Tugas CLO 3 WEB Security

Disusun untuk memenuhi tugas Keamanan Jaringan

Program Studi Teknik Telekomunikasi

Universitas Telkom

SRIWAHYUNI

1101144368

FAKULTAS TEKNIK ELEKTRO

UNIVERSITAS TELKOM

BANDUNG

2017
Secure Socket Layer (SSL)

SSL merupakan suatu protocol layer transport yang digunakan dalam koneksi internet. Salah
satu layanan keamanan yang paling banyak digunakan adalah Secure Sockets Layer (SSL). SSL adalah
Layanan Umum diimplementasikan sebagai satu set protokol yang bergantung pada TCP. Untuk
keumuman penuh, SSL (atau TLS) bisa disediakan sebagai bagian dari protokol yang mendasari
suite dan karena itu menjadi transparan untuk aplikasi. Selain itu, SSL dapat disisipkan dalam
paket tertentu. Sebagai contoh, sebagian besar browser dilengkapi dengan SSL,dan sebagian
besar Web server telah menerapkan protocol.

SSL Architecture

SSL dirancang untuk menggunakan TCP sebagai lapisan komunikasi untuk menyediakan
koneksi yang handal end-to-end aman dan autentik. SSL bukanlah sebuah protokol single tapi
ada dua lapisan protokol, seperti digambarkan dalam17.2 gambar.

Protokol SSL record menyediakan layanan keamanan dasar berbagai protokol

higherlayer. Secara khusus, Hypertext Transfer Protocol (HTTP), yang menyediakan layanan
transfer untuk interaksi klien/server Web, dapat beroperasi pada SSL. Tiga higher-layer
protocols didefinisikan sebagai bagian dari SSL. Handshake Protocol, The Change Cipher Spec
Protocol, and the Alert Protocol. Dua konsep-konsep SSL yang penting adalah session SSL dan
connection SSL,yang ditetapkan dalam spesifikasi sebagai berikut:
 SSL Session terjadi antara client dan server dengan tiap sesi yang ada dihasilkan
dari Handshake Protocol. Session didefinisikan melalui berbagai parameter
keamanan kriptografi yang dapat digunakan untuk banyak koneksi.
Connection adalah transportasi yang menyediakan sesuai jenis layanan. Untuk
SSL, koneksi tersebut hubungannya peer-to-peer. Koneksi bersifat sementara.
Setiap sambungan terkait dengan satu sesi.

SSL Record Protocol

Protokol SSL catatan menyediakan dua layanan untuk sambungan SSL:

Confidentiality: The Handshake Protocol mendefinisikan sebuah kunci rahasia bersama
yang digunakan untuk konvensional enkripsi SSL payloads
Message Integrity: The Handshake Protocol mendefinisikan kunci rahasia bersama yang
digunakan untuk membentuk kode otentikasi pesan (MAC).

Change Cipher Spec Protocol

Change Cipher Spec Protocol adalah salah satu dari tiga protokol SSL-spesifik yang
menggunakan protokol SSL record, dan itu adalah yang paling sederhana. Protokol ini terdiri
dari satu pesan (gambar 17.5a), yang terdiri dari satu byte dengan nilai 1. Satu-satunya tujuan
dari pesan ini adalah untuk menyebabkan keadaan tertunda akan disalin ke arus state,update
cipher suite untuk digunakan pada sambungan ini.
Alert Protocol

Protokol Alert digunakan untuk menyampaikan SSL-terkait peringatan kepada badan

rekan. Seperti dengan aplikasi lain yang menggunakan SSL, mengingatkan pesan dikompresi dan
dienkripsi, sebagai ditentukan oleh keadaan saat in

Handshake Protocol

Bagian yang paling kompleks dari SSL adalah protokolhandshake. Protokol ini
memungkinkan server dan klien untuk mengotentikasi satu sama lain dan untuk menegosiasikan
enkripsi dan MAC algoritma dan kriptografi kunci untuk digunakan untuk melindungi data yang
dikirim dalam SSL record. Protokol handshake digunakan sebelum aplikasi data ditransmisikan.
Transport Layer Security (TLS)

TLS adalah sebuah inisiatif Standardisasi IETF yang tujuannya adalah untuk menghasilkan
standar Internet versi SSL. TLS didefinisikan sebagai usulan Internet standar dalam RFC 5246.
RFC 5246 ini sangat mirip dengan SSLv3. Dalam bagian ini, kami menyoroti perbedaan.

Version Number

Format recors TLS adalah sama dengan format SSL record (gambar 17,4), dan utamanya
memiliki makna yang sama. Salah satu perbedaan adalah dalam versi nilai-nilai. Untuk versi saat
ini TLS, versi utama adalah 3 dan versi kecil adalah 3.

Message Authentication Code

Ada dua perbedaan antara skema SSLv3 dan TLS MAC: actual algoritma dan cakupan
perhitungan MAC. TLS membuat penggunaan HMAC algoritma yang didefinisikan dalam RFC
2104. HMAC didefinisikan sebagai

Pseudorandom Function

TLS membuat penggunaan fungsi pseudorandom dirujuk sebagai PRF untuk memperluas rahasia
menjadi blok-blok data untuk keperluan generasi kunci atau validasi. Tujuannya adalah untuk
membuat penggunaan yang relatif kecil berbagi rahasia nilai tetapi untuk menghasilkan blok lagi
Cipher Suites
Ada beberapa perbedaan kecil antara cipher suite tersedia di bawah SSLv3
dan di bawah TLS:

Key Exchange: TLS mendukung semua teknik pertukaran kunci SSLv3

dengan pengecualian Fortezza.
Symmetric Encryption Algorithms: TLS mencakup semua enkripsi simetris
algoritma yang ditemukan di SSLv3, dengan pengecualian Fortezza
HTTPS

