LAPORAN KEAMANAN JARINGAN

Implementasi GPG
(Mei 2009)

DOSEN :
Isbat Uzzin Nadhori
OLEH : (TI 6-1)
Agus Anggoro
Farian Hadi
Kristo Radion
Yan Permana

DEPARTEMEN PENDIDIKAN NASIONAL

JOINT PROGRAM BA MALANG
TEKNOLOGI INFORMASI
2009

BAB 1
PENDAHULUAN
1.1.

Latar Belakang
GPG (Pretty Good Privacy) adalah suatu program kriptosistem yang sangat
handal, setaraf dengan level military, dia digunakan untuk mengenkrip
(scramble, encrypt) dan mendekrip (unscramble, decrypt) data sedemikian
hingga data tersebut hanya bisa dibaca oleh yang berhak membacanya.
Anda dapat mengenkrip e-mail yang akan anda kirim ke teman anda atau
juga dapet mendekrip e-mail (terenkrip) yang anda terima. Anda juga dapat
melindungi dokumen-dokumen elektronik, misal file-file, dengan GPG
sehingga tak ada seorangpun selain anda sendiri yang bisa membacanya.
Singkatnya GPG (de facto standard) adalah suatu cara terbaik untuk
melindungi data-data elektornik anda.
Sekarang sedang dan masih berlangsung perang dingin antara Pemerintah
Amerika Serikat dengan privacy advocates dalam menggunakan enkripsi yang
tangguh ini. Pemerintah mengklaim, bahwa mereka tidak mampu membobol
GPG dan itu melanggar hukum.
Akan tetapi, pemakai GPG dan pendukung hak privasi menyarankan untuk
menggunakan GPG bagaimanapun juga kondisinya.

1.2.
-

Tujuan
Dengan GPG, akan dapat dilakukan enkripsi file dari satu orang ke pihak lain

BAB 2
DASAR TEORI
2. GPG (GNU Privacy Guard)
GPG (GNU Privacy Guard) adalah suatu software enkripsi yang
mengimplementasikan RFC2440. Penggunaan program ini biasanya ditemui pada
enkripsi email atau sebagai digital signature. Model enkripsi yang digunakan adalah
PKI(Public Key Infrastructure). Dengan demikian seseorang pasti mempunyai
sepasang kunci yaitu Private Key dan Public Key. Tulisan ini membahas secara
ringkas beberapa penggunaan umum GPG yang biasa dilakukan.
2.1. Private/Public Key
Private Key adalah kunci enkripsi yang hanya boleh diakses oleh pemilik
kunci, sedangkan public key sebisa mungkin harus disebarkan seluas-luasnya.
Penyebaran public key ini dapat dilakukan secara manual, yakni dengan cara
mendownload dari web seseorang, atau seseorang dapat juga mengirimkan public
keynya ke suatu keyserver yang menyimpan public key banyak orang seperti
pgp.mit.edu atau www.keyserver.net. Semua orang dapat mencari/mendownload
public key milik orang lain untuk digunakan di kemudian hari.
Private key digunakan untuk mendekrip chiper text yang ditujukan kepada
sang pemilik, atau menandatangani suatu dokumen/file yang dikirimkan kepada
orang lain. Bagaimana dengan public key? Key inilah yang digunakan oleh orang lain
untuk mengenkrip file teks yang ditujukan kepada sang pemilik key, atau untuk
memeriksa/verifikasi keaslian dokumen yang telah ditandatangani oleh pemilik
private key.
2.2. Ilustrasi Pemakaian
Sebagai contoh, mari kita bayangkan bahwa Sokam akan mengirim email
yang berisi puisi cinta kepada kekasihnya, Wawa. Sebelum Sokam dapat mengenkrip
puisi cintanya, dia harus memiliki public key Wawa. Sokam dapat meminta Wawa
untuk mengirimkan public keynya melalui email, atau mencari di keyserver bila
Wawa sudah mensubmitnya. Dengan menggunakan public key itulah maka Sokam
dapat mengenkripsi puisi cintanya untuk kemudian dikirimkan kepada Wawa.
Wawa menerima puisi cinta dari Sokam dalam bentuk yang terenkripsi. Untuk
membacanya Wawa perlu mendekrip teks itu. Selain Wawa tidak ada orang lain yang
dapat mendekrip puisi cinta itu, karena hanya Wawalah yang mempunyai private
keynya. Bila private key Wawa jatuh ke tangan orang lain, maka orang itu juga dapat
mendekrip segala macam email terenkripsi yang ditujukan kepadanya. Maka dari itu
Wawa harus menyimpan private keynya secara baik dan aman.
Pada kasus di atas, ada kemungkinan bahwa yang mengirimkan puisi cinta itu
bukanlah Sokam, namun orang lain yang berpura-pura menjadi Sokam. Bukankah
email itu dienkrip? Ya, memang. Namun karena enkripsi menggunakan public key
sebagai kunci enkripsinya maka siapa pun yang mempunyai public key wawa dapat
mengenkrip teks untuk Wawa. Oleh karena itu ada baiknya bila Sokam juga
menandatangani emailnya. Untuk membubuhkan digital signature, kita harus
menggunakan private key, dan bukan public key. Pada saat menerima email puisi
cinta itu, Wawa harus memverifikasi bahwa digital signature yang terdapat di sana
benar-benar asli milik Sokam dengan menggunakan public key milik Sokam. Dengan
begitu wawa boleh merasa yakin bahwa puisi itu benar-benar dikirim oleh Sokam.
2.3. Instalasi

