Penggunaan Tanda Tangan Digital untuk Pengamanan...

56
Penggunaan Tanda Tangan Digital untuk Pengamanan Pertukaran Informasi Tugas Akhir Proteksi dan Teknik Keamanan Sistem Informasi Bab IV: Cryptography Oleh Kelompok 122M: 1. Rahmat Sobari 720400033Y 2. Noni Juliasari 7204000314 3. Galuh Dian Maulana 7204000241 Magister Teknologi Informasi Fakultas Ilmu Komputer Universitas Indonesia Jakarta 2005

Transcript of Penggunaan Tanda Tangan Digital untuk Pengamanan...

Page 1: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Penggunaan Tanda Tangan Digital untuk

Pengamanan Pertukaran Informasi

Tugas Akhir

Proteksi dan Teknik Keamanan Sistem Informasi

Bab IV: Cryptography

Oleh Kelompok 122M:

1. Rahmat Sobari 720400033Y

2. Noni Juliasari 7204000314

3. Galuh Dian Maulana 7204000241

Magister Teknologi Informasi

Fakultas Ilmu Komputer

Universitas Indonesia

Jakarta

2005

Page 2: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

i

Daftar Isi

Daftar Isi ................................................................................. i

Daftar Gambar ........................................................................... iii

BAB I: PENDAHULUAN ................................................................. 1

I.1 Latar Belakang .................................................................. 1

I.2 Masalah ............................................................................ 3

I.3 Tujuan Penulisan ................................................................ 4

I.4 Batasan ........................................................................... 4

BAB II: Kriptografi ...................................................................... 6

III.1 Pengertian Umum .............................................................. 6

III.2 Sejarah Kriptografi ............................................................ 7

III.3 Pola-pola Penyaringan Data ................................................. 8

III.4 Cryptosystem .................................................................. 10

III.5 Teknologi Enkripsi .............................................................. 11

III.6 Kontroversi RSA ................................................................. 14

III.5 RSA ............................................................................... 16

BAB III: Penyandian dan Tanda Tangan Digital ................................... 18

III.1 Kebutuhan Keamanan ......................................................... 18

III.2 Enkrpsi dan Tanda Tangan Digital .......................................... 18

III.3 Apa Itu Tanda Tangan Digital? ................................................ 21

III.4 Sifat Tanda Tangan Digital .................................................... 29

III.5 Otoritas Sertifikat .............................................................. 30

III.6 Validitas Teknologi Kunci Publik ............................................. 32

BAB IV: Implementasi Tanda Tangan Digital ...................................... 34

IV.1 PGP: Pretty Good Privacy .................................................... 34

IV.2 Sejarah PGP .................................................................... 35

IV.3 Bagaimana PGB Bekerja? ...................................................... 36

IV.4 GPG: Gnu Privacy Guard ..................................................... 37

IV.4.1 Membuat Kunci ........................................................ 40

IV.4.2 Model Konsol .......................................................... 42

IV.5 GUI Untuk GPG ................................................................. 44

Page 3: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

ii

IV.6 Mail Client 45

IV.6.1 Mutt 45

IV.6.2 KMail 47

IV.6.3 Sylpheed 48

BAB V: PENUTUP ....................................................................... 51

V.1 Kesimpulan ...................................................................... 51

V.2 Saran ............................................................................. 51

Daftar Pustaka ........................................................................... 52

Page 4: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

iii

Daftar Gambar

Gambar 2.1: Interruption ............................................................. 8

Gambar 2.2: Interception ............................................................. 9

Gambar 2.3: Modification .............................................................. 9

Gambar 2.4: Fabrication .............................................................. 9

Gambar 2.5: Symmetric cryptosystem .............................................. 10

Gambar 2.6: Assymmetric cryptosystem ........................................... 11

Page 5: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

1

Bab I Pendahuluan

I. 1. Latar Belakang

Saat ini banyak email palsu yang menggunakan identitas seseorang, baik

yang dihasilkan oleh program seperti worm ataupun sengaja dilakukan oleh

pihak tertentu yang tidak bertanggung jawab. Dalam kondisi seperti ini

penggunaan teknik otentifikasi pesan sangat diperlukan untuk memastikan

bahwa email yang diterima dari pengirim valid. Server email menerima

pesan dan mengirimkannya ke alamat yang dituju seperti pengiriman surat

yang tinggal dimasukkan ke kotak surat dan akan dikirimkan ke alamat yang

dituju oleh tukang pos. Otentifikasi terhadap email pada umumnya hanya

dilakukan terhadap alamat IP komputer pengirim, dan sepanjang alamat

tersebut dianggap valid, maka siapapun dapat menulis email dari komputer

tersebut.

Surat yang kita terima dari tukang pos isinya dapat mengatasnamakan

siapapun juga. Tukang pos tidak boleh membuka isi surat tersebut untuk

memastikan keabsahan pengirimnya. Tukang pos hanya bertugas untuk

mengantarkan surat tersebut sampai ke alamat tujuannya. Tugas pengirim

suratlah untuk menandai bahwa surat yang dikirimnya tersebut dapat

dipercaya dan benar-benar berasal darinya misalnya dengan memberi tanda

tangan. Pihak penerima surat harus dapat memastikan keaslian surat

tersebut dengan cara memastikan identitas pengirim surat dan pihak

penerima harus yakin bahwa surat yang diterimanya benar-benar ditulis oleh

pengirimnya. Salah satu cara yang digunakan untuk memastikan surat

tersebut adalah dengan mengecek tanda tangan yang ada di dalam surat

tersebut dan stempel yang menunjukkan keaslian pengirim surat.

Tanda tangan digital atau yang lebih dikenal dengan digital signature

mempunyai fungsi yang sama dengan tanda tangan analog yang ditulis di

atas kertas. Tanda tangan digital harus unik sehingga dapat membedakan

Page 6: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

2

pengirim yang satu degan yang lainnya. Tanda tangan digital juga harus sulit

untuk ditiru dan dipalsukan sehingga integritas dan keabsahan pesan dapat

terjaga. Dengan demikian diharapkan pencatutan identitas ketika pesan

atau email tersebut dikirim dapat dihindari. Tidak hanya pencatutan

identitas yang diharapkan dapat dihindari dengan membubuhkan tanda

tangan digital, tetapi juga pengubahan pesan oleh pihak yang tidak berhak.

Hal ini disebabkan karena pengubahan pesan digital apalagi yang sudah

dibubuhi tanda tangan digital lebih jauh sulit dibandingkan dengan

mengubah pesan yang ditulis di atas kertas.

Untuk keperluan yang penting ini, tersedia alat bantu yang dapat diperoleh

secara cuma-cuma, yakni Pretty Good Privacy (PGP) dan Gnu Privacy Guard

atau GPG. Tentu saja masih terdapat penyedia layanan tanda tangan digital

lainnya, namun PGP dan GPG lebih dikenal luas. GPG adalah produk Open

Source yang dapat diperoleh secara gratis tanpa harus membayar lisensi.

Penggunaaan PGP di luar Amerika Serikat harus menggunakan versi

internasional. Sedangkan GPG sendiri karena dikembangkan di luar wilayah

hukum Amerika Serikat, maka bebas digunakan oleh siapapun. Restriksi ini

berkaitan dengan aturan ekspor produk enkripsi yang berkait dengan

pemakaian kunci sandi untuk pemakaian tanda tangan digital ini [DIR04].

Penggunaan tanda tangan digital ini tidak terlalu sulit. Kedua belah pihak

yang akan berkomunikasi harus menyiapkan sepasang kunci, yaitu kunci

privat (private key) dan kunci publik (public key). Kunci privat hanya

dipegang oleh pemiliknya sendiri. Sedangkan kunci publik dapat diberikan

kepada siapapun yang memerlukannya.

