KEAMANAN SISTEM INFORMASI

Translate PGP

Oleh: A.Asadi Indrawan (42509032) Resti Amelia Ibrahim (42509033) Fachri Halim (42509045) Hartono(42509050) Grace Sumarni(42509053)

Jurusan Teknik Elektro Program Studi Teknik Komputer Jaringan Politeknik Negeri Ujung Pandang Makassar 2012

Dasar-dasar dari Kriptografi Ketika Julius Caesar mengirim pesan kepada jenderalnya, ia tidak percaya utusanNya. Jadi dia diganti setiap A dalam pesan-pesannya dengan D, setiap B dengan E, dan sebagainya melalui alfabet. Hanya orang yang mengetahui "pergeseran oleh 3" aturan bisa menguraikan pesan-nya. Dan begitu kita mulai. Enkripsi dan dekripsi Data yang dapat dibaca dan dipahami tanpa tindakan khusus disebut plaintext atau teks-jelas. Metode menyamarkan plaintext sedemikian rupa untuk menyembunyikan substansinya disebut enkripsi. Enkripsi hasil plaintext dalam omong kosong dibaca disebut ciphertext. Anda menggunakan enkripsi untuk memastikan informasi yang tersembunyi dari siapapun untuk siapa itu tidak ditujukan, bahkan mereka yang dapat melihat data dienkripsi. Proses reverting ciphertext ke plaintext asli disebut dekripsi. Gambar 1-1 mengilustrasikan proses ini.

Gambar 1-1. Enkripsi dan dekripsi Apa itu kriptografi? Kriptografi adalah ilmu menggunakan matematika untuk mengenkripsi dan mendekripsi data yang. Kriptografi memungkinkan Anda untuk menyimpan informasi sensitif atau mengirimkannya melalui jaringan tidak aman (seperti Internet) sehingga tidak dapat dibaca oleh siapapun kecuali penerima yang dimaksud. Sedangkan kriptografi adalah ilmu mengamankan data, pembacaan sandi adalah ilmu tentang menganalisis dan memecahkan komunikasi yang aman. Kriptanalisis klasik melibatkan kombinasi yang menarik penalaran analitis, penerapan alat matematika, penemuan pola, kesabaran, tekad, dan keberuntungan. Cryptanalysts juga disebut penyerang. Kriptologi mencakup baik kriptografi dan kriptoanalisis.

kuat kriptografi "Ada dua jenis kriptografi di dunia ini: kriptografi yang akan menghentikan kakak anak Anda dari membaca file Anda, dan kriptografi yang akan menghentikan pemerintah utama dari membaca file Anda Buku ini adalah tentang yang kedua.." - Bruce Schneier, Applied Cryptography: Protocols, Algorithms, dan Sumber Kode di C. PGP juga tentang jenis terakhir dari kriptografi. Kriptografi dapat menjadi kuat atau lemah, seperti yang dijelaskan di atas. Kekuatan kriptografi diukur dalam waktu dan sumber daya itu akan memerlukan untuk memulihkan plaintext. Hasil kriptografi yang kuat adalah ciphertext yang sangat sulit untuk menguraikan tanpa memiliki alat decoding yang sesuai. Bagaimana sulit? Mengingat semua daya komputasi hari ini dan waktu yang tersedia - bahkan satu miliar komputer melakukan pemeriksaan miliar detik - tidak mungkin untuk menguraikan hasil kriptografi yang kuat sebelum akhir alam semesta. Orang akan berpikir, bahwa kriptografi yang kuat akan tahan cukup baik melawan bahkan kriptanalis sangat ditentukan. Siapa yang benar-benar katakan? Tidak ada telah membuktikan bahwa enkripsi terkuat diperoleh hari ini akan terus di bawah daya komputasi masa depan. Namun, kriptografi yang kuat yang digunakan oleh PGP adalah hari terbaik yang tersedia. Kewaspadaan dan konservatisme akan melindungi Anda lebih baik, namun, daripada klaim kekebalan. Bagaimana kriptografi bekerja? Sebuah algoritma kriptografi, atau cipher, adalah fungsi matematika yang digunakan dalam proses enkripsi dan dekripsi. Algoritma kriptografi bekerja dalam kombinasi dengan kunci - kata, angka, atau frase - untuk mengenkripsi plaintext. Plaintext yang sama untuk mengenkripsi cipherteks berbeda dengan kunci yang berbeda. Keamanan data dienkripsi sepenuhnya tergantung pada dua hal: kekuatan algoritma kriptografi dan kerahasiaan kuncinya. Sebuah algoritma kriptografi, ditambah semua kunci yang mungkin dan semua protokol yang membuatnya bekerja cryptosystem terdiri dari sebuah. PGP adalah sebuah cryptosystem.

konvensional kriptografi Dalam kriptografi konvensional, juga disebut rahasia-key atau symmetric-key enkripsi, salah satu kunci digunakan baik untuk enkripsi dan dekripsi. Data Encryption Standard (DES) adalah contoh dari cryptosystemthat konvensional banyak digunakan oleh Pemerintah Federal. Gambar 1-2 adalah sebuah gambaran dari proses enkripsi konvensional.

Gambar 1-2. konvensional enkripsi Caesar Cipher Contoh yang sangat sederhana dari kriptografi konvensional adalah cipher substitusi. Substitusi pengganti cipher Sebuah satu potong informasi yang lain. Hal ini paling sering dilakukan oleh offsetting huruf alfabet. Dua contoh adalah Rahasia Decoder Kapten Tengah Malam Ring, yang Anda mungkin telah dimiliki ketika kau masih kecil, dan cipher Julius Caesar. Dalam kedua kasus, algoritma ini adalah untuk mengimbangi alfabet dan kuncinya adalah jumlah karakter untuk mengimbangi itu. Sebagai contoh, jika kita mengkodekan kata "RAHASIA" menggunakan nilai kunci Caesar dari 3, kita mengimbangi alfabet sehingga surat ke-3 ke bawah (D) mulai alfabet. Jadi dimulai dengan ABCDEFGHIJKLMNOPQRSTUVWXYZ dan geser semuanya dengan 3, Anda mendapatkan DEFGHIJKLMNOPQRSTUVWXYZABC dimana D = A, E = B, F = C, dan sebagainya.

