1. Kriptografi
1.1. Pengertian Kriptografi
Kriptografi (cryptography) merupakan ilmu dan seni penyimpanan pesan, data,atau informasi secara aman. Kriptografi berasal dari bahasa Yunani yaitu dari kata Crypto dan Graphia yang berarti penulisan rahasia. Kriptografi adalah suatu ilmu yang mempelajari penulisan secara rahasia. Kriptografi merupakan bagian dari suatu cabang ilmu matematika yang disebut Cryptology. Kriptografi bertujuan menjaga kerahasiaan informasi yang terkandung dalam data sehingga informasi tersebut tidak dapat diketahui oleh pihak yang tidak sah.
Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi, yaitu :
• Secrecy/Confidentiality, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah di enkripsi.
• Integrity Control, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
• Authentication, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain. Pihak yang berkomunikasi harus dapat memastkan bahwa pihak lain yang diajak berkomunikasi adalah benar-benar pihak yang dikehendaki.
• Non-repudiation, atau nirpenyangkalan adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat. Pembuktian korespondensi antara pihak yang mengirimkan suatu informasi dengan yang dikirimkan juga perlu dilakukan sehingga identitas pengirim suatu informasi dapat dipastikan dan penyangkalan pihak tersebut atas informasi yang telah dikirimnya tidak dapat dilakukan.
Dalam menjaga kerahasiaan data, kriptografi mentransformasikan informasi asli atau dikenal dengan sebutan (plaintext) ke dalam bentuk informasi yang di acak/di enkripsi (ciphertext) yang tidak dikenali. Ciphertext inilah yang kemudian dikirimkan oleh pengirim (sender) kepada penerima (receiver). Setelah sampai di penerima, ciphertext tersebut ditransformasikan kembali dalam bentuk plaintext agar dapat dikenali.
Suatu pesan yang tidak disandikan disebut sebagai plaintext ataupun dapat disebut juga sebagai cleartext.Proses transformasi dari plaintext ke ciphertext dikenal dengan proses enkripsi. Sedangkan proses transformasi dari ciphertext ke plaintext dikenal dengan proses dekripsi. Kedua proses tersebut dilakukan dengan menggunakan algoritma tertentu yang dikenal dengan kunci.
Berikut gambaran bagaimana plaintext bertransformasi ke ciphertext dan bagaimana ciphertext kembali menjadi plaintext:
Proses dekripsi/enkripsi sederhana
Rumusan secara sederhana :
Enkripsi : E(P) = C
Dekripsi : D(C) = P atau D(E(P)) = P
1.2. Algoritma Kriptografi
Terdapat dua jenis algoritma kriptografi .
• Algoritma Simetris
Algoritma Simetris adalah algoritma kriptografi yang konvensional. Kunci enkripsi dan dekripsi menggunakan algoritma yang sama. Contoh algoritma simetris adalah algoritma DES.
• Algoritma Asimetris
Algoritma Simetris adalah algoritma kriptografi yang menggunakan kunci yang berbeda untuk proses enkripsi dan dekripsinya. Kunci yang digunakan untuk proses enkripsi disebut dengan kunci public (public key). Kunci yang digunakan untuk proses dekripsi disebut dengan kunci privat/kunci secure (privat key). Contoh algoritma asimetris adalah algoritma RSA.
Proses dekripsi/enkripsi menggunakan algoritma asimetris
1.3. Fungsi Hash
Fungsi hash biasanya digunakan untuk mengidentefikasi keaslian suatu pesan. Fungsi hash memetakan pesan M (Message) dengan panjang berapapun menjadi nilai hash h dengan panjang tetap (tertentu, tergantung algoritmanya).
Sifat-sifat dari fungsi hash adalah sebagai berikut:
• Menghasilkan nilai h yang mudah dihitung bila diberikan M.
• Umumnya fungsi hash menghasilkan keluaran nilai h dengan panjang 128 bit.
• M tidak dapat dihitung jika hanya diketahui h (sifat one-way function), atau mudah untuk menghitung h dan sukar untuk dikembalikan ke M semula.
• Tidak mungkin dicari M dan M’ sedemikian sehingga H(M)=H(M’) (sifat collision free).