Penerima pesan tersebut menambahkan kunci publik ke dalam daftar yang

dikelola oleh aplikasi, baik PGP atau GPG. Agar lebih yakin lagi bahwa kunci

publik tersebut berasal dari pihak yang dimaksud, tersedia tambahan kode

jejak, yakni fingerprint [DIR04]. Dalam kondisi ekstrim yang memerlukan

validitas tingkat tinggi, fingerprint ini dipertukarkan oleh kedua pihak lewat

pertemuan fisik atau media lain yang lebih dapat dipercaya.

Page 7: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

3

Karena tujuan pemakaian tanda tangan digital berbeda dengan enkripsi yang

bersifat menyembunyikan, maka pesan tersebut tetap dapat terbaca oleh

semua orang, namun di bagian bawahnya terdapat “tanda tangan” yang

dapat digunakan untuk memeriksa integritas pesan dan validitas

pengirimnya. Sebagai contoh, di bawah ini sebuah pesan yang

ditandatangani secara digital.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Acara di Bandung akan diselenggarakan sbb.: Tanggal: 30 Maret 2004

Berangkat: pukul 07.00 kumpul di stasiun

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment:

For info see http://www.gnupg.org

iD8DBQFANy2PJyu3H7BcwTcRAgC1AKC4vM8cla7ITV+HIju0kk6yElo2lACgp2Cn

vgYKscPICyGyVO9666U7PUU= =uvlf -----END PGP SIGNATURE-----

Untuk memastikan integritas pesan di atas perlu kunci publik penulisnya.

Selain digunakan untuk keperluan pengiriman berita penting, saat ini tanda

tangan digital mulai dipakai untuk menandai email agar dapat dibedakan

dengan email palsu yang dikirim virus atau worm [DIR04].

I. 2. Masalah Meskipun pemakaian email sudah meluas di masyarakat, tetapi hanya

sebagian orang yang sadar akan keamanan email yang dikirim dan

diterimanya. Bagi perusahaan, masalah keamanan email ini menjadi sangat

penting khususnya jika terjadi pertukaran informasi atau dokumen

elektronik melalui internet dengan pihak luar. Keabsahan dan integritas

informasi yang dikirim harus senantiasa dijaga karena kebocoran informasi

dapat menyebabkan akibat yang buruk bagi bisnisnya.

Pengamanan informasi tidak hanya sebatas mengupayakan agar informasi

tersebut tidak dibaca oleh pihak yang tidak berkepentingan, tetapi juga

bagaimana agar informasi tersebut tidak dapat dimanipulasi atau

dimodifikasi. Karenanya dibutuhkan suatu cara agar diperoleh otentikasi

yang meyakinkan terhadap data yang dikirimkan atau disimpan.

Page 8: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

4

Isu keamanan data dan informasi tidak hanya menjadi masalah bagi

perusahaan besar. Perusahaan yang berskala kecil dan menengahpun

(biasanya disingkat UKM – Usaha Kecil dan Menengah) mempunyai isu yang

sama hanya kadar dan dampak yang ditimbulkannya yang berbeda. Dalam

perusahaan berskala kecil dan menengah, teknologi yang paling sering

digunakan adalah internet dan email. Sayangnya tidak banyak UKM yang

mengerti dan sadar akan pentingnya keamanan pertukaran informasi

tersebut. Dalam makalah ini akan diuraikan salah satu teknik kriprografi

yang dapat digunakan untuk membantu memverifikasi dokumen, pesan, atau

email yang dipertukarkan. Teknis yang akan dibahas adalah tanda tangan

digital. Tanda tangan digital dapat dibuat dengan perangkat lunak open

source misalnya GPG sehingga UKM tersebut tidak perlu membeli perangkat

lunak yang berlisensi untuk mengamankan informasi yang dipertukarkan

lewat internet tersebut.

I. 3. Tujuan Penulisan Penyusunan makalah ini dilaksanakan sebagai salah satu tugas akhir

semester dalam mata kuliah Proteksi dan Teknik Keamanan Sistem

Informasi. Sehubungan dengan hal tersebut, tujuan yang dapat dirangkum

dari upaya ini, antara lain:

1. Mempelajari salah satu teknik kriptografi dan kemungkinan

pemanfaatannya oleh UKM.

2. Membangun kemampuan untuk menjalin kerjasama kelompok dalam

bidang teknologi informasi.

I. 4. Batasan

Pengamanan data dengan teknik enkripsi ini dikenal begitu banyak ragam

algoritmanya, maka dalam penulisan ini akan dibatasi hanya pada

penjelasan singkat mengenai tanda tangan dan sertifikat digital serta

bagaiman membuatnya. Karena tanda tangan digital ini dapat digunakan

oleh semua orang, maka bentuk UKM yang dipilih juga tidak spesifik, artinya

tanda tangan digital ini dapat diterapkan di semua UKM yang memanfaatkan

Page 9: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta in

5

teknologi internet dalam mempertuukarkan informasi dan datanya

khususnya dengan menggunakan email.

Page 10: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

6

Bab II Kriptografi

II.1. Pengertian Umum

Kriptografi berasal dari dua suku kata yaitu kripto dan grafi. Kripto artinya

menyembunyikan, sedangkan grafi artinya ilmu. Kriptografi (Cryptography)

adalah suatu ilmu yang mempelajari sistem sandi untuk menjamin

kerahasiaan dan keamanan data, dilakukan oleh seorang kriptographer.

Enkripsi adalah sebuah proses yang melakukan perubahan sebuah kode dari

yang bisa dimengerti (plaintext) menjadi sebuah kode yang tidak bisa

dimengerti (ciphertext). Sedangkan proses kebalikannya untuk mengubah

ciphertext menjadi plaintext disebut dekripsi. Sebuah sistem pengkodean

menggunakan suatu tabel atau kamus yang telah didefinisikan untuk

mengganti kata atau informasi atau yang merupakan bagian dari informasi

yang dikirim. Secara umum operasi enkripsi dan dekripsi secara matematis

dapat digambarkan sebagai berikut :

EK (M) = C {proses enkripsi}

DK (C) = M {proses dekripsi}

Pada proses enkripsi pesan M dengan suatu kunci K disandikan menjadi

pesan C. Pada proses dekripsi pesan C dengan kunci K disandikan menjadi

pesan semula yaitu M. Misalnya S (sender) mengirim sebuah pesan ke R

(receiver) dengan media transmisi T. Di luar, ada O yang menginginkan

pesan tersebut dan mencoba untuk mengakses secara ilegal pesan tersebut.

O disebut interceptor atau intruder. Setelah S mengirim pesan ke R melalui

media T, O bisa mengakses pesan tersebut dengan cara-cara sebagai berikut

[JUL02]:

a. Menganggu pesan, dengan mencegah pesan sampai ke R.

b. Mencegat pesan, dengan cara engetahui isi pesan tersebut.

c. Mengubah pesan dari bentuk aslinya dengan cara apapun.

Page 11: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

7

d. Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah pesan

dikirim oleh S.

Untuk melindungi pesan asli dari gangguan seperti ini dan menjamin

keamanan dan kerahasiaan data maka mulai dikenal sistem kriptografi untuk

melindungi data, yaitu dengan mengenkripsi pesan dan untuk bisa membaca

pesan kembali seperti aslinya pesan harus didekripsi. Kriptografi merupakan

cara yang paling praktis untuk melindungi data yang ditransmisikan melalui

sarana telekomunikasi [JUL02].

II.2. Sejarah Kripografi

Sebagai media komunikasi umum, internet sangat rawan terhadap

penyadapan, pencurian, dan pemalsuan informasi. Karena itu eksploitasi

internet oleh sektor-sektor strategis seperti bisnis, perbankan, atau

pemerintahan sangat memerlukan teknologi penyandian informasi [PRA98].