Menggunakan skema ini, plaintext, "RAHASIA" mengenkripsi sebagai "VHFUHW." Untuk memungkinkan orang lain untuk membaca ciphertext, Anda memberitahu mereka bahwa kuncinya adalah 3. Jelas, ini adalah kriptografi sangat lemah dengan standar saat ini, tapi hei, itu bekerja untuk Kaisar, dan menggambarkan bagaimana karya kriptografi konvensional. Karyawan kunci dan enkripsi konvensional Enkripsi konvensional memiliki manfaat. Bekerja sangat cepat. Hal ini terutama berguna untuk mengenkripsi data yang tidak ke mana-mana. Namun, enkripsi konvensional saja sebagai alat untuk transmisi data yang aman dapat cukup mahal hanya karena sulitnya distribusi kunci aman. Ingatlah karakter dari film spy favorit Anda: orang dengan tas kerja terkunci diborgol nya atau pergelangan tangannya. Apa yang ada di koper, sih? Ini mungkin bukan peluncuran rudal kode / biotoxin rumus / invasi berencana itu sendiri. Ini kunci yang akan mendekripsi data rahasia. Untuk pengirim dan penerima untuk berkomunikasi dengan aman menggunakan enkripsi konvensional, mereka harus setuju pada kunci dan merahasiakannya antara mereka. Jika mereka berada di lokasi fisik yang berbeda, mereka harus percaya kurir, Telepon Bat, atau media komunikasi lainnya yang aman untuk mencegah pengungkapan kunci rahasia selama transmisi. Siapa pun yang sengaja mendengar atau penyadapan kunci dalam perjalanan kemudian dapat membaca, memodifikasi, dan menempa semua informasi dienkripsi atau diotentikasi dengan kunci itu. Dari DES untuk Cincin Decoder Rahasia Kapten Tengah Malam, masalah gigih dengan enkripsi konvensional adalah distribusi kunci: bagaimana Anda mendapatkan kunci kepada penerima tanpa seseorang mencegat itu? Kriptografi kunci publik Masalah distribusi kunci diselesaikan dengan kriptografi kunci publik, konsep yang diperkenalkan oleh Whitfield Diffie dan Martin Hellman pada tahun 1975. (Sekarang ada bukti bahwa Dinas Rahasia Inggris menciptakannya beberapa tahun sebelum Diffie dan Hellman, tetapi merahasiakannya militer - dan tidak melakukan apapun dengan itu [JH Ellis: Kemungkinan Aman Non-Rahasia Enkripsi Digital, CESG Report,. Januari 1970]) Kriptografi kunci publik adalah skema asimetris yang menggunakan sepasang kunci untuk enkripsi: kunci publik, yang mengenkripsi data, dan sebuah kunci pribadi, atau rahasia yang sesuai untuk dekripsi. Youpublishyour keytotheworldwhile publik menjaga rahasia pribadi kunci Anda. Siapapun yang memiliki salinan kunci publik Anda kemudian dapat mengenkripsi informasi yang hanya Anda yang bisa membaca. Bahkan orang-orang Anda belum pernah bertemu. Ini adalah komputasi infeasible untuk menyimpulkan kunci privat dari kunci publik. Siapapun yang memiliki kunci publik dapat mengenkripsi informasi tapi tidak bisa dekripsi. Hanya orang yang memiliki kunci privat terkait dapat mendekripsi informasi.

Gambar 1-3. Publik kunci enkripsi Manfaat utama dari kriptografi kunci publik yang memungkinkan orang yang tidak memiliki pengaturan keamanan yang sudah ada sebelumnya untuk bertukar pesan dengan aman. Kebutuhan pengirim dan penerima untuk berbagi kunci rahasia melalui beberapa saluran aman dihilangkan; semua komunikasi melibatkan hanya kunci publik, dan tidak ada kunci pribadi yang pernah ditransmisikan atau bersama. Beberapa contoh kunci publik kriptografi adalah Elgamal (dinamai penemunya, Taher Elgamal), RSA (dinamai penemunya, Ron Rivest, Adi Shamir, dan Leonard Adleman), Diffie-Hellman (bernama, coba tebak, karena penemunya ), dan DSA, maka Algoritma Digital Signature (ditemukan oleh David Kravitz). Karena kriptografi konvensional pernah menjadi berarti hanya tersedia untuk menyampaikan informasi rahasia, dengan mengorbankan saluran aman dan distribusi kunci terdegradasi penggunaannya hanya untuk mereka yang mampu membelinya, seperti pemerintah dan bank besar (atau anak-anak kecil dengan cincin decoder rahasia). Enkripsi kunci publik adalah revolusi teknologi yang menyediakan kriptografi yang kuat untuk massa dewasa. Ingat kurir dengan tas terkunci diborgol pergelangan tangannya? Enkripsi kunci publik menempatkan dia keluar dari bisnis (mungkin membuatnya lega). Bagaimana PGP bekerja PGP menggabungkan beberapa fitur terbaik dari kriptografi kunci baik konvensional maupun publik. PGP adalah cryptosystem hibrida. Ketika seorang pengguna mengenkripsi plaintext dengan PGP, PGP pertama kompres plaintext. Kompresi data modem menghemat waktu transmisi dan ruang disk dan, yang lebih penting, memperkuat keamanan kriptografi. Teknik pembacaan sandi Kebanyakan memanfaatkan pola yang ditemukan dalam plaintext untuk memecahkan cipher. Kompresi mengurangi pola-pola ini dalam plaintext, sehingga sangat meningkatkan resistensi terhadap pembacaan sandi. (File yang terlalu pendek untuk kompres atau yang tidak kompres juga tidak terkompresi.) PGP kemudian membuat kunci sesi, yang merupakan kunci satu kali saja rahasia. Kunci ini adalah nomor acak yang dihasilkan dari gerakan acak dari mouse dan keystrokes Anda mengetik. Ini kunci sesi bekerja dengan algoritma, enkripsi sangat aman cepat konvensional untuk mengenkripsi plaintext, hasilnya

adalah ciphertext. Setelah data dienkripsi, session key ini kemudian dienkripsi dengan kunci publik penerima. Ini tombol-dienkripsi sesi publik ditransmisikan bersama dengan ciphertext kepada penerima.

Gambar 1-4. Bagaimana PGP bekerja enkripsi Dekripsi bekerja di sebaliknya. Salinan penerima dari PGP menggunakan kunci pribadi nya untuk memulihkan kunci sesi sementara, yang kemudian menggunakan PGP untuk mendekripsi ciphertext konvensional-dienkripsi.

Gambar 1-5. Bagaimana PGP bekerja dekripsi

Kombinasi dari dua metode enkripsi menggabungkan kenyamanan enkripsi kunci publik dengan kecepatan enkripsi konvensional. Enkripsi konvensional adalah sekitar 1, 000 kali lebih cepat dari enkripsi kunci publik. Enkripsi kunci publik pada gilirannya memberikan solusi untuk distribusi kunci dan masalah transmisi data. Digunakan bersama-sama, kinerja dan distribusi kunci ditingkatkan tanpa mengorbankan keamanan. Kunci-kunci Sebuah kunci adalah nilai yang bekerja dengan algoritma kriptografi untuk menghasilkan sebuah ciphertext tertentu. Tombol pada dasarnya nomor benar-benar, sangat besar. Ukuran kunci diukur dalam bit, jumlah yang mewakili kunci 1024-bit adalah waduk besar. Dalam kriptografi kunci publik, semakin besar kunci, semakin aman ciphertext.

