Keamanan Transmisi Data Melalui Jaringan

Keamanan transmisi data melalui jaringan
Posted in | di 01.00
Salah satu aspek penting yang harus diperhatikan dengan adanya sistem jaringan komputer
adalah masalah keamanannya, dimana dengan banyaknya komputer yang dihubungkan dalam
suatu jaringan dan banyaknya user yang memakai, suatu data maupun informasi menjadi sangat
rentan terhadap serangan-serangan dari pihak-pihak yang tidak berwenang. Salah satu masalah
dalam keamanan komputer berkaitan dengan bagaimana komputer mengetahui bahwa seseorang
yang masuk di dalam koneksi jaringan adaalah benar-benar dirinya sendiri. Dengan kata lain,
sekali user mengidentifikasikan drinya ke komputer, komputer harus memastukan apakah
identifikasi tersebut autentik atau tidak.
Ada beberapa metode untuk melakukan autentikasi, salah satunya dan yang paling umum adalah
menggunakan password. Metode autentikasi dengan menggunakan password statis adalah yang
paling banyak digunakan. Tetapi jika user menggunakan password yang sama (password statis)
beberapa kali untuk masuk ke dalam suatu sistem, password tersebut akan menjadi rentan
terhadap sniffer jaringan. Salah satu bentuk serangan ke sistem komputer jaringan adalah
seseorang mencoba masuk ke dalam suatu koneksi jaringan untuk mendapatkan informasi
aautentikasi, seperti ID login dan password yang berbeda setiap kali user akan masuk ke sistem,.
Sistem autentikasi One Time Password (OTP) dibuat untuk mengatasi serangan seperti diatas.
Internet adalah jaringan publik, dan terbuka bagi setiap orang diseluruh penjuru dunia untuk
menggabungkan diri. Begitu besarnya jaringan ini, telah menimbulkan keuntungan serta
kerugian. Sering kita dengar dan baca tentang bobolnya sistem komputer keuangan bank,
informasi rahasia Pentagon atau basis data transkrip akademik mahasiswa. Kalimat tersebut
cukup untuk mewakili pernyataan bahwa kita harus ‘waspada’ terhadap orang-orang ‘jahat’ dan
senantiasa berusaha memperkecil kemungkinan bagi mereka untuk dapat melakukan niat
jahatnya. Memang mudah untuk meniadakan kemungkinan penyusupan (akses ilegal) dari luar
dengan menutup semua kanal trafik servis inbound ke jaringan internal. Namun ini berarti telah
mereduksi keuntungan utama adanya jaringan: komunikasi dan pemakaian sumber daya bersama
(sharing resources). Jadi, konsekuensi alami dengan jaringan cukup besar, adalah menerima dan
berusaha untuk memperkecil resiko ini, bukan meniadakannya.
Pencurian hubungan (hijacking attack) biasanya terjadi pada komputer yang menghubungi
jaringan kita, walaupun untuk beberapa kasus langka, bisa terjadi pada sembarang jalur yang
dilaluinya. Sehingga akan bijaksana bila seorang NA mempertimbangkan pemberian
kepercayaan akses, hanya dari komputer yang paling tidak mempunyai sistem security sama atau
mungkin lebih ‘kuat’, dibandingkan dengan jaringan dibawah tanggung-jawabnya. Usaha
memperkecil peluang musibah ini, juga dapat dilakukan dengan mengatur packet-filter dengan
baik atau menggunakan server modifikasi. Misalnya, kita dapat menyediakan fasilitas
anonymous-FTP bagi sembarang komputer dimanapun, tapi authenticated-FTP hanya diberikan
pada host-host yang tercantum pada daftar ‘kepercayaan’. Hijacking ditengah jalur dapat
dihindari dengan penggunaan enkripsi antar jaringan (end to end encryption).
Kerahasiaan data dan password juga merupakan topik disain security. Program yang
didedikasikan untuk packet-sniffing dapat secara otomatis menampilkan isi setiap paket data
antara client dengan servernya. Proteksi password dari kejahatan demikian dapat dilakukan
dengan implementasi password sekali pakai (non-reusable password), sehingga walaupun dapat
termonitor oleh sniffer, password tersebut tidak dapat digunakan lagi.
Resiko hijacking dan sniffing data (bukan password) tidak dapat dihindari sama sekali. Artinya
NA harus mempertimbangkan kemungkinan ini dan melakukan optimasi bagi semakin kecil-nya
kesempatan tersebut. Pembatasan jumlah account dengan akses penuh serta waktu akses jarak
jauh, merupakan salah satu bentuk optimasi.
Sebuah pesan, file, dokumen atau kumpulan data yang lainnya aikatakan otentik jika asli dan
berasal dari sumber yang terpercaya, artau resmi. Otentik sebuah pesan merupakan suatu
prosedur yang mengijinkan partisipan untuk memverifikasi bahwa pesan yang diterima otenti
atau asli. Ada dua aspek penting dalam memverifikasi sebuah pesan yaitu :
· Apakah pesan tersebut belum diubah.
· Apakah pesan tersebut otentik.
Kita mungkin juga ingin memverifikasi batas waktu dari sebuah pesan(belum ditunda dan
digunakan) dan urutan relatif ke pesan yang lain yang mengalir dipartisipan.
Pada umumnya ada 3 pendekatan dalam pembuktian suatu pesan atau data itu otentik atau asli
dengan kelebihan dan keterbatasan.
Pertama, dimana partisipan menyediakan informasi yang hanya dia ketahui, seperti password,
PIN atau indentitas lainnya. Kedua, penggunaan peralatan yang dipakai oleh partisipan, seperti
printer dan yang lainnya. Dan pendekatan yang terakhir adalah menguji segala sesuatu yang
mewakili partisipan yang bisa berupa sidik jari atau bentuk lainnya. Untuk pembuktian yang
lebih kuat bisa menggabungkan beberapa pendekatan.
Authenticity memberikan dua layanan. Pertama mengidentifikasi keaslian suatu pesan dan
memberikan jaminan keotentikannya. Kedua untuk menguji identitas seseorang apabila ia akan
memasuki sebuah sistem.
Subyek autentisasi adalah pembuktian. Yang dibuktikan meliputi tiga kategori, yaitu: sesuatu
pada diri kita (something you are SYA), sesuatu yang
kita ketahui (something you know SYK), dan sesuatu yang kita punyai (something you have
SYH). SYA berkaitan erat dengan bidang biometrik,
seperti pemeriksaan sidik-jari, pemeriksaan retina mata, analisis suara dll. SYK identik dengan
password. Sedangkan bagi SYH umumnya digunakan kartu identitas seperti smartcard.
Barangkali, yang sekarang masih banyak digunakan adalah sistem ber-password. Untuk
menghindari pencurian password dan pemakaian sistem secara ilegal, akan bijaksana bila
jaringan kita dilengkapi sistem password sekali pakai. Bagaimana caranya penerapan metoda ini?
Pertama, menggunakan sistem perangko-waktu ter-enkripsi. Dengan cara ini, password baru
dikirimkan setelah terlebih dulu dimodifikasi berdasarkan waktu saat itu. Kedua, menggunakan
sistem challenge-response (CR), dimana password yang kita berikan tergantung challenge dari
server. Kasarnya kita menyiapkan suatu daftar jawaban (response) berbeda bagi ‘pertanyaan’
(challenge) yang berbeda oleh server. Karena tentu sulit sekali untuk menghafal sekian puluh
atau sekian ratus password, akan lebih mudah jika yang dihafal adalah aturan untuk mengubah
challenge yang diberikan menjadi response (jadi tidak random). Misalnya aturan kita adalah:
"kapitalkan huruf kelima dan hapus huruf keempat", maka password yang kita berikan adalah
MxyPtlk1W2 untuk challenge sistem Mxyzptlk1W2.
Kalau pada sistem CR, harus diketahui ‘aturan‘-nya, maka pada sistem perangko-waktu, kita
mesti mengingat password bagi pemberian perangko-waktu ini. Apakah cara seperti ini tidak
mempersulit? Beruntung sekali mekanisme tersebut umumnya ditangani oleh suatu perangkat,
baik perangkat lunak ataupun dengan perangkat keras. Kerberos, perangkat lunak autentisasi
yang dibuat di MIT dan mengadopsi sistem perangko-waktu, mewajibkan modifikasi client bagi
sinkronisasi waktu dengan server serta pemberian password perangko-waktu. Modifikasi
program client mengingatkan kita pada proxy dan memang, kurang lebih seperti itu. Sistem CR
biasanya diterapkan sekaligus dengan dukungan perangkat keras. Contoh sistem CR operasional
adalah perangkat SNK-004 card (Digital Pathways) yang dapat diterapkan bersama-sama dengan
paket TIS-FWTK (Trusted Information System - internet FireWall ToolKit).
TIS-FWTK menawarkan solusi password sekali pakai (sistem CR) yang ‘menyenangkan’:
S/Key. S/Key menerapkan prosedur algoritma hash iteratif terhadap suatu seed, sedemikian
sistem dapat memvalidasi response-client instant tapi tidak mempunyai kemampuan untuk
memprediksi response-client berikutnya. Sehingga bila terjadi penyusupan pada sistem, tidak ada
‘sesuatu’ yang bisa dicuri (biasanya daftar password). Algoritma hash mempunyai dua sifat
utama. Pertama, masukan tidak bisa diregenerasikan dari keluaran (non-reversibel). Kedua,
terdapat dua kemungkinan masukan bagi sebuah keluaran yang sama.
a. ACL, NTLM dan Definisi-definisi Lainnya
Sebelum kita membahas lebih jauh, akan dikemukakan istilah-istilah yang sering digunakan
untuk pengendalian hak akses terhadap sistem.
· Access Control Lists (ACLs)
Setiap ACL merupakan daftar dari kendali akses yang menunjukkan hak akses dan informasi
untuk audit yang digunakan oleh sistem, misalnya oleh Windows NT atau oleh proxy server.
Didalam Windows NT, ACLs ini akan digunakan bersama-sama dengan sistem akses file sytem
NTFS (New Technology File System). Windows NT menggunakan daftar ini untuk melihat
siapa saja yang telah diberikan hak untuk mengakses sumber daya tertentu (file atau folder) dan
hak apa yang telah diberikan kepadanya, seperti membaca, menulis dan mengeksekusi. Didalam
sistem file UNIX, hak akses ini dapat dilihat dari bit-bit kode akses yang meliputi akses untuk
user, akses untuk group user serta akses untuk global user. Akses untuk user berlaku untuk user
yang besangkutan, akses untuk group user berlaku untuk user-user lain yang masih berada dalam
satu group dengan user yang bersangkutan sedangan akses global user berlaku untuk user yang
tidak berada dalam satu group dengan user yang bersangkutan. Setiap file dalam file sistem
UNIX memiliki bit-bit pengendali tersebut.
· Challenge/Response
Proses otentifikasi melibatkan prosedur challenge/response yang terjadi pada saat dimulainya
sebuah otentifikasi. Ketika seorang pemakai ingin meminta hak akses kepada sistem maka sistem
akan mengirimkan challenge kepada pemakai kemudian pemakai mengirimkan kode yang
sesuai. Sistem akan membandingkan kode yang dikirimkan oleh pemakai dengan kode yang ada
didalam database. Jika ada kecocokan maka sistem akan memberikan hak akses sesuai dengan
hak yang dimiliki oleh pengguna yang bersangkutan. Contohnya, pada saat seorang administrator
Web ingin mengakses IIS (Internet Information Service) di Windows NT maka proses
challenge/response terjadi agar sistem dapat memberikan hak akses yang sesuai. Contoh lain
dalam sistem UNIX yang menggunakan one-time password, seorang pemakai yang ingin
melakukan koneksi terminal (telnet) ke dalam sistem harus memasukkan password sebelum
sistem memberikan hak akses terhadap terminal. Proses challenge/response yang terjadi disini
yaitu pemakai menghubungi server melalui port telnet (21), kemudian server membentuk hash
serta challenge key. Pemakai kemudian membalas challenge key tersebut dengan one-time-
password yang sesuai. Selanjutnya response/jawaban dari pemakai akan dibandingkan dengan
database yang ada didalam sistem, sebelum diputuskan untuk memberikan akses atau tidak.
· NTLM
NTLM adalah teknik otentifikasi Challenge/Response yang digunakan oleh Window NT. NTLM
singkatan dari Windows NT LAN Manager, sebab teknik ini dikembangkan pertama kali dan
digunakan oleh Microsoft LAN Manager
· SAM
SAM atau kepanjangan dari Security Account Manager adalah database yang berisi data pemakai
dan group. SAM tidak menyimpan password dalam bentuk ASCII tetapi dalam bentuk hash.
SAM digunakan oleh Windows NT dan terletak di HKEY_LOCAL_MACHINE\SAM dan
HKEY_LOCAL_MACHINE\Security\SAM
b. Keamanan Password dan Enkripsi
Salah satu feature keamanan yang penting yang digunakan saat ini adalah password. Penting
untuk memiliki password yang aman dan tidak dapat diterka. Enkripsi sangat berguna, mungkin
sangat perlu di saat ini. Terdapat berbagai metode enkripsi data, yang memiliki karateristiknya
sendiri.
Kebanyakan unicies utamanya menggunakan algoritma enkripsi satu arah (one-way), disebut
DES (Data Encryption Standard) untuk mengenkripsi password. Password terenkripsi ini
kemudian disimpan (umumnya) di /etc/passwd (atau kurang umum) di /etc/shadow. Ketika login,
apapun yang diketikkan dienkripsi dibandingkan dengan masukan dalam file yang menyimpan
password. Jika cocok, pastilah passwordnya sama, dan akan dibolehkan mengakses. Meskipun
DES merupakan algoritma enkripsi dua arah (dapat menkode dan mendekode pesan, dengan
memberi kunci yang tepat), varian yang digunakan kebanyakan unicies adalah satu arah. Artinya
tidak mungkin membalik enkripsi untuk memperoleh password dari isi /etc/passwd (atau
/etc/shadow).
Serangan brute force, seperti "Crack" atau "John the Ripper" (lihat di bawah) sering dapat
digunakan untuk menerka password meski password sudah cukup acak. Modul PAM (lihat di
bawah) memungkinkan untuk menggunakan rutin enkripsi yang berbeda dengan password (MD5
atau sejenisnya).
Dapat dilihat di : http://consult.cern.ch/writeup/security/security_3.html
· PGP dan Public Key Cryptography
Public Key Cryptography, seperti yang digunakan untuk PGP, melibatkan kriptografi yang
menggunakan satu kunci untuk enkripsi, dan satu kunci untuk dekripsi. Secara tradisional,
kriptografi menggunakan kunci yang sama untuk enkripsi dan dekripsi. "Kunci pribadi" ini harus
diketahui oleh kedua pihak, dan ditransfer dari satu ke lainnya secara aman.
Gambar bentuk model enkrpsi single key
Enkripsi kunci publik membebaskan kebutuhan untuk secara aman mentransmisi kunci yang
diperlukan untuk enkripsi dengan menggunakan dua buah kunci berbeda, kunci pribadi dan
kunci publik. Kunci publik setiap orang tersedia bagi semua orang untuk melakukan enkripsi,
sementara pada saat yang sama setiap orang menjaga kunci pribadinya untuk mendekripsi pesan
terenkripsi dengan kunci publik yang tepat.
PGP (Pretty Good Privacy) didukung dengan baik pada Linux. Versi 2.6.2 dan 5.0 dikenal
bekerja dengan baik. Untuk perkenalan tentang PGP dan bagaimana menggunakan, silakan lihat
PGP FAQ http://www.pgp.com/service/export/faq/55faq.cgi.
Informasi lebih jauh tentang cryptography dapat dijumpai dalam RSA Cryptography FAQ,
tersedia di http://www.rsa.com/rsalabs/newfaq. Di sini akan dijumpai informasi mengenai istilah
seperti "Diffie-Hellman", "public-key cryptography", "Digital Certificates", dsb.
· SSL, S-HTTP, HTTPS dan S/MIME
Perbedaan-perbedaan antara berbagai protokol keamanan, dan bagaimana menggunakannya.