Ilmu menyandi (kriptografi) sebenanya ilmu yang sudah dikenal bahkan

semenjak jaman Julius Caesar (sebelum masehi). Ilmu ini tidak hanya

mencakup teknik-teknik menyandikan informasi, tetapi juga teknik untuk

membongkar sandi. Contoh, pada perang dunia II ilmuwan Inggris dapat

membongkar sistem sandi Jerman yang disebut Enigma.

Didorong meningkatnya peran komputer dan globalisasi ekonomi, para

kriptograf melihat sektor bisnis dan industri sebagai lahan baru [PRA98].

Lahan ini ternyata memang berkembang pesat dan berhasil membuat pionir-

pionir kriptografi modern seperti Rivest, Shamir, atau Hellman menjadi

orang-orang kaya baru di AS. Contoh, kartu chip yang dikeluarkan beberapa

bank belakangan ini menggunakan teknik penyandian DES untuk menjaga

keamanan data nasabah yang disimpan di dalam chip. Contoh lain,

kemampuan keamanan dari browser Internet seperti MS Internet Explorer

dan Netscape menggunakan teknik penyandian lain yang disebut RSA.

DES dan RSA adalah yang paling populer dan paling banyak dipakai. DES

(Data Encryption Standard) adalah hasil inovasi IBM di tahun 1972 yang

Page 12: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

kemudian diangkat menjadi standar oleh dewan standar AS (ANSI). RSA

adalah singkatan dari nama para penemunya, yaitu Ron Rivest, Adi Shamir,

dan Leonard Adleman yang membuatnya di tahun 1978. Kedua sandi ini (DES

dan RSA) juga yang paling banyak mengundang kontroversi. Sejauh ini belum

seorang pun yang berhasil menemukan lubang keamanan pada DES dan RSA,

tetapi tak seorang pun juga berhasil memberikan pembuktian ilmiah yang

memuaskan dari keamanan kedua teknik sandi ini [PRA98]. Padahal,

pemakaiannya sudah sangat meluas dan mencakup sektor-sektor strategis

seperti perbankan dan pemerintahan.

II.3. Pola-pola Penyaringan Data

Proteksi data dan informasi dalam komunikasi komputer menjadi penting

karena nilai informasi itu sendiri dan meningkatnya penggunaan komputer di

berbagai sektor. Melihat kenyataan semakin banyak data yang diproses

dengan komputer dan dikirim melalui perangkat komunikasi elektronik maka

ancaman terhadap pengamanan data akan semakin meningkat. Beberapa

pola ancaman terhadap komunikasi data dalam komputer dapat diterangkan

sebagai berikut [JUL02]:

1. Interruption

Interception terjadi bila data yang dikirimkan dari A tidak sampai pada

orang yang berhak (B). Interruption merupakan pola penyerangan

terhadap sifat availability (ketersediaan data).

BA

Gambar 2.1: Interruption

2. Interception

Serangan ini terjadi bila pihak ketiga C berhasil membaca data yang

dikirimkan. Interception merupakan pola penyerangan terhadap sifat

confidentiality (kerahasiaan data).

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

8

Page 13: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

C

BA

Gambar 2.2: Interception

3. Modification

Pada serangan ini pihak ketiga C berhasil merubah pesan yang

dikirimkan. Modification merupakan pola penyerangan terhadap sifat

integrity (keaslian data).

C

BA

Gambar 2.3: Modification

4. Fabrication

Pada serangan ini, penyerang berhasil mengirimkan data ke tujuan

dengan memanfaatkan identitas orang lain. Fabrication merupakan pola

penyerangan terhadap sifat authenticity.

C

BA

Gambar 2.4: Fabrication

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

9

Page 14: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Ancaman-ancaman tersebut di atas menjadi masalah terutama dengan

semakin meningkatnya komunikasi data yang bersifat rahasia seperti:

pemindahan dana secara elektronik kepada dunia perbankan atau

pengiriman dokumen rahasia pada instansi pemerintah. Untuk

mengantisipasi ancaman-ancaman tersebut perlu dilakukan usaha untuk

melindungi data yang dikirim melalui saluran komunikasi salah satunya

adalah dengan teknik enkripsi. Dan untuk masalah kekuatan pengamanannya

tergantung pada algoritma metode enkripsi tersebut dan juga kunci yang

digunakan di dalamnya [JUL02].

II.4. Cryptosystem

Kriptosistem (Cryptosystem atau cryptographic system) adalah suatu

fasilitas untuk mengkonversikan plaintext ke ciphertext dan sebaliknya.

Dalam sistem ini, seperangkat parameter yang menentukan transformasi

pencipheran tertentu disebut suatu set kunci. Proses enkripsi dan dekripsi

diatur oleh satu atau beberapa kunci kriptografi. Secara umum, kunci–kunci

yang digunakan untuk proses pengenkripsian dan pendekripsian tidak perlu

identik, tergantung pada sistem yang digunakan [JUL02].

Suatu cryptosystem terdiri dari sebuah algoritma, seluruh kemungkinan

plaintext, ciphertext dan kunci-kunci. Secara umum cryptosystem dapat

digolongkan menjadi dua buah , yaitu :

1. Symmetric cryptosystem

Dalam symmetric cryptosystem ini, kunci yang digunakan untuk proses

enkripsi dan dekripsi pada prinsipnya identik, tetapi satu buah kunci

dapat pula diturunkan dari kunci yang lainnya. Kunci – kunci ini harus

dirahasiakan. Oleh sebab itu sistem ini sering disebut sebagai secret key

cipher system. Contoh dari sistem ini adalah Data Encryption Standard

(DES), Blowfish, IDEA.

Plaintext enkripsi ciphertext dekripsi plaintext

User A user B

Kunci ( key )

Gambar 2.5: Symmetric cryptosystem

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

10

Page 15: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

2. Assymmetric cryptosystem

Dalam assymmetric cryptosystem ini digunakan dua buah kunci. Satu

kunci yang disebut kunci publik (public key) dapat dipublikasikan, sedang

kunci yang lain yang disebut kunci privat (private key) harus

dirahasiakan. Proses menggunakan sistem ini dapat diterangkan secara

sederhana sebagai berikut: bila A ingin mengirimkan pesan kepada B, A

dapat menyandikan pesannya dengan menggunakan kunci publik B, dan

bila B ingin membaca pesan tersebut, ia perlu mendekripsikannya dengan

kunci privatnya. Dengan demikian kedua belah pihak dapat menjamin

asal pesan serta keaslian pesan tersebut, karena adanya mekanisme ini.

Contoh dari sistem ini antara lain RSA Scheme dan Merkle-Hellman

Scheme.

Plaintext enkripsi ciphertext dekripsi plaintext

User A user B

private key

public key

Gambar 2.6: Assymmetric cryptosystem

II.5. Teknologi Enkripsi

Algoritma penyandian memerlukan sebuah data biner yang disebut kunci

untuk melakukan penyandian dan penerjemahan pesan tersandi. Tanpa

kunci yang cocok orang tidak bisa mendapatkan kembali pesan asli dari

pesan tersandi. Pada DES digunakan kunci yang sama untuk menyandi

(enkripsi) maupun untuk menterjemahan (dekripsi), sedangkan RSA

menggunakan dua kunci yang berbeda. Isitilahnya, DES disebut sistem sandi

simetris sementara RSA disebut sistem sandi asimetris [PRA98].

Kedua sistem ini memiliki keuntungan dan kerugiannya sendiri. Sistem sandi

simetris cenderung jauh lebih cepat sehingga lebih disukai oleh sementara

kalangan industri. Kejelekannya, pihak-pihak yang ingin berkomunikasi

secara privat harus punya akses ke sebuah kunci DES bersama. Walaupun

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

11

Page 16: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

12

biasanya pihak-pihak yang terkait sudah saling percaya, skema ini

memungkinkan satu pihak untuk memalsukan pernyataan dari pihak lainnya

[PRA98] karena kedua pihak mempunyai kemungkinan yang sama untuk

memalsukan atau merekaya pesan yang dikirim karena mempunyai kunci

yang sama.