Namun, ukuran kunci publik dan ukuran kunci rahasia kriptografi konvensional sama sekali tidak terkait. Sebuah kunci 80-bit konvensional memiliki kekuatan setara dengan kunci publik 1024-bit. Sebuah kunci 128-bit konvensional setara dengan kunci 3000-bit publik. Sekali lagi, semakin besar kunci, semakin aman, tetapi algoritma yang digunakan untuk setiap jenis kriptografi sangat berbeda dan dengan demikian perbandingan adalah seperti itu dari apel dengan jeruk. Sedangkan kunci publik dan swasta secara matematis berhubungan, sangat sulit untuk mendapatkan kunci pribadi hanya diberikan kunci publik, namun berasal kunci pribadi selalu mungkin dengan waktu yang cukup dan kekuatan komputasi. Hal ini membuatnya sangat penting untuk memilih kunci-kunci ukuran yang tepat; cukup besar untuk menjadi aman, tapi cukup kecil untuk diterapkan cukup cepat. Selain itu, Anda perlu mempertimbangkan yang mungkin mencoba untuk membaca file Anda, bagaimana ditentukan mereka, berapa banyak waktu yang mereka miliki, dan apa sumber daya mereka mungkin. Tombol yang lebih besar akan cryptographically aman untuk jangka waktu yang lebih lama. Jika apa yang Anda ingin mengenkripsi perlu disembunyikan selama bertahun-tahun, Anda mungkin ingin menggunakan kunci yang sangat besar. Tentu saja, siapa yang tahu berapa lama waktu yang diperlukan untuk menentukan kunci Anda menggunakan besok lebih cepat, komputer yang lebih efisien? Ada suatu masa ketika kunci 56-bit simetris dianggap sangat aman. Tombol disimpan dalam bentuk terenkripsi. PGP menyimpan kunci dalam dua file pada hard disk, satu untuk kunci publik dan satu untuk kunci pribadi. File-file ini disebut keyrings. Ketika Anda menggunakan PGP, Anda biasanya akan menambahkan kunci publik penerima ke keyring publik anda Anda. Kunci pribadi Anda disimpan pada keyring pribadi Anda. Jika Anda kehilangan keyring pribadi Anda, Anda tidak akan dapat mendekripsi informasi dienkripsi untuk tombol pada cincin itu. Digital signature Amajor manfaat dari kriptografi kunci publik adalah bahwa ia menyediakan metode untuk menggunakan tanda tangan digital. Tanda tangan digital memungkinkan penerima informasi untuk memverifikasi keaslian asal informasi, dan juga memverifikasi bahwa informasi yang utuh. Jadi, tanda tangan digital kunci publik menyediakan integritas otentikasi dan data. Sebuah tanda tangan digital juga menyediakan non-penolakan, yang berarti bahwa mencegah si pengirim dari mengklaim bahwa ia tidak benar-benar mengirim informasi. Fitur-fitur ini setiap bit sebagai dasar untuk kriptografi sebagai privasi, jika tidak lebih. Sebuah tanda tangan digital melayani tujuan yang sama sebagai tanda tangan tulisan tangan. Namun, tanda tangan tulisan tangan mudah palsu. Sebuah tanda tangan digital lebih unggul tanda tangan tulisan tangan dalam hal itu hampir tidak mungkin untuk palsu, ditambah lagi membuktikan isi dari informasi serta identitas penandatangan. Beberapa orang cenderung menggunakan tanda tangan lebih dari mereka menggunakan enkripsi. Misalnya, Anda mungkin tidak peduli apakah ada yang tahu bahwa Anda hanya disimpan $ 1000 dalam account Anda, tetapi Anda ingin menjadi waduk yakin itu adalah teller bank Anda hadapi. Cara dasar di mana tanda tangan digital dibuat diilustrasikan pada Gambar 1-6. Daripada mengenkripsi

informasi menggunakan kunci publik orang lain, Anda mengenkripsi dengan kunci pribadi Anda. Jika informasi dapat didekripsi dengan kunci publik anda, maka harus berasal dengan Anda.

Gambar 1-6. Sederhana tanda tangan digital

hash fungsi Sistem yang dijelaskan di atas memiliki beberapa masalah. Hal ini lambat, dan menghasilkan volume besar data - setidaknya dua kali ukuran dari informasi asli. Perbaikan pada skema di atas adalah penambahan fungsi hash satu arah dalam proses. Sebuah fungsi hash satu arah mengambil variabel-panjang input - dalam hal ini, pesan dari setiap panjang, bahkan ribuan atau jutaan bit dan menghasilkan output tetap-panjang; mengatakan, 160-bit. Fungsi hash memastikan bahwa, jika informasi yang berubah dengan cara apapun - bahkan dengan hanya satu bit - nilai output yang sama sekali berbeda dihasilkan. PGP menggunakan fungsi hash kriptografis kuat pada plaintext pengguna penandatanganan. Ini menghasilkan barang tetap-panjang data yang dikenal sebagai message digest. (Sekali lagi, setiap perubahan pada hasil informasi dalam mencerna sama sekali berbeda.) Lalu PGP menggunakan mencerna dan kunci pribadi untuk menciptakan "tanda tangan." PGP mengirimkan signature dan plaintext bersama. Setelah menerima pesan, penerima menggunakan PGP untuk mencerna recompute, sehingga memverifikasi tanda tangannya. PGP dapat mengenkripsi plaintext atau tidak; penandatanganan plaintext berguna jika beberapa penerima tidak tertarik atau mampu memverifikasi tanda tangannya. Selama fungsi hash aman digunakan, tidak ada cara untuk mengambil tanda tangan seseorang dari satu dokumen dan melampirkannya ke yang lain, atau untuk mengubah pesan ditandatangani dengan cara apapun. Perubahan sekecil apapun dalam dokumen yang ditandatangani akan menyebabkan proses verifikasi tanda tangan digital untuk gagal.

Gambar 1-7. Mengamankan tanda tangan digital Tanda tangan digital memainkan peran utama dalam otentikasi dan memvalidasi kunci PGP pengguna lain. Sertifikat digital Satu masalah dengan kriptografi kunci publik adalah bahwa pengguna harus selalu waspada untuk memastikan bahwa mereka enkripsi untuk kunci orang yang benar itu. Dalam lingkungan di mana itu aman untuk bebas bertukar kunci melalui server publik, serangan man-in-the-middle adalah ancaman potensial. Dalam jenis serangan posting seseorang, kunci palsu dengan nama dan user ID penerima pengguna dimaksudkan. Data dienkripsi - dan dicegat oleh - pemilik sebenarnya dari kunci palsu sekarang di tangan yang salah. Dalam lingkungan kunci publik, sangat penting bahwa Anda yakin bahwa kunci publik yang mengenkripsi data Anda sebenarnya adalah kunci publik dari penerima yang dimaksud dan tidak palsu. Anda hanya bisa mengenkripsi hanya untuk kunci-kunci yang telah diberikan kepada Anda secara fisik. Tapi kira Anda perlu untuk bertukar informasi dengan orang yang Anda belum pernah bertemu, bagaimana Anda bisa tahu bahwa Anda memiliki kunci yang benar? Sertifikat digital, atau sertifikat, menyederhanakan tugas menentukan apakah sebuah kunci publik benar-benar milik pemilik yang diakui. Sertifikat adalah bentuk credential. Contoh mungkin SIM Anda, kartu jaminan sosial Anda, atau akte kelahiran Anda. Masing-masing memiliki beberapa informasi tentang itu mengidentifikasi Anda dan beberapa otorisasi menyatakan bahwa orang lain telah mengkonfirmasi identitas Anda. Beberapa sertifikat, seperti paspor, adalah konfirmasi yang cukup penting dari identitas Anda bahwa Anda tidak