Meski ini bukan dokumen enkripsi, merupakan ide yang baik untuk menjelaskan secara singkat
setiap protokol dan di mana mencari informasi yang lebih banyak.
SSL : SSL, atau Secure Sockets Layer, adalah metode enkripsi yang dikembangkan oleh
Netscape untuk memberikan keamanan di Internet. Ia mendukung beberapa protokol enkripsi
dan memberikan autentikasi client dan server. SSL beroperasi pada layer transpor, menciptakan
saluran enkripsi yang aman untuk data, dan dapat mengenkripsi banyak tipe data. Hal ini dapat
dilihat ketika mengunjungi site yang aman untuk melihat dokumen online aman dengan
Communicator, dan berfungsi sebagai dasar komunikasi yang aman dengan Communicator, juga
dengan enkripsi data Netscape Communication lainnya. Informasi lebih banyak dapat dijumpai
di http://www.consensus.com/security/ssl-talk-faq.html. Informasi mengenai implementasi
keamanan Netscape lainnya dan sebagai titik awal yang baik untuk protokol-protokol ini tersedia
di http://home.netscape.com/info/security-doc.html.
S-HTTP : S-HTTP adalah protokol lain yang memberikan pelayanan keamanan di Internet. Ia
dirancang untuk memberikan confidentiality, authenticity, integrity, dan non-repudiability (tidak
dapat dianggap sebagai orang lain) sementara mendukung banyak mekanisme manajemen kunci
dan algoritma kriptografi melalui pilihan negosiasi antar pihak-pihak yang terlibat dalam setiap
transaksi. S-HTTP terbatas pada software khusus yang mengimplementasikannya dan
mengenkripsi setiap pesan secara individual. (Dari RSA Cryptography FAQ, hlm. 138)
S/MIME: - S/MIME, atau Secure Multipurpose Internet Mail Extension, adalah standar enkripsi
yang digunakan untuk mengenkripsi surat elektronik, atau tipe pesan lain di Internet.. Informasi
lebih lanjut tentang S/MIME dapat ditemukan di
http://home.netscape.com/assist/security/smime/overview.html
· SSH (Secure Shell), stelnet
SSH dan stelnet adalah program yang memungkinkan untuk login ke sistem remote dan memiliki
koneksi yang terenkripsi.
SSH adalah paket program yang digunakan sebagai pengganti yang aman untuk rlogin, rsh dan
rcp. Ia menggunakan public-key cryptography untuk mengenkripsi komunikasi antara dua host,
demikian pula untuk autentikasi pemakai. Ia dapat digunakan untuk login secara aman ke remote
host atau menyalin data antar host, sementara mencegah man-in-the-middle attacks (pembajakan
sesi) dan DNS spoofing. Ia akan melakukan kompresi data pada koneksi anda, dan komunikasi
X11 yang aman antar host. SSH homepage dapat dijumpai di http://www.cs.hut.fi/ssh
Anda dapat pula menggunakan SSH dari stasiun kerja Windows anda ke server SSH Linux.
Terdapat beberapa implementasi client Windows yang tersedia gratis, termasuk satu di
http://guardian.htu.tuwien.ac.at/therapy/ssh/ dan juga implementasi komersil dari DataFellows,
di http://www.datafellows.com
SSLeay adalah implementasi bebas protokol Secure Sockets Layer Netscape, termasuk beberapa
aplikasi, seperti Secure telnet, modul untuk Apache, beberapa database, dan juga beberapa
algoritma termasuk DES, IDEA dan Blowfish.
Dengan menggunakan pustaka ini, pengganti secure telnet telah diciptakan yang melakukan
enkripsi pada koneksi telnet. Tidak seperti SSH, stelnet menggunakan SSL, protokol Secure
Sockets Layer yang dikembangkan Netscape. Anda dapat menjumpai Secure telnet dan Secure
FTP dengan melihat dulu SSLeay FAQ, tersedia di http://www.psy.uq.oz.au
· PAM - Pluggable Authentication Modules
PAM memungkinkan anda merubah secara on the fly metode autentikasi anda, persyaratan, dan
menyembunyikan seluruh metode autentikasi lokal tanpa perlu mengkompilasi ulang biner anda.
Konfigurasi PAM adalah di luar lingkup dokumen ini, tetapi pastikan untuk melihat web site
PAM untuk informasi lebih banyak http://www.kernel.org/pub/linux/libs/pam
Beberapa hal yang dapat dilakukan dengan PAM:
Menggunakan enkripsi non DES untuk password anda. (Membuatnya sulit untuk didekodekan
secara brute force)
Menset batasan sumber daya pada seluruh pemakai anda sehingga mereka tidak dapat melakukan
serangan Denial of Service (jumlah proses, jumlah memori, dsb) Memungkinkan shadow
password secara on the fly.Membolehkan pemakai tertentu untuk login hanya pada waktu
tertentu dari tempat tertentu.
Dalam beberapa jam setelah instalasi dan konfigurasi sistem anda, anda dapat mencegah banyak
serangan sebelum mereka terjadi. Sebagai contoh, menggunakan PAM untuk meniadakan
pemakain secara system-wide file dot-rhosts dalam direktori home pemakai dengan
menambahkan baris-baris berikut ke /etc/pam.d/login:
#
# Disable rsh/rlogin/rexec for users
login auth required pam_rhosts_auth.so no_rhosts
· Kerberos
Kerberos adalah sebuah sistem autentikasi yang dikembangkan oleh Proyek Athena di MIT.
Ketika pemakai login, Kerberos mengautentikasi pemakai tersebut (menggunakan password),
dan memberikan pemakai suatu cara untuk membuktikan identitasnya ke server dan host lain
yang tersebar di jaringan.
Autentikasi ini kemudian digunakan oleh program seperti rlogin untuk membolehkan pemakai
login ke host lain tanpa password (seperti file .rhosts). Autentikasi juga digunakan oleh sistem
surat dalam rangka menjamin bahwa surat dikirimkan kepada orang yang tepat, dan juga
menjamin bahwa pengirim adalah benar orang yang diklaimnya.
Efek keseluruhan menginstalasi Kerberos dan berbagai program bersamanya adalah secara
virtual menghilangkan kemampuan pemakai untuk menipu (spoof) sistem agar mempercayai
bahwa mereka adalah orang lain. Sayangnya, instalasi Kerberos sangat sulit, membutuhkan
modifikasi atau mengganti berbagai program standar.
Informasi lebih banyak tentang kerberos di :http://www.veritas.com/common/f/97042301.htm

dan kodenya dapat ditemukan di http://nii.isi.edu/info/kerberos/
(Dari: Stein, Jennifer G., Clifford Neuman, dan Jeffrey L. Schiller. "Kerberos: An Authentication
Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter
1998.)
· Shadow Passwords
Shadow password adalah suatu cara menjaga password terenkripsi anda dari pemakai normal.
Normalnya, password terenkripsi ini disimpan di file /etc/passwd dapat dibaca semua pemakai.
Mereka lalu dapat menjalankan program penerka password dan berusaha menentukan
passwordnya. Shadow password menyimpan informasi ini ke file /etc/shadow yang hanya dapat
dibaca oleh pemakai yang berhak. Dalam rangka menjalankan shadow password anda perlu
memastikan bahwa seluruh utilitas anda yang perlu mengakses informasi password dikompilasi
ulang untuk mendukungnya. PAM juga membolehkan anda untuk hanya memasukkan modul
shadow dan tidak perlu mengkompilasi ulang eksekutabel. Anda dapat mengacu pada Shadow-
Password HOWTO untuk informasi lebih lanjut jika perlu. Tersedia di
http://sunsite.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html. Ini sudah kuno, dan
tidak dibutuhkan untuk distribusi yang mendukung PAM.
· Crack dan John the Ripper
Jika untuk beberapa alasan program password anda tidak memaksa password yang tidak mudah
diterka, anda mungkin ingin menjalankan program password cracking dan memastikan password
pemakai anda aman.
Program password cracking bekerja berdasarkan ide yang mudah. Mereka mencoba setiap kata
yang ada di kamus, dan kemudian variasi dari kata-kata tersebut. Mereka mengenkripsi satu kata
dan membandingkannya dengan password terenkripsi Jika cocok dicatat.
Terdapat sejumlah program ini...dua yang paling dikenal adalah "Crack" dan "John the Ripper"
http://www.false.com/security/john/. Mereka akan mengambil banyak waktu cpu anda, tetapi
anda seharusnya dapat mengetahui jika penyerang dapat masuk dengan menggunakan mereka
dengan terlebih dulu menjalankan mereka dan memberitahu pemakai dengan password lemah.
Perhatikan bahwa penyerang harus menggunakan beberapa lubang lain untuk memperoleh file
passwd anda, namun ini lebih umum daripada yang anda pikirkan.
c. Jenis Serangan Terhadap Keamanan (Scurity Attack)
Pada dasarnya serangan-serangan terhadap satu data dalam suatu jaringan dapat dikategorikan
dalam suatu jaringan dapat dikategorikan dalam 2 jenis serangan menurut jenisnya, yaitu
(Stallings, 1995):
· Serangan Pasif (Passive Attacks)

Serangan pasif adalah serangan pada sistem autentukasi yang tidak menyisipkan data pada aliran
data (data stream), tetapi hanya mengamati atau memonitor pengiriman informasi yang dikirim
ke tujuan. Informasi ini dapat digunakan lain waktu oleh pihak yang tidak bertanggung jawaab.
Serangan pasif yang mengambil suatu unit data dan kemudian menggunakannya untuk
memasuki sesi autentikasi dengan berpura-pura menjadi user yang autentik / asli disebut dengan
replay attack. Beberapa informasi autentikasi seperti pssword atau data biometric yang dikirim
melalui transmisi elektronik, dapat direkam dan digunakan kemudian unutk memalsukan data
yang sebenarnya. Seangan pasif ini sulit untuk dideteksi karena penyerang tidak melakukan
perubahan data. Oleh sebab itu untuk mengatasi serangan pasif ini teekanannya adalah pada
pencegahannya daripada pendeteksiannya.
· Serangan Aktif (Aktive Attacks)
Serangan aktif adalah serangan yang mencoba meemodifikasi data, mencoba mendapatkan
autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket data yang salah ke
data stream atau dengan memodifikasi paket-paket yang meelewati data stream. Kebalikan dari
serangan pasif, serangan aktif sulit untuk dicegah karena untuk melakukannya dibutuhkan
perlindungan fisik untuk semua fasilitas komunikasi dan jalur-jalurnya setiap saat. Yang dapat
dilakukan adalah mendeteksi dan memulihkan dari keadaan yang disebabkan oleh serangan ini.
d. Sistem Autentikasi One Time Password
Sistem OTP hanya melindungi sistem terhadap serangan pasif (passive attack) tetapi tidak dapat
mengatasi serangan aktif (active attacks). Sistem ini terdiri dari 2 ntitas yaitu generator dan
server. Secara umum, generator akan menerima masukan brupa passphrase rahasia user dan
challenge dari server, kemuian menghasilkan OTP. Sedangkan server bertugs mengirimkan
challenge yang ssuai dengan user, memverifikasi OTP yang diterima , dan menyimpan OTP
terbaru.
Keamanan dari sistem OTP berdasarkan pada tidak bisa dibalikkannya (non-invertability) fungsi
hash. Generator dan server harus menggunakan algoritma yang sama untuk dapat beroperasi.
Sistem OTP memfolding output dari fungsi hash menjadi 64 bit yang merupakan panjang dari
OTP.
Proses yang dilakukan pada generator OTP dapat dibagi menjadi 3 yaitu proses awal dimana
semua input dikombinasikan, proses penghitungandimana fungsi hash diterapkan beberapa kali,
dan proses output dimana OTP 64 bit dikonversi ke bentuk yang mudah dibaca manusia.
Proses-proses yang dilakukan pada generaator OTP :
· Langkah Awal (Initial Step)
Pada prinsipnya, passphrase rahasia user panjangnya sembarang. Untuk mengurangi resiko dari
teknik-teknik penyrangan seperti dictionary attack, string passphrase paling sedikit panjangnya
harus 10 karakter. Passphrase rahasia biasanya merupakan informasi tekstual yang dibuat oleh
user. Pada langkah ini passphrase disambung dengan seed yang dikirimkan dari server dalam
bentuk clear text. Hasil penyambungan ini akan dilewatkan fungsi hash.
· Langkah pnghiungan (Computation Step)
Serangkaian OTP dihasilkan dengan menerapkan fungsi hash beberapa kali pada output langkah
awal (S). OTP pertama yang digunakan dihasilkan dari melewatkan S pada fungsi hash sebanyak
N kali. OTP berikutnya yang digunakan dihasilkan dari melewatkan S pada fungsi hash sebanyak
N-1 kali. Pengintai yang memonitor pengiriman data OTP tidak dapat menghitung password
berikutnyayang dibutuhkan karena hal itu berarti menginvers fungsi hash.
· Langkah Output
OTP yang dihasilkan dari langkah no.2 panjangnya 64 bit. Memasukkan angka 64 bit adalah
suatu proses yang sulit dan rentan terhadap kesalahan. Beberapa geenerator mengirimkan
password ini melalui input stream dan beberapa generator yang lain membuat sistem “cut and
paste”. Hasil OTP dikonversi menjdi 6 kata pnek (1-4) yang diambil dari ISO-646 IVS. Setiap
kata dipilih dari kamus yang terdiri dari 2048 kata, dengan satu kata panjangnya 11 bit.
Entitas server memiliki basis data yang berisi OTP dari autentikasi yang berhasil atau OTP
pertama untuk inisialisasi. Untuk mengautentikasi user, server mendekode OTP yang diterima
dari generator ke dalam kunci 64 bit dan menerapkan fungsi hash satu kali. Jika hasil operasi ini
sesuai dengan OTP terakhir yang tersimpan dalam basis data, proses autentikasi berhasil dan
OTP yang diterima disimpan untuk digunakan pada proses berikutnya.
e. Enkripsi dengan Fungsi Hash MD5
Ada beberapa tipe fungsi kriptografi, antara lain enkripsi simetris (symmetric encriyption),
enkripsi asimetris (asymmetric encription), dan fungsi hash satu arah (one way hash function).
Fungsi hash mengurangi data dari ukuran yang berubah-ubah menjadi ukuran yang khusus.
Fungsi hash dibutuhkan dalam bagian konfigurasi sistem untuk meemudahkan pengecekan
terhadap kelebihan data. Seluruh data dapat diperiksa untuk melihat apakah data yang
berkapasitas besar dapat diulang, sebab hal ini akan mendatangkan kerugian besar dalam
kecepatan dan waktu.
Fungsi hash digunakan dalam kriptografi yaitu dalam hal membagi atribut yang mirip. Terutama
dalam hal tanda tangan digital. Sebagai contoh, DDs menandai 320 bit dari pesan 160
bit.Bagaimanapun juga, ketika kalimat dapat lebih panjang, pesan ini aakaan menghasilkan
keelambatan dalam proses pngiriman dan penyimpanan, karena panjang pesan menjadi ganda
dari pesan aslinya.
Hal ini terjadi pada waktu sesudah tanda tangan dimasukkan dan dibagi dalam blok 160 bit untuk
tanda tangan itu sendiri. Sehingga hal ini menyebabkan kecepatan turun dan pesan dianggap tiak
valid.Fungsi hash dapat mengatasi hal ini. Caranya adalah pesan dibagi dalam ukuran yang lebih
kecil dan panjang yang berubah-ubah dari teks dibuat dalam ringkasan pesan.
Fungsi hash adalah suatu fungsi matematika atau fungsi lainnya yang menerima input string
dengan ukuran sembarang dan mengkonversinya menjadi output string dengan ukuran yang tetap
(ukurannya bisa lebih kecil). Sedangkan fungsi satu arah adalah fungsi yang relatif mudah untuk
dihitung tetapi sulkit untuk menghitung kebalikannya. Jadi fungsi hash satu arah adalah fungsi
hash yang merupakan fungsi satu arah, artinya untuk menghitung nilai hash dari input string
yang diberikan itu mudah, tetapi sulit untuk menghasilkan string yang nilai hashnya diketahui.
Salah satu contoh dari fungsi hash yang digunakan dalam sistem OTP ini adalah fungsi hash
MD5.
Deskripsi algoritma MD5:
Setelah beberapa pemrosesan awal, MD5 memproses teks input dalam blok-blok masing-masing
512 bit, yang dibagi menjadi 16 blok masing-masing 32 bit. Output dari algoritma ini adalah 4
blok masing-masing 32 bit, yang nantinya akan disambung untuk membentuk nilai hash tunggal
128 bit.
Pertama kali, pesan dilebarkan (padding) sehingga panjangnya sama dengan kelipatan 512
dikurangi 64. Padding ini dilakukan dengan menambahkan satu bit “1” pada akhir pesan, diikuti
dengan penambahan bit “0” sebanyak yang dibutuhkan. Kemudian, representasi 64 bit dari
panjang pesan (sebelum bit-bit padding ditambahkan) ditambahkan pada hasilnya. Tujuan dari
keua langkah ini adalah untuk membuat panjang pesan tepat kelipatan dari 512 bit.
Kemudian dilakukan inisialisasi 4 variabel 32 bit :
A = 01 23 45 67
B = 89 ab cd ef
C = fe dc ba 98
D = 76 54 32 10
Variabel-variabel diatas disebut chaining variables.
Kemudian loop utama algoritma dimulai. Loop ini berlanjut sebanyak blok 512 bit yang
terbentuk dari pesan. Ke-4 variabel disalin ke variabel yang lain : A ke AA, B ke BB, C ke CC,
dan D ke DD. Loop utama memiliki 4 putarn (round). Setiap round terdiri dari 16 operasi. Setiap
operasi mengoperasikan fungsi nonlinear terhadap 3 dari A, B, C, dan D. Hasil fungsi
ditambahkan dengan sebuah sub blok dari teks dan sebuah konstanta. Kemudian hasilnya dirotasi
ke kanan sebanyak jumlah bit yang ditentukan dan menambahkan hasilnya ke salah satu A, B, C,
atau D. Dibawah ini adalah 4 fungsi nonlenear, satu fungsi untuk setiap round :
F(X,Y,Z) = XY or not (X)Z
G(X,Y,Z) = XZ or Y not(Z)
H(X,Y,Z) = X xor Y xor Z
I(X,Y,Z) = Y xor (X or (not(Z)))
Kemudian dilakukan operasi 4 round sebagai berikut :
(tanda “+” mewakili operasi penjumlahan modulo 2^32)