• Fungsi hash yang menghasilkan keluaran dengan ukuran yang kecil mudah diserang oleh birthday attack
• Sifat one-way function sangat penting dalam teknik kriptografi, karena jika tanpa sifat tersebut maka penyerang dapat menemukan nilai M dengan mengetahui nilai hash-nya h.
• Sifat collision free mencegah kemungkinan pemalsuan.
• Serangan terhadap fungsi hash umumnya dilakukan dengan cara mendapatkan dua pesan secara acak yang memiliki nilai hash h sama.
Implementasi fungsi hash adalah digital signature.
1.4. Digital Signature
– Sering diartikan tanda tangan elektronik
– Bukan tanda tangan di kertas yang discan menjadi image
– Adalah teknik kriptografi untuk menjamin otentikasi pesan dan pengirim pesan
– Digunakan untuk otentikasi (menjamin keaslian pesan dan keaslian pengirim pesan)
– Menggunakan fungsi hash
– Menggunakan algoritma kunci asimetri
Skema digital signature
Penjelasan gambar diatas adalah sebagai berikut :
1. Pesan diproses dengan fungsi hash H menghasilkan nilai hash (message digest)
2. Nilai hash dienkripsi dengan kriptografi kunci asimetri menggunakan kunci privat pengirim (Ps).
3. Nilai hash yang telah dienkripsi digabung dengan pesan asli (M)
4. Pesan yang telah digabung dikirimkan melalui jaringan komputer terbuka (Internet)
5. Sesampainya di penerima, pesan asli dipisahkan lagi dari nilai hash yang terekripsi.
6. Nilai hash yang terenkripsi kemudian didekripsi dengan kunci publik pengirim.
7. Hasil dekripsi tersebut kemudian dibandingkan denganpesan asli (M)
1.5. Hash Message Authentication Code (HMAC)
Untuk menjamin integritas paket, IPsec menggunakan Hash Message Authentication Code (HMAC). HMAC adalah algoritma authentikasi menggunakan kunci privat. Integritas data dan autentikasi asal data yang disediakan oleh HMAC bergantung pada penyebaran kunci rahasia yang digunakan, jika hanya sumber (pengirim) dan tujuan (penerima) yang mengetahui kunci HMAC, maka autentikasi asal data dan integritas data untuk message-message yang dikirim antara kedua pihak tersebut terjamin. HMAC sendiri merupakan pengembangan dari fungsi hash.
HMAC menggunakan fungsi hash satu arah, H, dan kunci rahasia K. beberapa fungsi hash yang digunakan diantaranya adalah: MD5 dan SHA-1. Untuk memperjelas fungsi hash yang digunakan, digunakan notasi HMAC-H. Contohnya, HMACMD5 menyatakan HMAC yang menggunakan fungsi hash MD5. H merupakan fungsi hash yang melakukan hashing dengan iterasi suatu fungsi kompresi pada blok-blok data. Panjang blok data dalam byte, B(B=64 untuk MD5 dan SHA-1), dan panjang output hash dalam byte,L (L=16 untuk MD5 ,L=20 untuk SHA-1), masingmasing menjadi batas atas dan batas bawah panjang kunci K. Bila panjang K melebihi B, maka yang digunakan sebagai kunci adalah H(K).
2. IP Security
2.1. Pengertian IP Security
IPSec (singkatan dari IP Security) adalah sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis TCP/IP. IPSec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan.
IPSec umumnya diletakkan sebagai sebuah lapisan tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara pengirim dan penerima. Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.
Secara umum layanan yang diberikan IPSec adalah:
• Data Confidentiality, pengirim data dapat mengenkripsi paket data sebelum dilakukan transmit data.
• Data Integrity, penerima dapat mengotentifikasi paket yang dikirimkan oleh pengirim untuk meyakinkan bahwa data tidak dibajak selama transmisi.
• Data Origin Authentication, penerima dapat mengotentifikasi dari mana asal paket IPsec yang dikirimkan.
• Anti Replay, penerima dapat mendeteksi dan menolak paket yang telah dibajak.
Secara teknis, IPsec terdiri atas dua bagian utama. Bagian pertama mendeskripsikan dua protocol untuk penambahan header pada paket yang membawa security identifier, data mengenai integrity control, dan informasi keamanan lain. Bagian kedua berkaitan dengan protocol pembangkitan dan distribusi kunci. Bagian pertama IPsec adalah implementasi dua protokol keamanan yaitu:
1. Authentication Header (AH) menyediakan data integrity, data origin authentication dan proteksi terhadap replay attack.
