10715216
10915204
10915194
2015
DAFTAR ISI
BAB I : PENDAHULUAN
1.1 Sejarah dan Perkembangan Kerberos 3
1.2 Defenisi dan Terminologi Kerberos
BAB II : PEMBAHASAN
2.1 Fungsi Kerberos
16
BAB I
PENDAHULUAN
Kerberos dibangun pada kriptografi kunci simetris dan membutuhkan pihak ketiga
yang terpercaya. Ekstensi untuk Kerberos dapat menyediakan untuk penggunaan kriptografi
kunci publik selama fase-fase tertentu otentikasi.
Kerberos menggunakan sebagai dasar Protokol Needham-Schroeder simetris. Itu
membuat penggunaan pihak ketiga yang terpercaya, disebut pusat distribusi kunci (KDC),
yang terdiri dari dua bagian yang terpisah secara logis: sebuah Authentication Server (AS)
Tiket Pemberian dan Server (TGS). Kerberos bekerja atas dasar "tiket" yang berfungsi untuk
membuktikan identitas pengguna.
The KDC memelihara sebuah database kunci rahasia; setiap entitas pada jaringan apakah klien atau server - saham kunci rahasia yang hanya diketahui oleh dirinya sendiri dan
ke KDC. Pengetahuan tentang kunci ini berfungsi untuk membuktikan identitas suatu entitas.
Untuk komunikasi antara dua entitas, yang KDC menghasilkan kunci sesi yang mereka dapat
gunakan untuk mengamankan interaksi mereka. Keamanan protokol bergantung pada peserta
mempertahankan sinkron longgar waktu dan pernyataan singkat keaslian Kerberos disebut
tiket.
Autentikasi, Integritas, Kerahasiaan, dan Authorization/Otorisasi, Autentikasi adalah
verifikasi dari identitas dari suatu gabungan beberapa data yang digenerate, dan integritas dari
data tersebut. Pada prinsipnya autentikasi ini adalah gabungan identitas yang diverifikasi. Data
integritas menjamin bahwa data yang diterima adalah sama seperti dihasilkan. Mekanisme
autentikasi berbeda pada jaminan yang disediakan: beberapa hal menunjukkan bahwa data
telah dihasilkan pada beberapa poin sebelumnya, beberapa hal menunjukkan bahwa data
utama ditampilkan ketika data telah dikirim, dan yang lain menunjukkan bahwa data yang
diterima dihasilkan oleh system ini. Mekanismenya juga berbeda di banyaknya verifikasi,
beberapa verifikasi didukung beberapa verifikator.
Oleh karena perbedaan ini mempengaruhi performa, maka adalah penting memahami
persyaratan dari suatu aplikasi ketika memilih suatu metoda. Sebagai contoh, autentikasi untuk
electronic mail diperlukan dukungan untuk para penerima dan tidak menolak, pada dasarnya,
performa yang buruk akan menyebabkan permasalahan autentikasi pada seringnya respon di
server. Security Service yang lain meliputi kerahasiaan dan otorisasi. Kerahasiaan adalah
perlindungan dari informasi dari gangguan orang-orang yang tidak berhak menerima itu.
Metoda autentikasi paling kuat secara bebas pilih menyediakan kerahasiaan. Otorisasi adalah
proses dimana seseorang menentukan apakah diijinkan untuk melaksanakan suatu operasi.
Otorisasi pada umumnya dilakukan setelah dibuktikan keasliannya, dan mungkin didasarkan
pada informasi yang lokal, atau didasarkan pada statemen orang lain.
Selanjutnya kita akan berkonsentrasi pada autentikasi secara real-time, untuk layanan
interaktif yang ditawarkan pada dalam jaringan komputer. Kita menggunakan istilah real-time
dengan bebas berarti bahwa suatu proses klien sedang menantikan suatu respon yang sama
dengan query atau perintah untuk menampilkan hasilnya kepada pemakai., atau jika tidak
melanjutkan fungsi yang diperlukan. Layanan ini meliputi remote login, pembacaan dan
penulisan file sistem, dan pengembalian informasi untuk aplikasi seperti Mosaik.
