44
Peran Kriptografi di Era Teknologi Informasi

introduction to cryptography and its role in information technology era

Embed Size (px)

Citation preview

Peran Kriptografi di

Era Teknologi Informasi

Peran Kriptografi di Era Teknologi Informasi2 of 41

Peran Kriptografi di Era Teknologi Informasi3 of 41

Mesin Enigma

Merupakan mesin enkripsi pertama

VS

Peran Kriptografi di Era Teknologi Informasi4 of 41

Cyber war?? Nation against Nation

Penyadapan terhadap presiden SBY

Peran Kriptografi di Era Teknologi Informasi5 of 41

Kriptografi, security dan Negara

Israel Defense Forces (IDF)

Di dalamnya ada:

The Code, Cipher & Security (CSC) Unit

Peran Kriptografi di Era Teknologi Informasi6 of 41

Keamanan dan kriptografi Menjadi semakin penting

diantaranya karena:

Semakin banyak informasiyang disimpan dan dikirimdalam bentukelektronik/digital

Jaringan komputer sudahmenjadi bagian/kebutuhanuntuk aktifitas bisnis, riset, administrasi dll

Semakin banyak sistem fisik yang terhubung ke jaringan digital/internet. (internet of things/ IOT).

Akses terhadap fasilitas fisik (transportasi, gedung dll) dilakukan dengan mekanisme digital.

Peran Kriptografi di Era Teknologi Informasi7 of 41

WHAT IS KRIPTOGRAFI?

Peran Kriptografi di Era Teknologi Informasi8 of 41

AMAN ???? Cryptography is everywhere!!

Jika kita ingin meng -‘aman’ – kan data/informasi, maka kita dapat memanfaatkan kriptografi.

Authentication

Integrity

Non-repudiationConfidentiality

SecurityAvailability

Authentication menjamin bahwa entitas yang

melakukan tindakankomunikasi adalah pihak yang mengklaim tindakankomunikasi tersebut

Data Confidentiality menjamin kerahasiaan data

dari pihak-pihak yang tidakberhak

Data Integrity melindungi data dari

modifikasi, penambahan,pengurangan oleh pihak yang tidak berhak

Non Repudiation Pihak-pihak yang telah

melakukan tindakankomunikasi tidak dapatmengelak/mungkir

Peran Kriptografi di Era Teknologi Informasi9 of 41

Contoh beberapa skenario serangan terhadap komunikasi data

A B

M

A BM

A BM

A BFrom A

“A, anda telah mengirim dokumen ini”

Tidak dapat mengelak bahwa telah mengirim data

tertentu ke B

Ketika terjadi dispute...

Peran Kriptografi di Era Teknologi Informasi10 of 41

Solusi kriptografi untuk aspek confidentiality:Enkripsi

Plaintext : data

Chipertext : data yang disandikan

Key : kunci untuk menyandikan dan membuka sandi

Sistem kriptografi terdiri dari:

1. Algoritma atau primitives, yaitu yang melakukan pemrosesan data dari satu bentuk ke bentuk lain. Contoh: enkripsi, hash, signature dll

2. Protokol, yaitu serangkaian langkah yang harus dilakukan oleh beberapa pihak ketika menggunakan algoritma atau primitives.

algoritma

protokol

Peran Kriptografi di Era Teknologi Informasi11 of 41

Jenis algoritma kriptografi (primitives)

Algoritma untuk enkripsi biasanya disebut cipher

Note: Algoritma/primitives tidak dapat digunakan secara efektif tanpa ada protokol!!

Peran Kriptografi di Era Teknologi Informasi12 of 41

Prinsip Kerkchoff

Auguste Kerckhoffs, "La cryptographie militaire"Journal des sciences militaires, vol. IX, pp. 5–83, January 1883, pp. 161–191, February 1883.

1. The system must be practically, if not mathematically, indecipherable;

2. It should not require secrecy, and it should not be a problem if it falls into enemy hands;

3. It must be possible to communicate and remember the key without using written notes, and correspondents must be able to change or modify it at will;

4. It must be applicable to telegraph communications;

5. It must be portable, and should not require several persons to handle or operate;

6. Lastly, given the circumstances in which it is to be used, the system must be easy to use and should not be stressful to use or require its users to know and comply with a long list of rules.