Pada beberapa distro program ini terinstall secara otomatis/default. Bila pada
distro anda pgp belum terinstall, maka anda dapat mencari paket yang sesuai
dengan distro yang anda pakai, atau mungkin menginstall manual dari source code
yang bisa didownload dari http://www.gnupg.org/download/index.html.en.

BAB 3
IMPLEMENTASI GPG
3.1.

Langkah Installasi

3.2. Langkah Kerja dengan Terminal Linux

3.2.1. Membuat Public Key (oleh Marge, pihak 1 dan oleh Tom, pihak 2)
Untuk dapat melakukan komunikasi antar 2 pihak, dalam hal pengamanan
dalam pertukaran data, masing-masing pihak perlu membuat public key,
dengan cara berikut.
Pada saat pertama kali menjalankan GPG untuk men-generate key, kita perlu
melakukan "gpg --gen -key" dua kali.
[marge@apl marge]$ gpg --gen-key
gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg:
gpg:
gpg:
gpg:

Warning: using insecure memory!

/home/marge/.gnupg: directory created
/home/marge/.gnupg/options: new options file created
you have to start GnuPG again, so it can read the new options file

Jalankan lagi "gpg --gen -key", ikuti petunjuk yang ada, kemudian di akhir
masukkan password/ passphrase yang Anda inginkan.
Pada saat pe-random-an byte di bagian akhir, sebaiknya Anda sambil
beraktivitas misalnya menggerak-gerakkan mouse dan mengetik-ngetikkan
sesuatu di keyboard, ini akan mempengaruhi performa pe-random-an byte.
Jika tidak melakukan ini, biasanya pe-random-an gagal.
[marge@apl marge]$ gpg --gen-key
gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: Warning: using insecure memory!
gpg: /home/marge/.gnupg/secring.gpg: keyring created
gpg: /home/marge/.gnupg/pubring.gpg: keyring created
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection? 1
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024)
Requested keysize is 1024 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct (y/n)? y
You need a User-ID to identify your key; the software constructs the user id
from Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Real name: Marge

Email address: marge@aplawrence.com
Comment: Marge's GPG key pair
You selected this USER-ID:
"Marge (Marge's GPG key pair) <marge@aplawrence.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
Enter passphrase:
Repeat passphrase:
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
.+++++++++++++++++++++++++.+++++++++++++++..++++++++++++++++++++++++++++++++
+++....++++++++++.++++++++++++++++++++++++++++++.+++++.++++++++++>+++++++++
+>++++++++++
public and secret key created and signed.

Untuk memastikan bahwa public key telah terbentuk, gunakan perintah :

[marge@apl marge]$ gpg --list-keys
gpg: Warning: using insecure memory!
/home/marge/.gnupg/pubring.gpg
---------------------------pub 1024D/16B478D3 2001-11-17 Marge (Marge's GPG key pair)
<marge@aplawrence.com>
sub 1024g/1E5CDE3C 2001-11-17

