Upload
budi-sulistyo
View
182
Download
0
Embed Size (px)
Citation preview
Peran Kriptografi di Era Teknologi Informasi3 of 41
Mesin Enigma
Merupakan mesin enkripsi pertama
VS
Peran Kriptografi di Era Teknologi Informasi4 of 41
Cyber war?? Nation against Nation
Penyadapan terhadap presiden SBY
Peran Kriptografi di Era Teknologi Informasi5 of 41
Kriptografi, security dan Negara
Israel Defense Forces (IDF)
Di dalamnya ada:
The Code, Cipher & Security (CSC) Unit
Peran Kriptografi di Era Teknologi Informasi6 of 41
Keamanan dan kriptografi Menjadi semakin penting
diantaranya karena:
Semakin banyak informasiyang disimpan dan dikirimdalam bentukelektronik/digital
Jaringan komputer sudahmenjadi bagian/kebutuhanuntuk aktifitas bisnis, riset, administrasi dll
Semakin banyak sistem fisik yang terhubung ke jaringan digital/internet. (internet of things/ IOT).
Akses terhadap fasilitas fisik (transportasi, gedung dll) dilakukan dengan mekanisme digital.
Peran Kriptografi di Era Teknologi Informasi8 of 41
AMAN ???? Cryptography is everywhere!!
Jika kita ingin meng -‘aman’ – kan data/informasi, maka kita dapat memanfaatkan kriptografi.
Authentication
Integrity
Non-repudiationConfidentiality
SecurityAvailability
Authentication menjamin bahwa entitas yang
melakukan tindakankomunikasi adalah pihak yang mengklaim tindakankomunikasi tersebut
Data Confidentiality menjamin kerahasiaan data
dari pihak-pihak yang tidakberhak
Data Integrity melindungi data dari
modifikasi, penambahan,pengurangan oleh pihak yang tidak berhak
Non Repudiation Pihak-pihak yang telah
melakukan tindakankomunikasi tidak dapatmengelak/mungkir
Peran Kriptografi di Era Teknologi Informasi9 of 41
Contoh beberapa skenario serangan terhadap komunikasi data
A B
M
A BM
A BM
A BFrom A
“A, anda telah mengirim dokumen ini”
Tidak dapat mengelak bahwa telah mengirim data
tertentu ke B
Ketika terjadi dispute...
Peran Kriptografi di Era Teknologi Informasi10 of 41
Solusi kriptografi untuk aspek confidentiality:Enkripsi
Plaintext : data
Chipertext : data yang disandikan
Key : kunci untuk menyandikan dan membuka sandi
Sistem kriptografi terdiri dari:
1. Algoritma atau primitives, yaitu yang melakukan pemrosesan data dari satu bentuk ke bentuk lain. Contoh: enkripsi, hash, signature dll
2. Protokol, yaitu serangkaian langkah yang harus dilakukan oleh beberapa pihak ketika menggunakan algoritma atau primitives.
algoritma
protokol
Peran Kriptografi di Era Teknologi Informasi11 of 41
Jenis algoritma kriptografi (primitives)
Algoritma untuk enkripsi biasanya disebut cipher
Note: Algoritma/primitives tidak dapat digunakan secara efektif tanpa ada protokol!!
Peran Kriptografi di Era Teknologi Informasi12 of 41
Prinsip Kerkchoff
Auguste Kerckhoffs, "La cryptographie militaire"Journal des sciences militaires, vol. IX, pp. 5–83, January 1883, pp. 161–191, February 1883.
1. The system must be practically, if not mathematically, indecipherable;
2. It should not require secrecy, and it should not be a problem if it falls into enemy hands;
3. It must be possible to communicate and remember the key without using written notes, and correspondents must be able to change or modify it at will;
4. It must be applicable to telegraph communications;
5. It must be portable, and should not require several persons to handle or operate;
6. Lastly, given the circumstances in which it is to be used, the system must be easy to use and should not be stressful to use or require its users to know and comply with a long list of rules.
Algoritma tidak harus dirahasiakan, bahkan bisa bersifat publik
Hanya kunci yang harus dirahasikan.