ingin kehilangan mereka, jangan sampai seseorang menggunakannya untuk meniru Anda. Sebuah sertifikat digital adalah data yang berfungsi sangat mirip sertifikat fisik. Sebuah sertifikat digital adalah informasi yang disertakan dengan kunci publik seseorang yang membantu orang lain memverifikasi bahwa kunci asli atau yang valid. Sertifikat digital digunakan untuk menggagalkan upaya untuk mengganti kunci satu orang yang lain. Sebuah sertifikat digital terdiri dari tiga hal: - Sebuah kunci publik. - Sertifikat informasi. ("Identitas" informasi tentang pengguna, seperti nama, user ID, dan sebagainya.) - Satu atau lebih tanda tangan digital. Tujuan dari tanda tangan digital pada sertifikat adalah untuk menyatakan bahwa informasi sertifikat telah dibuktikan oleh beberapa orang atau badan lain. Tanda tangan digital tidak membuktikan keaslian sertifikat secara keseluruhan, melainkan hanya vouches bahwa informasi identitas ditandatangani sejalan dengan, atau terikat, kunci publik. Dengan demikian, sertifikat yang pada dasarnya sebuah kunci publik dengan satu atau dua bentuk ID terpasang, ditambah stempel hangat persetujuan dari beberapa individu terpercaya lainnya.

Gambar 1-8. Anatomi sertifikat PGP Sertifikat distribusi Sertifikat yang digunakan ketika itu diperlukan untuk bertukar kunci publik dengan orang lain. Untuk

kelompok kecil orang yang ingin berkomunikasi secara aman, mudah secara manual bertukar disket atau email yang berisi kunci publik masing-masing pemilik. Ini adalah distribusi kunci panduan publik, anditispracticalonlytoa titik tertentu. Di luar titik itu, perlu untuk menempatkan sistem ke dalam tempat yang dapat memberikan keamanan yang diperlukan, penyimpanan, dan mekanisme pertukaran jadi rekan kerja, mitra bisnis, atau orang asing bisa berkomunikasi jika perlu. Ini bisa datang dalam bentuk penyimpanan-satunya repositori disebut Server Sertifikat, atau sistem yang lebih terstruktur yang menyediakan fitur tambahan manajemen kunci dan disebut Infrastruktur Kunci Publik (PKIs). Sertifikat server Sebuah server sertifikat, server juga calledacert atau server kunci, adalah database yang memungkinkan pengguna untuk mengirimkan dan mengambil sertifikat digital. Sebuah server sertifikat biasanya menyediakan beberapa fitur administrasi yang memungkinkan perusahaan untuk mempertahankan kebijakan keamanannya - misalnya, hanya mengizinkan orang-orang kunci yang memenuhi persyaratan tertentu yang akan disimpan. Public Key Infrastruktur Sebuah PKI berisi fasilitas penyimpanan sertifikat dari server sertifikat, tetapi juga menyediakan fasilitas manajemen sertifikat (kemampuan untuk mengeluarkan, mencabut, menyimpan, mengambil, dan sertifikat kepercayaan). Fitur utama dari PKI adalah pengenalan apa yang dikenal sebagai Otoritas Sertifikasi, Orca, whichisahumanentity - orang, kelompok, departemen, perusahaan, atau asosiasi lainnya - bahwa organisasi telah berwenang menerbitkan sertifikat kepada pengguna komputer tersebut. (Peran Sebuah CA analog dengan Kantor Paspor pemerintah suatu negara itu.) Sebuah CA menciptakan sertifikat dan menandatangani secara digital dengan menggunakan kunci privat CA. Karena perannya dalam menciptakan sertifikat, CA merupakan komponen utama dari PKI. Menggunakan kunci publik CA, siapa pun yang ingin memverifikasi keaslian sertifikat yang memverifikasi tanda tangan digital CA menerbitkan, dan karenanya, keutuhan isi sertifikat (yang paling penting, kunci publik dan identitas pemegang sertifikat). Sertifikat format Sebuah sertifikat digital pada dasarnya adalah kumpulan informasi identitas terikat bersama-sama dengan kunci publik dan ditandatangani oleh pihak ketiga yang terpercaya untuk membuktikan keasliannya. Sebuah sertifikat digital dapat menjadi salah satu dari sejumlah format yang berbeda. PGP mengenali dua format sertifikat yang berbeda: - PGP sertifikat - Sertifikat X.509

PGP Format sertifikat Sebuah sertifikat PGP termasuk (namun tidak terbatas pada) informasi berikut: > Nomor versi PGP - ini mengidentifikasi versi PGP digunakan untuk membuat kunci yang terkait dengan sertifikat. > Pemegang sertifikat kunci publik - bagian publik dari pasangan kunci Anda, bersama dengan algoritma kunci: RSA, DH (Diffie-Hellman), atau DSA (Digital Signature Algorithm). > Informasi pemegang sertifikat - ini terdiri dari informasi "identitas" tentang pengguna, seperti namanya, user ID, foto, dan sebagainya. > Tanda tangan digital dari pemilik sertifikat - juga disebut self-tanda tangan, ini adalah tanda tangan menggunakan kunci privatnya dari kunci publik yang terkait dengan sertifikat. > Masa berlaku sertifikat itu - mulai tanggal sertifikat / waktu dan tanggal kedaluwarsa / waktu; menunjukkan kapan sertifikat akan berakhir. > Para algorithmfor enkripsi simetris disukai kunci - menunjukkan algoritma enkripsi yang pemilik sertifikat lebih memilih untuk memiliki informasi yang dienkripsi. Algoritma yang didukung adalah CAST, IDEA atau Triple-DES. Anda mungkin berpikir sertifikat PGP sebagai public key dengan satu atau lebih label terikat padanya (lihat Gambar 1-9). Pada ini 'label' Anda akan menemukan informasi identitas pemilik kunci dan tanda tangan dari pemilik kunci tersebut, yang menyatakan bahwa kunci dan identifikasi pergi bersama-sama. (Ini tanda tangan tertentu disebut self-signature; setiap sertifikat PGP mengandung diri tanda tangan.) Salah satu aspek unik dari format sertifikat PGP adalah bahwa sertifikat tunggal dapat berisi beberapa tanda tangan. Beberapa orang atau banyak dapat mendaftar pasangan kunci / identifikasi untuk membuktikan jaminan mereka sendiri bahwa kunci publik pasti milik pemilik yang ditentukan. Jika Anda melihat pada server sertifikat publik, Anda mungkin memperhatikan bahwa sertifikat tertentu, seperti yang dari pencipta PGP, Phil Zimmerman, mengandung banyak tanda tangan. Beberapa sertifikat PGP terdiri dari kunci publik dengan beberapa label, masing-masing berisi arti yang berbeda untuk mengidentifikasi pemilik kunci tersebut (misalnya, nama pemilik dan account email perusahaan, julukan pemilik dan rekening rumah email, foto pemilik - semua dalam satu sertifikat). Daftar tanda tangan dari masing-masing identitas mungkin berbeda; tanda tangan membuktikan keaslian bahwa salah satu label milik kunci publik, tidak semua label pada tombol tersebut adalah otentik. (Perhatikan bahwa 'otentik' adalah di mata pemirsanya - tanda tangan beberapa pendapat, dan orang yang berbeda mencurahkan berbagai tingkat due diligence dalam memeriksa keaslian sebelum menandatangani kunci.)