Batasan Kerberos
Pengertian dan Istilah dari Kerberos telah diuraikan di atas. Meskipun demikian
sesuatu pilihan yang berlaku pada Versi 4 dan awal draft dari Versi 5, beberapa hal akan
dibahas di sini. Khususnya, Kerberos tidaklah efektif melawan terhadap kata sandi dari
serangan orang lain, jika seorang pemakai memilih suatu kata sandi yang lemah, kemudian
penyerang menebak kata sandi dapat menyamar sebagai pemakai tersebut. Dengan cara yang
sama, Kerberos memerlukan suatu trusted path dimana kata sandi dimasukkan. Jika pemakai
memasukkan suatu kata sandi persis sama secara benar, program yang telah dimodifikasi oleh
suatu penyerang (Trojan horse), atau jika path antara pemakai dan program autentikasi
awalnya dapat dimonitor, kemudian penyerang bisa memperoleh informasi cukup untuk
menyamar sebagai pemakai tersebut. Kerberos dapat dikombinasikan dengan teknik yang lain,
seperti diuraikan kemudian, menunjuk pembatasan ini.
Supaya berguna, Kerberos harus terintegrasi dengan bagian lain dari sistem tersebut.
Hal ini tidak melindungi semua pesan yang dikirim antara dua computer, ini hanya melindungi
pesan dari perangkat lunak yang telah ditulis atau dimodifikasi untuk menggunakannnya.
Memungkinkan
digunakan
untuk
pertukaran
kunci
enkripsi,
menetapkan
enkripsi
berhubungan dengan tingkatan keamanan jaringan, hal ini diperlukan perubahan pada
perangkat lunak jaringan yang melibatkan host. Kerberos tidak menyediakan otorisasi sendiri,
tetapi Versi 5 Kerberos melalui informasi otorisasi yang dihasilkan oleh service yang lain.
Dengan cara ini, Kerberos dapat digunakan sebagai sebagai suatu dasar untuk membangun
Layanan Otorisasi yang terdistribusi.
BAB II
PEMBAHASAN
Pada
Saat
menerima
permintaan
aplikasi,
pemeriksa
decrypts
karcis,
menyuling/menyadap kunci sesi ini, dan menggunakan kunci sesi ke autentikator dekrisi. Jika
yang kunci yang sama telah digunakan untuk enkripsi, Autentikator enkripsi digunakan untuk
dekripsi, checksum akan ditemukan dan pemeriksa dapat mengasumsikan authenticator telah
dihasilkan oleh sesi yang dinamai karcis dan untuk kunci sesi yang telah dikeluarkan. Ini
adalah tidak dengan sendirinya cukup untuk autentikasi suatu penyerang dapat menginterupsi
suatu authenticator dan memainkan lagi kemudian untuk menyamar sebagai pemakai / user.
Karena alasan ini pemeriksa yang memeriksa timestamp untuk meyakinkan bahwa
authenticator bersih. Jika timestamp adalah di dalam suatu ditetapkan jendela (secara khas 5
beberapa menit) yang memusat di sekitar waktu arus dengan diam-diam pemeriksa, dan jika
timestamp belum dilihat pada permintaan yang lain di dalam jendela itu, pemeriksa menerima
permintaan asli. Suatu diskusi dari manfaat dan kelemahan bagi penggunaan dari timestamps
di dalam protokol pengesahan dapat ditemukan di dalamnya.
10
untuk
Macintosh
4.0.3
adalah
release
untuk
Mac
OS
8/9.