Contoh, Mikal dan Henny menggunakan DES untuk melindungi komunikasi

privat mereka. Untuk itu mereka menyetujui sebuah kunci DES yang dipakai

bersama. Suatu saat Mikal mengirim sebuah pesan tersandi untuk Henny

bahwa ia akan menjamin semua hutang Henny. Seminggu kemudian Henny

betul-betul membutuhkan jaminan Mikal. Akan tetapi Mikal mungkir dan

bahkan menuduh Henny melakukan pemalsuan. Henny tidak bisa berbuat

apa-apa karena tidak bisa membuktikan bahwa Mikal berbohong (dan

sebaliknya Mikal juga tidak bisa membuktikan pemalsuan Henny, kalau itu

yang terjadi). Ini terjadi karena Henny dan Mikal berbagi kunci yang sama.

Jadi, keduanya sama-sama bisa 'merekayasa' surat jaminan Mikal tadi

[PRA98].

Dalam dunia non-elektronis, dokumen-dokumen sering ada tanda tangan

atau cap organisasinya. Tanda tangan dan cap tersebut ditujukan untuk

meyakinkan penerima dokumen bahwa dokumen tersebut memang asli

berasal dari individu atau organisasi yang tandatangan atau capnya tertera

di dokumen tersebut. Mekanisme tersebut dibutuhkan juga oleh dokumen-

dokumen elektronis. Dalam dokumen elektronik tanda tangan yang

dibubuhkan biasanya berbentuk tanda tangan sertifikat atau digital. Henny

dan Mikal pada cerita di atas membutuhkan mekanisme tanda tangan digital

ini sehingga Henny hanya akan mempercayai pernyataan Mikal kalau

pernyataan tersebut dilengkapi oleh tanda-tangan digital Mikal. Akibatnya

dengan tanda tangan digital Mikal nantinya tidak bisa mungkir lagi.

Sistem sandi asimetris seperti RSA bisa juga digunakan sebagai tanda tangan

digital. Ini membuat aplikasi yang bisa dibuat menggunakan sistem sandi

asimetris jauh lebih banyak. Protokol e-commerce seperti SET tidak bisa

Page 17: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

13

dibuat tanpa sistem sandi ini. Untuk mendapatkan keuntungan yang optimal

orang pada prakteknya menggabungkan sistem sandi asimetris dengan yang

simetris, seperti yang dilakukan Zimmermann dalam sandi public-domain-

nya yaitu PGP (Prety Good Privacy) [PRA98].

Saat ini satu-satunya cara yang diketahui untuk mendobrak sandi DES dan

RSA adalah dengan mencoba satu per satu berbagai kombinasi kunci (brute

force attack) [PRA98]. Karena itu keamanan dari DES dan RSA banyak

bergantung dari ukuran kunci yang digunakan (dalam bit). Ukuran tersebut

menentukan jumlah kombinasi kunci yang mungkin. DES menggunakan

ukuran kunci 56 bit sehingga total banyaknya kombinasi kunci yang mungkin

adalah 256. Jumlah ini sangat besar. Untuk membongkar sandi tersebut

dengan menggunakan PC Pentium yang berkemampuan mengerjakan 200

juta operasi per detik kita masih membutuhkan 5 tahun. Dengan mesin yang

lebih baik orang bisa melakukannya lebih cepat, tetapi biayanya juga

menjadi mahal.

Standar industri saat ini bahkan menggunakan Triple DES yang ukuran

kuncinya 112 bit. Ini membuat usaha untuk mendobrak sandi ini dengan

brute force menjadi 1016 kali lebih sulit [PRA98]! Untuk RSA, panjang

kuncinya bisa diatur. Misalnya ukuran kunci RSA yang digunakan oleh modul

keamanan browser Netscape Anda ukurannya 48 bit. Ukuran ini sudah tidak

aman lagi sekarang, tetapi pemerintah AS memang melarang ekspor produk-

produk RSA yang menggunakan kunci lebih besar dari 48 bit. Standar saat ini

merekomendasikan ukuran 512 bit.

Sebetulnya tak satu pun sandi yang aman dari brute force attack.

Persoalannya adalah masalah keekonomisan serangan tersebut bisa

dilakukan. Perkecualiannya adalah sandi yang disebut One-time-pad

(Mouborgne & Vernam, 1917). Sandi ini adalah sandi ideal yang tidak

mungkin dicrack dengan cara apa pun [PRA98]. Sayangnya sandi ini tidak

praktis karena membutuhkan kunci yang sama panjangnya dengan pesan

yang disandi.

Page 18: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

14

Untuk sistem sandi lain yang non-ideal, dengan membuat ukuran kunci

cukup besar, kita bisa membuat brute force attack menjadi sangat tidak

ekonomis sehingga para penjahat pun tidak mau/sanggup melakukannya.

Keekonomisan disini bersifat relatiftergantung siapa yang melakukannya.

Peranan para hacker sebetulnya tidak selalu negatif. Sejauh ini telah

menjadi semacam kesepakatan profesi tak tertulis bahwa tugas para

kriptograf adalah untuk menemukan sistem sandi yang kokoh sementara

para hacker bertugas mencari kelemahannya. Bahkan seni mencari

kelemahan sistem sandi telah berkembang menjadi cabang ilmu

pengetahuan yang disebut kripto analisis. Ini adalah bidang yang sangat

spekulatif. Orang tidak hanya membahas bagaimana caranya menjebol sandi

dengan komputer konvensional, tetapi juga dengan mesin non-konvensional

yang masih sulit dibuat sekarang, tetapi bisa jadi di masa depan teknologi

yang dibutuhkan berhasil dikembangkan.

II.6. Kontroversi RSA

RSA adalah sistem sandi yang barangkali paling mudah dimengerti cara

kerjanya, tetapi juga sangat kokoh. Baik untuk menyandi maupun

menterjemahkan sandi, RSA hanya menggunakan operasi pemangkatan. Para

pembuat RSA melihat bahwa operasi mk mod n menghasilkan nilai yang

relatif acak hubungan terhadap m [PRE98]. Silahkan lihat tabel di bawah ini.

Terlihat bahwa sulit untuk menemukan hubungan yang sistematis antara

angka-angka di kolom abu-abu dengan yang di kolom putih. Padahal, angka

di kolom putih diperoleh dari operasi m7 mod 77 terhadap angka

pasangannya di kolom abu-abu.

2 51 7 28

3 31 8 57

4 60 9 37

5 47 10 10

Page 19: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

15

6 41 11 11

Karena hubungan yang acak tersebut, sangat sulit untuk menerka m

walaupun kita tahu k, n, dan hasil operasi mk mod n. Untuk itu kita butuh

'pasangan' dari k. Dalam contoh diatas, pasangan dari k=7 adalah h=43.

Tepatnya, jika kita melakukan m7 mod 77, lalu hasilnya dipangkatkan 43 dan

di-mod-kan dengan 77 kita akan mendapatkan m kembali. Nah itulah cara

RSA bekerja. k dan h adalah pasangan kunci privat dan publik. n (77) adalah

parameter keamanan yang dipublikasikan. Untuk menyandi pesan m kita

melakukan mk mod n, dan untuk menterjemahkan pesan tersandi w kita

melakukan wh mod n. Pemilihan k, h dan parameter keamanan ada

syaratnya. Misalnya parameter keamanan n besarnya harus paling tidak 48

bit dan harus merupakan hasil kali dua bilangan prima p dan q.

Para pembuat RSA telah mempatenkan sistem sandi ini di AS, kemudian

mendirikan perusahaan yang juga bernama RSA Data Security Inc (1982).

Paten ini dinilai banyak pihak di luar AS keterlaluan karena sistem sandi RSA

pada dasarnya hanya melakukan operasi pemangkatan dan operasi mod yang

sudah dikenal orang bahkan semenjak jaman Yunani kuno (walaupun harus

diakui bahwa para pembuat RSA-lah yang pertama kali menerapkan operasi

tersebut untuk penyandian).