{Round 1}
{sintaks (abcd k s i) mewakili operasi a = b + ((a + F(b,c,d) + X(k) + T(i)) <<< style="">
{Kerjakan 16 operasi dibawah ini}
(ABCD 0 7 1) (DABC 1 12 2) (CDAB 2 17 3) (BCDA 3 22 4)
{Round 2}
{sintaks (abcd k s i) mewakili operasi a = b + ((a + G(b,c,d) + X(k) +(i)) <<
{Round 3}
{sintaks (abcd k s i) mewakili opersi a = b + ((a + H(b,c,d) + X(k) + T(i)) <<

{Round 4}
{sintaks (abcd k s i) mewakili opersi a = b + ((a + I(b,c,d) + X(k) + T(i)) <<
Setelah ke-4 round diop[erasikan nilai A, B, C, dan D ditambahkan masing-masing ke AA, BB,
CC, dan DD. Algoritma dilanjutkan dengan blok data
selanjutnya. Output terakhirnya adalah hasil penyambungan dari A, B, C, dan D.
f. Penerapan Sistem One Time Password

Pada penerapan ini, ada beberapa program yaitu program password generator, program untuk
login dan verifikasi password, serta program aplikasi sistem, dalam haal ini yang dibuat adalah
program aplikasi sistem informasi keuangan. Sebelum melakukan proses login, seorang user
harus memiliki user ID dan passphrase terlebih dahulu. Passphrase ini biasanya berupa informasi
tekstual dari user. Sesuai dengan ketentuan dari RFC 2289, passphrase terdiri dari 10-63
karakter. Jika diambil contoh panjang passphrase 10-63 karakter dan pada tiap posisi, karakter
boleh dipaki ulang, maka jika seseorang mencoba memecahkan passphrasenya kemungkinan
passphrase tertebak adalah minimal adalah 1 : 256 (=1208925819614629174706176) dan
maksimal 1 : 256 (=5.237424972633826992021103514924e+151). Jadi semakin panjang
passphrasenya kemungkinan tertebak menjadi semakin kecil.
· Password Generator
Program generator menerima masukan berupa chalenge dan passphrase rahasia user. Yang
dimaksud dengan chalenge adalah suatu unit data yang berisi parameter-parameter yang
dibutuhkan generator untuk menghitung OTP yang benar.
Adapun sintaks dari chalenge adalah sebagai berikut:
Otp- <>
Contoh challenge : otp-md5 100dog
Pada contoh sintaks diatas, fungsi yang digunakan adalah MD5, nilai counter awal adalah 100,
dan seed-nya adalah “dog”. Setelah challenge dan passphrase dimasukkan, proses penghitungan
OTP dimulai. Sebelumnya dilakukan pngecekan apakah challenge dan passphrase sudah diisi
atau belum. Jika data sudah valid, dilakukan proses penyambungan antara passphrase dengan
seed yang diambil dari challenge.
Karakteristik seed adalah sebagai berikut:
- Terdiri dari karakter alphanumerik dari ISO-646 Invariant Code Set
- Panjangnya 1-16 karakter

- Tidak boleh ada karakter kosong/spasi
- Case insensitive
Dengan adanya seed, memungkinkan uer yang berbeda memiliki passphrase rahasia yang sama.
Hal ini bisa terjadi karena passphrase rahasia user tidak disimpan ke dalam suatu penyimpan
sehingga ada kemungkinan dua/lebih user yang berbeda memiliki passphrase yang sama. Jika
passphrse user yang satu dengan yang lain sama, pasti akan menggunakan OTP yang sama pula.
Hal ini menjadi berbahaya bagi sistem. Untuk mencegah hal tersebut, passphrase rahasia user
akan disambung denganseed sebagai masukan untuk fungsi hash. Adapun seed untuk setiap user
adalah berbeda. Seed initidak bersifat rahasia dan dibuat oleh user pada saat user pertama kali
mendapatkan account ke dalam sistem dan juga pada saat nilai counter yang selalu
berkurang sudah mencapai nol. Contoh penyambungan passphrase dan seed adalah sebagai
berikut:
Misalnya user mempunyai passphrase rahasia “saya” dan nilai seednya adalah “dog”, maka hasil
penyambungan antara passphrase dan seed adalah “sayadog”. Hasil penyambungan ini dipakai
sebagai masukan untuk fungsi hash MD%.
Penghitungan menggunakan fungsi hash dilakukan dengan iterasi sebanyak nilai counter,
sehingga nantinya menghasilkan OTP yang berbeda untuk setiap nilai counter. Counter ini
digunakan untuk menentukan berapa kali iterasi fungsi hash terhadap masukan
dilakukan.Misalnya, saat login pertama kali dengan nilai counter=99 yang berarti dilakukan
iterasi sebanyak 99 kali, gnerator menghasilkan OTP “IBIS TACK GOOF BYTE”. Iterasi
pertama mengambil masukan dari hasil penyambungan passphrase dengan seed. Iterasi ke-2
mengambil masukan berupa OTP hasil dari iterasi pertama. Iterasi ke-3 mengambil masukan
berupa OTP hasil dari iterasi ke-2, dan seterusnya sampai 99 kali. Sedangkan untuk login ke-2
dengan nilai counter=98 yang berarti dilakukan iterasi sebanyak 98 kali, generator menghasilkan
OTP “QUOD WHAT ECHO ACHE”. Jadi OTP hasil fungsi hash untuk setiap kali login adalah
berbeda.
Proses-proses yang dilakukan untuk menghasilkan OTP dengan fungsi hash MD5 adalah sebagai
berikut :
o Inisialisasi MD5 buffer

Disini dilakukan inisialisasi pada 4 word buffer (state [0], state[1], state[2], state[3]) yang
digunakan untuk menghitung mesege digest. Nilai-nilai yang digunakan berupa data log integer.
State[0] = dobel_ke_long(1722584193#)
{dobel_ke_long = fungsi untuk mengkonversi dari tipe data double ke type data long}
o Menambahkan bit-bit padding
Input data (hasil penyambungan antara passphrase dan seed) di-padding (diperluas) sehingga
panjang bitnya kongruen dengan 448 modulo 512. Dengan kata lain, input diperluas sehingga
panjangnya hanya kurang 64 bit dari kelipatan 512, misalnya diperluas menjadi 448 bit(512-64).
Padding dilakukan dengan menambahkn satu bit “1” di belakang input dan kemudian
menambahkan bit “0” terus sehingga panjangnya menjadi kongruen dengan 448. Pada program
yang dibuat, dengan cara penambahab bit-bit ini dilakukan dengan memakai array of byte (8 bit).
Satu karakter input dimasukkan masing-masingdalam 1 indek array. Untuk penambahan satu bit
“1” digunakan bilangan 128 (bentu bit-nya : 10000000) menempati 1 indek array berikutnya.
Begitu juga dengan penambahan bit-bit “0”.
o Menambahkan panjang input
Representasi 64 bit dari panjang input sebelum penambahan bit-bit padding(b), ditambahkan ke
hasil dari proses no. 1 diatas, dengan memasukkan nilai b pada array indek berikutnya/terakhir.
Panjang data stelah ini adalah 512 bit.
o Pemrosesan messege dalam 16 word blok

Data yang sudah diperluas menjadi 512 bit (hasil proses no.3), kemudian dibagi ke dalam blok-
blok yang masing-masing panjangnya 32 bit, 32 bit pertama dari data dimasukkan ke blok
pertama, 32 bit selanjutnya dimasukkan ke blok ke-2, dst. Setelah dibagi ke dalam 16 blok,
pemprosesan message dimulai. Sebelumnya sudah didefinisikan fungsi-fungsi yang akan
digunakan dalam pemrosesan ini. Fungsi-fungsi ini memutuhkan 3 masukan masing-masing
panjangnya 32 bit. Fungsi-fungsinya aadalah sbb:
F(X,Y,Z) = XY V not(X)Z
G(X,Y,Z) = XZ V Y not(Z)
H(X,Y,Z) = X xor Y xor Z
I(X,Y,Z) Yxor (X V not(Z))
Selanjutnya dilakukan pemprosesan terhadap setiap blok. Pada langkah ini digunakan tabel yang
terdiri dari 64 elemen T(1..64) yang didapatkan dari fungsi sinus. T(1) melambangkan elemen
ke-1 dari tabel.
o Memfolding hasil 128 bit menjdi 32 bit
Seperti telah diketahui bahwa fungsi hash MD5 menerima input data dengan panjang data
sembarang bit, dan menghasilkan output data dengan panjang 128 bit. Data hasil fungsi hash
masih berupa bilangan, untuk itu perlu dikonversi menjadi kata-kata agar mudah digunakan.
Didalam sistem yang dibuat, rangkaian OTP terdiri dari 4 kata yang masing-masing kata
berukuran 8 bit. Hal itu berarti untuk 4 kata membutuhkan 32 bit, sedangkan hasil fungsi adalah
128 bit. Untuk itulah diperlukan proses folding untuk membuat data menjadi 32 bit.
Contoh :
Data 128 bit hasil fungsi hash adalah :
D41D8CD98F00B204E9800998ECF8427E
Folding pertama menjadi 64 bit, hasilnya adalah :
3D9D85163F8F07A (D41D8CD98F00B204 XOR E9800998ECF8427E)
Folding kedua menjadi 32 bit, hasilnya adalah :
5E6573B (3D9D8541 XOR 63F8F07A)
o Pembagian data 32 bit menjadi 4 data 8 bit
Untuk mengkonversi data hasil proses no. 5 ke dalam kata-kata, terlebih dulu dilakukan proses
pemotongan hasil ke dalam 4 data yang berukuran 8 bit. Cara untuk membagi data adalah
sebagai berikut: Hasil dari proses folding yang berupa bilangan heksadesimal dikonversi ke
bentuk data string, kemudian karakter yang berupa huruf (A,B,C,D,E,F) dikonversi ke bilangan.
Setelah itu setiap 2 karakter dari data string ini diambil, dikonversi ke inteeger, dan disimpan ke
dalam array.
Sebagai contoh :
Data hasil folding = 5E65753B
Setelah prosedur konversi dijalankan akan menghasilkan :
Nilai[0] = 5Eh = 94
Nilai[1] = 5Eh = 94
Nilai[0] = 5Eh = 94
Nilai[0] = 5Eh = 94
o Membentuk rangkaian One Time Password
Kata-kata yang digunakan untuk membentuk rangkaian OTP berjumlah 256 kata yang disimpan
dalam tabel. Kata-kata ini terdiri dari 4 karakter dengan indek dari 0-255. Pada tabel ini ada satu
field yang berfungsi sebagai indeks. Kata-kata yang digunakan diambil dari module put.c pada
referensi original dari Bellcore.
Disini hanya menggunakan 256 kata karena nilai maksimal yang bisa dipunyai suatu data 8 bit
adalah 256 (2^8), sedangkan pada sumber yang asli terdapat 2048 kata. Kemudian dilakukan
pencarian kata yang sesuai dengan posisinya. Disini posisi ditentukan dari nilai variabel “nilai”.
Misalnya variabel nilai[0] = 5Eh atau 94d, maka kata yang sesuai dengan posisi 94 atau kata
yang memiliki indek 94, yaitu “INCA” diambil.
Untuk contoh data pada no.5&6, akan menghasilkan OTP :
INCA JESS KONG FEUD
OTP yang dihasilkan akan menjadi masukan baru bagi iterasi selanjutnya. Iterasi dilakukan
dengan mengulang dari proses no.1 sebanyak nilai counter dengan masukan yang baru, sehingga
OTP yang dihasilkan setiap iterasi akan berbeda. Contoh-contoh hasil generator OTP dengan
masukan yang berbeda-beda dapat dilihat pada tabel 1.
Tabel 1. Hasil generator OTP
PASSPHRASE
SEED
CNT
OTP (HEX)
OTP (FORMAT 4 KATA)
Nama saya Ani
Kucing
7CE4EF83
LOVE WINO WORK LYON
Nama saya Ani
Kucing
99
49D824E7
GLUT WEAK DEAD WISH
Abcdefghijk
Alpha1
A00BF8DO
OINT BABE YARD UTAH
Abcdefghijk
Alpha1
9B706A02
OBEY KATE JUNK ACHE

OTP’s are good
Correct
56AB728B
HUGE RANK KERN MOTH
OTP’s are good
Correct
75FDA04C
KONG YEAR OINT GREG
OTP’s are good

