Public Key Infrastructure PKI Public Key Infrastructure PKI
Public Key Infrastructure (PKI)
Public Key Infrastructure (PKI) • Public Key Infrastructure merupakan teknologi digital yang dapat memberikan 3 jaminan kepada dokumen dan transaksi elektronik, yaitu : 1. Identitas pemilik kunci asli 2. Nirsangkal terhadap penggunaan kunci 3. Integritas sebuah file elektronik. • Public Key Infrastructure menggunakan 2 kunci kriptografi yang disebut sebagai Private Key dan Public Key. • Pemanfaatan 2 kunci kriptografi inilah yang disebut sebagai Tanda Tangan Digital.
Public Key Infrastructure (PKI) • Public Key dan Private Key merupakan pasangan kunci untuk proses enkripsi dan dekripsi. • Keduanya selalu berpasangan. • Jika data di enkrip dengan Private key maka men-dekrip-nya menggunakan Public key. • Private Key bersifat rahasia dan hanya diketahui oleh pemiliknya. • Public Key tidak dirahasiakan oleh pemiliknya tapi siapapun boleh mengetahuinya.
Konsep Public Key Infrastructure
Berkirim Pesan sniffing John Kei Anto Tono
Solusi : Enkripsi Kunci Enkripsi • Berbentuk rangkaian karakter • Dibuat sendiri atau auto generate • Semakin panjang semakin baik Syncronus Encryption : • Menggunakan satu kunci untuk Encrypt dan Decrypt • Kunci enkripsi mirip dengan password, susunan alfabet/heksadesimal
Masalah Baru John Kei Anto Tono
Solusi : Enkripsi Asinkronus Enkripsi Asyncronus • Kunci dipengang oleh pemilik kunci dan hanya oleh pemilik kunci • Menjadi faktor nir-sangkal dalam tanda tangan digital a. k. a Public Key Infrastructure • Kunci yang ‘dibagi-bagikan’ pada publik
PKI sebagai Enkripsi Public John Kei Privat Public Anto Tono
PKI sebagai Tanda Tangan Digital Privat Publik
Man In The Middle Attack Privat Publik John Kei Publik Privat Anto Tono
CERTIFICATION AUTHORITY (CA) • Kunci Publik yang telah didaftarkan pada CA dan ditandatangani oleh CA • Sertifikat Digital berisi : • Kunci publik • Informasi Pemegang Kunci Publik SERTIFIKAT DIGITAL • Informasi CA penandatangan • Informasi sertifikat (Serial number, masa berlaku, dll) • CA Merupakan otoritas TTP (Trusted Third Party) yang John Kei Publik menjamin : • Kebenaran identitas pemilik publik key Privat Anto Tono Certification Authority
CERTIFICATION AUTHORITY (CA) Privat Publik John Kei Privat Anto Tono Certification Authority
CERTIFICATION AUTHORITY (CA)
Jika A ingin mengirim pesan kepada B secara rahasia, bagaimana caranya? Publik A Privat B
Masalah lain : bagaimana B tahu kalau pesan itu dari A? Sedangkan Public Key B bisa dimiliki bebas oleh siapapun? Non Repudiation Publik B C Privat A D Confidentiality Publik A Privat B A Publik B B
Konsep Digital Sertificate & Digital Signature
Salah Persepsi Tanda Tangan Digital Per sep si L ain? Sertifikat Digital
Salah Persepsi HASIL PENCARIAN GOOGLE PUN SALAH PERSEPSI!!! 05/24/11
Digital Certificate • Kunci publik tidak mempunyai suatu kode identifikasi kepemilikan, sehingga bisa disalahgunakan oleh pihak lain (impersonation attack ). • Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital. • Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA). • CA biasanya adalah institusi keuangan atau institusi yang terpercaya. • Contoh CA terkenal: Verisign (www. verisign. com)
ROOT CA Root CA : • Penjamin CA • Menandatangani Public Key CA Certification Authority
23
24
Digital Certificate • Merupakan suatu file elektronik (tersimpan dalam komputer user) yang merupakan file yang unik bagi setiap individu atau entitas. • Digital Certificate dikeluarkan oleh pihak ketiga yang dikenal sebagai Certification Authority (CA) • Berfungsi untuk mengenali identitas sebuah perusahaan atau individu dalam suatu jaringan. • Otoritas sertifikasi pihak ketiga memiliki tanggung jawab untuk mengkonfirmasi identitas pemegang sertifikat serta memberikan jaminan kepada para pengunjung situs bahwa situs web tersebut adalah satu yang dapat dipercaya dan mampu melayani mereka dengan cara yang dapat dipercaya.