Algoritma tidak harus dirahasiakan, bahkan bisa bersifat publik

Hanya kunci yang harus dirahasikan.

Peran Kriptografi di Era Teknologi Informasi13 of 41

Enkripsi (cipher) simetrik:Stream cipher, block cipher

Cipher simetrik: kunci yang sama digunakan untuk enkripsi dan dekripsi. Ada dua jenis simetrik cipher:

Block cipher :mengenkripsi satu per satu blok dari plainteks sekaligus. Setiap blok dapat terdiri dari typically 64 or 128 bits.

Contoh: DES, 3DES, AES, Serpent

Stream cipher : mengenkripsi data bit per bit atau byte per byte

E… …

n bit

inputn bit

output

k bit key

Key stream generator

k bit key

pi

zi ci

Peran Kriptografi di Era Teknologi Informasi14 of 41

Enkripsi asimetrik

Cipher asimetrik: kunci untuk enkripsi berbeda dengan kunci dekripsi KS adalah kunci secret yang harus dirahasiakan. KP dapat dirilis ke publik (sehingga cipher ini sering disebut public-key

cryptography) Sulit (computationally infeasible) untuk mendapatkan KS dari KP

Manajemen distribusi kunci lebih sederhana. Kunci KP yang bersifat public tidak perlu dirahasiakan namun harus asli (otentik)

! Keamanan dari enkripsi kunci asimetrik pada umumnya disandarkan pada suatu

hard-problems matematik.

Dapat digunakan untuk digital signature

E Dm

plaintext

KP

(public) encryption key

KS

(private/secret)

decryption key

ciphertextm

Peran Kriptografi di Era Teknologi Informasi15 of 41

Hash

Fungsi hash memetakan bit strings dengan panjang sembarang ke bit stirngs dengan panjang tertentu (n bits).

many-to-one mapping collisions pasti ada

Namun menemukan collision sangat sulit. Nilai hash dari suatu data/pesan dapat dianggap sebagai fingerprints (message digest) dari pesan tersebut.

message of arbitrary length

fix length hash value

/ message digest / fingerprint

hash

function

Peran Kriptografi di Era Teknologi Informasi16 of 41

Model serangan terhadap cipher

ciphertext-only attack the adversary can only observe

ciphertexts produced by the same encryption key

known-plaintext attack the adversary can obtain

corresponding plaintext-ciphertextpairs produced with the same encryption key

(adaptive) chosen-plaintext attack the adversary can choose plaintexts

and obtain the corresponding ciphertexts

(adaptive) chosen-ciphertext attack the adversary can choose ciphertexts

and obtain the corresponding plaintexts

related-key attack the adversary can obtain ciphertexts,

or plaintext-ciphertext pairs that are produced with different encryption keys that are related in a known way to a specific encryption key

Enkripsi Dekripsi

Transmitted chiphertext

Key Key

Enkripsi Dekripsi

Transmitted chiphertext

Key Key

• Asumsi:

• Algoritma diketahui

• Penyerang mungkin pasif dan mungkin aktif

• Tujuan:

• mendapatkan kunciatau dapat melakukan dekripsi terhadap ciphertext.

Peran Kriptografi di Era Teknologi Informasi17 of 41

Level keamanan cipher

Cipher disebut aman jika tidak ada atau belum ditemukan metode serangan (short-cut attack) yang lebih efisien daripada brute-force attack

Short-cut attack adalah metode serangan dengan menganalisis algoritma cipher.

Brute force attack adalah metode serangan dengan cara mencoba seluruh kemungkinan kunci.

Key Size (bits) Number of Alternative

Keys

Time required at 1

decryption/µs

Time required at 106

decryptions/µs

32 232 = 4.3 109 231 µs = 35.8 minutes 2.15 milliseconds

56 256 = 7.2 1016 255 µs = 1142 years 10.01 hours

128 2128 = 3.4 1038 2127 µs = 5.4 1024

years

5.4 1018 years

168 2168 = 3.7 1050 2167 µs = 5.9 1036

years

5.9 1030 years

26 characters

(permutation)