Correct
99
B377E3C6
RUST KURD WINK THEE
· Verifikasi OTP pada Server
Dalam proses verifikasi dilakukan pengecekan apakah OTP yang dimasukkan oleh user sama
dengan OTP yang tersimpan dalam basis data atau tidak. Setiap kali user berhasil masuk ke
dalam sistem, akan dilakukan pencatatan nama user, tanggal, dan jam masuk untuk mengetahui
siapa saja yang sudah login ke dalam sistem. Pada program yang penulis buat , pertama kali user
mendaftar ke sistem, user menentukan sendiri userID dan seednya. Nilai awal counter sifatnya
bebas, tergantung dari kebutuhan sistem. Pada program yang dibuat , counter diberi nilai awal =
100. Kemudian user diminta memasukkan passphrase rahasianya, kemudian menghitung OTP
pertamanya (OTP ke-100, hasil dari fungsi hash 100 kali / f(100)) yang kemudian disimpan di
dalam basis data. Pada saat pertama kali user menggunakan haknya untuk login ke dalam sistem,
user akan diminta untuk memasukkan haknya untuk login ke dalam sistem, user akan diminta
untuk memasukkan OTP ke-99 (bukan ke-100). User dapat menghitung OTP ke-99 (hasil dari
fungsi hash 99 kali /f(99) ini pada generator. Program verifikasi kemudian akan mengerjakan
fungsi hash 1 kali terhadap masukan (f(99) : à f(f(99)) = f(100)
Kemudian hasil fungsi hash 1 kali ini dibandingkan dengan OTP yang tersimpan dalam basis
data. Jika sama maka user berhasil masuk kedalam sistem. Program verifikasi menerima
masukan berupa user ID dan OTP. Setelah itu, program akan melakukan validasi nama user, jika
nama user valid dilanjutkan dengan pengecekan terhadap nilai counter. Jika nama user tidak
ditemukan, akan ditampilkan pesan. Selanjutnya dilakukan pengecekan terhadap nilai counter,
jika nilai counter sudah mencapai nol maka user harus mengganti seednya dengan nilai yang
baru.
Langkah-langkah yang dikerjakan dalam proses verifikasi password :
o Membagi OTP ke dalam array, masing-masing berisi 1 kata. Kata pertama dimasukkan dalam
array ke-1, kata ke-2 dimasukkan dalam array ke-2, dst.
o Kebalikan dari proses mengkode bilangan menjadi kata-kata pada generator, proses selanjutnya
adalah mengkode kata-kata menjadi bilangan. Hal ini dilakukan dengan mencari posisi/indek tiap
kata pada tabel.
o Setelah posisi tiap kata yang disimpan dalam array “posisi” didapatkan (dalam bentuk bilangan
heksadesimal), dilakukan penyambungan tiap elemen array posisi. Hasil penyambungan ini akan
digunakan sebagai masukan un tuk penghitungan OTP dengan fungsi hash 1 kali. Jadi masukan
yang dipakai untuk fungsi hash ini adalah dalam bentuk heksadesimal.
o OTP yang dihasilkan dari fungsi hash 1 kali ini dicocokkan dengan OTP terakhir yang sudah
tersimpan dalam tabel. Jika OTP yang dihasilkan sama dengan OTP yang tersimpan dalam tabel
maka user bisa masuk kedalam program aplikasi.
o Dilakukan pengupdatean data-data pada tabel tersebut. Data yang diubah adalah data counter
dan data OTP. Nilai counter akan dikurangi 1 dan data OTP lama akan diganti dengan OTP yang
baru (OTP yang dimasukkan user).
Ada beberapa karakteristik sistem OTP yang membuatnya menjadi sistem autentikasi yang
unggul :
o Dengan tidak melewatkan password yang sebenarnya pada jaringan, sistem OTP dapat
menangani replay attack sehingga password sebenarnya menjadi aman.
o One Time Password digunakan hanya untuk sekali proses login, sehingga jika seseorang
berhasil mendapatkannyapun, OTP tersebut tidak bisa digunakan kembali untuk proses login
berikutnya.
o Tidak ada informasi rahasia yang disimpan sehingga jika seseorang berusaha mencari data
yang tersimpan hal tersebut tidak berguna.
o Ketangguhan dari sistem OTP berdasarkan pada tidak bisa dibalikkannya (noninvertability)
fungsi hash yang akan digunakanmenjadi penting.
g. Keamanan Email
Layanan paling populer di Internet adalah Electronic Mail atau orang sering menyingkatnya
menjadi e-mail. Jika kita mempunyai program client e-mail misalnya Eudora dan memiliki akses
kelayanan e-mail, maka dapat mengirim e-mail ke setiap orang yang alamat e-mailnya kita
ketahui.
Alamat e-mail merupakan gabungan dari nama user dan domain name ; user@ domainname.
Misalnya susan @kampoeng.com. Untuk mengirim e-mail kepada seseorang maka harus
membuat pesan terlebih dahulu. Pesan e-mail biasanya terdiri atas teks, namun dapat juga berisi
file biner-seperti gambar grafis dan program. Pesan tersebut meliputi : nama dan alamat yang
dituju, teks isi pesan. Pesan itu akan disampaikan melalui satu host ke host yang lain hingga
mencapai tujuan, untuk lebih jelasnya diuraikan di bagian selanjutnya.
Tidak mudah untuk menyadap sebuah pesan e-mail, tetapi itu hal yang mungkin, untuk alasan
inilah beberapa orang mengenkripsi pesan mereka agar tidak seorangpun kecuali penerima yang
bisa membacanya.
· Sistem Pengiriman Email Pada Linux
Di bawah ini dijelaskan secara singkat sistem e-mail yang umum pada sistem Unix/Linux. Pada
sistem Linux proses pengiriman dan penerimaan mail melibatkan beberapa proses. Pengiriman
sendiri akan memanfaatkan protokol seperti SMTP atau UUCP ; protokol dalam berkomunikasi
email, misalnya SMTP (Simple Mail Transport Protocol) yang bekerja di port 25. Protokol ini
hanya bekerja untuk berkomunikasi dengan server mail remote, tidak untuk server lokal.
Sedangkan pengguna dapat membaca e-mailnya menggunakan protokol POP. Setiap pengguna
memiliki 'mailbox' pada mail server. Di tempat inilah mail yang ditujukan kepada pengguna
tersebut disimpan. Di sini komponen mail server bisa dipasang sesuai kebutuhan.
Arsitektur sistem mail
Pada gambar di bawah ini, bagaimana cara pertukaran email yang menggunakan TCP/IP
Gambar komponen konseptual sistem email
Mail server hanya sebuah aplikasi yang berurusan dengan lalu lintas email, tidak secara langsung
berhubungan dengan user yang akan berkirim email. Dalam pengiriman email, terdapat dua
aplikasi yang diperlukan yaitu MTA (Mail Transfer Agent), dan MUA (Mail User Agent). Kerja
sama antara MUA dan MTA dapat dianalogikan seperti agen perjalanan dan perusahaan
perjalanan, dimana email merupakan orang yang akan melakukan perjalanan.
Secara garis besar MTA adalah sebuah aplikasi untuk mengantarkan email dan berfungsi sebagai
berikut :
o Pertukaran email menggunakan protokol TCP
o Menerima email masuk (incoming)
o Meneruskan email yang akan keluar (outgoing)
o Mengatur antrian bila ada email masuk, keluar dan yang tertunda pengirimannya
MTA yang umum dipakai adalah sendmail dan qmail untuk Unix serta untuk di Ms Windows
menggunakan Mdaemon.
Sedangkan MUA adalah aplikasi yang berfungsi sebagai interface antara email, dalam hal ini
berhubungan dengan user yang memiliki email tersebut, dengan MTA yang mendukungnya.
Berfungsi sebagai berikut :
o Menulis email dan membaca email yang masuk.
o Mengatur konfigurasi email sehingga sesuai dengan MTA yang mendukungnya.

o Memberikan kenyamanan kepada user dalam menerima dan mengirim email.
Beberapa agen email yang populer saat ini adalah Pine, Eudora, Netscape, Outlook dan Pegasus.
MTA akan menerima pesan yang berasal dari user di luar mesin melalui UUCP (via rmail), user
di luar mesin melalui TCP/IP dengan SMTP, dan user di mesin lokal melalui program MUA.
Oleh MTA pesan tersebut akan dipilah-pilah berdasarkan 'rule' yang telah ditentukan, juga
dengan memanfaatkan 'alias' yang telah didefinsikan. MTA akan merutekan proses pengiriman
pesan hingga pesan tersebut dalam posisi : diluar sistem pengiriman dan penerimaan email.
q Apakah dikirimkan lagi melalui TCP/IP atau UUCP (misal pesan dari user lokal yang
ditujukan kepada user di luar mesin tersebut), atau
q Langsung dikirimkan ke mailbox user lokal (misal pesan dari user lokal untuk user lokal
lainnya).
Pada sistem Linux pengguna memiliki kebebasan untuk mengganti komponen tersebut sesuai
kebutuhan. Pemisahan komponen sistem email ini mengakibatkan sistem mail di Linux (Unix)
menjadi luwes dan tidak terikat pada suatu solusi yang bersifat proprietary. Sehingga
penambahan atau perubahan komponen mudah dilakukan untuk menyesuaikan dengan
kebutuhan pengguna, misal untuk pemasangan anti virus atau pencegahan attachment, ataupun
spam.
Alur data pengiriman email
*
Pesan dikirim user
Pesan dikumpulkan
Pesan dirute-kan
Pesan dikirim
Pesan diterima user

Pada sendmail (yang berfungsi sebagai pesan tranfer agent - MTA) terjadi proses pemilahan alur
pesan, mail yang ditujukan untuk user di luar mesin tersebut akan dikirimkan melalui TCP atau
UUCP. Ini bergantung jarak pada sendmail. Sedang mail yang ditujukan kepada user local akan
diberikan pada mail delivery agent untuk diproses dan dimasukkan ke mailbox dari user lokal
tersebut. Proses pengolahan tambahan dapat dilakukan sebelum mail tersebut dimasukkan ke
mailbox user lokal jika ingin mencegahan virus attachment. Hal ini sangat mungkin untuk
diterapkan dalam lingkungan Linux karena hubungan antara MTA dan MDA bersifat Open dan
tidak menggunakan koneksi yang bersifat proprietary dan tidak diketahui oleh umum.
Pemilahan alur message
· Bagaimana E-mail Terkirim ?
Disini akan dicontohkan bagaimana proses pengiriman email. Kita akan mengirimkan sebuah
alamat dan nanti akan kita lihat hubungan SMTPnya. Pada contoh dibawah ini kita akan
menganalisa apa yang dikirimkan dan diterima sebuah MTA melalui SMTP. Baris yang diawali
dengan >>> adalah perintah yang dikirimkan oleh client SMTP, dan baris yang dimulai dengan
kode balasan 3 digit adalah dari server SMTP.:
Contohà
Untuk mengirimkan sebuah email, hanya ada lima perintah yang digunakan, yaitu: HELO,
MAIL,RCPT,DATA, dan QUIT. SMTP ini sangat sederhana prinsip kerjanya. Komunikasi
antara server dan client terdiri dari teks-teks yang mudah dibaca. Mula-mula client menggunakan
hubungan TCP ke port 25, dan menunggu kode jawaban 220
dari server yang merupakan ucapan selamat datang ke server tersebut. Jawaban dari server ini
harus dimulai dengan FQDN (fully quanlified domain name ) dari server, misal ai3.itb.ac.id.
Selanjutnya clien memperkenalkan diri dengan perintah EHLO atau jika server masih versi lama
maka cara memperkenalkan diri dengan perintah HELO. Perintah HELO adalah perintah primitif
yang ada pada SMTP versi awal. Argumen dibelakang perintah tersebut adalah FQDN dari
client, misalkan students.ee.itb.ac.id.
Server merespon dengan memberikan identitas dirinya kepada client. Jika komunikasi sudah
terbentuk, client dapat mengirimkan lebih dari satu pesan,mengakhiri hubungan, atau meminta
server untuk mengirimkan aturan bagi pengirim dan penerima, sehingga pesan dapat mengalir
dengan arah yang sebaliknya.
Transaksi email dimulai dengan perintah MAIL, yang menjelaskan siapa pengirim pesan ini.
Server selanjutnya mempersiapkan struktur datanya agar dapat menerima pesan baru, dan
membalas perintah MAIL dengan kode 250, atau lengkapnya 250 ok. Perintah selanjutnya adalah
RCPT dimana perintah ini menjelaskan siapa pemerimanya. Jika penerimanya ada banyak, maka
akan ada beberapa perintah RCPT dapat dikeluarkan. Jika sudah server juga harus membalas ke
client bagi setiap perintah RCPT dengan mengirimkan respon 250 OK, atau jika ada kesalahan
akan dibalas dengan respon 550 No such user here.
Isi pesan dikirim oleh client dengan perintah DATA yang diakhiri dengan mengirimkan satu
baris data yang hanya berisi satu titik. Server merespon dengan mengirimkan pesan 354 start
mail input dan menentukan urutan karakter tertentu yang dijadikan sebagai tanda akhir pesan
email.
QUIT dikirim terakhir untuk mengakhiri transaksi pengiriman pesan mail. Server merespon
dengan mengirimkan pesan 221, yang berarti setuju untuk menghentikan transaksi. Kedua pihak
akhirnya menutup hubungan TCP.
· Komponen E-mail
Email terdiri dari tiga buah komponen, yaitu:
Envelope, atau amplop. Ini digunakan oleh MTA untuk pengiriman. Dalam contoh sebelumnya,
envelope ditandai dengan dua buah perintah SMTP :
MAIL from:
RCPT to:
Header, digunakan oleh user agent. Ada kurang lebih sembilan field header, yaitu: Received,
Message-Id, From, Date, Reply-To, X-Phone, X-mailer, To dan Subject. Setiap field header
berisi sebuah nama yang diikuti oleh sebuah titik dua (:), dan nilai dari field header tersebut.
Body merupakan isi pesan dari pengirim ke penerima.

· Sekuriti
Untuk melihat keamanan sistem Internet perlu diketahui cara kerja system Internet. Antara lain,
yang perlu diperhatikan adalah hubungan antara komputer di Internet, dan protokol yang
digunakan. Internet merupakan jalan raya yang dapat digunakan oleh semua orang (public).
Untuk mencapai server tujuan, paket informasi harus melalui beberapa system (router, gateway,
hosts, atau perangkat-perangkat komunikasi lainnya) yang kemungkinan besar berada di luar
kontrol dari kita. Setiap titik yang dilalui
memiliki potensi untuk dibobol, disadap, dipalsukan.
o Kriptografi (cryptography)
Merupakan ilmu dan seni untuk menjaga pesan agar aman.. Para pelaku atau praktisi kriptografi
disebut cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm), disebut cipher,
merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi. Biasanya
kedua persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki hubungan
matematis yang cukup erat.
Proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan
yang tersembunyi (disebut ciphertext) adalah enkripsi (encryption). Enkripsi digunakan untuk
menyandikan data-data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak.
Dengan enkripsi data anda disandikan (encrypted) dengan menggunakan sebuah kunci (key).
Untuk membuka (decrypt) data tersebut digunakan juga sebuah kunci yang dapat sama dengan
kunci untuk mengenkripsi (untuk kasus private key cryptography) atau dengan kunci yang
berbeda (untuk kasus public key cryptography).
Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah. Menurut ISO 7498-2,
terminologi yang lebih tepat digunakan adalah “encipher”. Proses sebaliknya, untuk mengubah
ciphertext menjadi plaintext, disebut Dekripsi (decryption). Menurut ISO 7498-2, terminologi
yang lebih tepat untuk proses ini adalah “decipher”. Cryptanalysis adalah seni dan ilmu untuk
memecahkan ciphertext tanpa bantuan kunci. Cryptanalyst adalah pelaku atau praktisi yang
menjalankan cryptanalysis. Cryptology merupakan gabungan dari cryptography dan
cryptanalysis.
o Penggunaan Enkripsi Untuk Meningkatkan Keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi
enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap.
Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti
penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh
program penyadap atau pengendus (sniffer).Contoh servis yang menggunakan plain text antara
lain:
q Akses jarak jauh dengan menggunakan telnet dan rlogin
q Transfer file dengan menggunakan FTP
q Akses email melalui POP3 dan IMAP4
q Pengiriman email melalui SMTP
q Akses web melalui HTTP
Satu cara berkomunikasi melalui email dengan menjaga privasi adalah meng-encrypt
(mengacak/mengsandikan) isi email kita dan hanya bisa dibuka oleh penerima yang berhak.
Implementasi enkripsi dalam email ini dipelopori oleh Philip R. Zimmermann pada tahun 1991.
Zimmermann menulis program enkripsi email dengan nama Pretty Good Privacy (PGP) dan
disebar ke internet secara freeware.
GnuPG adalah software enkripsi email pengganti PGP yang lengkap dan bebas(lisensi GPL).
Dibuat oleh tim GnuPG yang terdiri dari Matthew Skala, Michael Roth, Niklas Hernaeus, R
Guyomarch and Werner Koch. Gael Queri, Gregory Steuck, Janusz A. Urbanowicz, Marco d'Itri,
Thiago Jung Bauermann, Urko Lusa and Walter Koch yang membuat translasi resmi dan Mike
Ashley yang mengerjakan GNU Privacy Handbook.
GnuPG adalah suatu program yang digunakan untuk mengamankan komunikasi dan
penyimpanan data. Program ini dapat menyandikan data serta membuat tanda tangan digital.
Karena tidak menggunakan algoritma yang dipatenkan, GnuPG dapat digunakan secara bebas.
GnuPG menggunakan kriptografi Public key (public key cryptography) sehingga para
penggunanya dapat saling berkomunikasi secara aman. Dalam sistem Public key, setiap
pengguna mempunyai sepasang kunci yang terdiri dari Private key dan Public key. Private key
dirahasiakan; hanya diketahui oleh pemiliknya, sementara Public key dapat diberikan pada siapa
saja yang dikehendaki pemilik, sehingga pemilik dapat berkomunikasi dengan pengguna lain
yang diberi Public key tersebut.
Bebas karena tidak menggunakan algoritma enkripsi yang telah dipatenkan sehingga bisa dipakai
oleh siapa saja tanpa batasan. GnuPG memenuhi spesifikasi OpenPGP RFC2440. Beberapa fitur
yang ditawarkan GnuPG adalah: penggantian penuh terhadap pemakaian PGP
ü Dapat digunakan sebagai pengganti PGP (yang dipatenkan algoritmanya).
ü Tidak menggunakan algoritma yang dipatenkan.
ü Berlisensi GPL.
ü Ditulis dari nol, sehingga tidak menggunakan kode sumber atau algoritma dari program
lainnya.
ü Implementasi penuh OpenPGP (RFC 2440)
ü Kemampuan yang lebih baik dibandingkan PGP.
ü Mampu menerjemahkan / memverifikasi pesan tersandi dari PGP 5.x
ü Mendukung algoritma ElGamal (tanda tangan dan penyandian), DSA, 3DES, BlowFish,
TwoFish, CAST5, MD5, SHA-1, RIPE-MD-160 dan TIGER
ü Kemudahan implementasi algoritma penyandian baru dengan menggunakan modul ekstensi

