XML Security. Departemen Teknik Informatika Institut Teknologi Bandung Jalan Ganesha 10 Bandung 40132

Transkripsi

1 XML Security Elisa Sibarani 1, Inte Bu ulolo 2, dan Rosni Lumbantoruan 3 Departemen Teknik Informatika Institut Teknologi Bandung Jalan Ganesha 10 Bandung elisa@students.if.itb.ac.id 1, inte@students.if.itb.ac.id 2, rosni@students.if.itb.ac.id 3 Abstrak XML digunakan sebagai teknologi dasar untuk mendesain dokumen yang terstruktur berdasarkan pertimbangan bahwa XML merupakan standar yang terbuka dan telah diterima secara luas untuk mendukung transaksi berbasis Internet. Dengan karakteristik berbasis teks dan bersifat terbuka tersebut, maka kelemahan pada XML ini dapat juga menjadi sumber kerentanan pada aplikasi dengan membuka peluang adanya gangguan atau serangan terhadap keamanan dokumen. Untuk mengatasi kelemahankelemahan pada XML, terdapat beragam komponen sistem keamanan XML pada berbagai proses standarisasi yang telah dilakukan, diantaranya adalah XML Encryption yang menjaga kerahasiaan data dan XML Digital Signature untuk otentikasi. Kata kunci: XML, Security, Digital Signature, Encryption 1. Pendahuluan XML merupakan singkatan dari extensible Markup Languange. XML dikembangkan mulai tahun 1996 dan mendapatkan pengakuan dari W3C pada bulan Februari XML mirip dengan HTML dalam hal penggunaan elemen dengan tag pembuka, tag penutup, dan atribut elemen. Hanya bedanya, HTML mendefinisikan dari awal tag dan atribut yang dipakai didalamnya, sedangkan pada XML, tag dan atribut didefinisikan sesuai dengan keinginan pengguna. Contoh XML : <message> <from>bob</from> <to>alice<to/> <subject>transfer Money <subject/> <content> I have transferred one thousand million rupiahs today </content> </message> XML mendeskripsikan susunan informasi dan berfokus pada informasi itu sendiri. XML terutama dibutuhkan untuk menyusun dan menyajikan informasi dengan format yang tidak mengandung format standar, layaknya seperti heading, paragraph, table, dan lain sebagainya. File XML berbentuk teks sehingga bila diperlukan kita bisa membacanya tanpa memerlukan bantuan perangkat lunak khusus. Hal ini memudahkan pengembangan aplikasi yang menggunakan

2 XML untuk men-debug programnya. Kelebihan lain dari XML adalah kemampuan untuk mempertukarkan informasi dari satu sistem ke sistem lain yang berbeda platform. Misalnya, Windows ke Unix, PC ke Machintosh, bahkan dari Internet ke Handphone. 2. Kelemahan pada XML Tidak dapat dipungkiri bahwa XML sangat fleksibel untuk pertukaran data melalui internet, namun terdapat beberapa kelemahan yang ditemukan pada XML, diantaranya adalah : 1. XML memisahkan antara bagian data (content) dengan bagaimana data ditampilkan secara terstruktur, hal ini menyebabkan data dapat dimanipulasi oleh siapapun yang membacanya. 2. XML berbasis teks, mudah dibaca oleh manusia (human-readable), maka dokumen XML mudah untuk di-debug dan dilewatkan melalui firewall. 3. Pengamanan XML Untuk mengatasi kelemahan-kelemahan pada XML, terdapat beragam komponen sistem keamanan XML pada berbagai proses standarisasi yang telah dilakukan, diantaranya adalah XML Encryption yang menjaga kerahasiaan data dan XML Digital Signature untuk otentikasi. 4. XML Encryption XML Encryption menyediakan end-to-end security untuk aplikasi yang membutuhkan pertukaran data terstruktur dengan aman. Proses ini membutuhkan penggunaan kunci, dalam XML kunci yang digunakan adalah public, private, dan secret key. Penggunaan kunci dalam XML Encryption dibagi menjadi 2 yaitu: 1. Pertukaran data : algoritma kunci privat (asymetric). Contoh : Alice dan Bob akan berkirim pesan, terlebih dahulu mereka harus sepakat kunci yang akan digunakan untuk bertukar pesan. Alice menginisialisasi kunci publiknya dan mengirimkan dalam elemen KeyValue Atribut CarriedKeyName merepresentasikan nama kunci yang dienkripsi dengan kunci publik Alice. Elemen root pada struktur ini adalah EncryptedKey yang terdiri dari elemen-elemen ds:keyinfo dan ds:keyvalue Elemen ds:keyinfo dan ds:keyvalue dimiliki oleh namespace XML Digital Signature (ds:). XML Encryption bergantung sepenuhnya pada spesifikasi XML Digital Signature untuk pertukaran kunci, sehingga kedua elemen <ds:encryptedkey> dan <ds:keyvalue> dimiliki oleh namespace spesifikasi XML Digital Signature. Listing 7 menunjukkan respon yang dikirim oleh Bob. Elemen CipherValue pada Listing 7 berisi kunci rahasia yang baru dihasilkan, yang dienkripsi dengan publik key Alice. Secara detail pada Listing 6 dan Listing 7, kedua request dan respond berisi elemen EncryptedKey.