Saat ini hanya satu yang paket yang yang tersedia meliputi kedua installers, lepaskan
biner dan SDKs. SDKs adalah untuk aplikasi dan perpustakaan para programmer untuk
menambahkan Kerberos kemampuan kepada kode mereka atau membaharui ke versi
yang lebih baru dari berbagai Kerberos APIS. Sumber kode untuk komponen dari
pelepasan/release ini mungkin dibuat yang tersedia pada nantinya.
11
12
13
14
15
16
17
Software Kerberos
Biasanya software yang digunakan autentikasi Kerberos adalah AFS, Apache 1
(dengan mod_auth_kerb module), Apache 2 (menggunakan libapache-mod-auth-kerb), Cisco
routers dan switches running IOS, Code File System, Eudora, Mac OS X, Microsoft Windows
(2000 dan seterusnya) protocol autentikasi asli dari Mulberry, sebuah client e-mail yang
dikembangkan oleh Cyrusoft., NFS (sejak NFSv3), OpenSSH (with Kerberos v5 or higher),
PAM (dengan pam_krb5 module), Samba v3.x, SOCKS (since SOCKS5), Netatalk, GSS, API,
The X Window System implementations dan beberapa software yang mengijinkan
penggunanaan SASL untuk autentikasi, seperti Dovecot IMAP4 dan server POP3, Postfix mail
server. The Kerberos software juga cocok dengan kerberos-enabled clients and servers pada
rsh, FTP, dan Telnet. Beberapa software berbasis Java yang menggunakan JAAS/JGSS dapat
memakai Kerberos untuk keamanan.
Hardware Kerberos
Kerberos memerlukan sedikit alokasi memori pada aplikasi hardware. Berdasarkan
penelitian sebelumnya, Versi 5 saja dapat diimplementasikan pada mikroprosesor intel
Pentium dan 2 hardware RAID 1 drive. Mesin tersebut dapat mengakomodir seratus ribu
autentikasi per hari namun perlu menghindari penggunaan Kerberos yang bergabung-gabung.
Perlu dicatat bahwa aplikasi Kerberos ini harus diaplikasikan ke mesin yang telah dikhususkan
18
penggunaannya artinya bahwa mesin tersebut hanya bisa di log in atau dijalankan oleh admin
Kerberos dan juga tidak ada aplikasi lain yang dijalankan di mesin tersebut. Password dari
user juga terdapat di mesin tersebut sehingga akses ke mesin tersebut sebisa mungkin harus
dibatasi . Secara teknis hal itu dapat dilakukan dengan mengadakan pengamanan fisik yang
sudah kita ketahui misalnya menyimpan server dalam suatu cabinet kemudian mengkuncinya
ataupun penerapan system kripto misalnya double enkripsi dalam membuka cabinet tersebut
Pada penerapan hardware terdapat 2 mesin yaitu Master dan Slave KDC yang akan dijelaskan
aplikasinya saja pada jaringan.
Operasi Kerberos secara umum.
Secara detailnya maka protokol Kerberos ini secara umum dapat dijelaskan sebagai
berikut :
User memasukkan username dan password client. Client membangkitkankan fungsi
one-way hash dalam setiap enter password, menjadi secret key client. Client mengirim plain
message kepada AS untuk meminta pelayanan. Contoh Message: User AAA akan meminta
request services. Secret key dan password dikirim ke AS.
AS_request= ( Principalclient, Principalservice, IP_list, Lifetime )
AS memeriksa apakah nama client berada pada database. Jika ada maka AS mengirim
balasan ke klien tersebut..Balasan tersebut berupa;
Message A: session key client/TGS yang dienkripsi dengan secret key user.
Message B: Ticket-Granting Ticket (termasuk client ID, client network address, ticket validity
period, dan session key client/TGS) yang dienkripsi menggunakan secret key TGS.