(extension module)
ü Identitas pengguna (UserID) diseragamkan dalam suatu bentuk standar.
ü Mendukung kunci dan tanda tangan yang dapat kadaluwarsa (hanya dapat digunakan dalam
jangka waktu tertentu)
ü Mendukung bahasa Inggris, Denmark, Spanyol, Belanda, Perancis, Jerman, Jepang, Italia,
Portugis (brasil dan portugal), Polandia, Rusia, dan swedia
ü Online Help system
ü Dapat mengirimkan Pesan kepada penerima anonim (optional)
ü Dukungan integral untuk HKP Keyserver (wwwkeys.pgp.net)
ü Mempunyai banyak program antarmuka grafis.
GnuPG bekerja sempurna di atas sistem operasi Linux dengan platform x86, mips, alpha,
sparc64 ataupun powerpc. Sistem operasi lain dengan platform x86 yang juga bekerja adalah
FreeBSD, OpenBSD, NetBSD dan bahkan Windows. Platform lain dengan sistem operasi selain
Linux masih dalam pengembangan.
o Public Key
Sejarah tentang kriptografi Public Key adalah berkenaan dengan penerjemahan, bermula dari
cerita Whitfield Diffie Dan Martin Hellman yang pada tahun 1976
mengumumkan kepada dunia cara baru mengenkrip data,yaitu system kunci publik.
Cara kerjanya, contoh yang paling mudah adalah lalu lintas pesan yang disampaikan. Di bawah
ini ada suatu ilustrasi Dewi Dan Budi dalam suatu percakapan, Dewi mengirimkan Budi suatu
pesan sederhana, dan Budi menjawabnya dengan pesan sederhana pula. Tetapi Dewi Dan Budi
tidak mengetahui adalah Eric tengah menginterupsi pesan ini, membaca, dan menyampaikan
kembali. Ia mengubah sebagian dari pesan balasan yang dikirim ke Dewi dari Budi.
Sekarang Dewi dan Budi yang memanfaatkan kriptografi Public Key ( dalam hal ini
menggunakan Gnupg). semua mis-komunikasi dapat diketahui. Dewi dan Budi dapat
mengenkrip pesan mereka sebelum dikirimkan, bahkan pesan itu tidak bisa dibaca oleh Erick.
Juga tidak perlu menyembunyikan pesan mereka, tetapi harus memperhatikan dengan menguji
identitas penulis pesan tersebut bahwa mereka bisa menandatangani pesan sebelum dikirim.
Secara keseluruhan proses kriptografi Public Key adalah Dewi mempuyai dua kunci yaitu Public
Key dan Private Key, begitu juga Budi. Dewi dan Budi kemudian saling bertukar Public Key.
Budi menulis suatu pesan ke Dewi, dan menggunakan Publik Key Dewi untuk mengenkrip pesan
tersebut, setelah menerima pesan itu Dewi kemudian dapat mendekripsi pesan itu menggunakan
Private Key Budi.
Dewi kemudian membalas pesan Budi agar dia tahu pesannya telah diterima. Setelah menulis
balasannya Dewi kemudian menanandatangani pesan tersebut dengan Private Key Budi,
kemudian Budi bisa memeriksa Tandatangan Dewi dengan menggunakan Publik Key Dewi. Jika
segala sesuatunya sesuai Budi yakin bahwa pesan ini memang dari Dewi.
Berbagai hal untuk ingat Public Key yang kita berikan kepada setiap orang digunakan untuk
mengenkrip pesan kepada kamu. Private Key yang kita miliki sesuatu yang harus dirahasiakan,
karena Private Key kita satu-satunya kunci yang dapat mendekripsi pesan yang telah dienkrip
dengan Public Key kita tersebut. Juga karena kita satu-satunya yang mempunyai akses ke Private
Key kita, kemudian digunakan untuk memverifikasi pesan yang kita kirim.
Public Key crypto berbeda dari Private Key atau Symmetric Key. Sebelum adanya Public Key
crypto orang-orang ] yang ingin suatu percakapan yang aman harus bertemu terlebih dahulu, dan
saling bertukar key. Tetapi sekarang dengan Public Key crypto orang dapat terjamin keamanan
percakapan, tetapi tidak sebelumnya sudah jumpa. Sistem ini mempunyai implikasi
mengagumkan untuk suatu jaringan untuk orang yangsecara geografis tinggal berjauhan.
h. Menggunakan GnuPG
Software yang berhubungan dengan GnuPG dapat diperoleh di

http://www.gnupg.org/download.html.
o Instalasi
Asumsi :
Ö Perintah-perintah berikut adalah Unix kompatibel.
Ö Dilakukan oleh root atau user lain yang mempunyai privasi setingkat superuser.
Copy source-file GnuPG ke /usr/local/src atau direktori lain sesuai keinginan anda, kemudian cd
ke direktori tersebut :
[root@tasproject local]# tar zxvf gnupg-1.0.4.tar.gz
[root@tasproject local]# cd gnupg-1.0.4
[root@tasproject gnupg-1.0.4]# ./configure
[root@tasproject gnupg-1.0.4]# make
>perintah ini meng-compile source-file menjadi binary
[root@tasproject gnupg-1.0.4]# make check
>Perintah ini akan menjalankan semua test yang disertakan paket
[root@tasproject gnupg-1.0.4]# make install
>Perintah ini akan menginstall file-file binary ke lokasi masing-masing

[root@tasproject gnupg-1.0.4]# strip /usr/bin/gpg
>Perintah "strip" akan mengurangi ukuran dan meningkatkan performa binary "gpg"
o Perintah-Perintah Umum
Membuat pasangan kunci
Pertama-tama kita harus membuat sepasang kunci (kunci publik dan kunci pribadi) agar dapat
menggunakan GnuPG dalam penyandian.
Langkah 1
Untuk membuat pasangan kunci, gunakan perintah :
[root@tasproject /]# gpg --gen-key
gpg (GnuPG) 1.0.2; Copyright (C) 2000 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

gpg: /root/.gnupg: directory created
gpg: /root/.gnupg/options: new options file created
gpg: you have to start GnuPG again, so it can read the new options file
Langkah 2
Kita kembali menjalankan GnuPG dengan perintah :
[root@tasproject /]# gpg --gen-key
gpg (GnuPG) 1.0.4; Copyright (C) 2000 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg:/root/.gnupg/secring.gpg: keyring created
gpg: /root/.gnupg/pubring.gpg: keyring created
Please select what kind of key you want:

(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection? {1} (atau pilih sesuai kebutuhan anda)
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024) {2048} (atau pilih sesuai kebutuhan anda)
Do you really need such a large keysize? {y}
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire

= key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
Key is valid for? (0) {0} (atau sesuai kebutuhan anda)
Key does not expire at all
Is this correct (y/n)? {y}
You need a User-ID to identify your key; the software constructs the user id
from Real Name, Comment and Email Address in this form:
Real name: {Dewi Yudo}
Email address: {Dewi@student.ee.itb.ac.id}
Comment: {tasproject} (jika tidak diisi, tekan ENTER)
You selected this USER-ID:
" Dewi Yudo (tasproject) <>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?
You need a Passphrase to protect your secret key.
Enter passphrase: {masukkan kata sandi anda}
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy. ++++++++++.+++++^^^
public and secret key created and signed.
Sepasang kunci sandi telah dibuat, serta akan diletakkan pada direktori home dari root (~/root)
Kini akan kita mengulas mengenai berbagai masukan yang diminta saat pembuatan pasangan
kunci
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection?
GnuPG mampu membuat tiga pasangan kunci sesuai algoritma penyandian yang diinginkan.
Terdapat tiga pilihan :
Ö Pilihan (1) akan menciptakan pasangan kunci DSA dan ElGamal. pasangan kunci DSA adalah
pasangan kunci primer yang digunakan untuk membuat tanda tangan digital, pasangan kunci
ElGamal dibuat sebagai kunci pelengkap untuk melakukan penyandian.
Ö Pilihan (2) hanya menciptakan pasangan kunci DSA saja.
Ö Pilihan (4) akan menciptakan pasangan kunci ElGamal yang dapat digunakan untuk
penyandian dan tanda tangan digital.
Pilihan [1] telah memadai bagi kebanyakan pengguna.
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits

highest suggested keysize is 2048 bits
What keysize do you want? (1024)
Anda akan diminta untuk memilih ukuran kunci. Kunci DSA akan mempunyai ukuran 1024 bits,
sedang ElGamal dapat bervariasi antara tiga pilihan diatas. Ada keuntungan dan kerugian akibat
pemilihan kunci berukuran besar.
Keuntungannya adalah : Semakin panjang kunci, semakin aman kunci tersebut terhadap
bruteforce attack
Kerugiannya :
Ö Proses penyandian data dan penerjemahan data tersandi akan lebih lama, sebanding dengan
besarnya ukuran kunci yang digunakan.
Ö Ukuran kunci yang lebih besar akan mempengaruhi panjang tanda tangan
Ukuran kunci default adalah 1024 bits. Ini telah memadai untuk hampir semua keperluan.
Ukuran kunci tidak dapat diubah lagi setelah dipilih.
Kemudian anda harus menentukan berapa lama kunci ini berlaku :
Please specify how long the key should be valid.
0 = key does not expire
= key expires in n days
w = key expires in n weeks

m = key expires in n months
y = key expires in n years
Key is valid for? (0)
Untuk kebanyakan pengguna, kunci yang tidak pernah kadaluwarsa telah memadai. Jika anda
memilih untuk menggunakan kunci yang kadaluwarsa pada jangka waktu tertentu, maka jangka
waktunya haruslah ditentukan dengan seksama, karena meski jangka waktu kadaluwarsa dapat
diubah setelah kunci dibuat, kemungkinan akan sulit memberitahukan perubahannya pada
pengguna yang memiliki kunci publik anda.
Anda juga harus memasukkan identitas anda dalam kunci yang akan dibuat :
You need a User-ID to identify your key; the software constructs the user id
from Real Name, Comment and Email Address in this form:
"Dewi Yudo (tasproject) "
Real name: isikan nama
Email address: isikan alamat e-mail
Comment : isikan keterangan tambahan lain yang ingin anda sertakan

GnuPG membutuhkan kata sandi (atau kalimat sandi) untuk melindungi kunci pribadi dan kunci
publik yang anda punya. Anda harus mengisikan kata sandi untuk melindungi kunci pribadi
anda.
You need a Passphrase to protect your secret key.
Enter passphrase: {masukkan kata sandi anda}
Panjang kata sandi adalah tidak terbatas. Kata sandi haruslah dipilih secara seksama, karena dari
sudut pandang keamanan, bagian paling lemah dari GnuPG (dan sistem penyandian lainnya)
adalah kata sandi (yang digunakan untuk membuka kunci pribadi ), karena perlindungan terakhir
yang anda punya jika kunci pribadi anda diketahui orang lain adalah katasandi ini. Idealnya, kata
sandi tidak boleh menggunakan kata-kata yang terdapat dalam kamus, serta mengandung
campuran huruf kapital, huruf kecil, angka dan karakter non-alfabet lainnya. Kata sandi yang
baik sangat krusial dalam keamanan penggunaan GnuPG.
o Membuat Revocation Certificate
Segera setelah pasangan kunci dibuat, sebaiknya dibuat pula sertifikat penarikan-kembali
(revocation certificate) untuk kunci publik primer menggunakan option --gen-revoke. Jika anda
lupa kata sandi yang digunakan atau kunci pribadi anda hilang atau jatuh ke tangan orang lain,
sertifikat penarikan-kembali ini dapat dipublikasikan untuk memberitahukan kepada pihak-pihak
lain bahwa kunci publik anda yang mereka punyai sebaiknya tidak lagi digunakan.
[root@tasproject /]# gpg --output sertifikat-darurat.asc --gen-revoke kunci
Disini, kunci adalah pengenal kunci anda, dapat berupa IDkey dari pasangan kunci primer atau
bagian lain dari UserID yang mengidentifikasikan pasangan kunci anda. Sertifikat akan dibuat
pada file "sertifikat-darurat.asc". Sebaiknya sertifikat tidak disimpan pada direktori dimana orang
lain dapat mengakses, karena jika demikian dapat terjadi seseorang mempublikasikan sertifikat
penarikan-kembali dan mengakibatkan kunci publik menjadi tidak berguna.
o Melihat Daftar Kunci Publik
Untuk melihat daftar kunci publik yang anda miliki, gunakan option --list-keys
[root@tasproject /]# gpg --list-keys
/root/.gnupg/pubring.gpg
--------------------------------
pub 1024D/5920142A 2001-02-22 Dewi Yudo (tasproject)
<>
sub 1024g/3A9EEFCE 2001-02-22 [expires: 2001-05-23]
o Mengekspor kunci publik
Anda dapat mempublikasikan kunci publik yang anda punya pada personal website, melalui
berbagai keyserver di Internet, atau beragam cara lain. Untuk mengirimkan kunci publik anda
pada orang lain, anda harus mengekspor kunci publi ktersebut dengan menggunakan option --
export. argumen tambahan diperlukan untuk menentukan kunci publik yang akan diekspor.
Untuk mengekspor kunci publik anda dalam format binary, gunakan perintah berikut :
[root@tasproject /]# gpg --output k-publik_saya.gpg --export dewi

option --output digunakan untuk menunjukan file keluaran kunci publik (binary),
sedang --export diikuti identitas pemilik (dapat berupa nama, komentar atau e-mail)
mengidentifikasikan pemilik kunci-publik yang diekspor.
Untuk mengekspor kunci publik dalam bentuk ASCII armored, gunakan :
[root@tasproject /]# gpg --export-armor > kunci_saya.asc
Disini option --export digunakan untuk mengekstrak kunci publik anda sedang option --armor
akan membuat kunci publik tersebut berupa karakter ASCII, yang dapat ditampilkan pada
website.
o Mengimpor Kunci Publik
Setelah pasangan kunci selesai dibuat, anda harus memasukkan pasangan kunci tersebut kedalam
database pasangan kunci (yang berisi koleksi pasangan kunci dari pihak lain yang dapat
digunakan untuk penyandian / penterjemahan pesan tersandi dalam komunikasi antar personal).
Untuk memasukkan pasangan kunci anda (atau pasangan kunci pihak lain) gunakan option --
import
[root@tasproject /]# gpg --import
dengan adalah kunci publik yang ingin dimasukkan kedalam database.