3 Untuk Listing 6, elemen ds:keyinfo dan ds:keyvalue dalam elemen CipherValue perisi kunci publik. Sebaliknya, elemen CipherData dan CipherValue dalam elemen CipherValue akan membawa kunci rahasia yang dienkripsi. Elemen EncryptedKey selalu berisi atribut CarriedKeyName untuk menspesifikasikan nama kunci yang dibawanya. <?xml version='1.0'?> <SecureCommunicationDemonstration> <EncryptedKey CarriedKeyName="Muhammad Imran" xmlns=' mlenc#'> <ds:keyinfo xmlns:ds=' 9/xmldsig#'> <ds:keyvalue>1asd25fsdf2df dsfsdfds2f1sd23 </ds:keyvalue> </ds:keyinfo> </EncryptedKey> </SecureCommunicationDemonstration > Listing 6. Alice mengirim kunci public kepada Bob untuk pertukaran kunci 2. Menggunakan kunci yang sudah dipertukarkan : algoritma kunci publik (symetric). Pada sesi sebelumnya, pertukaran kunci rahasia telah dilakukan, kemudian kunci rahasia tersebut digunakan Alice dan Bob untuk enkripsi dan deksripsi data. Asumsi Alice mengirim pesan XML (Listing 8) sebagai respon terhadap Listing 7 (berisi kunci rahasia yang dienkripsi) Alice mendekripsi kunci rahasia dengan kunci privatnya. Pengiriman dokumen XML antara Alice dan Bob sudah dapat dilakukan dengan aman. Alice dapat mengenkripsi data yang ingin dikirimnya kepada Bob dengan menggunakan kunci rahasia dan menyimpannya dalam elemen CipherValue pada listing 8. <?xml version='1.0'?> <SecureCommunicationDemonstration> <EncryptedKey CarriedKeyName="Imran Ali" xmlns=' mlenc#'> <EncryptionMethod Algorithm= " rsa-1_5"/> <CipherData> <CipherValue>xyza21212sdfd fs7989fsdbc </CipherValue> </CipherData> </EncryptedKey> </SecureCommunicationDemonstration > Listing 7. Bob mengirimkan kembali kunci rahasia yang di-generate secara random yang dienkripsi dengan kunci public Alice 5. XML Digital Signature XML digital signatures adalah digital signature yang didesain untuk digunakan pada transaksi dengan XML. XML signature menambahkan aspek otentikasi, integritas data, dan mendukung anti penyangkalan terhadap data yang sudah di beri tanda. Namun, tidak seperti pesan tanpa XML digital signature standards, XML signature telah dirancang untuk canonize dan mengambil keuntungan dari internet dan XML. Karakteristik dasar XML signature adalah kemampuan untuk menandatangani bagian tertentu saja dari XML tree, bukan seluruh isi dokumen. Hal ini sangat relavan ketika satu

4 <?xml version='1.0'?> <<SecureCommunicationDemonstration> <Order> <Item>book</Item> <Id> </Id> <Quantity>12</Quantity> <CardName>Visa</CardName> <ExpDate> </ExpDate> <EncryptedData Type=' nc#element' <EncryptionMethod Algorithm=' /xmlenc#tripledes-cbc '/> <ds:keyinfo xmlns:ds=' xmldsig#'> <ds:keyname>imran ali</ds:keyname> </ds:keyinfo> <CipherData> <CipherValue>A23B45C564587</C iphervalue> </CipherData> </EncryptedData> </Order> </SecureCommunicationDemonstration> XML menjadi hal yang sangat penting, sementara bagian lain dari dokumen masih dimungkinkan untuk dimodifikasi. Contohnya, XML yang sudah diberi tanda tangan dikirim kepada pengguna yang lain untuk dilengkapi. Jika tanda tangan mencakup keseluruhan XML, maka perubahan yang dilakukan oleh pengguna tersebut akan menyebabkan tanda tangan yang asli tidak valid. XML signature dapat menandatangani lebih dari satu jenis tipe file. Misalnya, HTML, JPG, dan lain sebagainya. Komponen XML digital signature adalah sebagai berikut : Listing 8. Data dienkripsi dengan kunci rahasia dan dimasukkan ke dalam elemen <CipherValue>. XML dokumen yang mungkin memiliki sejarah yang panjang, dimana kumpulan komponen yang berbeda dimodifikasi pada waktu yang berbeda oleh pihak yang berbeda juga, dan masing-masing hanya menandatangani elemen yang relevan terhadap pihak tersebut. Fleksibilitas ini juga bisa menjadi hal yang kritis pada situasi dimana kepastian integritas dari bagian tertentu pada dokumen