Gambar 1-9. Sebuah sertifikat PGP X.509 sertifikat Format X.509 merupakan format sertifikat yang sangat umum. Semua sertifikat X.509 mematuhi internasional ITU-T X.509 standar, dengan demikian (secara teoritis) sertifikat X.509 dibuat untuk satu aplikasi dapat digunakan oleh aplikasi sesuai dengan X.509. Dalam prakteknya, bagaimanapun, perusahaan yang berbeda telah menciptakan ekstensi sendiri untuk sertifikat X.509, tidak semua yang bekerja sama. Acertificate membutuhkan seseorang untuk memvalidasi bahwa public key dan nama pemilik kunci kita pergi bersama-sama. Dengan sertifikat PGP, siapapun dapat memainkan peran validator. Dengan sertifikat X.509, validator selalu Otoritas Sertifikasi atau seseorang yang ditunjuk oleh CA. (Ingatlah bahwa sertifikat PGP juga sepenuhnya mendukung struktur hirarkis menggunakan CA untuk memvalidasi sertifikat.) Sertifikat X.509 adalah kumpulan dari satu set standar bidang yang berisi informasi tentang pengguna atau perangkat dan tombol yang sesuai publik mereka. Standar X.509 mendefinisikan informasi apa yang masuk ke sertifikat, dan menjelaskan cara encode (format data). Semua sertifikat X.509 memiliki data sebagai berikut: Nomor versi X.509 - ini mengidentifikasi versi dari X.509 standardapplies untuk sertifikat ini, whichaffects apa informationcanbe ditentukan di dalamnya. Yang paling saat ini adalah versi 3. > Pemegang sertifikat kunci publik - kunci publik dari pemegang sertifikat, bersama dengan pengidentifikasi algoritma yang menentukan yang cryptosystem kunci milik dan setiap parameter kunci yang terkait. > Nomor seri sertifikat - entitas (aplikasi atau orang) yang menciptakan sertifikat bertanggung jawab untuk menetapkan itu nomor seri yang unik untuk membedakannya dari sertifikat lainnya itu masalah. Informasi ini digunakan dalam berbagai cara, misalnya ketika sertifikat dicabut, nomor seri yang

ditempatkan dalam Daftar Pencabutan Sertifikat atau CRL. > Pemegang sertifikat unik pengenal - (atau DN - nama dibedakan). Nama ini dimaksudkan untuk menjadi unik di Internet. Nama ini dimaksudkan untuk menjadi unik di Internet. DN terdiri dari beberapa subbagian dan mungkin terlihat seperti ini: CN = Bob Allen, OU = Jaringan Divisi Total Security, O = Network Associates, Inc, C = US (Ini mengacu pada Common Name subyek, Unit Organisasi, Organisasi, dan Negara.) > Masa berlaku sertifikat itu - mulai tanggal sertifikat / waktu dan tanggal kedaluwarsa / waktu; menunjukkan kapan sertifikat akan berakhir. > Nama yang unik dari penerbit sertifikat - nama unik dari entitas yang menandatangani sertifikat. Hal ini biasanya CA. Menggunakan sertifikat berarti mempercayai entitas yang menandatangani sertifikat ini. (Perhatikan bahwa dalam beberapa kasus, seperti root atau tingkat atas CA sertifikat, penerbit menandatangani sertifikat sendiri.) > Tanda tangan digital penerbit - tanda tangan menggunakan kunci privat dari entitas yang mengeluarkan sertifikat. > Algoritma tanda tangan pengenal - mengidentifikasi algoritma yang digunakan oleh CA untuk menandatangani sertifikat. Ada banyak perbedaan antara sertifikat X.509 dan sertifikat PGP, tetapi yang paling menonjol adalah sebagai berikut: Anda dapat membuat sertifikat PGP sendiri, Anda harus meminta dan akan diterbitkan sertifikat X.509 dari Otoritas Sertifikasi Sertifikat X.509 native mendukung hanya nama tunggal untuk pemilik kunci tersebut Sertifikat X.509 hanya mendukung tanda tangan digital tunggal untuk membuktikan validitas kunci tersebut Untuk mendapatkan sertifikat X.509, Anda harus meminta CA untuk mengeluarkan Anda sertifikat. Anda memberikan kunci publik anda, bukti bahwa Anda memiliki kunci privatnya, dan beberapa informasi spesifik tentang diri Anda. Anda kemudian digital sign informasi dan mengirim seluruh paket permintaan sertifikat - ke CA. CA kemudian melakukan beberapa due diligence dalam memastikan bahwa informasi yang anda berikan tersebut benar, dan jika demikian, menghasilkan sertifikat tersebut dan mengembalikannya.

Anda mungkin berpikir sertifikat X.509 sebagai tampak seperti sertifikat kertas standar (mirip dengan yang Anda mungkin telah menerima untuk menyelesaikan kelas di First Aid dasar) dengan kunci publik ditempel untuk itu. Ia memiliki nama dan beberapa informasi tentang Anda di atasnya, ditambah tanda tangan dari orang yang dikeluarkan kepada Anda.