HTTPS (HTTP melalui SSL) mengacu pada kombinasi HTTP dan SSL untuk
menerapkan keamanan komunikasi antara Web browser dan Web server. Penggunaannya
tergantung di server Web yang mendukung komunikasi HTTPS. Sebagai contoh, beberapa
mesin pencari tidak mendukung HTTPS. Google menyediakan HTTPS sebagai pilihan:
https://Google.com. Perbedaan utama yang dilihat oleh pengguna Web browser adalah bahwa
URL (uniform resource locator) addresses begin with https:// rather than http://. HTTP
sambungan Normal menggunakan port 80. Jika HTTPS ditetapkan, port 443 digunakan, yang
memanggil SSL.
Ketika HTTPS digunakan, unsur-unsur berikut dari komunikasi yang dienkripsi:
URL of the requested document
Contents of the document
Contents of browser forms (filled in by browser user)
Contents of HTTP heade
Cookie yang dikirimkan dari browser ke server dan dari server ke browser
HTTPS didokumentasikan dalam RFC 2818, HTTP Over TLS. tidak ada dasarperubahan dalam
menggunakan HTTP melalui SSL atau TLS, dan implementasi keduadisebut sebagai HTTPS.

Connection Initiation

Untuk HTTPS, agen yang bertindak sebagai klien HTTP juga bertindak sebagai klien
TLS. Klien memulai koneksi ke server pada port tepat dan kemudian mengirimkan TLS klien
Halo untuk memulai jabat tangan TLS. Ketika TLS selesai jabat tangan, klien dapat kemudian
mengajukan permintaan pertama HTTP . Semua data HTTP akan dikirim sebagai TLS aplikasi
data. Ada tiga tingkat kesadaran sambungan dalam HTTPS. Di tingkat HTTP, permintaan
koneksi HTTP klien ke HTTP server dengan mengirimkan permintaan koneksi ke lapisan
terendah berikutnya. Biasanya, lapisan terendah berikutnya adalah TCP, tetapi ini juga mungkin
TLS/SSL. Pada tingkat TLS, sesi didirikan antara TLS klien dan TLS server. Sesi ini bisa
mendukung satu atau lebih banyak koneksi setiap saat.Seperti yang kita lihat, TLS permintaan
sambungan dimulai dengan pembentukan koneksi TCP
Connection Closure

HTTP klien atau server dapat menunjukkan penutupan koneksi dengan dengan
memasukkan baris berikut dalam catatan HTTP: sambungan: tutup. Hal ini menunjukkan bahwa
koneksi akan ditutup setelah catatan ini dikirim. Penutupan koneksi HTTPS memerlukan bahwa
TLS menutup sambungan dengan rekan TLS entitas di sisi jauh, yang akan melibatkan
penutupan koneksi dasar TCP. Di tingkat TLS, cara yang tepat untuk menutup koneksi adalah
untuk setiap sisi menggunakan protokol TLS , waspada untuk mengirim tanda close_notify.
Implementasi TLS harus memulai pertukaran peringatan penutupan sebelum menutup
koneksi. Implementasi TLS yang mungkin, setelah mengirim tanda penutupan, menutup
sambungan tanpa menunggu rekan untuk mengirim pemberitahuan penutupannya, menghasilkan
"incomplete close ". Catatan bahwa implementasi melakukan hal ini dapat memilih untuk
menggunakan kembali sesi. Ini hanya boleh dilakukan ketika aplikasi tahu (biasanya \mendeteksi
batas-batas pesan HTTP) bahwa mereka telah menerima semua data pesan. HTTP klien juga
harus mampu mengatasi situasi yang mendasari koneksi TCP ditutup tanpa peringatan
sebelumnya close_notify dan tanpa sambungan: tutup indikator. Situasi seperti ini bisa
disebabkan oleh kesalahan pemrograman pada server atau kesalahan komunikasi yang
menyebabkan koneksi TCP untuk drop. Jadi HTTPS klien harus mengeluarkan semacam
peringatan keamanan ketika ini terjadi

EMAIL SECURITY (PGP)

PGP memliki dua buah kunci yaitu kunci publik dan kunci pribadi. Diantara kedua kunci tersebut
kunci publik dapat diumumkan kepada setiap orang, melalui telpon, fax, e-mail dan lainnya, tanpa
takut akan ke privetanya. Sedangkan kunci pribadi adalah bersifat rahasia dan tidak diperkenankan
untuk diketahui oleh orang lain, sebab apabila kunci pribadi ini diketahui orang lain data akan tidak
rahasia lagi.
Pada PGP ini terdapat dua teknik pembacaan data yaitu teknik enkripsi (teknik pengubahan data
dari asli menjadi kode yang tidak terbaca) dan teknik dekripsi.(teknik untuk membaca kode-kode
yang tidak terbaca menjadi terbaca. Pada makalah diatas juga terdapat contoh program PGP dan
teknik melakukan pengiriman data yang terekripsi dan program pembacaan data atau informasi yang
terekripsi.Meskipun PGP adalah software enkripsi yang termasuk yang paling canggih saat ini (128
Bit), tetapi harus diikuti dengan kedisiplinan anda dalam menyimpan Kunci / password. Trik
membuat password: jangan gunakan kata umum (nama), atau tanggal lahir (waktu tertentu), tetapi
gunakan kombinasi Huruf dan Angka yang tidak mempunyai maksud tertentu, dan jika perlu gunakan
huruf besar dan kecil (sehingga akan memperbesar kombinasinya), dan minimal gunakan 6 Digit.
Tetapi jangan sampai anda sendiri lupa. Contoh: we1Com3tobaca