapkan dapat dikembangkan dan diperbaiki pada penelitian selanjutnya. Beberapa rekomendasi saran yang dapat dilakukan untuk penelitian selanjutnya adalah: Diperlukan penyimpanan card identity berupa data biometric sidik jari dan retina. Penggunaan saluran komunikasi private atau protokol VPN yang lebih aman. Sistem harus memiliki pengamanan database pada tiap entitas. Pengembangan attack trees dengan mempertimbangkan berbagai kemungkinan cara menyerang. Analisis vulnerability terhadap attack trees secara kuantitatif.

46 32

47 33 DAFTAR PUSTAKA Bishop M Computer Security Art and Science. Pearson Education, Inc. Boston. Buldas A., Magi T Practical Security Analysis of E-voting Systems. IWSEC'07 Proceedings of the Security 2nd international conference on Advances in information and computer security, pp EAC Threat Trees and Matrices and Threat Instance Risk Analyzer (TIRA). Election Operations Assessment. Eisinger J Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2). University of Freiburg. Kusumah F Desain Evoting Pilkada Kota Bogor Menggunakan Protokol Two Central Facilities Yang Dimodifikasi, Departemen Matematika dan Ilmu Pengetahuan Alam, Institut Pertanian Bogor. Prayatna K Pengembangan Sistem Otentikasi Voter Pada Central Legitimization Agency (CLA) Menggunakan Media Mifare Smart Card, Departemen Matematika dan Ilmu Pengetahuan Alam, Institut Pertanian Bogor. Priyanggodo E Pengembangan Sistem Pengiriman Hasil Suara Pada E- Voting Two Central Facilities Yang Dimodifikasi, Departemen Matematika dan Ilmu Pengetahuan Alam, Institut Pertanian Bogor. Schneier B Applied Cryptography, Second Edition : Protocols, Algorithms, and Source Code in C, John Wiley & Sons, Inc. Schneier B Attack Trees. Dr. Dobb s Journal. Modeling Security Threats. [26 Juni 2012]. Sireesha J., Chakchai S Secure Virtual Election Booth with Two Central Facilities, Departement of Computer Science Washington University in St. Louis, USA. Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 Perubahan Ketiga. Undang-Undang Nomor 8 Tahun 2012 Tentang Pemilihan Umum Anggota Dewan Perwakilan Rakyat, Dewan Perwakilan Daerah, dan Dewan Perwakilan Rakyat Daerah.

48 34

49 LAMPIRAN 35

50 36 Lampiran 1 Tabel kebenaran sistem e-voting pilkada Kota Bogor Node Nama Node Tipe Node Kemungkinan Serangan e voting OR P 1 Serangan pencurian suara OR P 1.1 Menggunakan mifare card orang lain P 1.2 Seranagn koneksi antara mesin voting & server CLA AND P Password VPN P Man in the middle AND P Mengembangkan server CLA palsu P Mengarahkan mesin voting ke server CLA palsu P Manipulasi transaksi pemilih P 1.3 Serangan server CLA AND P Mengembangkan kode program OR P Manipulasi transaksi pemilih P Kode program dimasukkan ke server CLA OR P Manajemen konfigurasi tidak aman dimanfaatkan I Manajemen perangkat lunak aplikasi pemilih disuap P Administrator server CLA disuap P 1.4 Serangan mesin voting AND P Mengembangkan kode program OR P Mengubah status pemilih P Kode program dimasukkan ke mesin voting OR P Manajemen konfigurasi tidak aman dimanfaatkan I Manajemen perangkat lunak aplikasi pemilih disuap P Administrator mesin voting disuap P 1.5 Serangan server CTF OR P Membuat kode berbahaya AND P Mendapatkan pengetahuan yang diperlukan P Merancang serangan OR P Menghapus suara kandidat P Menambah suara kandidat P Memasukan kode berbahaya ke server CTF OR P Manajemen konfigurasi tidak aman dimanfaatkan I Pengembangan perangkat lunak aplikasi pemilih disuap P Administrator server CTF disuap P 2 Serangan pencabutan suara OR P 2.1 Serangan koneksi antara mesin voting & server CLA AND P Password VPN P Man in the middle AND P Mengembangkan server CLA palsu P Mengarahkan mesin voting ke server CLA palsu P Manipulasi transaksi pemilih P 2.2 Serangan server CLA AND P Mengembangkan kode program OR P Manipulasi transaksi pemilih P Kode program dimasukkan ke server CLA OR P Manajemen konfigurasi tidak aman dimanfaatkan I Manajemen perangkat lunak aplikasi pemilih disuap P Administrator server CLA disuap P Catatan: P = Possible I = Impossible

51 Lampiran 2 Diagram alir otentikasi card identity pada CLA (Prayanta 2011) 37

52 38 Lampiran 3 Diagram alir proses pemilihan kandidat (Kusumah 2011)

53 Lampiran 4 Diagram alir pengiriman kunci simetris AES dari CTF (Priyanggodo 2012) 39

54 40 Lampiran 5 Diagram alir pengiriman hasil suara mesin voting ke CTF (Priyanggodo 2012)