Yang juga merupakan sumber kontroversi adalah pembatasan ekspor dari

produk-produk kriptografi. Pembatasan ini berbeda dari negara ke negara,

tetapi yang paling ekstrim adalah AS. Negara ini melarang semua ekspor dari

produk maupun informasi mengenai sistem sandi. Pada prakteknya, produk-

produk kriptografi tetap bisa diekspor keluar AS, selama AS menilai itu

memberikan 'keuntungan' tertentu untuk AS [PRE98]. Misalnya produk-

produk yang berkaintan dengan keamanan perbankan boleh diekspor karena

dipandang memperbesar peluang bisnis perusahaan-perusahaan AS di pasar

global. Kemudian Netscape juga diperbolehkan menggunakan RSA untuk

sistem keamanannya.

Page 20: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

16

Yang berwenang mengatur ijin ekspor ini adalah badan AS yang bernama

National Security Agency (NSA). Sebagai aturan umum, NSA tidak akan

mengijinkan ekspor dari sistem/alat sandi yang mereka sendiri tidak mampu

untuk menjebolnya. Lewat satu atau lain cara, produk-produk kriptografi

berkualitas tinggi masih bisa lolos ke luar AS. Ini banyak dibantu oleh

kalangan akademis yang menganggap larangan ekspor tersebut bertentangan

dengan kebebasan akademis. Karena larangan tersebut adalah larangan

ekspor, yang ilegal adalah membawa produk terkait ke luar AS. Sekali

berada di luar AS menggunakannya adalah hal yang legal.

Kalau melihat anggaran NSA di atas, tidak heran kalau pada saat ini AS

adalah negara yang paling maju di bidang kriptografi. Sayangnya mengakses

larangan ekspor cukup menyulitkan akses ke hasil-hasil temuan mereka,

padahal bidang ini adalah bidang yang sangat strategis dan juga besar

potensial bisnisnya.

II.7. RSA

RSA adalah sistem sandi yang saat ini praktis menjadi standar de facto dunia

di samping DES. Sandi ini adalah hasil inovasi Ron Rivest, Adi Shamir, dan

Leonard Adleman di tahun 1978. Mereka kemudian mendirikan perusahaan

RSA Data Security Inc, yang memiliki paten atas sandi RSA. Berikut adalah

cara kerja RSA [PRE98].

Membuat Kunci Privat dan Kunci Publik

1. Pilih dua bilangan prima p dan q secara acak. Bilangan ini harus cukup

besar (minimal 100 digit).

2. Hitung n = pq. Bilangan n disebut parameter keamanan.

3. Pilih bilangan k secara acak tapi k tidak boleh punya faktor pembagi

yang sama (selain bilangan 1) dengan (p-1)(q-1). Bilangan k ini

kemudian kita jadikan kunci privat kita.

4. Hitung h sedemikian sehingga kh mod (p-1)(q-1) = 1. Ada algoritma

yang disebut algoritme Euclid untuk menghitung h dengan efesien.

Page 21: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

17

5. Bilangan n dan h kita sebar ke publik. h adalah yang menjadi kunci

publik. Sementara itu bilangan p dan q boleh dibuang, dan jangan

pernah sampai bocor ke publik.

Menyandi dan menterjemahkan sandi

Untuk menyandi sebuah pesan m dengan kunci publik h kita melakukan

operasi mh mod n, sementara untuk membuka pesan tersandi c dengan kunci

privat kita lakukan ck mod n. Secara matematis sudah terbukti bahwa kunci-

kunci RSA memenuhi sifat:

(mh mod n)k mod n = m dan (mk mod n)h mod n = m

Itulah sebabnya operasi penyandian dan penterjemahan diatas bisa

berkerja.

Page 22: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

18

Bab III Penyandian dan Tanda Tangan Digital

III.1 Kebutuhan Keamanan

Kebutuhan keamanan dalam sebuah lingkungan yang terbuka dan selalu

berubah merupakan sebuah tantangan yang harus diselidiki dan diemukan

jawabannya. Internet merupakan salah satu sarana komunikasi yang banyak

digunakan ooleh masyarakat. Keamanan intranet terganung pada beberapa

komponen perangkat keras dan perangkat lunak. Teknologi dan mekanisme

yang digunakan untuk memproteksi atau menjaga keamanan di internet

dapat beraneka ragam, tetapi pada dasarnya ada kebutuhan dasar

keamanan yang harus terpenuhi. Lima kebutuhan dasar tersebut adalah:

• Kerahasiaan, dengan kemampuan scramble atau mengenkrip pesan

sepanjang jaringan yang tidak aman.

• Kendali akses, menentukan siapa yang diberikan akses ke sebuah

sistem atau jaringan, sebagaimana informasi apa dan seberapa

banyak seseorang dapat menerima.

• Authentication (otentikasi), yaitu menguji identitas dari dua

perusahaan yang mengadakan transaksi.

• Integritas, menjamin bahwa file atau pesan tidak berubah dalam

perjalanan.

• Non-repudiation (menolak penyangkalan), yaitu mencegah dua

perusahaan dari menyangkal bahwa mereka telah mengirim atau

menerima sebuah file.

III.2 Enkripsi dan Tanda Tangan Digital

Di jaman serba susah seperti sekarang, keamanan kembali menjadi

pertanyaan penting. Amankah surat bisnis yang saya kirim? Selamatkah surat

rahasia yang saya kirim ke tujuan? Benarkah pesan yang saya terima

merupakan pesan dari Bapak Ibam? Semua ini kembali ke sisi keamanan yang

digunakan. Keamanan senantiasa menjadi topik bahasan menarik.

Menciptakan teknologi keamanan ternyata jauh lebih susah daripada

Page 23: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

19

membobolnya. Tetapi bukan berarti setiap teknologi keamanan yang ada

pasti mudah dijebol. Dalam tugas ini kami mengangkat bahasan mengenai

penyandian dan sertifikat digital khususnya penggunaannya dalam email

sebagai aplikasi yang paling banyak digunakan masyarakat dan kemungkinan

besar akan digunakan dalam UKM-UKM yang telah mengerti teknologi.

Email adalah hal biasa dalam kehidupan sehari-hari, khususnya bagi

kalangan yang akrab dengan teknologi informasi. Tapi apakah kita yakin

bahwa email yang kita kirim akan sampai ke tujuan tanpa disadap? Atau

apakah email yang kita terima adalah benar dari si pengirim yang alamatnya

tercantum pada email address. Bagaimana memastikan bahwa email yang

kita terima asli? Salah satu cara agar kita yakin bahwa email yang kita kirim

atau kita terima benar adalah melakukan enkripsi pada email tersebut.

Tugas ini akan mencoba untuk memaparkan bagaimana membuat dokumen

yang diattach dalam sebuah email yang kita kirim menjadi lebih aman

dengan cara yang praktis. Dari beberapa cara enkripsi yang ada, cara

enkripsi yang akan kita pilih adalah membubuhkan tanda tangan digital pada

setiap email yang kita kirim.

Walaupun saat ini kalangan yang memperhatikan keamanan email masih

terbatas, namun sudah seharusnya enkripsi dianggap sebagai barang biasa.

Ibarat surat biasa, enkripsi atau sandi pada email sama fungsinya dengan

amplop yang membungkus kertas berisi pesan yang hendak disampaikan

pada orang yang dituju [CEN03].

Email yang tidak dienkripsi seperti kartu pos dimana setiap orang bisa

membacanya. Amplop ini (enkripsi) mencegah orang lain membaca pesan

yang tertulis di atas kertas itu. Bagaimana amplop digital ini dibuat? Enkripsi

dilakukan dengan mengacak pesan plaintext secara sistematis sehingga tidak

dapat terbaca tanpa alat khusus.