Gambar 1-10. Sertifikat X.509 Mungkin penggunaan paling banyak terlihat dari sertifikat X.509 hari ini di web browser. Validitas dan kepercayaan Setiap pengguna pada sistem kunci publik rentan terhadap salah kunci palsu (sertifikat) untuk yang nyata. Validitas adalah keyakinan bahwa sertifikat kunci publik milik pemilik konon. Validitas sangat penting dalam lingkungan kunci publik di mana Anda harus terus-menerus menetapkan apakah atau tidak sertifikat tertentu adalah otentik. Bila Anda telah meyakinkan diri sendiri bahwa sertifikat milik orang lain adalah valid, Anda dapat menandatangani salinan pada keyring Anda untuk membuktikan fakta bahwa Anda sudah memeriksa sertifikat dan bahwa ini merupakan salah satu otentik. Jika Anda ingin orang lain tahu bahwa Anda memberikan sertifikat cap persetujuan Anda, Anda dapat mengekspor signatureto sebuah certificateserver sehingga canseeit orang lain. Seperti dijelaskan dalam Infrastruktur Kunci Publik bagian, beberapa perusahaan menunjuk Otoritas Sertifikasi satu atau lebih (CA) untuk menunjukkan validitas sertifikat. Dalam sebuah organisasi menggunakan PKI dengan sertifikat X.509, itu adalah tugas dari CA untuk mengeluarkan sertifikat kepada pengguna - proses yang umumnya memerlukan menanggapi permintaan pengguna untuk

sertifikat. Dalam sebuah organisasi menggunakan sertifikat PGP tanpa PKI, itu adalah tugas dari CA untuk memeriksa keaslian semua sertifikat PGP, lalu masuk yang baik. Pada dasarnya, tujuan utama dari CA adalah untuk mengikat kunci publik ke informasi identifikasi yang terdapat dalam sertifikat dan dengan demikian menjamin pihak ketiga yang beberapa ukuran perawatan diambil untuk memastikan bahwa ini mengikat dari informasi identifikasi dan kunci valid. CA adalah Grand Pooh-bah dari validasi dalam suatu organisasi; seseorang yang percaya semua orang, dan di beberapa organisasi, seperti yang menggunakan PKI, sertifikat tidak dianggap sah jika telah ditandatangani oleh CA terpercaya. Memeriksa keabsahan Salah satu cara untuk menetapkan validitas adalah pergi melalui beberapa proses manual. Ada beberapa cara untuk melakukannya. Anda bisa memerlukan penerima yang Anda maksudkan secara fisik menyerahkan salinan kunci publik-nya. Tapi ini sering merepotkan dan tidak efisien. Cara lain adalah dengan manual memeriksa sidik jari sertifikat. Sama seperti sidik jari setiap manusia adalah unik, sidik jari setiap sertifikat PGP adalah unik. Sidik jari adalah hash dari sertifikat pengguna dan muncul sebagai salah satu properti sertifikat. Dalam PGP, sidik jari dapat muncul sebagai angka heksadesimal atau serangkaian apa yang disebut kata-kata biometrik, yang fonetis berbeda dan digunakan untuk membuat proses identifikasi sidik jari sedikit lebih mudah. Anda dapat memeriksa bahwa sertifikat berlaku dengan menghubungi pemilik kunci tersebut (sehingga Anda berasal transaksi) dan meminta pemiliknya untuk membaca sidik jari atau yang kuncinya untuk Anda dan memverifikasi sidik jari yang melawan yang Anda yakini sebagai yang asli. Ini berfungsi jika Anda tahu suara pemilik, tapi, bagaimana Anda secara manual memverifikasi identitas seseorang yang Anda tidak tahu? Beberapa orang menaruh sidik jari dari kunci mereka di kartu nama mereka karena alasan ini. Cara lain untuk menetapkan validitas sertifikat seseorang adalah mempercayai bahwa individu ketiga telah melalui proses validasi itu. Sebuah CA, misalnya, bertanggung jawab untuk memastikan bahwa sebelum mengeluarkan ke sertifikat tersebut, ia hati-hati memeriksanya untuk memastikan bagian kunci publik benar-benar milik pemilik yang diakui. Siapapun yang mempercayai CA secara otomatis akan mempertimbangkan sertifikat ditandatangani oleh CA untuk berlaku. Aspek lain dari memeriksa validitas adalah untuk memastikan bahwa sertifikat tersebut belum dicabut. Untuk informasi lebih lanjut, lihat Pencabutan Sertifikat bagian.

Membangun kepercayaan Anda memvalidasi sertifikat. Anda percaya orang. Lebih spesifik, Anda percaya orang-orang untuk memvalidasi sertifikat orang lain. Biasanya, kecuali pemilik tangan Anda sertifikat, Anda harus pergi dengan kata-kata orang lain bahwa itu sah. Meta dan terpercaya introducers Dalam kebanyakan situasi, orang sepenuhnya mempercayai CA untuk menetapkan validitas sertifikat. Ini berarti bahwa semua orang bergantung pada CA untuk melalui proses validasi seluruh panduan bagi mereka. Ini bagus sampai jumlah tertentu dari pengguna atau jumlah lokasi kerja, dan kemudian tidak mungkin untuk CA untuk mempertahankan tingkat yang sama validasi kualitas. Dalam hal ini, menambahkan validator lain untuk sistem diperlukan. Sebuah CA juga dapat menjadi meta-introducer. Sebuah meta-introducer melimpahkan tidak hanya berlaku pada tombol, tetapi menganugerahkan kemampuan untuk percaya kunci pada orang lain. Serupa dengan raja yang menyerahkan segel untuk penasihat yang terpercaya sehingga mereka dapat bertindak atas otoritasnya, meta-introducer memungkinkan orang lain untuk bertindak sebagai introducers terpercaya. Ini introducers dipercaya dapat memvalidasi kunci untuk efek yang sama seperti yang dari pemasuk-meta. Mereka tidak bisa, bagaimanapun, membuat introducers dipercaya baru. Meta-introducer dan Introducer terpercaya adalah istilah PGP. Dalam lingkungan X.509, metaintroducer disebut Sertifikasi Otoritas akar (root CA) dan introducers terpercaya Otoritas Sertifikasi bawahan. Akar CA menggunakan kunci privat yang terkait dengan jenis sertifikat khusus yang disebut akar sertifikat CA untuk menandatangani sertifikat. Setiap sertifikat yang ditandatangani oleh sertifikat root CA dipandang sebagai benar dengan sertifikat lainnya yang ditandatangani oleh root. Proses validasi bekerja bahkan untuk sertifikat yang ditandatangani oleh CA lain dalam sistem - selama akar sertifikat CA menandatangani sertifikat CA bawahan, sertifikat apapun yang ditandatangani oleh Cais dianggap sah kepada orang lain dalam hirarki. Proses memeriksa kembali melalui systemto melihat yang menandatangani sertifikat yang disebut melacak jalur sertifikasi atau rantai sertifikasi. Kepercayaan model Dalam sistem relatif tertutup, seperti dalam sebuah perusahaan kecil, mudah untuk melacak jalur sertifikasi kembali ke CA root. Namun, pengguna harus sering berkomunikasi dengan orang di luar lingkungan perusahaan mereka, termasuk beberapa yang mereka belum pernah bertemu, seperti vendor, pelanggan, klien, rekan, dan sebagainya. Menetapkan garis kepercayaan kepada mereka yang belum dipercaya secara eksplisit oleh CA Anda sulit. Perusahaan followone atau model lain kepercayaan, yang menentukan bagaimana pengguna akan pergi tentang membangun validitas sertifikat. Ada tiga model yang berbeda:

 langsung Kepercayaan hirarkis Kepercayaan Sebuah Web of Trust langsung Kepercayaan Kepercayaan langsung adalah model kepercayaan sederhana. Dalam model ini, pengguna percaya bahwa kunci adalah sah karena dia tahu dari mana asalnya. Semua kriptografi menggunakan bentuk kepercayaan dalam beberapa cara. Misalnya, dalam web browser, tombol Sertifikasi akar Otoritas langsung dipercaya karena mereka dikirim oleh produsen. Jika ada bentuk hirarki, ia meluas dari sertifikat ini langsung dipercaya. Dalam PGP, pengguna yang memvalidasi kunci sendiri dan tidak pernah menetapkan sertifikat lain untuk menjadi Introducer terpercaya menggunakan kepercayaan langsung.

