Anda di halaman 1dari 9

NETWORK LABORATORY

Electrical Engineering Department, 2nd floor


Universitas Indonesia
Depok. 16424

PRAKTIKUM KEAMANAN JARINGAN


MODUL 1
Email Security
TUJUAN PRAKTIKUM:
1.
2.
3.
4.

Memahami konsep symmetric dan asymmetric cryptography dalam keamanan email


Mampu melakukan encryption dan decryption email dengan PGP menggunakan Gpg4win
Memahami prosedur authentication menggunakan metode OpenPGP
Mampu mengimplementasikan digital signature pada email

DASAR TEORI:
PGP Secara Umum
PGP (Pretty Good Privacy) adalah suatu metode enkripsi yang menyimpan kerahasiaan
suatu informasi agar tidak dapat diketahui/dibaca oleh pihak selain pengirim dan penerima
informasi. Informasi ini bisa berupa Email rahasia, nomor kode kartu kredit, atau pengiriman
dokumen rahasia perusahaan melalui internet.
PGP menggunakan metode asymmetric cryptography, yang memiliki sistem pasangan
public key dan private key. Setiap orang yang akan berkomunikasi menggunakan metode PGP
harus memiliki sepasang kunci ini. Public key merupakan kunci yang dipublikasikan dan
digunakan oleh orang lain untuk melakukan enkripsi pesan yang ditujukan kepada pemilik public
key tersebut. Untuk men-dekripsi pesan tersebut, si penerima harus menggunakan private key
milik-nya yang tidak boleh diketahui oleh orang lain. Berbeda dengan metode symmetric
cryptography dimana proses enkripsi dan dekripsi hanya melibatkan satu buah kunci, sehingga
si pengirim dan penerima harus bertukar kunci terlebih dahulu yang sangat beresiko karena
dapat di-intercept oleh pihak lain di dalam jaringan.

Gbr1. Symmetric Cryptography (ki), Asymmetric Cryptograhpy (ka)

Gpg4win
Gpg4win adalah paket instalasi untuk Windows (2000/XP/2003/Vista/7) dengan
program dan handbook untuk enkripsi file dan email. Gpg4win dan program-program di
dalamnya adalah free software, berbeda dengan software PGP yang berbayar. Gpg4win terdiri
dari program-program berikut:
pg. 1

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

GnuPG, program inti dari Gpg4win yang bersifat gratis. GnuPG berbasis standar
internasional OpenPGP (RFC 2440) yang kompatibel dengan PGP serta memiliki
infrastruktur yang sama (certificate server, dll). GnuPG versi 2 juga mendukung standar
cryptography S/MIME (IETF RFC 3851, ITU-T X.509 dan ISIS-MTT/Common PKI)
Kleopatra, program administrasi certificate yang menyediakan navigasi user untuk
semua operasi cryptography maupun pengelolaan key.
GNU Privacy Assistant (GPA), program alternatif untuk manajemen certificate
GnuPG for Outlook (GpgOL), extension dari Microsoft Outlook
GPG Explorer eXtension (GpgEX), extension untuk Windows Explorer
Claws Mail, program email yang mendukung software GnuPG

Tools lain : Instant Crypt, software opensource untuk melakukan enkripsi & dekripsi berbasis
Open PGP

Encryption - Decryption

Gbr2. Proses Encryption Decryption pada PGP/GnuPG

Authentication
Meskipun memiliki keandalan tinggi, konsep public key ternyata menyisakan masalah
dari sisi pengirim pesan. Misalkan Andi dan Budi ingin melakukan korespondensi menggunakan
email rahasia. Mereka memang tidak perlu bertemu langsung untuk bertukaran key sebelum
pg. 2

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

berkiriman email rahasia, cukup upload public key di certificate server atau di website masingmasing agar dapat diakses oleh lawan komunikasinya. Namun, bagaimana cara Andi
meyakinkan dirinya bahwa public key tersebut adalah benar milik Budi? Dalam kasus tertentu,
bisa saja ada orang lain yang berpura-pura menjadi Budi dan menggunakan public key miliknya
untuk mendapatkan email rahasia yang seharusnya hanya boleh dibaca oleh Budi. Oleh
karenanya, tidak hanya kerahasiaan pesan, tapi identitas dari pemilik public key juga harus
terjamin kredibilitasnya. Hal ini disebut dengan authenticity. Terdapat dua metode yang
digunakan :
1. S/MIME (Secure/Multipurpose Internet Mail Extension), menggunakan konsep
hierarchical trust. Jika menggunakan S/MIME, public key kita harus diautentikasi
terlebih dahulu oleh organisasi terakreditasi sebelum dapat digunakan. Rantai hierarki
ini biasanya terdiri dari tiga link : root certificate, certificate authority, dan user certificate
2. OpenPGP, menggunakan konsep Web of trust. Konsep ini merepresentasikan struktur
dasar dari internet non-hierarki beserta user-usernya. Sebagai contoh, jika User B
memberikan kepercayaan-nya kepada User A, maka User B juga akan meyakini
kebenaran public key milik User C, jika key tersebut sudah diautentikasi kebenarannya
oleh User A.