TGT = ( Principalclient , krbtgt/REALM@REALM , IP_list , Timestamp , Lifetime , SKTGS )
AS_reply={PrincipalService,Timestamp, Lifetime, SKTGS} K User{TGT}KTGS
Client menerima messages A dan B, dan mendecrypt message A untuk mendapatkan
session key client/TGS. Session key digunakan untuk berkomunikasi dengan TGS. (Client
tidak dapat mendecrypt Message B yang diencrypt menggunakan secret key. TGS). Client
mempunyai cukup informasi untuk mengautentikasi dirinya sendiri ke TGS. Kmeudian user
mengirim dua message ke TGS;
Message C: terdiri dari Ticket-Granting Ticket dari message B dan ID pada saat requesting
service.
19
20
Aplikasi
Aplikasi kerberos :
Salah satu metode pengamanan TCP/IP. Kerberos ini merupakan metode pengamanan TCP/IP
berbasis server-based password authentication. Pada sistem kerberos server, service yang
disediakan oleh server dibatasi oleh suatu daftar host serta daftar user yang boleh dan tidah
boleh menggunakan layanan .
Kerberos ini dapat diaplikasikan pada autentikasi Apache web server.
Sebagai protokol otentikasi jaringan. Kerberos sering digunakan untuk mengautentikasi
beberapa layanan jaringan. Berikut ini merupakan beberapa contoh implementasi service
jaringan yang umumnya memerlukan autentikasi, antara lain penggunaan printer pada sebuah
jaringan yang hanya diperbolehkan bagi anggota kelompok saja, remote file access, remote
login (rlogin), window system, mail dimana pemilik e-mail address saja yang dapat
mengambil e-mail di POP3, dan service management.
21
BAB III
PENUTUP
22
Cukup mudah dalam proses penginstalasian, artinya tidak perlu memiliki kemampuan
programming untuk menginstal karena sudah ada softwarenya.
Kerberos menyediakan layanan SSH yang dapat mengelola server jarak jauh.
Kelemahan Kerberos
Berikut ini adalah beberapa kekurangan Kerberos yaitu :
Pada protokol kerberos ini belum ditemukan adanya key management yang baik sedangkan
pada protokol ini menggunakan banyak sekali kunci yang hirarkinya serta perlakuannya harus
dibedakan. Padahal letak keamanan suatu algoritma ataupun protokol terletak pada
management kuncinya.
Walaupun mekanisme enkripsinya tergolong kuat, namun masih terdapat kemungkinan
terjadi serangan berupa password guessing.
Kerberos bukanlah model pengamanan yang sempurna sehingga perlu diintegrasikan dengan
model pengamanan lain yang dapat mengatasi beberapa kelemahan yang terutama disebabkan
karena kelalaian user. Hal ini juga dikarenakan authorisasi bukanlah spesifikasi dari Kerberos.
Untuk menjamin bahwa sistem Kerberos aman, maka penggunaan password untuk Kerberos
tidak digunakan pada sistem yang lain.
Kerberos menggunakan time-stamp untuk pengecekan bahwa suatu authenticator yang
dikirimkan masih baru sehingga memerlukan sinkronisasi waktu seluruh jaringan.
Program sinkronisasi waktu yang digunakan (ntpd) yang memerlukan otentikasi untuk
menghindari terjadinya lubang keamanan yang biasanya berbentuk replay attack.
Aplikasi yang menggunakan Kerberos harus menambahkan suatu modul atau plugin agar
dapat menggunakan Kerberos.
Apabila seorang attacker mencuri seluruh tiket yang disimpan dalam credential, maka ia
dapat menyalahgunakan tiket tersebut hingga batas kadaluarsanya.
23
Password yang jatuh ke pihak yang tidak berwenang dapat disalahgunakan dan berbahaya
jika penyusup dapat meyakinkan rlogin bahwa dia adalah pemakai yang berhak.
Pengaturan password yang terlalu rumit karena mengharuskan untuk selalu memasukan
password pada saat ingin memperoleh layanan baru.