Gambar 1-11. langsung kepercayaan hirarkis Kepercayaan Dalam sistem hirarkis, ada sejumlah sertifikat "root" dari kepercayaan yang meluas. Sertifikat ini mungkin sertifikasi sertifikat sendiri, atau mereka mungkin mengesahkan sertifikat yang menyatakan masih sertifikat lainnya ke bawah rantai beberapa. Anggap saja sebagai kepercayaan besar "pohon." Validitas "daun" sertifikat diverifikasi dengan menelusuri mundur dari lembaga sertifikasi, untuk sertifikasi lain, sampai sertifikat root langsung dipercaya ditemukan.

Gambar 1-12. hirarkis kepercayaan

Web of Trust Sebuah web kepercayaan meliputi baik dari model lain, tetapi juga menambahkan gagasan bahwa kepercayaan ada di mata yang melihatnya (yang merupakan pandangan dunia nyata) dan gagasan bahwa informasi lebih banyak lebih baik. Dengan demikian model kepercayaan kumulatif. Sebuah sertifikat dapat dipercaya secara langsung, atau terpercaya di beberapa rantai akan kembali ke sebuah sertifikat root langsung dipercaya (meta-introducer), atau oleh beberapa kelompok introducers. Mungkin Anda pernah mendengar dari enam derajat istilah pemisahan, yang menunjukkan bahwa setiap orang di dunia dapat menentukan beberapa link kepada orang lain di dunia dengan menggunakan enam atau lebih sedikit orang lain sebagai perantara. Ini adalah web dari introducers. Itu juga merupakan pandangan PGP kepercayaan. PGP menggunakan tanda tangan digital sebagai bentuk pengenalan. Ketika setiap user menandatangani kunci lain, ia menjadi sebuah introducer dari kunci tersebut. Karena proses ini berlangsung, membentuk web kepercayaan. Dalam lingkungan PGP, setiap pengguna dapat bertindak sebagai otoritas sertifikasi. Setiap pengguna PGP dapat memvalidasi sertifikat kunci publik PGP user lain itu. Namun, seperti sertifikat hanya berlaku untuk pengguna lain jika pihak mengandalkan mengakui validator sebagai introducer terpercaya. (Artinya, Anda percaya pendapat saya bahwa orang lain validitas diperdebatkan. 'Kunci hanya berlaku jika Anda mempertimbangkan saya untuk menjadi Introducer terpercaya Jika tidak, pendapat saya tentang kunci lain.') Disimpan di keyring publik masing-masing pengguna adalah indikator apakah user menganggap kunci tertentu akan berlaku tingkat tempat kepercayaan pengguna pada tombol tersebut bahwa pemilik kunci tersebut dapat berfungsi sebagai lembaga sertifikasi kunci lain Anda menunjukkan, pada salinan kunci saya, apakah Anda berpikir jumlah penilaian saya. Ini benarbenar sistem reputasi: orang-orang tertentu yang terkenal untuk memberikan tanda tangan yang baik, dan orang-orang mempercayai mereka untuk membuktikan validitas kunci lain. Tingkat kepercayaan di PGP Level tertinggi dari kepercayaan pada kepercayaan, kunci implisit, adalah kepercayaan dalam pasangan sendiri kunci Anda. PGP mengasumsikan bahwa jika Anda memiliki kunci pribadi, Anda harus percaya tindakan kunci yang terkait publik. Setiap kunci yang ditandatangani oleh kunci Anda dipercaya secara implisit adalah valid. Ada tiga tingkat kepercayaan dapat Anda tetapkan untuk orang lain kunci publik: Lengkapi kepercayaan Marjinal kepercayaan Notrust (atau untrusted)

Untuk membuat hal-hal membingungkan, ada juga tiga tingkat validitas: > Sah > Secara garis berlaku > Cacat Untuk menetapkan kunci lain sebagai Introducer terpercaya, Anda 1.Start dengan kunci yang valid, salah satu yang baik ditandatangani oleh Anda atau ditandatangani oleh yang lain Introducer terpercaya dan kemudian 2.Set tingkat kepercayaan Anda merasa pemilik kunci tersebut berhak. Misalnya, gantungan kunci Anda berisi kunci Alice. Anda telah divalidasi kunci Alice dan Anda menunjukkan ini dengan menandatanganinya. Anda tahu bahwa Alice adalah ngotot nyata untuk memvalidasi kunci orang lain. Karena itu Anda menetapkan kunci dengan kepercayaan Lengkap. Hal ini membuat Alice Otoritas Sertifikasi. Jika Alice tanda-tanda lain kuncinya, tampak seolah Hari pada keyring Anda. PGP membutuhkan satu tanda tangan Lengkap dipercaya atau dua tanda tangan Secara garis dipercaya untuk membentuk kunci sebagai valid. Metode PGP dari mempertimbangkan dua marginal sama dengan satu Lengkap mirip dengan seorang pedagang meminta dua bentuk ID. Anda mungkin mempertimbangkan Alice cukup dapat dipercaya dan juga mempertimbangkan Bob cukup dapat dipercaya. Salah satu saja menjalankan risiko sengaja menandatangani kunci palsu, sehingga Anda mungkin tidak menempatkan kepercayaan penuh di salah satu. Namun, kemungkinan bahwa baik individu menandatangani kunci palsu yang sama mungkin kecil. Pencabutan Sertifikat Sertifikat hanya berguna saat mereka sah. Hal ini tidak aman untuk hanya mengasumsikan bahwa sertifikat berlaku selamanya. Di kebanyakan organisasi dan di semua PKIs, sertifikat untuk jangka waktu terbatas. Ini kendala periode dimana sistem yang rentan harus kompromi sertifikat terjadi. Sertifikat demikian menciptakan dengan masa berlaku dijadwalkan: tanggal mulai / waktu dan tanggal kedaluwarsa / waktu. Sertifikat ini diharapkan dapat digunakan untuk masa berlaku seluruh (masa pakai). Ketika sertifikat berakhir, itu akan tidak lagi berlaku, karena keaslian kunci / identifikasi pasangannya tidak lagi terjamin. (Sertifikat masih dapat dengan aman digunakan untuk menegaskan informasi yang disandikan atau ditandatangani dalam masa berlaku - itu tidak dapat dipercaya untuk tugas-tugas kriptografi bergerak maju, namun.) Ada juga situasi di mana perlu untuk membatalkan sertifikat sebelum tanggal jatuh tempo, seperti ketika pemegang sertifikat berakhir kerja dengan perusahaan atau tersangka bahwa tombol yang sesuai pribadi sertifikat telah diganggu. Ini disebut pencabutan. Sertifikat Arevoked adalah tersangka lebih dari