Dalam teknologi enkripsi yang umum saat ini, digunakan sepasang kunci

untuk mengenkripsi dan mendekrip (menguraikan sandi) pesan yang hendak

Page 24: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

20

disampaikan. Sepasang kunci ini dinamakan kunci publik dan kunci privat.

Dua kunci ini dibangkitkan secara simultan oleh komputer dan digunakan

berpasangan.

Untuk dapat mengenkrip pesan, orang yang menulis pesan memerlukan

kunci publik (public key). Kunci publik ini disebarkan oleh pemiliknya agar

orang yang ingin menulis pesan padanya bisa mengenkripsi pesan

menggunakan kunci publik tersebut. Setelah dienkrip, pesan tersebut tidak

bisa diuraikan lagi, kecuali memakai kunci privat [CEN03].

Kunci privat disimpan dan harus dirahasiakan oleh pemiliknya [CEN03]

[WIB98]. Kunci ini digunakan untuk menguraikan pesan yang dienkripsi

dengan menggunakan kunci publik. Karena hanya satu orang (pemilik kunci)

yang menyimpan kunci privat tersebut, maka hanya dia yang bisa membaca

pesan tersebut.

Misalkan Yasmin dan Saman dalam novel laris karya Ayu Utami bertajuk

Saman saling bertukar email [CEN03]. Yasmin mengetahui kunci publik

Saman, mungkin dari web atau sumber lainnya. Untuk mengirim email yang

hanya bisa dibaca Saman, dia menggunakan kunci publik Saman untuk

mengenkripsi pesannya lalu dikirimkannya pada Saman. Saman menerima

email yang dienkrip tersebut. Untuk menguraikan email tersebut Saman

menggunakan kunci privat yang dirahasiakannya.

Bagaimana bila ada seseorang yang menyadap komunikasi mereka berdua?

Dia hanya akan mendapatkan email yang sudah dienkripsi. Untuk dapat

mengerti isi email tersebut, dia harus mendekripnya terlebih dahulu. Ini

hanya dapat dilakukannya dengan mudah bila dia memiliki kunci privat.

Namun karena kunci privat itu disimpan Saman baik-baik, akan sangat sulit

baginya membongkar sandi surat tersebut.

Sekarang bagaimana Saman memastikan bahwa pesan yang sampai padanya

benar-benar berasal dari Yasmin, bukan dari seseorang yang menyamar

Page 25: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

21

menjadi Yasmin? Di sinilah pentingnya tanda tangan digital (digital

signature).

Tanda tangan digital ini berguna untuk memastikan keaslian pesan yang

disampaikan, bahwa suatu pesan yang disampaikan pada kita benar-benar

berasal dari pengirim seperti yang tertulis pada header email. Tanda tangan

digital juga menjamin integritas pesan. Teknologi ini memungkinkan kita

mendeteksi bila ada orang yang menyadap pesan dan mengganti isi pesannya

di tengah jalan (man in the middle attack).

Dibandingkan dengan tandatangan analog, tanda tangan digital lebih sulit

dipalsukan. Tanda tangan digital lebih sering digunakan daripada enkripsi

karena kita sering tidak peduli apakah email kita disadap atau tidak, tapi

kita benar-benar ingin tahu apakah yang mengirim email pada kita benar-

benar orang yang kita maksud. Ini semakin penting dengan semakin

menyebarnya virus yang seolah-olah datang dari orang yang kita kenal.

Berbeda dengan proses enkripsi, dalam tanda tangan digital kunci privat

digunakan untuk menandatangani dokumen atau pesan yang hendak

disampaikan [CEN03]. Penerima pesan atau dokumen dapat memeriksa

keasliannya dengan menggunakan kunci publik yang sudah ada padanya. Jadi

pada contoh Yasmin dan Saman, Yasmin akan menandatangani pesannya

dengan kunci privatnya. Saman bisa memeriksa keaslian pesan Yasmin

tersebut dengan kunci publik Yasmin yang ada padanya.

III.3 Apa Itu Tanda Tangan Digital?

Setelah kita memahami uraian singkat mengenai tanda tangan digital dan

hubungannya dengan kriptografi melalui contoh yang dipaparkan di atas,

bagian ini akan mencoba membahas lebih dalam apa sebenarnya tanda

tangan digital itu. Tanda tangan digital bukan tanda tangan manual yang

discan dan dibubuhkan pada dokumen atau email yang kita kirim. Tanda

tangan digital merupakan salah satu penggunaan metode kriptografi yang

bertujuan untuk mendeteksi modifikasi data yang tidak sah (unauthorized

Page 26: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

22

modification of data) dan untuk mengecek otentikasi identitas dari pengirim

dan non repudiation (menolak penyangkalan) [KRU03].

Seperti yang telah dijelaskan pada bagian sebelumnya, teknologi tanda

tangan digital memanfaatkan teknologi kunci publik. Sepasang kunci publik-

privat dibuat untuk keperluan seseorang. Kunci privat disimpan oleh

pemiliknya. Kunci privat juga digunakan untuk membuat tanda tangan

digital. Sedangkan kunci publik dapat diserahkan kepada siapa saja yang

ingin memeriksa tanda tangan digital yang bersangkutan pada suatu

dokumen atau pesan yang diterimanya. Proses pembuatan dan pemeriksaan

tanda tangan ini melibatkan sejumlah teknik kriptografi seperti hashing

(membuat 'sidik jari' dokumen) dan enkripsi asimetris [WIB98]. Teknologi

kunci publik juga bisa digunakan untuk menyandi atau merahasiakan isi

dokumen.

Meskipun banyak kemudahan yang diberikan oleh teknologi kunci publik dan

privat ini, sebenarnya ada masalah dalam pendistribusian kunci publik

[WIB98]. Katakanlah Yasmin hendak mengirim kunci publiknya kepada

Saman. Tetapi saat kunci itu dikirim lewat jaringan publik, Pencuri mencuri

kunci publik Yasmin. Kemudian Pencuri menyerahkan kunci publiknya

kepada Saman, dan mengatakan kepada Saman bahwa kunci itu adalah kunci

publik milik Yasmin. Saman, yang tidak pernah memegang kunci publik

Yasmin yang asli, percaya saja saat menerima kunci publik milik Pencuri

tersebut. Ketika Yasmin hendak mengirim dokumen yang telah

ditandatangani dengan kunci privatnya kepada Saman, Pencuri sekali lagi

mencurinya. Tanda tangan Yasmin pada dokumen itu lalu dihapus, kemudian

Pencuri tersebut membubuhkan tanda tangannya dengan kunci privatnya.

Pencuri kemudian mengirim dokumen itu kepada Saman sambil mengatakan

bahwa dokumen ini berasal dari Yasmin dan ditandatangani oleh Yasmin.

Saman kemudian memeriksa tanda tangan tersebut dan mendapatkan bahwa

tanda tangan itu sah dari Yasmin. Hal ini tentu saja terlihat sah karena

Saman memeriksa dokumen yang diterimanya tersebut dengan kunci publik

Pencuri dan bukan dengan kunci publik Yasmin.

Page 27: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Untuk mengatasi masalah keamanan pendistribusian kunci publik, kunci

publik itu direkatkan pada suatu sertifikat digital [WIB98]. Sertifikat digital

selain berisi kunci publik juga berisi informasi lengkap mengenai jati diri

pemilik kunci tersebut seperti KTP. Informasi tersebut antara lain nomor

seri, nama pemilik, kode negara/perusahaan, masa berlaku dan sebagainya.

Sama halnya dengan KTP, sertifikat digital juga ditandatangani secara

digital oleh lembaga yang mengeluarkannya, yakni otoritas sertifikat (OS)

atau certificate authority. Dengan menggunakan kunci publik dari suatu

sertifikat digital, pemeriksa tanda tangan dapat merasa yakin bahwa kunci

publik itu memang berkorelasi dengan seseorang yang namanya tercantum

dalam sertifikat digital itu.

