Keamanan Sistem World Wide

Web
• Keamanan server www biasanya merupakan
tanggung jawab dari administrator

• Web security system merupakan prioritas bagi

seorang webmaster.
• Eksploitasi terhadap lubang keamanan pada
sistem WWW :
– Mengubah informasi yang ada di server (deface)
– Informasi Bocor
• Misalnya laporan keuangan yang semestinya hanya
diakses oleh bagian tertentu.
– Web sniffing
• Url watch : melihat siapa mengakses apa saja
Masalah privacy.
– DoS
Keamanan E-Commerce
 Threats (ancaman)
• System penetration
– Akses ke sistem oleh orang yang tidak berhak, dan
memperbolehkan melakukan modifikasi file, mencuri
informasi penting,
• Authorization violation
– Penyalahgunaan wewenang legal yang dimiliki oleh seorang
yang berhak.
• Planting
– Future attack
– Memasukkan sesuatu kedalam sistem dan sewaktu-waktu
menyerang (co: trojan horse)
• Communication monitoring
– Memonitor semua informasi rahasia
• Communication tempering
– Mengubah informasi transaksi di tengah jalan
– Membuat sistem server tiruan.
• DoS
– Menghalangi user berhak yang ingin mengakses

• Repudiation
– Penolakan terhadap sebuah aktifitas transaksi
 SAfeGuard
• Pelindung sebuah sistem komputer
• Melakukan hal-hal :
– Mencegah munculnya treats sebelum benar-benar
terjadi
– Meminimalisasi kemungkinan terjadinya ancaman
– Mengurangi akibat yang timbul karena ancaman
yang sudah terealisasi
• Safeguard pada sistem keamanan komunikasi
dan keamanan komputer disebut security
service :
– Authentication service
• Entity authentication : password
• Data origin authentication : membuktikan sah atau
tidaknya identitas yang dikirim dalam bentuk pesan
– Access Control Service
• Menghindari pengaksesan tidak berhak (sistem
authorization)
• Confidentiality service
– Contoh : enkripsi

• Data integriti service

– Mencegah pengubahan item tanpa otorisasi

• Non-repudiation service
– Melindungi user untuk melawan ancaman yang
berasal dari user berhak lainnya.
 PGP- pretty good privacy
• Dikembangkan oleh Phillip R. Zimmermann
1991
• Available for download w
ww.pgp.com/downloads/index.html
• Sering disebut kriptografi gabungan karena
– Kombinasi dari kriptografi konvensional dan
kriptografi kunci publik
 Cara kerja PGP
Teks biasa dienkripsi dengan kunci sessi
Teks terenkripsi
+
Kunci saat enkripsi

Kunci sessi (kunci one-time only, tercipta saat itu juga)

yang dienkripsi dengan kunci publik
• Authentication
• Confidentiality
 Review
• Apa 5 layanan pokok yang diberikan oleh PGP?
• Manfaat digital signature:
– Menjamin keaslian surat
• Tanda tangan digital memberikan layanan :
– Authentication (keaslian)
– Data integeriti (keutuhan data)
– Non repudiation
• Masalah :
– Proses lambat
– Ukuran file yang dihasilkan besar
 Sifat tanda tangan digital:
• Otentik, dapat dijadikan alat bukti di peradilan (kuat)
• hanya sah untuk dokumen (pesan) itu saja, atau
kopinya. Dokumen berubah satu titik, tanda tangan
jadi invalid!
• dapat diperiksa dengan mudah oleh siapapun,
bahkan oleh orang yang belum pernah bertemu (dgn
sertifikat digital tentunya)
Tanda tangan digital sebenarnya

Kunci
privat

Fungsi Sidik jari Tanda tangan

Enkripsi
Pesan hash pesan digital
• Fungsi Hash
– Muncul untuk mengatasi kelemahan digital
signature
– Masukan : panjang pesan yang dikirim (ratusan
maupun ribuan bit)
– Keluaran : sebuah ukuran yang sudah pasti (misal :
160bit), keluaran akan berbeda bila beda 1 bit saja
 Fungsi Hash

• Disebut juga sidik jari (fingerprint), message integrity

check, atau manipulation detection code
• Untuk integrity-check
• Dokumen/pesan yang diubah 1 titik saja, sidik jarinya akan
sangat berbada
 Contoh Algoritma Hash
• Message Digest (MD) series: MD-2, MD-4,
MD-5. 128-bit
• Secure Hash Algorithm (SHA), termasuk SHA-
1. 160-bit