Peran Kriptografi di Era Teknologi Informasi13 of 41
Enkripsi (cipher) simetrik:Stream cipher, block cipher
Cipher simetrik: kunci yang sama digunakan untuk enkripsi dan dekripsi. Ada dua jenis simetrik cipher:
Block cipher :mengenkripsi satu per satu blok dari plainteks sekaligus. Setiap blok dapat terdiri dari typically 64 or 128 bits.
Contoh: DES, 3DES, AES, Serpent
Stream cipher : mengenkripsi data bit per bit atau byte per byte
E… …
…
n bit
inputn bit
output
k bit key
Key stream generator
k bit key
pi
zi ci
Peran Kriptografi di Era Teknologi Informasi14 of 41
Enkripsi asimetrik
Cipher asimetrik: kunci untuk enkripsi berbeda dengan kunci dekripsi KS adalah kunci secret yang harus dirahasiakan. KP dapat dirilis ke publik (sehingga cipher ini sering disebut public-key
cryptography) Sulit (computationally infeasible) untuk mendapatkan KS dari KP
Manajemen distribusi kunci lebih sederhana. Kunci KP yang bersifat public tidak perlu dirahasiakan namun harus asli (otentik)
! Keamanan dari enkripsi kunci asimetrik pada umumnya disandarkan pada suatu
hard-problems matematik.
Dapat digunakan untuk digital signature
E Dm
plaintext
KP
(public) encryption key
KS
(private/secret)
decryption key
ciphertextm
Peran Kriptografi di Era Teknologi Informasi15 of 41
Hash
Fungsi hash memetakan bit strings dengan panjang sembarang ke bit stirngs dengan panjang tertentu (n bits).
many-to-one mapping collisions pasti ada
Namun menemukan collision sangat sulit. Nilai hash dari suatu data/pesan dapat dianggap sebagai fingerprints (message digest) dari pesan tersebut.
message of arbitrary length
fix length hash value
/ message digest / fingerprint
hash
function
Peran Kriptografi di Era Teknologi Informasi16 of 41
Model serangan terhadap cipher
ciphertext-only attack the adversary can only observe
ciphertexts produced by the same encryption key
known-plaintext attack the adversary can obtain
corresponding plaintext-ciphertextpairs produced with the same encryption key
(adaptive) chosen-plaintext attack the adversary can choose plaintexts
and obtain the corresponding ciphertexts
(adaptive) chosen-ciphertext attack the adversary can choose ciphertexts
and obtain the corresponding plaintexts
related-key attack the adversary can obtain ciphertexts,
or plaintext-ciphertext pairs that are produced with different encryption keys that are related in a known way to a specific encryption key
Enkripsi Dekripsi
Transmitted chiphertext
Key Key
Enkripsi Dekripsi
Transmitted chiphertext
Key Key
• Asumsi:
• Algoritma diketahui
• Penyerang mungkin pasif dan mungkin aktif
• Tujuan:
• mendapatkan kunciatau dapat melakukan dekripsi terhadap ciphertext.
Peran Kriptografi di Era Teknologi Informasi17 of 41
Level keamanan cipher
Cipher disebut aman jika tidak ada atau belum ditemukan metode serangan (short-cut attack) yang lebih efisien daripada brute-force attack
Short-cut attack adalah metode serangan dengan menganalisis algoritma cipher.
Brute force attack adalah metode serangan dengan cara mencoba seluruh kemungkinan kunci.