sertifikat kadaluarsa. Sertifikat kadaluarsa tidak dapat digunakan, tetapi tidak membawa ancaman yang sama kompromi sebagai sertifikat dicabut. Siapapun yang telah menandatangani sertifikat dapat mencabut tanda tangan nya pada sertifikat (asalkan dia menggunakan kunci pribadi yang sama yang menciptakan tanda tangan). Tanda tangan Arevoked menunjukkan bahwa penandatangan tidak lagi percaya bahwa kunci publik dan informasi identifikasi milik bersama, atau bahwa kunci publik sertifikat (atau kunci privatnya) telah diganggu. Sebuah tanda tangan dicabut harus membawa berat hampir sebanyak sertifikat dicabut. Dengan sertifikat X.509, tanda tangan dicabut adalah praktis sama sebagai sertifikat dicabut mengingat bahwa tanda tangan hanya pada sertifikat adalah salah satu yang membuatnya berlaku di tempat pertama - tanda tangan dari CA. Sertifikat PGP menyediakan fitur tambahan yang dapat Anda mencabut sertifikat Anda (bukan hanya tanda tangan di atasnya) jika Anda sendiri merasa bahwa sertifikat tersebut telah diganggu. Hanya pemilik sertifikat (pemegang kunci pribadi yang sesuai) atau seseorang yang pemilik sertifikat telah ditunjuk sebagai revoker dapat mencabut sertifikat PGP. (Menunjuk revoker adalah latihan yang berguna, karena itu sering hilangnya passphrase untuk kunci yang sesuai pribadi sertifikat yang mengarah pengguna PGP untuk mencabut nya atau sertifikat nya - tugas yang hanya mungkin jika seseorang memiliki akses ke kunci pribadi. ) Hanya penerbit sertifikat dapat mencabut sertifikat X.509. Berkomunikasi bahwa sertifikat telah dicabut Ketika sertifikat dicabut, penting untuk membuat pengguna potensial sertifikat menyadari bahwa itu tidak berlaku lagi. Dengan sertifikat PGP, cara yang paling umum untuk berkomunikasi bahwa sertifikat telah dicabut adalah untuk posting di server sertifikat sehingga orang lain yang mungkin ingin berkomunikasi dengan Anda diperingatkan untuk tidak menggunakan kunci publik tersebut. Dalam lingkungan PKI, komunikasi sertifikat dicabut ini paling sering dicapai melalui struktur data yang disebut Daftar Pencabutan Sertifikat, atau CRL, yang diterbitkan oleh CA. CRL ini berisi waktu cap, daftar divalidasi dari semua, sertifikat dicabut belum berakhir dalam sistem. Sertifikat dicabut tetap pada daftar hanya sampai mereka berakhir, maka mereka dikeluarkan dari daftar - daftar ini terus menjadi terlalu panjang. CA mendistribusikan CRL untuk pengguna pada beberapa interval yang dijadwalkan secara rutin (dan berpotensi off-siklus, setiap kali sertifikat dicabut). Secara teoritis, ini akan mencegah pengguna tanpa disadari menggunakan sertifikat dikompromikan. Hal ini dimungkinkan, meskipun, bahwa mungkin ada jangka waktu antara CRL di mana sertifikat baru dikompromikan digunakan. Apa yang passphrase? Kebanyakan orang yang akrab dengan membatasi akses ke sistem komputer melalui password, yang

adalah string unik dari karakter bahwa jenis pengguna sebagai kode identifikasi. Sebuah passphrase adalah versi yang lebih panjang password, dan secara teori, yang lebih aman. Biasanya terdiri dari beberapa kata, passphrase lebih aman terhadap serangan kamus standar, dimana penyerang mencoba semua kata dalam kamus dalam upaya untuk menentukan password Anda. Para passphrase terbaik relatif panjang dan rumit dan berisi kombinasi huruf besar dan huruf kecil, angka dan karakter tanda baca. PGP menggunakan passphrase untuk mengenkripsi kunci pribadi Anda pada mesin Anda. Kunci pribadi Anda dienkripsi pada disk Anda menggunakan hash dari passphrase Anda sebagai kunci rahasia. Anda menggunakan passphrase untuk mendekripsi dan menggunakan kunci pribadi Anda. Sebuah passphrase harus sulit bagi Anda untuk lupa dan sulit ditebak orang lain. Harus sesuatu yang sudah kuat tertanam dalam memori jangka panjang Anda, daripada sesuatu yang membuat dari awal. Mengapa? Karena jika anda lupa passphrase Anda, Anda beruntung. Kunci pribadi Anda benar-benar dan benar-benar berguna tanpa passphrase Anda dan ada yang dapat dilakukan tentang hal itu. Ingat kutipan di awal bab ini? PGP adalah kriptografi yang akan membuat pemerintah besar dari file Anda. Hal ini tentu akan membuat Anda keluar dari file Anda, juga. Perlu diingat bahwa ketika Anda memutuskan untuk mengubah passphrase Anda ke bagian lucunya lelucon bahwa Anda tidak begitu ingat. Kunci pemecahan Mereka mengatakan bahwa rahasia bukan rahasia jika sudah diketahui lebih dari satu orang. Berbagi sepasang kunci pribadi menimbulkan masalah seperti itu. Meskipun bukan praktek yang disarankan, berbagi sepasang kunci pribadi diperlukan di kali. Tombol Penandatanganan perusahaan, misalnya, adalah kunci pribadi yang digunakan oleh perusahaan untuk menandatangani - misalnya - dokumen hukum, sensitif informasi kepegawaian, atau press release ke authenticatetheirorigin. Dalam kasus seperti itu, akan lebih bermanfaat bagi anggota beberapa perusahaan untuk memiliki akses ke kunci pribadi. Namun, ini berarti bahwa setiap individu dapat bertindak sepenuhnya atas nama perusahaan. Insucha caseit ini wisetosplit kunci di antara beberapa orang sedemikian rupa sehingga lebih dari satu atau dua orang harus menunjukkan sepotong kunci untuk menyusun kembali ke kondisi yang dapat digunakan. Jika potongan terlalu sedikit dari kunci yang tersedia, maka kuncinya adalah tidak dapat digunakan. Beberapa contoh adalah untuk membagi kunci menjadi tiga bagian dan memerlukan dua dari mereka untuk menyusun kembali kunci, atau membaginya menjadi dua bagian dan membutuhkan kedua lembar. Jika koneksi jaringan yang aman digunakan selama proses pemulihan, pemegang saham kunci tersebut tidak perlu hadir secara fisik untuk bergabung kembali kuncinya.