REVIEW Security Issues in Cloud Computing : The Potentials of Homomorphic Encryption YULIANA 1212400150
ABSTRACT Keunggulan menempatkan cloud computing pada jaringan tidak dapat disangkal. Sudah jelas bahwa keuntungan dari cloud sebagai media penyimpanan dengan platform akses dimana-mana dan hardware requirement yang minimal pada pengguna akhir. Masalah yang serius yang perlu ditanganin adalah pengiriman data yang aman ke dan dari cloud itu. Jurnal ini menyajikan masalah keamanan yang mempengaruhi cloud computing dan mengusulkan penggunaan enkripsi homomorphic sebagai obat untuk menangani masalah keamanan akses data cloud. Kata kunci : cloud, cloud computing, homomorphic 1. PENGANTAR Cloud computing merupakan sebuah konsep hasil evolusi yang natural dari pendekatan kita sehari hari dalam menggunakan teknologi internet. Cloud computing data ke depan sebagai akibat dari kemajuan virtualisasi(misalnya VMWare) (1), komputasi yang terdistribusi dengan cluster server (misalnya Google) dan meningkat dalam ketersediaan akses internet broadband. Dengungan cloud computing dimulai pada tahun 2006 dengan diluncurkannya Amazon EC2, dan mendapat daya tarik di tahun 2007 seperti yang kita lihat pada gambar 1.1 Gambar 1.1 Search and News Volume for Cloud Computing as at April 2011 Sumber : Google Trends Cloud computing saat ini ditandai memiliki permintaan akses pada sumber daya elasti melalui sebuah model penyewaan. Hal ini memungkinkan perusahaan untuk fokus dalam menjalankan inti bisnis, membayar semua sumber daya IT sebagai layanan. 2. CLOUD COMPUTING SERVICE MODELS Sekarang ada 3 model service utama dalam cloud : 1. Software as a Service (SaaS) SaaS adalah cloud computing yang paling banyak dikenal. SaaS telah ada sejak tahun 2001 yang dikenal dengan model Application Service Provider (ASP). SaaS merupakan software yang berjalan pada infrastruktur penyedia cloud, dikirim ke (beberapa) klien (sesuai permintaan) melalui sebuah thin client (misalnya browser) lewat internet. Contoh umumnya adalah Google Docs dan Salesforce.com
2. Platform as a Service (PaaS) PaaS memberikan client (pengembang) fleksibilitas dalam membangun (mengembangkan, menguji dan menyebarkan) aplikasi pada platform penyedia (API, penyimpanan dan infrastruktur). Stakeholder PaaS termaksud hoster PaaS yang menyediakan infrastruktur (server dan sebagainya), operator hanya menyediakan alat pengembangan dan platform serta penguna PaaS. Contoh PaaS adalah Microsoft Azure dan Google AppEngine. 3. Infrastucture as a Service (IaaS) IaaS menawarkan pengguna permintaan elastis untuk akses ke sumber daya (jaringan, server dan penyimpanan) yang dapat diakses melalui layanan API. Infrastruktur dasar transparan kepada pengguna akhir. IaaS berjalan pada tenancy model, yang menggunakan pendekatan berbasis bayar sehingga memungkinkan pengguna hanya membayar sumber daya yang benarbenar mereka gunakan saja. 3. CLOUD COMPUTING EMPLOYMENT MODEL Dilihat dari infrastruktur kepemilikan, ada 4 model penyebaran dari cloud computing dengan keuntungan dan kerugian masing masing. Di sinilah masalah keamanan dimulai. Model Cost Issues Security Issues Control Issues Legal Issues Public Highnest setup, Least secure Least control Jurisdiction of Lowest usage storage Private High setup Most secure Most control Community Relative low Less secure Less control Hybrid Jurisdiction of storage