Key Size (bits) Number of Alternative
Keys
Time required at 1
decryption/µs
Time required at 106
decryptions/µs
32 232 = 4.3 109 231 µs = 35.8 minutes 2.15 milliseconds
56 256 = 7.2 1016 255 µs = 1142 years 10.01 hours
128 2128 = 3.4 1038 2127 µs = 5.4 1024
years
5.4 1018 years
168 2168 = 3.7 1050 2167 µs = 5.9 1036
years
5.9 1030 years
26 characters
(permutation)
26! = 4 1026 2 1026 µs = 6.4 1012
years
6.4 106 years
Peran Kriptografi di Era Teknologi Informasi18 of 41
KASUS PENGGUNAAN SISTEM KRIPTOGRAFI
KOMUNIKASI TERENKRIPSI DENGAN
KUNCI SIMETRIK VS KUNCI ASIMETRIK
Peran Kriptografi di Era Teknologi Informasi19 of 41
Sistem enkripsi dengan kunci simetrik
Masalah banyaknya kunci Sebelum komunikasi dilakukan,
dua belah pihak A dan B masing-masing harus memiliki kunci rahasia KAB
Anggap terdapat 3 orang yang perlu melakukan komunikasi secara rahasia, maka tiap pasang orang dalam grup tersebut harus memiliki kunci rahasia. Jadi semuanya ada 3 kunci.
Berapa kunci yang harus ada jika ada 10 orang dalam grup?
Masalah distribusi kunci Bagaimana cara menyampaikan
kunci rahasia tersebut ke pihak lain, karena tidak boleh bocor ke pihak lain. 2
1
3
K12
K23
K13
Peran Kriptografi di Era Teknologi Informasi20 of 41
Sistem enkripsi dengan kunci asimetrik
Masalah banyaknya kunci Sebelum komunikasi dilakukan,
masing-masing pihak harus memiliki 2 kunci yaitu kunci publik(KP) dan kunci private (secret key) (Ks)
Anggap terdapat 3 orang yang perlu melakukan komunikasi secara rahasia, Jadi total kunci yang diperlukan adalah 6 kunci
Berapa kunci yang harus ada jika ada 10 orang dalam grup?
Masalah distribusi kunci Masing-masing orang dapat
membangkitkan sendiri pasangan kunci private-publik miliknya.
Kunci publik dapat di rilis ke publik, tidak perlu dirahasikan.
Kunci private disimpan masing-masing dan harus dirahasikan 2
1
3
K2S,K2P
K1S,K1P
K3S,K3P
E Dm
plaintext
KP
(public) encryption key
KS
(private/secret)
decryption key
ciphertextm
Peran Kriptografi di Era Teknologi Informasi21 of 41
KASUS PENGGUNAAN SISTEM KRIPTOGRAFI
CELLULAR PHONE (GSM)
Peran Kriptografi di Era Teknologi Informasi23 of 41
Fakta: Enkripsi Algoritma GSM A5/1 di Eropa Bisa Dibongkar dalam Hitungan Detik
• In 2008, sebuah grup The Hackers Choice mengembangkan serangan nyata terhadap A5/1 dan mampu mendapatkan kunci dalam 3–5 menit. Selanjutnya, suara dan sms dapatditerima dengan jelas
• A5/1 Cracking Project, mengembangkanserangan yang lebih efisien terhadap A5/1.
• Risiko setelah enkripsi GSM ini bisa dibobol: membuat pirate GSM operator, man-in-the-middle attack, phone tracking, phone number scanning, free phone calls, dan lain-lain yang dilakukan dari sisi pengguna. Sumber: detik .com 16 April 2008
Bagaimana dengan keamananmobile-payment?
Peran Kriptografi di Era Teknologi Informasi24 of 41
Bagaimana dengan Keamanan 3G?
Menggunakan enkripsiKazumi atau A5/3
Merupakan block cipher yang dimodifikasi dari block cipher Misty
Peran Kriptografi di Era Teknologi Informasi25 of 41
KASUS PENGGUNAAN SISTEM KRIPTOGRAFI
EDC DAN KEAMANAN SMARTCARD
Peran Kriptografi di Era Teknologi Informasi26 of 41
Security EDC:Titik Kerawanan Payment System dengan EDC
Switching System
Core Banking System
Vulnerability
Bank WAN
Petugas
Peran Kriptografi di Era Teknologi Informasi27 of 41
Keamanan Pembayaran Kartu Magnetik vs Kartu Chip
Fitur keamanan Kartu Magnetik Kartu Chip
Enkripsi dalamkomunikasi data
Kartu chip dan terminal mempertukarkan data plain.