26! = 4 1026 2 1026 µs = 6.4 1012

years

6.4 106 years

Peran Kriptografi di Era Teknologi Informasi18 of 41

KASUS PENGGUNAAN SISTEM KRIPTOGRAFI

KOMUNIKASI TERENKRIPSI DENGAN

KUNCI SIMETRIK VS KUNCI ASIMETRIK

Peran Kriptografi di Era Teknologi Informasi19 of 41

Sistem enkripsi dengan kunci simetrik

Masalah banyaknya kunci Sebelum komunikasi dilakukan,

dua belah pihak A dan B masing-masing harus memiliki kunci rahasia KAB

Anggap terdapat 3 orang yang perlu melakukan komunikasi secara rahasia, maka tiap pasang orang dalam grup tersebut harus memiliki kunci rahasia. Jadi semuanya ada 3 kunci.

Berapa kunci yang harus ada jika ada 10 orang dalam grup?

Masalah distribusi kunci Bagaimana cara menyampaikan

kunci rahasia tersebut ke pihak lain, karena tidak boleh bocor ke pihak lain. 2

1

3

K12

K23

K13

Peran Kriptografi di Era Teknologi Informasi20 of 41

Sistem enkripsi dengan kunci asimetrik

Masalah banyaknya kunci Sebelum komunikasi dilakukan,

masing-masing pihak harus memiliki 2 kunci yaitu kunci publik(KP) dan kunci private (secret key) (Ks)

Anggap terdapat 3 orang yang perlu melakukan komunikasi secara rahasia, Jadi total kunci yang diperlukan adalah 6 kunci

Berapa kunci yang harus ada jika ada 10 orang dalam grup?

Masalah distribusi kunci Masing-masing orang dapat

membangkitkan sendiri pasangan kunci private-publik miliknya.

Kunci publik dapat di rilis ke publik, tidak perlu dirahasikan.

Kunci private disimpan masing-masing dan harus dirahasikan 2

1

3

K2S,K2P

K1S,K1P

K3S,K3P

E Dm

plaintext

KP

(public) encryption key

KS

(private/secret)

decryption key

ciphertextm

Peran Kriptografi di Era Teknologi Informasi21 of 41

KASUS PENGGUNAAN SISTEM KRIPTOGRAFI

CELLULAR PHONE (GSM)

Peran Kriptografi di Era Teknologi Informasi22 of 41

Sistem kriptografi untuk GSM

Peran Kriptografi di Era Teknologi Informasi23 of 41

Fakta: Enkripsi Algoritma GSM A5/1 di Eropa Bisa Dibongkar dalam Hitungan Detik

• In 2008, sebuah grup The Hackers Choice mengembangkan serangan nyata terhadap A5/1 dan mampu mendapatkan kunci dalam 3–5 menit. Selanjutnya, suara dan sms dapatditerima dengan jelas

• A5/1 Cracking Project, mengembangkanserangan yang lebih efisien terhadap A5/1.

• Risiko setelah enkripsi GSM ini bisa dibobol: membuat pirate GSM operator, man-in-the-middle attack, phone tracking, phone number scanning, free phone calls, dan lain-lain yang dilakukan dari sisi pengguna. Sumber: detik .com 16 April 2008

Bagaimana dengan keamananmobile-payment?

Peran Kriptografi di Era Teknologi Informasi24 of 41

Bagaimana dengan Keamanan 3G?

Menggunakan enkripsiKazumi atau A5/3

Merupakan block cipher yang dimodifikasi dari block cipher Misty

Peran Kriptografi di Era Teknologi Informasi25 of 41

KASUS PENGGUNAAN SISTEM KRIPTOGRAFI

EDC DAN KEAMANAN SMARTCARD

Peran Kriptografi di Era Teknologi Informasi26 of 41

Security EDC:Titik Kerawanan Payment System dengan EDC

Switching System

Core Banking System

Vulnerability

Bank WAN

Petugas

Peran Kriptografi di Era Teknologi Informasi27 of 41

Keamanan Pembayaran Kartu Magnetik vs Kartu Chip

Fitur keamanan Kartu Magnetik Kartu Chip

Enkripsi dalamkomunikasi data

Kartu chip dan terminal mempertukarkan data plain.

Kartu chip dan terminal mempertukarkan data terenkrip.

Kerahasiaan data didalam kartu

Data disimpan di kartu dalam bentukplain

Data dilindungi dengan mekanisme akseskontrol atau dengan enkripsi.