4. SECURITY ISSUES IN CLOUD COMPUTING Keamanan adalah persoalan utama dan IT Executives ketika mengadopsi sistem cloud. Pada dua survey oleh IDC di tahun 2008 dan 2009, masalah keamanan berada pada tingkat tertinggi (seperti pada gambar 4.1 dan gambar 4.2). Gambar 4.1 Survey IDC Sumber : IDC Enterprise Portal, 2008 Gambar 4.2 Survey IDC Sumber : IDC Enterprise Portal, 2009 Beberapa masalah keamanan dalam cloud computing meliputi : 1. Ketersediaan (Availability) Batas data tersedia setiap kali diperlukan. Ketersediaan mencakup migrasi ke provider lain, uptime periods provider saat ini atau kelangsungan hidup penyedia cloud jangka panjang. Beberapa pemadaman yang terkemuka dari penyedia cloud bisa dilihat pada tabel 2 Tabel 4.1 Pemadaman Layanan Cloud Cloud Service Outage Duration Dates Google Gmail 30 jam 16-17 Oktober 2008 Google Gmail, Apps 24 jam 11 Agustus 2008 Windows Azure 22 jam 13-14 Maret 2009 FlexiScale 18 jam 31 Oktober 2008 Amazon S3 7 jam 20 July 2008 Salesforce.com 40 menit 6 January 2009 2. Keamanan Data (Data Security) Resiko ini terutama berasal dari hilangnya fisik, personil dan kontrol logis data. Isu termaksud kerentanan virualisasi, SaaS kerentanan (ex : kasus dimana google mengekspos file pengguna pribadi), penipuan phising dan potensi pelanggaran data lainnya. Resiko keamanan data lainnya
menyangkut kebocoran data dan intersepsi, ekonomi dan serangan DoS (Denial of Service) dan kehilangan kunci enkripsi. Abadi menunjukan bahwa sulit menjaga ACID (atomicity, konsistensi, isolasi, daya tahan) selama replikasi data melalui zona geografi yang besar. 3. Kontrol Pihak Ketiga (Third-Party Control) Dengan adanya pertumbuhan nilai dari informasi perusahaan, akses pihak ketiga dapat menyebabkan hilangnya potensi kekayaan intelektual dan rahasia dagang. Terdapat juga masalah dari orang dalam yang berbahaya yang mengakses pelanggaran hak pada pihak tenant. Sebuah situasi juga bisa muncul di mana pengguna menjadi terkunci untuk vendor tertentu. Hal ini dapat menyebabkan kesulitan dalam migrasi ke vendor baru. 4. Privasi dan Masalah Hukum (Privacy & Legal Issues) Data pada cloud biasanya didistribusikan secara global sehingga menimbulkan kekhawatiran tentang yuridiksi, data eksposur dan privasi. User memberikan informasi pribadi mereka tanpa mengetahui dimana data tersebut disimpan dan kedepannya akan seperti apa. 5. HOMOMORPHIC ENCRYPTION AND ITS POTENTIALS IN THE CLOUD Jika semua data (pribadi, kesehatan, finansial dsb) yang tersimpan dalam cloud dienkripsi, maka akan secara efektif memecahkan masalah 2,3 dan 4. Namun pengguna tidak akan mampu memanfaatkan kekuatan cloud untuk mengeluarkan komputasi pada data tanpa di dekripsi terlebih dahulu. Bagaimana jika user bisa mengeluarkan komputasi yang sewenang-wenang pada data host tanpa penyedia cloud belajar tentang data user komputasi dilakukan pada data enkripsi tanpa didekripsi sebelumnya. Skema homomophic enkripsi memungkinkan transformasi cipherteks C(m) dari pesan m, untuk cipherteks C(f(m)) dari komputasi/fungsi dari pesan m, tanpa mengungkapkan pesan tersebut. 6. GENTRY S FULLY HOMOMORPHIC ENCRYPTION USING IDEAL LATTICES 3 langkah skema enkripsi : 1. KeyGen ε : membuat 2 kunci. 2. Encrypt ε : enkripsi plainteks m dengan public key untuk menghasilkan cipherteks c 3. Decrypt ε : dekripsi cipherteks c dengan secret key untuk mendapat kembali plainteks m Gentry memperkenalkan langkah keempat yang di sebut Eval pada algoritma: 4. Eval ε : outpu a cipherteks c dari f(m) sehingga decript ε (sk,m) = f(m) 7. KESIMPULAN Sistem enkripsi ini diusulkan oleh Gentry Craig pada tahun 2009. Sejak itu para peneliti mengembangkan varian dari model Gentry. Desain homomorphic encrytion Gentry Craig sangat aman namun desain ini sangat tidak praktis. Semakin tinggi tingkat keamanannya, semakin banyak jumlah sirkuit operasi yang dibutuhkan untuk mengenkripsi data dan waktu prosessnya bisa membengkak.
Walaupun tidak praktis untuk saat ini, desain yang diberikan Gentry bisa menjadi sebuah terobosan baru dalam teknologi enkripsi sehingga bukannya tidak mungkin cloud computing akan benar-benar aman nantinya bila diterapkan.