Sebagai contoh :
[root@tasproject /]# gpg --import redhat.asc
gpg: key :9B4A4024: public key imported
gpg: /root/.gnupg/trustdb.gpg: trustdb created

gpg: Total number processed: 1
gpg: imported: 1
Pada contoh diatas, kita memasukkan kunci publik RedHat Linux, yang terdapat dalam file
redhat.asc (dapat di-download dari situs RedHat) kedalam database koleksi kunci publik kita.
o Memvalidasi Kunci
Setelah kunci publik diimpor ke dalam databse kita, kunci tersebut harus divalidasi dengan
memverifikasi "sidik jari kunci" (key fingerprint), dan kemudian memandatangani kunci tersebut
untuk mengesahkannya menjadi kunci resmi. Sidik jari dari kunci dapat dilihat dengan option --
fingerprint
[root@tasproject /]# gpg --fingerprint
Contoh :
[root@tasproject /]# gpg --fingerprint Mandrake
pub 1024D/9B4A4024 2000-01-06 MandrakeSoft (MandrakeSoft official keys)
Key fingerprint = 63A2 8CBD A7A8 387E 1A53 2C1E 59E7 0DEE 9B4A 4024
sub 1024g/686FF394 2000-01-06
Pada contoh diatas, kita memverifikasi kunci publik milik Mandrakesoft. Sidik jari kunci
diverifikasi dengan mencocokan pada sidik jari kunci yang dimiliki oleh pemilik (dalam hal ini
MandrakeSoft).
Hal ini dapat dilakukan secara langsung, melalui telepon, e-mail atau sarana lain, sejauh dapat
menjamin bahwa kita benar-benar berhubungan dengan pemilik kunci sebenarnya. Jika setelah
dicocokkan hasilnya sama, maka kita dapat memastikan bahwa salinan kunci publik Mandrake
yang kita punya adalah benar-benar kunci publik dari Mandrakesoft.
o Menandatangani Kunci
Setelah mengimpor dan memverifikasi kunci publik yang kita masukkan pada database, kini kita
dapat menandatangani kunci tersebut. Dengan menandatangani kunci kita menyatakan bahwa
kita mengetahui pemilik kunci tersebut. Sebaiknya kita menandatangani kunci publik hanya jika
kita 100% yakin akan keaslian kunci tersebut.
Untuk menandatangani kunci publik RedHat yang telah kita impor kedalam database, gunakan
perintah :
[root@tasproject /]# gpg --sign-key
Contoh :
[root@tasproject /]# gpg --sign-key RedHat
pub 1024D/DB42A60E created:1999-09-23 expires : never trust:-/q
sub 2048g/961630A2 created:1999-09-23 expires : never
(1)Red Hat, Inc
pub 1024D/DB42A60E created:1999-09-23 expires : never trust:-/q

Fingerprint : CA20 8686 2BD6 9DFC 65F6 ECC4 2191 80CD DB42 A60E
Red Hat, Inc
Are you really sure that you want to sign this key
with your key :" Dewi Yudo (tasproject)"
<>
Really Sign ? {y}
You need passphrase to unlock the secret key for
user :"Dewi Yudo (tasproject) <>"
1024 Bit DSA Key, ID 5920142A Created 2000-02-22
Enter passphrase : {masukkan kata kunci}

o Memeriksa tanda tangan
Setelah kunci publik kita tandatangani, kita dapat memeriksa kunci tersebut untuk melihat daftar
tandatangan yang ada pada kunci tersebut, serta tanda tangan yang kita tambahkan. Setiap
UserID di kunci akan mempunyai satu atau lebih tanda tangan. Kita dapat memeriksa tanda
tangan dari suatu kunci dengan menggunakan option --check-sigs.
Contoh :
[root@tasproject /]# gpg --check-sigs mandrake
pub 1024D/9B4A4024 2000-01-06 MandrakeSoft (MandrakeSoft official keys)
sig! 9B4A4024 2000-01-06 MandrakeSoft (MandrakeSoft official keys)
sig! 5920142A 2000-02-22 Tunggul Arif Siswoyo (tasproject)
sub 1024g/686FF394 2000-01-06
sig! 9B4A4024 2000-01-06 MandrakeSoft (MandrakeSoft official keys)
mandrake@mandrakesoft.com
o Penyandian dan Penterjemahan Data Tersandi
Cara menyandikan dan menterjemahkan data tersandi adalah sangat mudah. Jika kita ingin
mengirimkan data untuk RedHat, maka sandikan data tersebut dengan menggunakan kunci
publik dari RedHat, hingga hanya RedHat Inc, saja yang dapat menterjemahkan data tersandi
tersebut dengan menggunakan kunci pribadinya. Jika Mandrake ingin mengirim pesan pada kita,
Mandrake akan menyandikan pesan dengan menggunakan kunci publik milik kita, dan kita akan
menterjemahkan data tersandi tersebut menggunakan kunci pribadi milik kita.
Untuk menyandikan data yang akan kita tujukan pada penerima, (kita harus mempunyai kunci
publik penerima data) gunakan perintah berikut :
[root@tasproject /]# gpg -sear RedHat file-untuk-redhat.txt
Option "s" digunakan untuk menandatangani pesan (signed),"e" untuk menyandikan pesan
(encrypt), "a" untuk membuat file menjadi tersandi ASCII-armor (akan muncul file "file-untuk-
redhat.asc" yang dapat dikirimkan via e-mail), "r" untuk menyandikan UserID penerima (dalam
hal ini RedHat), dan file-untuk-redhat.txt adalah data yang ingin kita sandikan.
Untuk menerjemahkan pesan tersandi gunakan :
[root@tasproject /]gpg -d pesan_tersandi.asc

Disini, option -d (decrypt) akan menterjemahkan data tersandi berupa file "pesan_tersandi.asc"
Anda harus mempunyai kunci publik pengirim pesan pada database anda agar dapat
menerjemahkan pesan tersandi dari pengirim tersebut.
o Memeriksa Tanda tangan
Setelah kita selesai membuat pasangan kunci dan mempublikasikannya, dengan menggunakan
option --verify dari GnuPG pihak lain dapat memeriksa apakah data tersandi yang kita kirimkan,
kita tandatangani.
Untuk memeriksa tanda tangan dari pesan tersandi, gunakan :
[root@tasproject /]# gpg --verify pesan_tersandi.asc
option --verify akan memeriksa tanda tangan dari file "pesan_tersandi.asc"
i. Keamanan Hotspot
Saat ini teknologi telekomunikasi seluler berbasis GSM berkembang pesat sehingga hanya dalam
waktu beberapa tahun saja sudah melewati kapasitas telepon tetap. Hal ini dikarenakan untuk
memenuhi kebutuhan pengguna jasa telekomunikasi yang cenderung lebih mobile (bergerak) dan
ingin berbagai kemudahan, juga pada area network yang selama ini dihubungkan kabel terasa
mengganggu tuntutan mereka. Untuk itu, dikembangkan teknologi nirkabel untuk area network,
yaitu wireless local area network (W-LAN). Teknologi ini sangat menunjang dan menjaga
tingkat produktivitas di tengah mobilitas yang tinggi.
W-LAN dikembangkan para pionir akar rumput tahun 1985 ketika regulator telekomunikasi
Amerika Serikat, FCC, mengizinkan "sekerat" radio/frequency spectrum untuk keperluan
eksperimental. Berbagai penelitian dilakukan di laboratorium utama untuk membangun jaringan
nirkabel yang menghubungkan berbagai macam peralatan dari komputer, mesin kas register, dan
lain-lain.
Tahun 1997 lahir standar pertama, masih prematur, yang dikenal dengan IEEE 802.11b dan
disebut wireless fidelity (Wi-Fi). Sekerat spektrum frekuensi radio tersebut adalah frekuensi 2,4
gigahertz (GHz). Karena pola operasinya terbatas pada spot tertentu, maka layanan ini
mempunyai sebutan populer, "hot-spot".
Secara bisnis skala dunia perkembangan layanan jasa hot-spot saat ini sedang menanjak. Dari
mulai akar rumput sampai ke usaha korporasi dunia seperti United Parcell Service, Starbucks,
atau London Costa Coffee sudah mulai memanfaatkan layanan ini. Penggunanya di seluruh
dunia diperkirakan meningkat tajam dari 2,5 juta tahun 2000 menjadi sekitar 18 juta tahun ini,
antara lain karena perangkat berbasis Wi-Fi mulai luas tersedia di pasar.
Walaupun demikian, Wi-Fi sendiri masih mengandung beberapa kelemahan dan tantangan
seperti:
o Keamanan menjadi masalah karena percobaan menunjukkan pengacakan terketatnya pun

hanya 128-bit encryption, sehingga dapat dengan mudah ditembus. "penyusup (hacking)
“menjadi satu hal yang dikhawatirkan.
o Standar 802.11b pada 2,4 GHz hanya dapat dioperasikan untuk 3 kanal sekaligus agar tidak
saling mengganggu di suatu lokasi. Kelemahan ini mungkin teratasi, bila terjadi migrasi ke
standar yang lebih tinggi, yaitu 802.11a pada spektrum 5 GHz.
o Wi-Fi juga mengakomodasi limit mobility karena tidak seperti jaringan seluler yang
menyediakan seamless transfer dari satu base station ke lainnya. Namun, hal ini tidak begitu
menjadi masalah karena pengguna laptop yang biasanya diam di suatu tempat. Hal ini akan
menjadi masalah bagi pengguna PC kantung atau PDA handheld.
W-LAN bukanlah mobile, tetapi dikembangkan untuk mendukung pengguna stasioner didalam
sebuah area yang kecil (small reach), yaitu hanya beberapa raus meter jaraknya dari centric
access point, ini merupakan unsur inti pada setiap W-LAN. Akan tetapi W-LAN dapat juga
mendukung para pemakai mobile, dengan menggunakan suatu publik W-LAN, yang sering
direferensikan sebagai hot spot. Internet mengakses via hot spot yang provisioned oleh suatu
WISP (Wireless Internet Service Provider), walaupun hot spot masih ditemukan hanya pada
tempat yang konsentrasi pemakaian tinggi, seperti hall/aula konferensi, ruang bersantai
pelabuhan udara, hotel, atau caf‚s, maka pemakai mobile yang tidak di dalam jangkauan jaringan
(wired maupun wireless intranet), boleh menghubungkan ke Internet via publik W-LAN dan
boleh memanfaatkan rate data tinggi. Bagaimanapun, komunikasi wireless umum muncul suatu
permasalahan: antara lain factor keamanan. Demikian pula W-LAN tidak terkecuali, oleh karena
itu permasalahan benar-benar harus dipelajari dan dikembangkan dalam mengatasinya.
Hot-Spot services dirancang untuk kemudahan yang maksimum bagi pengguna wireless LAN,
sehingga biasanya tidak menawarkan WEP atau WPA encryption; jika berhubungan dengan
suatu hot spot, yang dianggap semua data yang dikirim mungkin unencrypted. Karena wireless
LAN mengijinkan peer-to-peer koneksi, maka semua pengguna jaringan dapat saling melihat apa
isi data pada masing-masing computer bahkan file-file rahasia dapat diamati bila tidak dilindungi
seperti informasi; angka-angka kartu kredit, IP address koneksi, isi e-mails, pesan tertentu yang
akan dikirim dan file rahasia lainnya. Seseorang dengan mudah dapat melakukan pengrusakan
misalkan dengan dimasukan virus yang dapat menghentikan kegiatan computer yang ada.
Penggunaan Wireless LAN mempunyai faktor keunggulan yaitu selalu menyediakan sambungan
jaringan tanpa harus memakai kabel. 50 % dari 1000 perusahaan di Amerika menggunakan
teknologi ini yang didasari oleh perkembangan teknologi dari standard 802.11x.
Akan tetapi system jaringan ini hampir kurang memadai dan kurang perhatian terhadap
keamanan informasi. Keamanan dari system jaringan ini sangat menentukan suksesnya suatu
kinerja bisnis dan merupakan faktor penting dalam mencapai tujuan perusahaan.
Peralatan dari standard 802.11b mempunyai biaya yang rendah hal ini membuat teknologi
tersebut begitu atraktive dan membuat para penyerang (attacker) mudah untuk melakukan
serangan. Tetapi dengan manajemen yang baik dan setting yang bagus serta didukung oleh
peralatan dan perlengkapan yang mendukung yang dimiliki hal tersebut dapat diatasi.
Resiko serangan yang mungkin akan terjadi pada standard 802.11b dapat dikatagorikan sebagai
berikut:
o “Insertion Attack”
Insertion Attack didasari oleh adanya device-device yang bekerja tidak sesuai dengan prosedur
baku (unauthorized devices) atau menciptakan jaringan wireless baru tanpa melalui proses
pengamanan. Pada jenis serangan ini, seorang penyerang mencoba melakukan koneksi kedalam
jaringan wireless seorang klien menggunakan laptop atau PDA, dan melakukan akses point tanpa
authorisasi sebelumnya kemudian akses point dapat dirubah untuk meminta sebuah password
untuk seorang klien yang mengakses, jika tidak terdapat password, orang tersebut (penyerang)
berusaha masuk dan dapat melakukan koneksi kedalam jaringan internal dengan mudah.
Meskipun beberapa akses point menggunakan password yang sama untuk semua akses klien,
sebaiknya semua pengguna memakai password baru setiap kali melakukan akses point.
Suatu perusahaan mungkin tidak selalu berhati-hati bahwa ada saja pegawai internal yang ada di
dalam perusahaan secara tidak sadar telah menyebarkan kapabilitas dari wireless ke dalam
jaringan, dalam hal ini perusahaan memerlukan suatu kebijaksanaan untuk memastikan
konfigurasi pengamanan akses point.
o Interception dan Monitoring Traffic Wireless
Sebagai jaringan tanpa kabel, ada kemungkinan terjadi pemotongan jalur wireless, penyerang
harus berada dalam suatu jangkauan jarak akses sekitar 300 kaki untuk type 802.11b. Supaya
serangan bisa berjalan, penyerang bisa berada dimana saja, dimana terdapat kemungkinan
koneksi jaringan bisa masuk. Keuntungan pemotongan jalur wireless ini adalah serangan tersebut
hanya memerlukan penempatan dari suatu agen yang berfungsi memantau system yang
mencurigakan. Semua itu memerlukan akses ke dalam aliran data di dalam jaringan.
Ada dua pertimbangan penting untuk tetap bekerja pada radius atau jarak pada type 802.11b.
Pertama, posisi antena didesign secara langsung, yang dapat meneruskan signal transmisi atau
jarak penangkapan signal dari divice 802.11b. Oleh karena itu jangkauan maksimum 300 kaki
adalah suatu design instalasi normal untuk type ini.
Kedua, design pola lingkaran, pada pola ini signal dari 802.11b hampir selalu meneruskan signal
di belakang batas area hal ini dimaksudkan untu meng-cover signal tersebut.
Wireless packet analysis, seorang penyerang melakukan capture terhadap jalur wireless
menggunakan teknik yang sama dengan seorang user yang tidak diundang atau pekerja yang
ceroboh di dalam jaringan kabel. Banyak cara untuk melakukan capture, bagian pertama, dimana
data yang secara typical akan menyertakan user name dan password seorang yang memaksa
masuk dan melakukan penyamaran sebagai seorang user legal, dengan menggunakan informasi
dari hasil capture ini digunakan untuk melakukan pembajakan user session command yang tidak
sesuai dengan prosedure resmi yang ada.
o Jamming
“Denial of Service Attack/ DOS Attack” mudah untuk diterapkan ke dalam jaringan wireless.
Dimana Jalur tidak dapat menjangkau klien atau akses point sebab jalur yang tidak resmi
“membanjiri” frekuensi akses tersebut. Seorang penyerang dengan peralatan dan perlengkapan
yang memadai dapat dengan mudah “membanjiri” dengan frekuensi 2.4 Ghz, membuat signal
menjadi rusak sampai jaringan wireless berhenti berfungsi. Dalam hal lain kawat telepon,
monitor mini dan device lain yang beroperasi dengan frekuensi 2.4 Ghz dapat merusak jaringan
wireless tersebut dengan menggunakan frekuensi ini. DOS attack ini dapat berasal dari luar area
kerja wireless
o Client-to-Client Attack
Dua klien wireless dapat saling berkomunikasi satu sama lain dengan melakukan akses point
terlebih dahulu. Oleh karena itu user perlu untuk melakukan perlindungan terhadap klien tidak
hanya sekedar melawan suatu ancaman eksternal tetapi juga melawan satu sama lain.
o File Sharing dan Serangan melalui layanan TCP/IP
Layanan wireless klien yang berjalan menggunakan pelayanan yang diberikan oleh TCP/IP
seperti web server , atau file sharing terbuka untuk pemakaian yang sama dari kesalahan
konfigurasi setiap user di dalam suatu jaringan yang menggunakan kabel.
o DOS (Denial of Service)
Suatu device wireless yang “membanjiri” klien wireless lain dengan menggunakan paket palsu,
menciptakan suatu DOS attack, IP atau MAC palsu, secara sengaja atau tidak dapat
menyebabkan kerusakan kepada jaringan.
o Serangan “Brute Force Attack” terhadap Password seorang user
Sebagian besar akses point menggunakan suatu kunci tunggal atau password yang dimiliki oleh
klien pada jaringan wireless. Serangan Brute Force ini mencoba melakukan uji coba terhadap
kunci akses tersebut dengan memasukan beberapa kemungkinan.
o Serangan terhadap Enkripsi
Standard 802.11b menggunakan sebuah system enkripsi yaitu WEP (Wireless Equivalent
Privacy). Tidak banyak peralatan siap tersedia untuk mangangkat masalah ini, tetapi perlu
diingat bahwa para penyerang selalu dapat merancang alat yang dapat mengimbangi system
keamanan yang baru.
· Konfigurasi
Banyak akses point bekerja dalam suatu konfigurasi yang tidak aman kecuali para administrator
yang mengerti resiko penggunaan keamanan wireless dan konfigurasi masing-masing unit
sebelum di gunakan. Akses point ini akan tetap berjalan pada resiko yang tinggi untuk diserang
atau ada yang menyalahgunakan.
Bagian berikut ini menguji tiga akses point yang bisa dikatakan terbaru yaitu dari CISCO,
Lucent dan 3Com. Meskipun masing-masing vendor mempunyai implementasi sendiri sendiri
dalam menerapkan 802.11b. Menanggapi hal tersebut seharusnya para vendor mengembangkan
produknya menjadi lebih aplikatif.
o Server Set ID (SSID)
SSID adalah suatu identifikasi terhadap konfigurasi yang memungkinkan klien berkomunikasi
dengan akses point yang tepat dan benar menggunakan konfigurasi tertentu. Hanya klien yang
menggunakan SSID yang benar dapat melakukan komunikasi. SSID bekerja sebagai suatu
“single shared password” antara akses point dengan klien. Akses point berjalan dengan default
SSID jika tidak dirubah, unit ini sangat mudah untuk diterapkan, berikut ini 3 default password
umum SSID :
“ Tsunami ”
CISCO Aironet 340 series 11 MBPs DSSS Wireless LAN Akses
Point
CISCO Aironet 340 series 11 MBPs DSSS PCI Card dengan
enkripsi 128 bit
“ 101 “
3Com AirConnect 11 MBPs Wireless LAN Akses Point
3Com AirConnect 11 MBPs Wireless PCI Card
“ Roam About Default Network Name “
Avaya Orinoco As-2000 Akses Server (Lucent / Cabletron )
Avaya Orinoco PC Gold Card (Lucent / Cabletron )
SSID di udara berupa teks yang bersih jika WEPnya disable membuat SSIDnya dapat di-capture
melalui monitoring jalur jaringan. Lucent akses point dapat beroperasi di dalam akses mode
aman. Pilihan ini memerlukan SSID baik klien atau akses point agar sesuai dan default
sekuritinya harus dalam keadaan mati (turn-off).
Di dalam akses mode “non-aman”, klien dapat terhubung ke akses point menggunakan
konfigurasi SSID, SSID kosong atau konfigurasi SSIS dalam kondisi “any”
o “ Wire Equivalent Privacy (WEP) – WEP dapat dikonfigurasi sebagai berikut :