Otentikasi

Terminal melakukan otentikasi kartudengan membaca data dalam magnetic stripe. Data-data ini tidak dilindungidengan mekanisme akses kontrol.

Terminal melakukan otentikasi kartumenggunakan mekanisme static data authentication (SDA) atau dynamic data authentication (DDA). Data ini dilindungimekanisme akses kontrol.

Tidak memungkinkan mekanismeotentikasi timbal-balik.

Mekanisme otentikasi timbal balik dapatdilakukan.

Non repudiasiTidak terdapat mekanisme non-repudiasi karena kartu tidak memilikimekanisme akses kontrol.

Mekanisme non-repudiasi dapat dilakukankarena terdapat data (kunci) yang dilindungimekanisme akses kontrol. (asymmetric encryption)

Transaksi secaraoffline

Terminal tidak dapat memastikanintegritas data otentikasi.

Terminal tetap dapat melakukan otentikasikartu (dengan SDA atau DDA) dan memeriksaintegritas data otentikasi.

Peran Kriptografi di Era Teknologi Informasi28 of 41

Tipe-tipe Kartu Chip (Smart Card)

Kartu chip

Tipe chip

Chip bermemori

Chip berprosesor

dengankoprosesor

tanpakoprosesor

Metode data transmisi

dengankontak

nir kontak

interface ganda

Peran Kriptografi di Era Teknologi Informasi29 of 41

Kasus Security EDC:Temuan Kerawanan Chip dan PIN(1)

Sumber: Steven Murdoch and Ross Anderson, Failures of Tamper-Proofing in PIN Entry Devices

Memasangkanpaper-clips ke

EDC

Merchant dapatmencuri data

account dan PIN

Membuat kartukloning

Peran Kriptografi di Era Teknologi Informasi30 of 41

Kasus Security EDC:Temuan Kerawanan Chip dan PIN (2)

Sumber: Steven Murdoch and Ross Anderson, Chip and PIN is broken

Peran Kriptografi di Era Teknologi Informasi31 of 41

Kasus Security EDCFakta Serangan Terhadap Mifare Classic (Contactless Card)

Mifare classic menggunakanalgoritma kripto yang proprietary

Melakukan reverse engineering terhadap

algoritma kripto

Analisis matematisalgoritma kripto

Mengembangkan serangannyata terhadap kartu

mifare classic yg beredar

Sumber: Karsten Nohl, Hardware Reverse Engineering

Peran Kriptografi di Era Teknologi Informasi32 of 41

KASUS PENGGUNAAN SISTEM KRIPTOGRAFI

KEAMANAN INTERNET BANKING

Peran Kriptografi di Era Teknologi Informasi33 of 41

Serangan Internet banking

Memakai halaman login asli bank mandiri.1.Knp kok tau? Krn ummu biasanya selalu buka ib mandiri dari #bookmark, dan pastinya yg dibookmark itu link asli dong...udah lama pake ib mandiri jg kan dr thn 2000 awal. Dan bukanya jg pake laptop milik sendiri.2. Pada saat kita masukkan user id, pin, dan tekan login/masuk/enter. Keluarlah popup yg tulisannya: sinkronisasi token pin mandiri. Disitu ada challenge code, kolom pin dan tampilannya miripppp sm ib mandiri sampe ke font2nya.3. Setelah memasukkan kode token, ada tulisan "TUNGGU YA". ummu smpt aneh disini kok bahasa ib mandiri gak pro bgt dan ana komen ke suami, ini capture jg utk suami sbnrnya. Tp blm ngeh.4. Pagi td jam 6 cek mutasi...daaarr!! Duit tinggal 300rb. Dan ada trx sbesar xxjuta ke bni 46 a.n ASEP SUPRIANSYAH dgn sistem #KLIRING.5. Lgsg ummu tlp ke cs 14000, tlp ke2x sm csnya disuruh blokir ib nya dgn cr masukkin 3x salah pin.6. Jam 8 udah ke bank lapor ke cs..alhamdulillah si phisher pake KLIRING jd prosesnya blm dijalankan dan SUDAH DIHOLD dananya oleh mandiri. 7. Tinggal menunggu proses refund bbrp hari smg lbh cpt krn cs hrs buat laporan yg dittd kepala bank. 8. Alhamdulillah kalo rejeki tak kemana smile emoticon#

Ibroh:Walau login di gadget sendiri tdk menjamin keamanan jd jika diminta masukkan kode token diluar kebiasaan JANGAN DITERUSKAN, cb pake browser atau gadget lain.