Digital Certificate Sertifikat digital merupakan dokumen digital yang berisi informasi sebagai berikut: • Siapa pemilik (organisasi/individu) digital certificate • Alamat pemilik • Tanda tangan digital • Public Key • Nomor Seri • Expired date • Siapa yang mengesahkan digital certificate tersebut
Digital Certificate • Sertifikat digital mengikat kunci publik dengan identitas pemilik kunci publik. • Sertifikat ini dapat dianggap sebagai ‘surat pengantar’ dari CA. • Sertifikat digital tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories. • Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat.
Fungsi Dasar Digital Certificate • Menyatakan bahwa orang-orang, website, dan sumber daya jaringan seperti server dan router merupakan sumber terpercaya, dengan kata lain sesuai dengan siapa atau apa yang menjadi tuntutan mereka. • Memberikan perlindungan bagi pertukaran data dari pengunjung dan website dari gangguan atau bahkan pencurian, seperti informasi kartu kredit. • Sertifikat digital perlu terutama untuk membantu memberikan kepercayaan dan mengurangi rasa takut user dalam bertransaksi online, dengan jaminan dari lembaga yang dipercayai tersebut.
Contoh Digital Certificate
31 Rinaldi M/IF 5054 Kriptografi
32 Rinaldi M/IF 5054 Kriptografi *) Sumber: http: //budi. paume. itb. ac. id
Fakta Mengenai Tanda Tangan Basah • Tanda tangan digunakan sebagai penjamin keotentikan sebuah dokumen serta penjamin keotentikan sebuah transaksi. • Tanda tangan memberikan 3 buah jaminan: 1. Jaminan Identitas. Karena bentuk/gambar tanda tangan diyakini unik , maka tanda tangan merupakan identitas seseorang. Bahkan tanda tangan dapat di daftarkan, seperti di Bank atau e. KTP sehingga kepemilikan gambar tanda tangan menjadi lebih kuat lagi. 2. Jaminan Nirsangkal. Tanda tangan yang tertera pada sebuah perjanjian, slip transaksi, atau sebuah fomulir merupakan bentuk persetujuan seseorang yang tidak dapat disangkal. Sehingga sebuah kertas atau perjanjian memiliki nilai di depan hukum.
Fakta Mengenai Tanda Tangan Basah 3. Jaminan Integritas transaksi. Bentuk paraf dan tanda tangan pada setiap halaman di dalam kontrak, yang kemudian masing 2 pihak memegang kontrak tersebut, itu menjadi instrumen untuk menjaga keutuhan isi dokumen. Sehingga masing 2 pihak tidak dapat merubahnya. Demikian juga kita dan bank menyimpan slip tabungan atau penarikan merupakan bentuk jaminan transaksi perbankan. • Jadi kesimpulannya, tanda tangan merupakan instrumen untuk menjamin Dokumen Kertas dan Transaksi Konvensional. • Bagaimana dengan transaksi/dokumen digital? • Apakah dokumen elektronik yang dicetak dan ditandatangani itu menjamin keaslian ?
Digital Signature • Tanda tangan digital adalah stempel autentikasi elektronik terenkripsi pada informasi digital seperti pesan email atau dokumen elektronik. • Tanda tangan digital mengonfirmasi pemilik dokumen dan menjamin bahwa isi dokumen belum berubah. • Tanda tangan digital dibuat menggunakan sertifikat digital. • Karena tanda tangan mewakili individu, baik pada implementasi di kertas maupun elektronik, maka kepemilikannya bersifat personal. • Dimungkinkan juga sebuah organisasi memiliki tanda tangan digital yang mewakili organisasi, yang biasanya digunakan keperluan bisnis.
Digital Signature • Pemilik tanda tangan punya kewajiban menjaga tanda tangannya agar tidak mudah dipalsukan. Misalnya untuk tanda tangan basah, dilindungi dengan membuat gambar yg sulit ditiru dan tidak mengajarkan ke orang lain. • Untuk tanda tangan digital, user wajib menjaga kerahasiaan private key yg dimilikinya, dan segera melapor jika ada kebocoran. • Jika tanda tangan elektronik dilaporkan ke CA bahwa telah bocor atau tercuri, maka otomatis file private key tsb tidak dapat digunakan untuk membuat tanda tangan dan transaksi. Persis seperti kartu ATM yg dilaporkan hilang, sehingga pemiliknya aman dari penyalahgunaan.