Untuk mendapatkan gambaran yang lebih baik tentang tanda tangan dan

sertifikat digital secara lebih baik, perhatikan ilustrasi dibawah ini.

Kunci publik Bob

Bob

Kunci private Bob

Bob mempunyai dua kunci. Satu kunci milik Bob disebut kunci publik dan

kunci lainnya disebut kunci privat. Dalam pekerjaannya Bob mempunyai tiga

kolega, yaitu Pat, Doug, dan Susan [YOU96].

Pat

Doug

Susan

Setiap orang dapat memiliki kunci

publik Bob, tapi Bob menyimpan

kunci privatnya untuk dirinya sendiri

Kunci publik Bob dapat dimiliki oleh semua orang yang membutuhkannya,

tetapi Bob menyimpan kunci privatnya untuk dirinya sendiri. Kunci-kunci ini © 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

23

Page 28: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

digunakan untuk mengenkrip informasi. Informasi yang dienkripsi artinya

”scramble it up” (mengacaknya sehingga sulit dibaca), sehingga hanya orang

yang memiliki kunci yang sesuai saja yang dapat membuatnya dapat dibaca

kembali. Salah satu dari kunci-kunci yang dimiliki oleh Bob dapat

mengenkrip data, dan kunci yang lain dapat menndekrip data tersebut.

Susan, seperti yang ditunjukkan pada gambar di bawah ini, dapat

mengenkripsi pesan dengan menggunakan publik key milik Bob. Bob

menggunakan kunci privatnya untuk mendekrip pesan tersebut. Tak ada

satupun kolega Bob yang lain yang dapat mengakses pesan Susan yang

terenkripsi. Karenanya tanpa kunci privat Bob data tersebut tidak berarti

apa-apa.

“Hey Bob, how

about lunch at

Taco Bell. I hear

they have free

refills!"

HNFmsEm6Un

BejhhyCGKOK

JUxhiygSBCEiC

0QYIh/Hn3xgiK

BcyLK1UcYiY

lxx2lCFHDC/A

HNFmsEm6Un

BejhhyCGKOK

JUxhiygSBCEiC

0QYIh/Hn3xgiK

BcyLK1UcYiY

lxx2lCFHDC/A

“Hey Bob, how

about lunch at

Taco Bell. I hear

they have free

refills!"

Dengan kunci privat dan perangkat lunak yang sesuai, Bob dapat meletakkan

tanda tangan digital dalam dokumen atau data-data yang lain. Tanda tangan

digital adalah perangko yang diletakkan oleh Bob di data. Tanda tangan

digital ini unik untuk Bob dan sulit untuk dipalsukan. Tambahan lagi, tanda

tangan digital tersebut meyakinkan bahwa setiap perubahan yang dibuat

terhadap data yang telah ditandatangani tidak dapat dikirim tanpa

terdeteksi [YOU96].

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

24

Page 29: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Tanda tangan digital memanfaatkan fungsi hash satu arah untuk menjamin

tanda tangan itu hanya berlaku untuk dokumen yang bersangkutan [YOU96]

[WIB98] [KRU03]. Tetapi bukan dokumen tersebut secara keseluruhan yang

ditandatangani. Biasanya yang ditandatangani hanyalah sidik jari dari

dokumen itu beserta timestampnya, dengan menggunakan kunci privat.

Timestamp berguna untuk menentukan waktu pengesahan dokumen.

Untuk menandatangani sebuah dokumen, perangkat lunak yang

digunakan oleh Bob akan meremukkan data hanya menjadi

beberapa baris melalui sebuah proses yang disebut hashing.

Beberapa baris data ini disebut message digest. Tidak mungkin

untuk mengubah sebuah message digest kembali ke bentuk data

asalnya.

Karakteristik yang dimiliki oleh message digest adalah sebagai berikut

[KRU03]:

1. Fungsi hash yang digunakan dalam pembuatan tanda tangan digital

merupakan fungsi hash satu arah, artinya message digest yang telah

dibuat tidak dapat dikembalikan ke bentuk asalnya.

2. Dua file yang berbeda tidak mungkin mempunyai message digest yang

sama.

3. Jika diberikan sebuah file dan message digest yang sesuai, maka tidak

mungkin untuk menemukan file lain dengan message digest yang sama.

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

25

Page 30: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

4. Message digest seharusnya dibentuk dengan menggunakan semua data

dari file aslinya.

Perangkat lunak yang digunakan oleh Bob kemudian mengenkripsi message

digest dengan menggunakan kunci privat Bob. Hasil enkripsi ini adalah tanda

tangan digital.

Akhirnya perangkat lunak yang digunakan oleh Bob membubuhkan tanda

tangan digital tersebut ke dokumen. Semua data yang dihash telah

ditandatangani.

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

26

Page 31: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Sekarang Bob mengirimkan dokumen tersebut ke Pat.

Pertama, perangkat lunak yang digunakan oleh Pat mendekrip

tanda tangan digital (dengan menggunakan kunci publik Bob)

sehingga mengubahnya kembali menjadi sebuah message

digest. Jika hal ini berhasil maka ini akan menjadi bukti bahwa

Bob yang menandatangani dokumen tersebut, karena hanya Bob

yang memiliki kunci privatnya. Perangkat lunak Pat selanjutnya

menghash data dokumen tersebut menjadi sebuah message

digest. Jika message digest yang dihasilkan dari proses ini sama

dengan message digest yang dihasilkan dari proses dekripsi

tanda tangan digital maka Pat mengetahui bahwa data yang

telah ditandatangi tersebut belum berubah (asli dikirim oleh

Bob).

Singkatnya, keabsahan tanda tangan digital itu dapat diperiksa oleh Pat.

Pertama-tama Pat membuat lagi sidik jari dari pesan yang diterimanya. Lalu

Pat mendekrip tanda tangan digital Bob untuk mendapatkan sidik jari yang

asli. Pat lantas membandingkan kedua sidik jari tersebut. Jika kedua sidik

jari tersebut sama, dapat diyakini bahwa pesan tersebut ditandatangani

oleh Bob [WIB98].

Komplikasi Alur

Doug, kolega Bob yang tidak puas berharap untuk menipu atau

mencurangi Pat. Doug meyakinkan bahwa Pat menerima sebuah

pesan yang ditandatangani dan sebuah kunci publik yang mirip

seperti milik Bob. Tanpa diketahui oleh Pat, Doug dengan penuh

kecurangan mengirim sepasang kunci yang dia buat dengan

menggunakan nama Bob. Tak lama setelah menerima kunci

publik dari Bob secara pribadi, bagaimana Pat yakin bahwa

kunci publik Bob itu otentik?

Dari kasus di atas, untungnya ada Susan yang bekerja di pusat otoritas

sertifikat perusahaan. Susan dapat membuat sebuah sertifikat digital untuk

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

27

Page 32: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Bob dengan mudah. Hal ini dilakukan dengan menandai kunci publik Bob

dengan beberapa informasi tentang Bob.

Info Bob:

Nama

Departemen

Cubical Number

Info Sertifikat:

Expiration Date

Serial Number

Publik key Bob:

Sekarang kolega Bob dapat mengecek sertifikat Bob yang terpercaya untuk

meyakinkan bahwa kunci publik tersebut adalah bener-benar milik Bob.

Dalam kenyataannya, tak satupun orang dalam perusahaan Bob yang mau

menerima sebuah tanda tangan yang tidak dilengkapi sertifikat yang dibuat

oleh Susan. Hal ini membuat Susan memiliki kekuasaan untuk mencabut

tanda tangan jika kunci-kunci privat diketahui atau tak lagi dibutuhkan

meskipun ada certificate authority lain yang mengawasinya.

Bayangkan Bob mengirim sebuah dokumen yang ditandatangani kepada Pat.