#ibmandiri #internetbanking #phishing #phising #bankmandiri #cybercrime #phishingbankmandiri #customercaremandiri #14000 #mandiricare #bni46

Testimoni salah satu korban

Peran Kriptografi di Era Teknologi Informasi34 of 41

Gambaran pengamanan internet banking eksisting (2)

User + Token

Internet / Mobile Network

(Telco)

Internetbanking server

What you know:

Username + password

What you have: tokenKoneksi https yang terenkripsi dan

sudah melalui validasi certificate

2 factor authentication

Peran Kriptografi di Era Teknologi Informasi35 of 41

HTTPS

Peran Kriptografi di Era Teknologi Informasi36 of 41

Token

Hardware token Soft token SMS token

Peran Kriptografi di Era Teknologi Informasi37 of 41

Via gsm network

OTP One Time Password

SMS

Token

Via internet dengan protokol https

Transaksi: acc + amount

OTP token via gsm network

Token OTP

Notifikasi transaksi

Permintaan input token Token generator

serverSms gateway

+

sms center

userInternet banking

server

OTPTrigger

Username + Password

User

Internet banking

server

Transaksi: acc + amount

Konfirmasi + token challenge

Token OTP

Token Device

Username + Password

Notifikasi transaksi

Gambaran pengamanan internet banking eksisting (3)

Peran Kriptografi di Era Teknologi Informasi38 of 41

Gambaran kasus serangan internet banking:Metode serangan yang terjadi

Serangan yang dilakukan adalah man-in-the-middle-attack Attacker memotong jalur

komunikasi di antara user dan web server internet banking.

Attacker dapat secara aktif mengirim dan memodifikasi pesan yang terkirim di antara user dan web server.

User

Internet banking

serverAttacker

...

Protokol https dirancang untuk mencegah terjadinya serangan MITM.

Mengapa serangan ini tetap dapat dilakukan ???

MITM dilancarkan sebelum https terbentuk , dengan kata lain serangan ini:

(1) mencegah terjadinya https antara user dan web server,

(2) selanjutnya melakukan MITM

Peran Kriptografi di Era Teknologi Informasi39 of 41

MITM terjadi !!

User + Token

Internetbanking server

What you know:

Username + password

What you have: token

2 factor authentication

httpsx

attacker

x

Peran Kriptografi di Era Teknologi Informasi40 of 41

KASUS PENGGUNAAN SISTEM KRIPTOGRAFI

BITCOIN

Peran Kriptografi di Era Teknologi Informasi41 of 41

Crypto currencies

Definisi Adalah mata uang yang bersifat

peer-to-peer, terdesentralisasi, dan menggunakan digital (virtual) currency yang

bersandar pada prinsip-prinsip kriptografi untuk memvalidasi transaksi dan sekaligus untuk membangkitkan mata uang tersebut (wikipedia).

Adalah mata uang yang menggunakan kriptografi untuk menjamin aspek

keamanannya. Fitur keamanan ini diantaranya untuk mencegah

pemalsuan.

Aspek penting lainnya adalah: mata uang ini tidak diterbitkan otoritas sentral (pemerintah) (investopedia)

Karakteristik mata uang yang harus dimiliki oleh crypto currencies adalah: Dapat digunakan untuk membeli

barang atau jasa: Bersifat :

Supply tidak berlebihan (scarce), Portable Durable Divisible,

Tentang value: Tidak harus memiliki nilai intrinsik Nilai tiap unit ditentukan oleh

keseimbangan supply vs demand The value of each unit of currency is determined by equilibrium between supply and demand

Value per unit = Total value / Number of units

Karakteristik tambahan: Tidak memungkinkan terjadinya

double spending

Peran Kriptografi di Era Teknologi Informasi42 of 41

Bitcoin hype and news

Peran Kriptografi di Era Teknologi Informasi43 of 41

Peran Kriptografi di Era Teknologi Informasi44 of 41

TERIMA KASIH