no enkription
40 bit enkripsi
128 bit enkripsi
tiga akses point tersebut di atas mempunyai WEP-turn off, meskipun kekuatan 2 kunci enkripsi
(40 bit dan 128 bit) merupakan hal yang pokok namun enkripsi menggunakan 128 bit lebih
efektif jika dibandingkan dengan 40 bit
SNMP Community Password - Banyak akses point dalam wireless berjalan di atas SNMP agen.
Jika pengelompokan kata (community word) tidak dilakukan dengan konfigurasi yang benar,
seorang penyerang dapat membaca dan bahkan dapat membuat data baru yang sangat sensitif ke
dalam akses point. Jika SNMP agen diterapkan di dalam wireless seorang klien maka resiko
yang sama berlaku juga terhadap mereka.
Configurasi Interface - Masing-masing model akses point mempunyai interface sendiri untuk
ditampilkan dan dimodifikasi dari konfigurasinya, berikut adalah interface yang sekarang
dipakai, ada 3 pilihan :
CISCO - SNMP , serial , Web, telnet
3Com – SNMP, serial, Web, telnet
Lucent / Cabletron, SNMP , serrial (no Web/ telnet)
3Com telah mengurangi kontrol akses terhadap web interface untuk mengontrol konfigurasi.
Seorang penyerang yang terletak di dalam area 3Com web interface dapat secara mudah
mendapatkan SSID dari “system properties” yang ada di dalam menu display. 3Com meminta
sebuah password di dalam web interface untuk melakukan tugas input data, oleh karena itu
3Com akses point beresiko jika digunakan menggunakan default “Comcomcom”
o Resiko keamanan dari sisi klien

Klien terhubung ke sebuah akses point yang menyimpan informasi yang sensitif untuk dicocokan
dan disampaikan. Informasi ini dapat diatur jika klien tidak melakukan konfigurasi dengan benar.
Software Cisco u/ klien menyimpan SSID didalam registrynya window dan kunci WEP di dalam
“firmware” dimana hal ini lebih sulit. Software Lucent/Cabletron untuk klien sama menyimpan
SSID di dalam registry window. WEP nya disimpan di dalam sebuah registry window tetapi di
enkripsi terlebih dahulu menggunakan sebuah algoritma yang tidak terdokumentasikan. Software
3Com untuk klien juga menyimpan SSID di dalam registry window, kunci WEP disimpan di
dalam registry window dengan tidak menggunakan enkripsi.
Instalasi - secara default, semua akses point dioptimasikan untuk
membantu membuat sebuah jaringan yang berguna secepat dan semudah mungkin wal hasil
konfigurasi defaultnya dapat meminimise faktor keamanan
· Keamanan Akses
Keamanan merupakan factor penting dalan koneksi ke intranet maupun internet. Pemakai
wireless yang menghubungkan komputer ke public WLAN. Koneksi kepada suatu jaringan dapat
simanfaatkan oleh pihak luar dalam mengetahui rahasia suatu perusahaan dan ini harus dicegah
secara cermat. WLAN terdiri dari multiple pieces yang diperlukan untuk keamanan. WLAN
dirinya sendiri koneksi ke WISP, koneksi antara WISP dan gabungan network, serta dalam
jaringan intranet. Situasi yang ideal adalah untuk mencapai end-to-end.
Pertama mempertimbangkan keamanan pada intranet. wireless biasanya kurang diperhatikan,

karena keamanan sudah dilindungi secara konvensional. Sedangkan pada saat berhubungan
dengan internet mulai terjadi permasalahan, data mulai disebar keluar dan dapat terjadi
eavesdropped dengan mudah. Sehingga perlu dibangun keamanan komunikasi wireless agar saat
hacker akan meninterupsi data yang dipancarkan pada signal wireless dapat dilindungi.
WLAN dari permulaan nya menawarkan keamanan serupa dengan wired LANS, dan dari waktu
ke waktu terus dikembangkan agar lebih baik dan mempunyai sifat tidak mudah diterobos yang
sesuai untuk spesifikasi wireless. Ada dua fase utama dan berhubungan kategori yang sesuai
standar keamanan sebelum membangun kemanan jaringan
* authentication (keabsahan) - sebelum terjadi komunikasi pengguna harus diverifikasi dahulu

bila ingin mengakses data,
* privacy and integrity (identitas pribadi dan integritas) - sepanjang komunikasi data yang
dipancarkan harus dilindungi dari eavesdropping dan modifikasi.
Pengembangan WLAN solusi keamanan ditunjukkan di bawah Gambar 1.
Gambar 1. Pengembangan keamanan WLAN
o Wired Equivalent Privacy (WEP)
Protokol privacy original yang ditempelkan dalam semua produk WLAN disebut (Wired
Equivalent Privacy). Authentication dan privacy keduanya dijaga karena bagaimanapun,
authentication sangat lemah. Pertama, klien harus dibuktikan keasliannya akses point ( ini
terbuka pintu untuk hackers mengakses point). Ke dua, 40bit user key digunakan untuk
authentication static dan bersama-sama diantara semua klien attached menggunakan WLAN
yang sama. Karakteristik yang kedua membuat authentication sangat mudah terhadap serangan
hackers' sebab mungkin kunci dengan mudah diketahui, dengan cara dicuri dengan alat alat atau
menginterupsi dengan perantaraan radio.
WEP privacy dipastikan melalui suatu encryption symmetric di mana kunci yang sama bersama-
sama digunakan dengan 24Bit Initialization Vector (IV).). IV merupakan perubahan dinamis
untuk masing-masing paket dan ditambahkan catatan ke static shared key leading pada 64bit
encryption. WEP dapat juga digunakan di 128bit encryption dan di dalam kasus ini kunci
mempunyai panjang104 bit.
o 802.1x
WEP authentication sejauh ini cukup, komunitas wireless mulai menggunakan suatu protokol
tambahan terutama untuk pengendali akses jaringan kuat: IEEE 802.1x. Protokol umumnya
untuk berbagai LAN, dan mendukung pengguna authentication, integritas data dan distribusi
kunci.
Authentication timbal balik, kedua pengguna (bukan wireless device seperti dalam kasus WEP)
access point authenticate untuk satu sama lain. Oleh karena itu pengganggu access point dapat
dicegah. Kunci dinamis diturunkan, karena itu sulit dirusak di dalam association lifetime.
Bagaimanapun, bahkan 802.1x adalah peka terhadap serangan ke sesi hijacking dan man-in-the-
middle.
802.1x didasarkan pada Protokol Authentication yang diperluas ( EAP, RFC 2284) yang pertama
dikembangkan dalam Internet community untuk link protocol PPP LCP ( Point-To-Point Link
Control Protocol) sebagai suatu perluasan dari RADIUS (Authentication Remote Mutar angka
telepon [Jasa;Layanan] Pemakai, RFC 2865).
EAP didalam 802.1x disebut EAPOL (Extensible Authentication Protocol over LANs) dan
didasarkan pada tiga entity:
" supplicant-entity yang perlu untuk dibuktikan keasliannya sebelum akses LAN diijinkan
(didalam WLAN pemohon adalah setasiun wireless);
" authenticator- entity yang mendukung authentication yang nyata ( di dalam WLAN adalah
access point);
" authentication server-entity yang menyediakan authentication melayani kepada authenticator (

paling sering server RADIUS).
Authentication yang sesuai 802.1x berhasil melewati langkah-langkah yang berikut (lihat
Gambar 2):
" Acces point ketika pendeteksian klien mengirim pesan client the EAP REQUEST-ID;
" di dalam tanggapannys, klien mengirimkan pesan EAP RESPONSE-ID yang berisi data
identifikasi pada pengguna;
" access point encapsulates penerimaan pesan EAP RESPONSE-ID ke dalam suatu pesan
RADIUS ACCESS_REQUEST dan mengirimkannya kepada server RADIUS;
" server RADIUS memeriksa identifikasi pemakai [itu] melawan terhadap database nya dan
kemudian menjawab pesan mengijinkan atau menolak user's access ke jaringan (pesan RADIUS
ACCESS_ACCEPT/DENY) yang termasuk pesan EAP SUKSES/ GAGAL, menyampaikan
langkah yang berikutnya oleh acces point ke klien. Saat pengguna diterima, akses jaringan
diijinkan kepada pengguna.
Catat bahwa ada dua muka komunikasi authentication: antara klien yang wireless dan access
point, dan antara acces point dan server authentication ( RADIUS atau lainnya). Dua bagian
komunikasi ini harus dikombinasikan bersama-sama tetapi lebih baik untuk ingat bahwa masing-
masing diatur oleh suatu protokol berbeda (kecocokan berbagai hal).
802.1x tidak menggambarkan suatu metoda authentication nyata oleh karena itu ada berbagai
metoda authentication digunakan sekarang ini, beberapa membuka dan kepemilikan (orang) yang
lain:
* EAP-TLS (Transport Level Security, RFC 2716 from IETF, Internet Engineering Task Force)-
membuka solusi keamanan tingkat tinggi berdasar pada sertifikat digital, tetapi dengan beban
administratif disebabkan oleh pemakaian sertifikat tersebut;
* EAP-TTLS (Tunneled Transport Layer Security, IETF draft)-klien menggunakan suatu kata
sandi untuk authentication nya ketika server authentication menggunakan suatu sertifikat digital
untuk authentication nya;
* EAP-SRP (Secure Remote Password)- kedua klien dan server authentication menggunakan
authentication yang password-based;
* EAP-MD5 (Message Digest)-hanya klien membuktikan keaslian penggunaan suatu kata sandi (
tidak ada authentication timbal balik yang mendukung dan tidak ada kunci authentication sebagai
oposisi pilihan di atas);
* LEAP (Lightweight EAP alias Cisco-Wireless EAP) - solusi kepemilikan yang kuno untuk
authentication yang timbal balik yang didasarkan pada usernames dan kata sandi, dan yang
menggunakan server RADIUS; LEAP tidak dapat mengcover publik WLANS;
* PEAP (Protected EAP Protocol, IETF draft)- security authentication timbal balik yang serupa
dengan ke TLS-EAP terkecuali sertifikat digital, type authentication asli lainya, mungkin
digunakan untuk authentication stasiun wireless ( e.g. GSM SIM).
Arsitektur keamanan WLAN dilukiskan pada Gambar 3.
o Solusi Keamanan Authentication