Setiap principal dalam jumlah yang besar harus melakukan autentikasi langsung ke KDC,
sehingga menyebabkan efek bottleneck. Oleh karena itu dilakukan pengaturan flag supaya
autentikasi tertentu dapat dilakukan hanya sampai realm tanpa harus ke KDC.
24
3.2 Kesimpulan
3.2.1
DES merupakan salah satu algoritma kriptografi cipher block dengan ukuran
blok 64 bit dan ukuran kuncinya 56 bit. Algoritma DES dibuat di IBM, dan
merupakan modifikasi daripada algoritma terdahulu yang bernama Lucifer.
Lucifer merupakan algoritma cipher block yang beroperasi pada blok masukan
detik).
Implementasi Software dan Hardware di DES
Implementasi DES ke dalam perangkat lunak dapat melakukan enkripsi
32.000 blok per detik (pada komputer mainframe IBM 3090).
DES sudah diimplementasikan dalam bentuk perangkat keras.
Dalam bentuk perangkat keras, DES diimplementasikan di dalam chip.
Setiap detik chip ini dapat mengenkripsikan 16,8 juta blok (atau 1 gigabit per
detik).
Implementasi DES ke dalam perangkat lunak dapat melakukan enkripsi
32.000 blok per detik (pada komputer mainframe IBM 3090).
3.2.2
(decipher) infoermasi.
Diagram alir di AES
Semua proses yang telah dijelaskan sebelumnya terdapat pada diagram
tersebut. Yang artinya adalah mulai dari ronde kedua, dilakukan pengulangan
terus menerus dengan rangkaian proses SubBytes, Shift Rows, Mix Columns,
dan Add Round Key, setelah itu hasil dari ronde tersebut akan digunakan pada
ronde berikutnya dengan metode yang sama.
25
Implementasi di AES
Semua proses yang telah dijelaskan sebelumnya terdapat pada diagram
tersebut. Yang artinya adalah mulai dari ronde kedua, dilakukan pengulangan
terus menerus dengan rangkaian proses SubBytes, Shift Rows, Mix Columns,
dan Add Round Key, setelah itu hasil dari ronde tersebut akan digunakan pada
ronde berikutnya dengan metode yang sama.
3.2.3
Digital Certificate Server adalah file yang terproteksi password yang berisi
berbagai macam info berita: nama dan alamat email pemegang sertifikat, kunci
enkripsi yang dapat digunakan untuk memverifikasi tanda tangan digital
pemegang, nama perusahaan yang mengeluarkan sertifikat, dan periode
validitas sertifikat.
Digital Certificate dapat digunakan untuk berbagai macam keperluan yang
menuntut perlindungan dan privacy data antara pengguna situs dengan server
situs. Yang paling umum adalah digunakan untuk formulir yang berisi data
sensitif yang banyak ditemukan implementasinya pada situs e-commerce, atau
juga e-mail (seperti GMail dan YahooMail)
Anda membutuhkan Digital Certificate ketika anda ingin membangun
kepercayaan pengguna situs anda, memberikan kepastian mengenai identitas
institusi anda, dan menjamin kerahasiaan data yang dimasukkan oleh pengguna
situs anda.Sebuah Digital Certificate dapat digunakan untuk mengamankan
sebuah Domain di sebuah Server. Lisensi tambahan memungkinkan kita untuk
mengamankan domain yang sama di server yang berbeda, misalnya pada
konfigurasi load balancing yang menggunakan banyak server untuk satu
domain.
26
3.2.4
serangan replay .
Payloads Keamanan encapsulating (ESP) menyediakan kerahasiaan , data
asal otentikasi , connectionless integritas , layanan anti-ulangan (suatu
bentuk dari integritas urutan parsial), dan kerahasiaan arus lalu lintas
terbatas.
Asosiasi keamanan (SA) memberikan bundel algoritma dan data yang
memberikan parameter yang diperlukan untuk mengoperasikan AH dan /
atau operasi ESP.
3.2.5
27
28