Kartu chip dan terminal mempertukarkan data terenkrip.
Kerahasiaan data didalam kartu
Data disimpan di kartu dalam bentukplain
Data dilindungi dengan mekanisme akseskontrol atau dengan enkripsi.
Otentikasi
Terminal melakukan otentikasi kartudengan membaca data dalam magnetic stripe. Data-data ini tidak dilindungidengan mekanisme akses kontrol.
Terminal melakukan otentikasi kartumenggunakan mekanisme static data authentication (SDA) atau dynamic data authentication (DDA). Data ini dilindungimekanisme akses kontrol.
Tidak memungkinkan mekanismeotentikasi timbal-balik.
Mekanisme otentikasi timbal balik dapatdilakukan.
Non repudiasiTidak terdapat mekanisme non-repudiasi karena kartu tidak memilikimekanisme akses kontrol.
Mekanisme non-repudiasi dapat dilakukankarena terdapat data (kunci) yang dilindungimekanisme akses kontrol. (asymmetric encryption)
Transaksi secaraoffline
Terminal tidak dapat memastikanintegritas data otentikasi.
Terminal tetap dapat melakukan otentikasikartu (dengan SDA atau DDA) dan memeriksaintegritas data otentikasi.
Peran Kriptografi di Era Teknologi Informasi28 of 41
Tipe-tipe Kartu Chip (Smart Card)
Kartu chip
Tipe chip
Chip bermemori
Chip berprosesor
dengankoprosesor
tanpakoprosesor
Metode data transmisi
dengankontak
nir kontak
interface ganda
Peran Kriptografi di Era Teknologi Informasi29 of 41
Kasus Security EDC:Temuan Kerawanan Chip dan PIN(1)
Sumber: Steven Murdoch and Ross Anderson, Failures of Tamper-Proofing in PIN Entry Devices
Memasangkanpaper-clips ke
EDC
Merchant dapatmencuri data
account dan PIN
Membuat kartukloning
Peran Kriptografi di Era Teknologi Informasi30 of 41
Kasus Security EDC:Temuan Kerawanan Chip dan PIN (2)
Sumber: Steven Murdoch and Ross Anderson, Chip and PIN is broken
Peran Kriptografi di Era Teknologi Informasi31 of 41
Kasus Security EDCFakta Serangan Terhadap Mifare Classic (Contactless Card)
Mifare classic menggunakanalgoritma kripto yang proprietary
Melakukan reverse engineering terhadap
algoritma kripto
Analisis matematisalgoritma kripto
Mengembangkan serangannyata terhadap kartu
mifare classic yg beredar
Sumber: Karsten Nohl, Hardware Reverse Engineering
Peran Kriptografi di Era Teknologi Informasi32 of 41
KASUS PENGGUNAAN SISTEM KRIPTOGRAFI
KEAMANAN INTERNET BANKING
Peran Kriptografi di Era Teknologi Informasi33 of 41
Serangan Internet banking
Memakai halaman login asli bank mandiri.1.Knp kok tau? Krn ummu biasanya selalu buka ib mandiri dari #bookmark, dan pastinya yg dibookmark itu link asli dong...udah lama pake ib mandiri jg kan dr thn 2000 awal. Dan bukanya jg pake laptop milik sendiri.2. Pada saat kita masukkan user id, pin, dan tekan login/masuk/enter. Keluarlah popup yg tulisannya: sinkronisasi token pin mandiri. Disitu ada challenge code, kolom pin dan tampilannya miripppp sm ib mandiri sampe ke font2nya.3. Setelah memasukkan kode token, ada tulisan "TUNGGU YA". ummu smpt aneh disini kok bahasa ib mandiri gak pro bgt dan ana komen ke suami, ini capture jg utk suami sbnrnya. Tp blm ngeh.4. Pagi td jam 6 cek mutasi...daaarr!! Duit tinggal 300rb. Dan ada trx sbesar xxjuta ke bni 46 a.n ASEP SUPRIANSYAH dgn sistem #KLIRING.5. Lgsg ummu tlp ke cs 14000, tlp ke2x sm csnya disuruh blokir ib nya dgn cr masukkin 3x salah pin.6. Jam 8 udah ke bank lapor ke cs..alhamdulillah si phisher pake KLIRING jd prosesnya blm dijalankan dan SUDAH DIHOLD dananya oleh mandiri. 7. Tinggal menunggu proses refund bbrp hari smg lbh cpt krn cs hrs buat laporan yg dittd kepala bank. 8. Alhamdulillah kalo rejeki tak kemana smile emoticon#
Ibroh:Walau login di gadget sendiri tdk menjamin keamanan jd jika diminta masukkan kode token diluar kebiasaan JANGAN DITERUSKAN, cb pake browser atau gadget lain.