Saat ini Solusi Keamanan Authentication yang direkomendasikan dapat diringkas sebagai
berikut:
" user authentication sebagai lawan device authentication - untuk menghindari pelanggaran
keamanan itu dalam kaitan dengan mesin yang dicuri;
" mutual authentication - untuk menghindari kejahatan akses point;
" dynamic keys untuk masing-masing asosiasi- kunci harus diperbaharui pada waktu tertentu dan
perlu berubah dengan masing-masing re-authentication.
Gambar 3. Arsitektur keamanan WLAN
o Masa Depan Keamanan WLANS
IEEE tengah bekerja pada suatu perbaikan. Standard 802.11I yang baru akan mendukung
keamanan WLAN secara kuat melalui protokol TKIP maupun CBC-MAC (di bawah 802.1x
protokol). Implementasi alur WLAN akan menggunakan TKIP (Temporal Key Integrity
Protocol) dengan 128bit kunci yang dinamis, cek integritas data, dan paket penomoran (melawan
terhadap serangan replay yang potensial). CBC-MAC (Cipher Block Chaining) akan
menggunakan encryption berdasar pada AES (Advanced Encryption Standard, RFC 3268 and
RFC 3394).
Standar baru tidak akan tersedia sebelum akhir tahun 2003 tetapi perlu memungkinkan WISPs
untuk membangun suatu solusi keamanan yang interoperable menyeluruh yang
mempertimbangkan interkoneksi publik WLAN diantara pengguna.
o Solusi Sementara
Beberapa bulan yang lalu Wifi Alliance mengumumkan suatu yang sementara untuk solusi
keamanan ke WLAN: Wi-Fi Protected Access (WPA). WPA menggunakan suatu subset 802.11i
ditunggu corak baku yang memerlukan suatu perangkat lunak yang diperbaharui, bukan
perangkat keras berubah (seperti yang diperlukan untuk AES). WPA menggunakan TKIP,
802.1x dan EAP, dengan begitu menyediakan encryption yang lebih kuat dan authentication
pemakai.
Produk pertama dengan WPA mendukung diharapkan Pebruari dan perlu menjamin komunikasi
WLAN sebelum standard diberikan dan produk security baru sungguh-sungguh akan tersedia.
WLAN keamanan adalah tidak lagi oxymoron, tetapi public access.
Di dalam tahun 2003, WPA akan dengan mantap meningkatkan security WLAN sebelum strong
security measures akan dikuatkan oleh suatu standar baru 802.11i.
Bagaimanapun, WISPs menyediakan secure wireless connection, menggunakan WEP, TKIP atau
WPA, keamanan yang lebih kuat diperlukan untuk akses remote ke jaringan pada Internet.
Seperti yang telah tersebut di atas, situasi yang ideal adalah untuk mempunyai suatu IP VPN
(Virtual Private Network) untuk suatu tunnel encrypted dari klien akses remote ke corporate
security gateways.
Klien kemudian boleh menuju IP VPN client software dan communicate safely bahkan di atas
publik WLAN. IP VPN memastikan keamanan itu dengan menerapkan tidak hanya firewalls dan
tunnels (PPTP, Point-to-Point Tunneling Protocol, or L2TP, Layer 2 Tunneling Protocol) tetapi
juga dengan penyebaran IPSEC ( IP keamanan) paket, atau L2Tp-Over-Ipsec.
o Pengamanan Chip Pada Hot Spot
Produsen Chip diminta oleh suatu peperangan terhadap cyberterrorists yang berusaha untuk
menyabot jaringan dan para pencuri berusaha mencari-cari akses ke data sensitip.
OEMS dan carriers sedang memikirkan untuk membuat mobile phone dan jaringan wireless yang
airtight dengan chip yang data encrypt untuk transmisi aman. Seperti alat yang sedang dimulai
untuk membuat cara ke dalam handsets dan mobile gear lain, tetapi dapat juga temukan sebuah
rumah di dalam PCS dan bahkan selular basestations.
Mobile phone peka terhadap serangan hacker yang setiap tahun selalu lebih pintar, yang sifat
penyerangannya tersebar luas sampai ke PCS. Tetapi operator dengan suatu ekonomi yang kuat
untuk menjual tidak hanya voice services teapi membuat telopon yang mampu mengaplikasikan
berbagai program. Ini dengan menambahkan suatu pengolah aplikasi, yang juga membuat
peluang untuk calon hackers berkreatifitas.
Sudah ada suatu investasi yang besar oleh operator dan carriers untuk mendapatkan suatu rasio
laba modal untuk menawarkan kemampuan higher-value dan jasa yang melibatkan downloading
MP3S, video atau transaksi keuangan," yang dikatakan Findlay Shearer, manager pemasaran
platform untuk produk mobile pada Motorola's Semiconductor Products. Wireless-Network
Operator yang pertama mendapat kerugian. Tahun lalu, telah dilaporkan, hackers di Eropa
memutuskan gelombang pesan pendek yang menghancurkan telepon tertentu. Dan di Jepang,
suatu e-mail rahasia Negara yang dikirim ke mobile phone dapat di jebol oleh hacker,
menyebabkan pemerintah jepang menyatakan emergency hot line tiap-tiap 20 menit.
Adalah tidak mengherankan bahwa Intel Corp., Yang akan mengumumkan strategi keamanannya
untuk processors yang memasuki handhelds bulan ini, tujuan yang pertama nya adalah mencegah
serangan pada jaringan. Yang mula-mula yang harus ditujukan adalah carriers' concerns untuk
jaringan downtime yang kehilangan pendapatan, menurut Lynn Comp, perencana teknologi
strategis untuk Internet Pribadi Intel'S Kelompok Arsitektur Klien.
Hampir tak dapat, membuat mobile phone dan alat jinjing lainnya yang lebih menjamin dalam
hal keamanan. Satu alasan adalah bahwa tidak cukup ruang atau baterei penggerak untuk
menambahkan chip keamanan dengan tugas berat seperti data encryption. Lebih mungkin, bila
yang lain tidak bekerja seperti video dan audio-processing yang ada.
Dan ketika banyak yang dapat dilakukan untuk membuat enterprise-level sistem operasi lebih
aman, maka akan lebih sulit untuk mengerjakan hal yang sama dengan menempelkan OSes
ketika batasan memori menjadi sangat ketat. " Biasanya OSes berjalan di tingkatan perlakuan
khusus yang sama dan di sana terdapat penuh dengan kode. Itu membuatnya sukar untuk
memisahkan bahan yang sensitip," menurut Richard York, Manajer Program Teknologi
Keamanan untuk ARM Ltd.,
o Rintangan Di Depan
Saat keamanan elektronik adalah suatu disiplin yang mapan, chip vendors sedang menemukan
bahwa versi yang mobile bukan sesuatu yang secara langsung. Untuk dimulai, processor vendors
masih relatif baru pada bidang yang mana mengisyaratkan suatu tingkatan keragu-raguan dan
ketidak-pastian tertentu. Satu alasan adalah bahwa ada lubang tang harus diisi, seperti suatu
persetujuan pada suatu standard manajemen digital yang benar bahwa akan mencukupi isi dari
provider dan operator jaringan. Silicon vendors tidak ingin memerlukan banyak waktu untuk
mendisain perangkat keras baru yang tidak akan digunakan kemudian. Isu untuk IC pabrikan
adalah bahwa mereka memerlukan banyak waktu terbuang untuk membangun perangkat keras,
menurut Richard Chesson,
Gerak ke arsitektur yang lebih terbuka dan aplikasi baku middleware boleh juga mendorong
kearah lebih maju. Banyak aplikasi em-bedded didasarkan pada processor cores dengan
mengetahui arsitektur instruction-set. Suatu hacker yang mengetahui ISA dan belajar data sheet
boleh mencoba untuk menanyai OS atau probe voltage signals untuk membongkar data sensitip..
Dan jika berhasil membangun fungsi keamanan, chip vendors harus pula menjelaskan teknologi
itu ke pelanggan yang boleh mengetahui sedikit tentang sesuatu yang mendasari isu.
Salah satu dari berbagai hal tentang keamanan adalah bahwa yang dimaksud untuk mencegah,
bukan untuk yang memungkinkan; itu adalah suatu pesan yang sulit untuk mengartikulasikan,
menurut Comp Intel'S. Hal lain adalah bahwa merancang keamanan dengan tepat tergantung
pada model ancaman itu dan jenis aplikasi yang berhadapan dengan resiko untuknya.
o Mebawa Masuk Pasukan
Chip vendors sudah waktunya untuk bekerja. Tentu saja, keamanan processor dilihat salah satu
peluang pasar yang menguntungkan seperti pelanggan menjadi lebih sadar akan ancaman kepada
jaringan mereka. Di dalam tahun lalu, lebih dari beberapa Chip vendors sudah mengumumkan
rencana untuk melaksanakannya..
Diantaranya adalah Internasional ARC International, Yang baru-baru ini menambahkan

perluasan keamanan ke ARCTANGENT processor core nya dan mengembang;kan suatu paket
software keamanan. Perusahaan berpikir tentang pasar untuk processors dengan keamanannya
adalah pada jalur untuk tumbuh 20 sampai 30 persen dalam satu tahun, terutama transaksi di atas
wireless LANS menjadi lebih umum. Adalah bukan suatu isu besar, tetapi semua indikasi adalah
bahwa akan terjadi di masa datang,menurut David Fritz,.
Dari suatu perspektif disain, pembuat chip mengatakan bahwa mereka mempunyai suatu alat
untuk mencegah keamanan dengan suatu campuran perangkat keras dan lunak, yang mana
dengan memodifikasi inti CPU itu sendiri atau menambahkan perangkat keras coprocessors (
lihat cerita di bawah). Beberapa pembuat chip lakukan kedua-duanya. Dengan pergeseran ukuran
ke 0.13-micron berarti dapat menambahkan perangkat keras tanpa khawatir menambah tenaga
dan performance.
Lebih dari itu, chip vendors dapat mengumpulkan sedikit banyak dari apa yang telah diketahui
dalam perdagangan elektronik. MIPS Technologies Inc., Untuk satu, pekerjaan tertutup lekat
dengan French smart-card maker pembuat Gemplus untuk menambahkan keamanan ke sebagian
dari 32-bit processor cores nya. Sharp dan Philips mempunyai lisensi teknologi, terutama untuk
smart cards.
Smart-card manufacturers merasakan betul tentang anti-hacking kemampuan demikian sehingga

pengguna tidak tahu apa terjadi di dalam kartu dan dari pembaca yang manapun dari
pemeriksaan phisik atau analisa elektrik. Tidak ada set rumusan bagaimana cara membuat suatu
processor hack-proof, tetapi beberapa pendekatan umum sedang muncul. Salah satunya adalah
menambahkan perluasan kepada instruction-set arsitektur, suatu siasat oleh perusahaan seperti
ARM, MIPS and ARC. Dalam beberapa hal instruksi ini dapat mendukung ilmu membaca sandi
"primitif" itu adalah umum dalam semua teknik cryptographic.
Praktisi lain adalah untuk menghilangkan data yang sensitip dari sisa CPU itu. ARM terjadi
hingga sedemikian panggilan teknik ini suatu "virtual CPU" bekerja secara paralel dengan main
processing engine.
Dengan pengembangan ini, adalah tidak sulit untuk membayangkan suatu hari ketika hampir
semua processors ditempelkan pada level seminimal mungkin dari keamanan, terutama alat
berhungan dengan Internet. Chip vendors menerima lebih banyak sistem hardware and software
tasks yang ditempelkan, mereka mempunyai banyak alat dan keahlian pada penjualan.

Keamanan Transmisi Data Melalui Jaringan

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Keamanan Transmisi Data Melalui Jaringan

Diunggah oleh

Hak Cipta:

Format Tersedia

Keamanan transmisi data melalui jaringan

· Apakah pesan tersebut belum diubah.

· Apakah pesan tersebut otentik.

a. ACL, NTLM dan Definisi-definisi Lainnya

· Access Control Lists (ACLs)

b. Keamanan Password dan Enkripsi

Dapat dilihat di : http://consult.cern.ch/writeup/security/security_3.html

· PGP dan Public Key Cryptography

Gambar bentuk model enkrpsi single key

· SSL, S-HTTP, HTTPS dan S/MIME

Perbedaan-perbedaan antara berbagai protokol keamanan, dan bagaimana menggunakannya.

· SSH (Secure Shell), stelnet

· PAM - Pluggable Authentication Modules

Beberapa hal yang dapat dilakukan dengan PAM:

login auth required pam_rhosts_auth.so no_rhosts

Informasi lebih banyak tentang kerberos di :http://www.veritas.com/common/f/97042301.htm

· Crack dan John the Ripper

c. Jenis Serangan Terhadap Keamanan (Scurity Attack)

· Serangan Pasif (Passive Attacks)

· Serangan Aktif (Aktive Attacks)

d. Sistem Autentikasi One Time Password

· Langkah Awal (Initial Step)

· Langkah pnghiungan (Computation Step)

e. Enkripsi dengan Fungsi Hash MD5

Deskripsi algoritma MD5:

Variabel-variabel diatas disebut chaining variables.

F(X,Y,Z) = XY or not (X)Z

H(X,Y,Z) = X xor Y xor Z

I(X,Y,Z) = Y xor (X or (not(Z)))

Kemudian dilakukan operasi 4 round sebagai berikut :

(tanda “+” mewakili operasi penjumlahan modulo 2^32)

{Kerjakan 16 operasi dibawah ini}

(ABCD 0 7 1) (DABC 1 12 2) (CDAB 2 17 3) (BCDA 3 22 4)

(ABCD 4 7 5) (DABC 5 12 6) (CDAB 6 17 7) (BCDA 7 22 8)

(ABCD 12 7 13) (DABC 13 12 14) (CDAB 14 17 15) (BCDA 15 22 16)

{sintaks (abcd k s i) mewakili operasi a = b + ((a + G(b,c,d) + X(k) +(i)) <<

{Kerjakan 16 operasi dibawah ini}

(ABCD 1 5 17) (DABC 6 9 18) (CDAB 11 14 19) (BCDA 0 20 20)

(ABCD 5 5 21) (DABC 10 9 22) (CDAB 15 14 23) (BCDA 4 20 24)

(ABCD 9 5 25) (DABC 14 9 26) (CDAB 3 14 27) (BCDA 8 20 28)

(ABCD 13 5 29) (DABC 2 9 30) (CDAB 7 14 31) (BCDA 12 20 32)

{sintaks (abcd k s i) mewakili opersi a = b + ((a + H(b,c,d) + X(k) + T(i)) <<

(ABCD 5 4 33) (DABC 8 11 34) (CDAB 11 16 35) (BCDA 14 23 36)

(ABCD 1 4 37) (DABC 4 11 38) (CDAB 7 16 39) (BCDA 10 23 40)

(ABCD 13 4 41) (DABC 0 11 42) (CDAB 3 16 43) (BCDA 6 23 44)

(ABCD 9 4 45) (DABC 12 11 46) (CDAB 15 16 47) (BCDA 2 23 48)

{sintaks (abcd k s i) mewakili opersi a = b + ((a + I(b,c,d) + X(k) + T(i)) <<

{Kerjakan 16 operasi dibawah ini}

(ABCD 0 6 49) (DABC 7 10 50) (CDAB 14 15 51) (BCDA 5 21 52)

(ABCD 12 6 53) (DABC 3 10 54) (CDAB 10 15 55) (BCDA 1 21 56)

(ABCD 8 6 57) (DABC 15 10 58) (CDAB 6 15 59) (BCDA 13 21 60)

(ABCD 4 6 61) (DABC 11 10 62) (CDAB 2 15 63) (BCDA 9 21 64)

selanjutnya. Output terakhirnya adalah hasil penyambungan dari A, B, C, dan D.

f. Penerapan Sistem One Time Password

Adapun sintaks dari chalenge adalah sebagai berikut:

Contoh challenge : otp-md5 100dog

Karakteristik seed adalah sebagai berikut:

- Terdiri dari karakter alphanumerik dari ISO-646 Invariant Code Set

- Panjangnya 1-16 karakter

o Inisialisasi MD5 buffer

o Menambahkan bit-bit padding

o Menambahkan panjang input

o Pemrosesan messege dalam 16 word blok