Gbr3. Ilustrasi Public Key yang telah diautentikasi oleh banyak user (konsep Web of Trust)

Digital Signature
Untuk memastikan bahwa pesan yang diterima adalah benar buatan si pengirim yang
kita inginkan, PGP/GnuPG menyediakan fasilitas digital signature atau tandatangan digital.
Pengirim menggunakan PGP/GnuPG untuk membuat digital signature dari pesan dengan
algoritma RSA atau DSA. Untuk melakukannya, PGP/GnuPG akan melakukan komputasi untuk
menghasilkan hash (message digest) dari plaintext, dan membuat digital signature dari hasil
enkripsi hash tersebut menggunakan private key milik si pengirim.
Penerima kemudian akan menggunakan public key milik si pengirim untuk men-dekripsi
kode hash tersebut. Jika cocok, maka kode hash tersebut menjadi digital signature untuk pesan,
pg. 3

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

sehingga penerima yakin bahwa pesan tersebut benar dibuat oleh pengirim yang diketahui, atau
belum pernah dimodifikasi oleh siapa pun.
PGP versi RSA menggunakan algoritma MD5 (Message Digest 5, 128 bit) untuk menggenerate
kode hash, sedangkan vesi Diffie-Hellman menggunakan algoritma SHA-1.

Tutorial

Membuat Public & Private Key


1. Buka Kleopatra
2. Klik File > New Certificate..
3. Di kotak dialog, pilih opsi Create a Personal OpenPGP key pair
4. Masukkan detail key

5. Klik Next > Create Key, masukkan passphrase. Harus menyertakan karakter angka.

6. Akan muncul kotak dialog, pilih Make a Backup Of Your Key Pair untuk meng-export key

pg. 4

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

7. Masukkan direktori. Centang opsi ASCII armor untuk tipe file *.asc ; kosongkan untuk
tipe file *.pgp atau *.gpg.

8. Private key sudah dibuat. Untuk mengexport Public key, klik kanan pada certificate dan
pilih Export Certificate.

pg. 5

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

Melakukan Enkripsi & Dekripsi Pesan


1. Buka InstantCrypt
2. Klik Key Management > Import Key untuk memasukkan key
3. Enkripsi. Pada form Used Own Key, masukkan private key anda untuk melakukan digital
signature. Pada form From/To, masukkan public key milik penerima pesan.

4. Masukkan pesan ke form Message Text, Klik Encrypt. Pesan terenkripsi.

5. Decrypt. Masukkan pesan terenkripsi ke form Encrypted Message. Pada form Used Own
Key, masukkan private key anda untuk mendekripsi pesan. Pada form Sender (Signers
Key), masukkan public key pengirim untuk membuka digital signature di dalam pesan.
Klik Decrypt.

Melakukan Authentikasi Public Key dengan metode OpenPGP


1. Buka Kleopatra
2. Klik kanan pada certificate yang akan diautentikasi. Pilih Certify Certificate.
3. Centang opsi I have verified the fingerprint. Fingerprint adalah identitas unik dari setiap
key, dengan memverifikasi-nya, anda berarti menyatakan bahwa kunci tersebut benar
milik orang yang anda maksud (pada gambar di bawah user : Adele)

pg. 6

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

4. Klik Next. Pilih opsi Certify for everyone to see. Klik Certify, masukkan passphrase.

5. Untuk mengecek key tersebut sudah diautentikasi oleh siapa saja, klik kanan pada
certificate. Pilih Certificate Detail, buka tab User IDs and Certification.

pg. 7

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

PRAKTIKUM KEAMANAN JARINGAN


CASE STUDY MODUL 1
Email Security

Anda adalah engineer yang bekerja pada perusahaan Netlab Corp. Persaingan dunia industri
yang ketat mengakibatkan dokumen rahasia milik perusahaan anda rentan untuk dicuri oleh
perusahaan lawan. Suatu ketika, dalam sebuah perjalanan bisnis ke Tokyo, anda lupa keyword
yang digunakan untuk membuka dokumen rahasia berisi rancangan desain produk terbaru
Netlab Corp. Satu-satunya orang lain yang mengetahui keyword itu adalah mentor anda, yang
memiliki alamat email netlab.ftui@gmail.com. Anda membutuhkan metode enkripsi yang terbukti
andal dan belum dapat dirusak oleh metode mana pun, anda pun memutuskan memakai PGP !
Percobaan
1. Buat Public dan Private Key milik anda. Export dengan format nama file :
Public/Private_Nama_NPM.asc
2. Untuk meyakinkan mentor bahwa Public Key yang dikirim adalah benar milik anda, minta
2 orang di sebelah anda untuk mengautentikasi Public Key tersebut
3. Buat pesan terenkripsi yang berisi Nama, Program Studi, Angkatan, dan NPM
menggunakan Public Key milik mentor yang di upload di SCELE
4. Kirim pesan tersebut ke email netlab.ftui@gmail.com. Sertakan attachment berisi Public
Key anda yang telah terautentikasi.
5. Mentor akan mengirimkan keyword dalam bentuk pesan terenkripsi ke email anda.
Dekripsi pesan tersebut

pg. 8

NETWORK LABORATORY
Electrical Engineering Department, 2nd floor
Universitas Indonesia
Depok. 16424

Tugas
1.
2.
3.
4.

Tampilkan screenshot isi Public dan Private Key anda ! (10)


Tampilkan screenshot bukti bahwa Public Key anda telah terautentikasi ! (10)
Tuliskan isi pesan anda sebelum dan sesudah di-enkripsi ! (20)
Tuliskan isi pesan (keyword) dari mentor sebelum dan sesudah di-dekripsi ! Apa bukti
bahwa pesan tersebut belum dimodifikasi oleh siapa pun? (30)
5. Jelaskan prosedur Sign Encrypt Decrypt Verify pesan menggunakan PGP ! (30)

pg. 9