2. Encapsulating Security Payload (ESP) menyediakan layanan yang disediakan oleh AH ditambah layanan data confidentiality dan traffic flow confidentiality.
2.2. Protokol Authentication Header (AH)
AH (Authentication Header), autentifikasi sumber data dan proteksi terhadap pencurian data. Protocol AH dibuat dengan melakukan enkapsulasi paket IP asli kedalam paket baru yang mengandung IP header yang baru yaitu AH header disertai dengan header asli. Isi data yang dikirimkan melalui protocol AH bersifat clear text sehingga tunnel yang berdasar protocol AH ini tidak menyediakan kepastian data.
Format Paket data AH:
Proses implementasi AH pada paket :
2.3. Protokol Encapsulating Security Payload (ESP)
ESP (Encapsulated Security Payload) dapat menyediakan kepastian data, autentikasi sumber data dan proteksi terhadap gangguan pada data. Protocol ESP
dibuat dengan melakukan enkripsi pada paket IP dan membuat paket IP lain yang mengandung header IP asli dan header ESP. Data yang terenkripsi (yang mengandung header IP asli) dan trailer ESP, separuhnya terenkripsi dan sebagian tidak.
Format paket data ESP :
2.4. Internet Key Exchange (IKE)
Interne Key Exchange (IKE) berfungsi untuk pembangkitan dan penukaran kunci kriptografi secara otomatis. Kunci kriptografi digunakan dalam auntentikasi node yang berkomunikasi dan proses enkripsi dan dekripsi paket yang dikirimkan.
2.5. Security Association
Kombinasi tentang bagaimana melindungi data (ESP dan atau AH termasuk algoritma dan kunci), apa saja data yang dilindungi dan pada saat apa data dilindungi disebut dengan Security Association (SA).
SA merupakan identifikasi unik dengan berbasiskan Security Parameter Index (SPI), alamat tujuan IP dan protocol keamanan (AH dan atau ESP) yang diimplementasikan dalam trafik jaringan IPSec. Dua tipe SA yang didefinisikan yaitu
• Transport Mode
protokol menyediakan proteksi terhadap layer di atas IP layer. Layanan keamanan pada mode ini dilakukan dengan penambahan sebuah IPsec header antara IP header dengan header protokol layer di atas IP yang diproteksi.
Implementasi IPsec di skema komunikasi end-to-end
• Tunnel mode
protokol diaplikasikan untuk menyediakan proteksi pada paket IP sehingga sekaligus melindungi layer di atas IP layer. Hal ini dilakukan dengan mengenkapsulasi paket IP yang akan diproteksi pada sebuah IP datagram yang lain.
IPsec diimplementasikan di antara Security Gateway
Dalam implementasinya Security Association ini dikelompokkan dalam suatu database. Database tersebut antara lain:
• Security Policy Database (SPD)
Semua elemen yang penting pada proses SA dimasukkan kedalam Security Policy Database (SPD), yang akan menspesifikasikan pelayanan apakah yang diberikan pada IP Datagram yang lewat pada trafik tersebut. SPD harus memperhitungkan semua proses pada trafik meliputi Inbound dan Outbound dan trafik non IPSec. Pada pelaksanaannya, IPSec akan mengecek SA pada SPD tersebut dan memberikan aksi discard (untuk paket pada host yang berada diluar network tersebut), bypass IPSec atau apply IPSec. Manajemen SPD harus meliputi beberapa selector yaitu alamat IP sumber, nama sub bagian database, dan port serta protocol tujuan dan sumber paket (TCP,UDP).
• Security Association Database (SAD)
Pada dasarnya isi dari SAD mirip dengan isi SPD yaitu policy trafik Inbound dan Outbound. Perbedaannya pada SPD setiap proses outbound tidak langsung menunjuk pada satu SA atau dikenal dengan SA Bundle. Pada proses inbound SAD memiliki index tujuan alamat IP, protocol IPSec dan SPI. Untuk proses Inbound pada SA akan melihat beberapa hal pada SAD yaitu header terluar alamat IP tujuan, protocol IPSec, SPI, Sequence Number Counter, Sequence Counter Overflow, Anti-replay Window, AH algorithm,ESP algorithm dan lifetime.
Comments :
Posting Komentar