Digital Signature Bukan tanda tangan digital
Digital Certificate & Web Browser • Ketika User sedang online dan web browser user mencoba untuk mengamankan sambungan ke suatu website yang dibuka, maka sertifikat digital (yang diterbitkan untuk website tersebut) akan diperiksa oleh browser web untuk memastikan bahwa semuanya baik-baik saja dan dapat ditelusuri/dibuka dengan aman. • Web browser pada dasarnya telah dibangun dengan memiliki daftar semua otoritas sertifikasi utama beserta public key mereka, dan menggunakan informasi tersebut untuk mendekripsi tanda tangan digital. • Hal ini memungkinkan browser untuk segera memeriksa masalah. • Jika browser menemukan sebuah informasi sertifikat yang tidak cocok atau kadaluarsa, pop up akan muncul memberi peringatan. `
Penerapan Digital Certificate • Digital Certificate biasanya digunakan pada: • SSL (Secure Socket Layer) dikembangkan oleh Netscape Communication Corporation • S/MIME (Secure Multipurpose Internet Mail Extensions) Standarisasi keamanan email dan data elektronik (EDI) • SET (Secure Electronic Transactions) Protokol untuk mengamankan transaksi elektronik • IPSec (IP Secure) untuk authentikasi network devices
Mengapa kita perlu Digital Certificates? • Virtual Mall, Elektronik Perbankan dan layanan elektronik lainnya adalah layanan yang menawarkan kemewahan seseorang (sesuatu yang berharga). Sehingga dengan digital certificates dapat melindungi hal – hal tersebut dari segala kemungkinan yang membahayakan. • Enkripsi saja tidak cukup karena tidak memberikan bukti identitas pengirim informasi yang dienkripsi. Penggabungan Enkripsi dan Digital Certificates menyediakan solusi keamanan yang lebih lengkap, menjamin identitas semua pihak yang terlibat dalam transaksi.
Keuntungan Digital Certificate • Bisa membuat “pipa komunikasi” tertutup antara 2 pihak • Bisa dipergunakan untuk mengotentikasi pihak lain di jaringan (mengenali jati dirinya) • Bisa dipakai untuk membuat dan memeriksa tanda tangan • Bisa dipakai untuk membuat surat izin “digital” untuk melakukan aktifitas tertentu, atau identitas digital • Bisa untuk off-line verification • Memungkinkan pelacakan transaksi yang terjadi karena meninggalkan log dalam setiap transaksi di digital certificate tersebut
Certificate Classes Class Typical Use 1 Digunakan untuk memverifikasi identitas individu melalui e-mail. Seseorang yang menerima sertifikat Kelas 1, dapat menggunakan pasangan kunci publik / privatnya untuk menandatangani e-mail secara digital dan mengenkripsi konten pesan. 2 Untuk penandatanganan perangkat lunak. Vendor perangkat lunak akan mendaftar untuk jenis sertifikat ini sehingga secara digital dapat menandatangani perangkat lunaknya. Ini memberikan integritas untuk perangkat lunak setelah dikembangkan dirilis, dan memungkinkan penerima perangkat lunak untuk memverifikasi dari mana perangkat lunak benar-benar datang. 3 Untuk perusahaan yang mengatur CA-nya sendiri, yang akan memungkinkannya melakukan verifikasi identifikasi sendiri dan menghasilkan sertifikat secara internal.
Pembatalan • Adanya atribut waktu kadaluarsa pada sertifikat digital dimaksudkan agar pengguna mengubah kunci publik dan kunci privat secara periodik. • Makin lama penggunaan kunci, makin besar peluang kunci diserang dan dikriptanalisis. • Jika pasangan kunci tersebut diubah, maka sertifikat digital yang lama harus ditarik kembali (revoked). • Pada sisi lain, jika kunci privat berhasil diketahui pihak lain sebelum waktu kadaluarsanya, sertifikat digital harus dibatalkan ditarik kembali, dan pengguna harus mengganti pasangan kuncinya.
Pembatalan • CA secara periodik mengeluarkan CRL (Certificate Revocation List) yang berisi nomor seri sertifikat digital yang ditarik. • Sertifikat digital yang sudah kadaluarsa otomatis dianggap sudah tidak sah lagi dan ia juga dimasukkan ke dalam CRL. • Dengan cara ini, maka CA tidak perlu memberitahu perubahan sertifikat digital kepada setiap orang.
- Slides: 45