5 Gambar 1 Komponen Utama XML Digital Signature Kode Program pada Gambar 2 diatas, digunakan untuk menjelaskan lebih lengkap tentang elemen-elemen XML digital signature. Penjelasan Gambar 2 akan dijelaskan berikut ini: 5.1 Langkah-langkah pembuatan XML signature 1. Tentukan file yang akan ditandatangani Langkah ini mengidentifikasi file melalui Uniform Resource Identifier (URI). Contohnya: " tml" akan mengacu ke halaman HTML di Web " " akan mengacu ke sebuah gambar dengan tipe GIF di Web " xml" akan mengacu ke file XML di Web " xml#sender1" akan mengacu sebuah elemen tertentu dalam file XML di Web. 2. Kalkulasi digest dari tiap file Pada XML signature, masing-masing file yang diacu dispesifikasikan dalam elemen <Reference> dan digest-nya (dikalkulasi terhadap file yang diidentifikasi dan bukan hanya elemen <Reference> saja) disimpan dalam elemen anak yaitu <DigestValue>. Elemen <DigestMethod> mengidentifikasi algoritma yang digunakan untuk kalkulasi digest. 3. Kumpulkan elemen-elemen Reference Kumpulkan elemen-elemen <Reference> (dengan digest yang berhubungan) di dalam sebuah elemen <SignedInfo>. Elemen <CanonicalizationMethod> mengidentifikasi algoritma yang digunakan untuk canonicalize elemen SignedInfo sebelum di-digest sebagai bagian dari operasi penandatanganan.

6 Canonicalization adalah bagaimana proses dapat membedakan data stream yang mungkin terdapat pada elemen yang sama. Canonicalization adalah metode dimana raw data diinterpretasi bukan dalam kode ASCII. Untuk membantu mencegah hasil verifikasi yang tidak akurat, kumpulan informasi harus terlebih dahulu dicanonize sebelum mengekstraksi representasi bit, untuk proses penandatanganan. Elemen <SignatureMethod> mengidentifikasi algoritma yang digunakan untuk menghasilkan nilai tandatangan. 4. Penandatanganan Kalkulasi digest dari elemen <SignedInfo>. Beri tanda tangan pada digest dan letakkan hasil tanda tangan pada elemen <SignatureValue> 5. Penambahan Informasi Kunci Jika informasi kunci harus dimasukkan, masukkan dalam elemen <KeyInfo>. Dalam contoh, informasi kunci adalah tentang sertifikasi X.509 untuk pengirim yang berisi kunci publik yang dibutuhkan untuk verifikasi tanda tangan. 6. Penutupan elemen Signature Masukkan <SignedInfo>, <SignatureValue>, dan elemen <KeyInfo> ke dalam elemen <Signature>. Elemen Signature akan memadatkan XML Signature. 5.2 Verifikasi XML Signature 1. Verifikasi tanda tangan dalam elemen <SignedInfo>. Untuk melakukan hal tersebut, kalkulasi ulang digest dari elemen <SignedInfo> (menggunakan algoritma digest yang dispesifikasikan pada elemen <SignatureMethod>) dan gunakan kunci verifikasi publik untuk memverifikasi nilai dari elemen <SignatureValue> sesuai dengan digest dari elemen <SignedInfo>. 2. Jika langkah ini sudah dilalui, kalkulasi ulang digest dari file-file yang diacu dalam elemen <SignedInfo> dan bandingkan dengan nilai digest yang terdapat pada masing-masing elemen <Reference> yang berhubungan dengan elemen <DigestValue>. 6. Kesimpulan Karena XML telah menjadi komponen penting pada infrastruktur bisnis elektronik yang muncul, maka dibutuhkan pesan XML yang aman dan dapat dipercaya untuk mengamankan transaksi bisnis. Ada dua hal yang memungkinkan transaksi yang aman yaitu konsep digital signature dan enkripsi. XML signature yang mengadopsi konsep digital signature mampu memastikan integritas dan otentikasi dari dokumen bisnis yang asli. XML signature adalah standar yang berkembang untuk digital signature, yang keduanya menangani hal dan kebutuhan yang sama yang disediakan untuk operasi penandatanganan dan menggunakan sintak XML untuk memperoleh hasil, yang kemudian digabungkan kedalam aplikasi XML. Sedangkan XML encryption mengadopsi konsep enkripsi deksripsi, memiliki beberapa kekurangan dibandingkan XML signature walaupun keduanya berfungsi untuk mengamankan data yang dikirim melalui internet dengan menggunakan XML, tetapi XML encryption tidak dapat menangani masalah anti-penyangkalan (non-repudiation)

7 [1] Pengantar XML, diakses tanggal : 27 Desember [2] Exploring XML Encryption, Part 1, diakses tanggal : 2 Januari [3] An Introduction to Digital Signature, diakses tanggal : 2 Januari 2006.