3.2.2. Mengekspor Public Key ke File (oleh Marge, Pihak 1)

Public key dari Marge nantinya akan dikirim ke pihak 2, secara langsung
dengan pengiriman file (Flash Disk, Email, dsb). Nanti public key 1 akan
dipakai oleh pihak 2 untuk mengenkripsi file yang akan dikirim ke pihak 1.
[marge@apl marge]$ gpg --armor --export marge@aplawrence.com > mypk
gpg: Warning: using insecure memory!
[marge@apl marge]$ cat mypk
-----BEGIN PGP PUBLIC KEY BLOCK----Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
mQGiBDv2vMARBACPHwe3BXmJXF5dvXxGEuxYIbYoY2naOmaArFsv1Pgl3GqhhAP7
GTGvN4A4Xo80S8i8mrSsseHE/RD7F2PS045dzP/LbDcI7EqnfU2BDoIfEmTsTupl
BKjOJUh7luhFbj2gdpbmmTUD/1BBKd42pIk/GPUcynMS9TG4kUyB6UdtRF7NydYP
o4T+0fIY8mbh5VRigoVVsukX8xuI+QaS5iB/D4j36+zk/iRy171dY43OuwCgm6rQ
a8vmmGDyCCUWFX0PVlQn5MMf97GadIAGgh1pdD7bMfB4FI84TyhNHuBDTCn0Ysff
not_a_public_key_but_other_than_this_line_it_looks_like_this_xxx
bRmMA/9E/EGJnyYWdHtTerx+H8qacP183SrRFQDqSkOM61P4iDIWcZCOqlHCv7Br
Rmf7Ug9I4RkD5qqWkpWY0ugcSbuoFx0f7AGckOOWWVq4ddQStAsOhlMQ4ahOu7mB
cmVuY2UgKExpbmRhJ3MgR1BHIGtleSBwYWlyKSA8bGluZHlAcGN1bml4LmNvbT6I
dVJeXzVTKHnMTGUqutPpmro/txW3M4Z3/0gsOGySxlob0MOQcbQ4TGluZGEgTGF3
VwQTEQIAFwUCO/a8wQULBwoDBAMVAwIDFgIBAheAAAoJEAymPu375boq1fkAniuK
EAQAj8E9riM9UUI2fc3Of/5khuEi2nbT2xD2//FUVQh4uKXd4iQXW3z55ZbJnJ1E
Nk6xIPHx0kQUEcUxdRSK0rikAJ9bB4o+oZ9wqJubKMHII1K1BunTuLkBDQQ79rzF
bZ+TGMKFOgoxEGAeIcf/XD0/zRDOvdKuLsIZjlNl3uqChXgeznCFU4kviuGdSeDK
vcx/cR7NgfAn2JUKnhcf/sf01WRM43TbSZP5+5ZXk7zZWZItp+STRHYUketXwFk/
LWn2jrjbFpcBswgXZ1Vq7Hrbi027y4x6KIhKZ0rfGsXDYxsAAwUD/jCF25xvDrU9
W5mjSmWy1f+Hn5q/RQAChIAgEEwWMpaHLXixyI+xE+kXvowDYdbmQWruJS1BGKDF
/JibHwSp15ZzGQivpX/Dul4/nks3xYy7iEYEGBECAAYFAjv2vMUACgkQDKY+7fvl
uiqY4ACcCga6MsB3DhSLEO6Fse09UujGwUMAmwY9skYtEZDAFXBlcpov1wYzFAhh
-----END PGP PUBLIC KEY BLOCK-----

Perintah "cat" adalah untuk melihat isi file, memastikan bahwa file public key
telah terbentuk. Kirimkan file tersebut kepada pihak 2.
6

3.2.3. Mengimpor Public Key dari Pihak 1 (oleh Tom, Pihak 2)

Setelah file public key pihak 1 diterima oleh pihak 2, pihak 2 harus
mengimpornya ke dalam sistem key di pihak 2. Caranya sebagai berikut.
Pertama, pastikan dulu bahwa Tom telah memiliki public keynya sendiri.
Pembuatan public key untuk Tom adalah sama dengan langkah 3.2.1.
[tom@apl tom]$ gpg --list-keys
gpg: Warning: using insecure memory!
/home/tom/.gnupg/pubring.gpg
---------------------------pub 1024D/16B478D3 2001-11-17 Tommy (Tommy Boy) <tom@aplawrence.com>
sub 1024g/1E5CDE3C 2001-11-17

Impor public key dari pihak 1.

[tom@apl tom]$ gpg --import margepk
gpg: Warning: using insecure memory!
gpg: key FBE5BA2A: public key imported
gpg: /home/tom/.gnupg/trustdb.gpg: trustdb created
gpg: Total number processed: 1
gpg:
imported: 1

Lalu pastikan lagi bahwa public key dari pihak 1 telah masuk ke sistem key di
pihak 2.
[tom@apl tom]$ gpg --list-keys
gpg: Warning: using insecure memory!
/home/tom/.gnupg/pubring.gpg
---------------------------pub 1024D/16B478D3 2001-11-17 Tommy (Tommy Boy) <tom@aplawrence.com>
sub 1024g/1E5CDE3C 2001-11-17
pub
1024D/FBE5BA2A
2001-11-17
<marge@aplawrence.com>
sub 1024g/78681206 2001-11-17

Marge

(Marge's

GPG

key

pair)

3.2.4. Proses Enkripsi Data, dengan Public Key Pihak 1 atau Pihak 2
Buat file testing.txt
Enkripsi file dengan menggunakan public key pihak 2(farian), dengan cara
sebagai berikut :

3.2.5. Proses Dekripsi Data

Untuk melakukan decrypt pada file yang telah dienkripsi dapat dilakukan
dengan cara sebagai berikut :

BAB 4
KESIMPULAN
Pengamanan file dapat dilakukan dengan berbagai macam metode. Salah
satu dari metode untuk pengamanan tersebut adalah dengan menggunakan GPG .
GPG adalah sistem enkripsi data dengan menggunakan public key dan private
key. Dengan cara ini memungkinkan pengiriman data dapat dilakukan dengan
aman, karena selain pemilik private key yang berhak, maka data tersebut tidak
akan dapat didekripsi kembali.
Selain keamanan yang cukup baik, sistem GPG juga memiliki beberapa
kekurangan, antara lain adalah pihak penerima file harus terlebih dahulu
mengirimkan public key miliknya kepada pemilik file. Karena public key tersebut
berfungsi untuk melakukan enkripsi file yang akan dikirim. Pengiriman public key
yang dilakukan melaui email atau media lain dirasa sangat tidak nyaman sekali.
Sehingga perlu waktu agak lama untuk melakukan proses enkripsi menggunakan
GPG.