#ibmandiri #internetbanking #phishing #phising #bankmandiri #cybercrime #phishingbankmandiri #customercaremandiri #14000 #mandiricare #bni46
Testimoni salah satu korban
Peran Kriptografi di Era Teknologi Informasi34 of 41
Gambaran pengamanan internet banking eksisting (2)
User + Token
Internet / Mobile Network
(Telco)
Internetbanking server
What you know:
Username + password
What you have: tokenKoneksi https yang terenkripsi dan
sudah melalui validasi certificate
2 factor authentication
Peran Kriptografi di Era Teknologi Informasi37 of 41
Via gsm network
OTP One Time Password
SMS
Token
Via internet dengan protokol https
Transaksi: acc + amount
OTP token via gsm network
Token OTP
Notifikasi transaksi
Permintaan input token Token generator
serverSms gateway
+
sms center
userInternet banking
server
OTPTrigger
Username + Password
User
Internet banking
server
Transaksi: acc + amount
Konfirmasi + token challenge
Token OTP
Token Device
Username + Password
Notifikasi transaksi
Gambaran pengamanan internet banking eksisting (3)
Peran Kriptografi di Era Teknologi Informasi38 of 41
Gambaran kasus serangan internet banking:Metode serangan yang terjadi
Serangan yang dilakukan adalah man-in-the-middle-attack Attacker memotong jalur
komunikasi di antara user dan web server internet banking.
Attacker dapat secara aktif mengirim dan memodifikasi pesan yang terkirim di antara user dan web server.
User
Internet banking
serverAttacker
...
Protokol https dirancang untuk mencegah terjadinya serangan MITM.
Mengapa serangan ini tetap dapat dilakukan ???
MITM dilancarkan sebelum https terbentuk , dengan kata lain serangan ini:
(1) mencegah terjadinya https antara user dan web server,
(2) selanjutnya melakukan MITM
Peran Kriptografi di Era Teknologi Informasi39 of 41
MITM terjadi !!
User + Token
Internetbanking server
What you know:
Username + password
What you have: token
2 factor authentication
httpsx
attacker
x
Peran Kriptografi di Era Teknologi Informasi41 of 41
Crypto currencies
Definisi Adalah mata uang yang bersifat
peer-to-peer, terdesentralisasi, dan menggunakan digital (virtual) currency yang
bersandar pada prinsip-prinsip kriptografi untuk memvalidasi transaksi dan sekaligus untuk membangkitkan mata uang tersebut (wikipedia).
Adalah mata uang yang menggunakan kriptografi untuk menjamin aspek
keamanannya. Fitur keamanan ini diantaranya untuk mencegah
pemalsuan.
Aspek penting lainnya adalah: mata uang ini tidak diterbitkan otoritas sentral (pemerintah) (investopedia)
Karakteristik mata uang yang harus dimiliki oleh crypto currencies adalah: Dapat digunakan untuk membeli
barang atau jasa: Bersifat :
Supply tidak berlebihan (scarce), Portable Durable Divisible,
Tentang value: Tidak harus memiliki nilai intrinsik Nilai tiap unit ditentukan oleh
keseimbangan supply vs demand The value of each unit of currency is determined by equilibrium between supply and demand
Value per unit = Total value / Number of units
Karakteristik tambahan: Tidak memungkinkan terjadinya
double spending