Untuk memverifikasi tanda tangan yang ada dalam dokumen tersebut,

pertama perangkat lunak Pat menggunakan kunci publik Susan (certificate

authority) untuk mengecek tanda tangan pada sertifikat Bob. Keberhasilan

melakukan dekripsi sertifikat menandakan bahwa Susan yang membuat

sertifikat tersebut. Setelah sertifikat didekrip, perangkat lunak yang

digunakan oleh Pat dapat mengecek apakah Bob masih dijamin oleh

(berkorelasi dengan) certificate authority dan semua informasi sertifikat

tentang identitas Bob itu tidak diubah.

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

28

Page 33: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

Perangkat lunak yang digunakan Pat kemudian mengambil kunci publik Bob

dari sertifikat dan menggunakannya untuk mengecek tanda tangan Bob. Jika

kunci publik Bob berhasil mendekrip tanda tangan, maka Pat yakin bahwa

tanda tangan tersebut dibuat oleh kunci privat Bob. Artinya Susan telah

mensertifikasi kunci publik yang sesuai. Dan tentu saja, jika tanda tangan

tersebut valid, maka kita mengetahui bahwa Doug tidak mencoba untuk

mengubah isi dokumen yang telah ditandatangani tersebut.

Meskipun langkah-langkah yang dijelaskan di atas terlihat begitu rumit,

mereka dilakukan di belakang layar oleh perangkat lunak yang digunakan

oleh Pat. Untuk memverifikasi tanda tangan, Pat hanya perlu untuk

mengklik icon seperti yang tampak pada gambar di atas.

III.4 Sifat Tanda Tangan Digital

Berdasarkan penjelasan di atas dan rujukan yang kami peroleh dari [PRA98],

maka dapat diuraikan bahwa tanda tangan digital mempunyai beberapa sifat

berikut ini [WIB98]:

1. Otentik, tak bisa atau sulit ditulis atau ditiru oleh orang lain. Pesan dan

tanda tangan pesan tersebut juga dapat menjadi barang bukti, sehingga

penandatangan tak bisa menyangkal bahwa dulu ia tidak pernah

menandatanganinya.

2. Hanya sah untuk dokumen (pesan) itu saja atau salinannya yang sama

persis. Tanda tangan itu tidak bisa dipindahkan ke dokumen lainnya,

meskipun dokumen lain itu hanya berbeda sedikit. Ini juga berarti bahwa

jika dokumen itu diubah, tanda tangan digital dari pesan tersebut tidak

lagi sah.

3. Dapat diperiksa dengan mudah, termasuk oleh pihak-pihak yang belum

pernah bertatap muka langsung dengan penandatangan.

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

29

Page 34: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

30

Kini Internet tools versi terbaru dari Microsoft dan Netscape sudah

menyediakan fasilitas bagi penggunaan sertifikat digital pengguna. Dengan

Outlook Express dari Microsoft Internet Explorer 4.0 misalnya, kita bisa

memesan suatu sertifikat digital melalui menu Tools Options Security, lalu

mengklik [Get Digital ID...]. Sedangkan pada Netscape Communicator 4.0,

hal serupa dilakukan dengan menekan tombol Security pada toolbar, lalu

mengklik Certificate Yours, dan mengklik tombol [Get A Certificate...].

Sertifikat yang didapatkan itu kemudian disimpan di harddisk, dan diproteksi

dengan password. Patut dicatat bahwa teknologi kunci publik dan sertifikat

digital pada kedua produk ini juga digunakan untuk melakukan proses

merahasiakan/menyandikan data, sehingga tidak ada pihak ketiga yang bisa

membaca data yang sedang dikirimkan.

Sebenarnya perkakas terbaik yang digunakan untuk membuat tanda tangan

digital adalah smart card [WIB98]. Di dalam smart card tersimpan kunci

privat dan sertifikat digital, tetapi yang bisa dikeluarkan dari smart card

hanya sertifikat digital (untuk keperluan verifikasi tanda tangan). Sedangkan

kunci privat tidak bisa diintip oleh apapun dari luar smart card, karena

hanya dipakai untuk proses penandatanganan yang dilakukan di dalam smart

card.

III.5 Otoritas Sertifikat

Sertifikat digital diterbitkan oleh otoritas sertifikat (OS). Seseorang atau

suatu badan mendapatkan sertifikat digital jika sudah mendaftarkan diri

mereka kepada otoritas sertifikat. Otoritas sertifikat tidak hanya

menerbitkan sertifikat, tetapi juga memeriksa apakah suatu sertifikat digital

masih berlaku atau tidak. Otoritas sertifikat selain memiliki daftar sertifikat

digital yang telah diterbitkannya, juga memiliki daftar sertifikat yang

dibatalkan (certificate revocation list). Daftar sertifikat terbatalkan itu

berisi sertifikat-sertifikat apa saja yang sudah tidak berlaku lagi karena

tercuri, hilang atau ada perubahan identitas (misalnya perubahan alamat

surat elektronik dan alamat rumah). Setiap kali ada pihak yang ingin

memeriksa sertifikat digital, ia dapat menghubungi otoritas sertifikat secara

Page 35: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

31

online untuk memastikan bahwa sertifikat yang diterimanya masih berlaku

[WIB98].

Jika semakin banyak sertifikat yang dibatalkan, tentu otoritas sertifikat

akan terbebani dan akan memperlambat proses pemeriksaan sertifikat

digital yang ingin diuji keabsahannya. Oleh karena itu, dalam sertifikat

digital terdapat tanggal kadaluarsa. Sertifikat digital yang sudah melampaui

tanggal kadaluarsa akan dihapus dari dalam daftar sertifikat terbatalkan,

karena tidak ada pihak mana pun yang akan mau memeriksa sertifikat digital

yang sudah kadaluarsa.

Otoritas sertifikat juga bisa dibuat secara hierarki [WIB98]. Misalnya suatu

perusahaan memiliki 1000 pegawai yang tersebar di 10 propinsi. Jika setiap

pegawai harus mengurus sertifikat digitalnya sendiri-sendiri, tentu akan

sangat merepotkan. Tentu lebih baik kalau sistem administrator perusahaan

membuatkan sertifikat bagi para pegawai. Dalam kasus ini, sistem

administrator bertindak sebagai otoritas sertifikat.

Sebuah otoritas sertifikat publik di luar perusahaan, sebelumnya akan

memberikan ijin kepada sistem administrator perusahaan untuk menjadi

otoritas sertifikat. Dengan demikian, sebenarnya secara tidak langsung,

sertifikat digital setiap pegawai perusahaan tersebut ditandatangani oleh

otoritas sertifikat publik. Otoritas sertifikat publik yang memberikan ijin

kepada pihak lain untuk menjadi otoritas sertifikat sering disebut otoritas

sertifikat utama (root certificate authority).

Pada sistem perdagangan di Internet yang menggunakan sertifikat digital,

bagian rentan adalah keabsahan sertifikat milik otoritas sertifikat utama

yang didistribusikan kepada konsumen. Oleh karena itu umumnya sertifikat

digital milik OS utama (yang berisi kunci publik OS utama) dijadikan bagian

yang integral dalam program aplikasi. Kalau diperhatikan lebih jeli lagi,

sebenarnya yang penting adalah bagaimana pihak pengembang perangkat

Page 36: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

32

lunak bisa mendapatkan sertifikat digital milik OS utama yang terjamin

keasliannya.

VeriSign, sebuah otoritas sertifikat publik yang didirikan pada bulan Mei

1995, menyediakan sertifikat digital untuk produk-produk terkenal dari

Netscape dan Microsoft. Visa juga telah memilih VeriSign sebagai otoritas

sertifikat yang dipergunakannya dalam implementasi protokol Secure

Electronic Transaction (SET) yang dirancang oleh Visa dan MasterCard.

Namun pihak MasterCard dan American Express memilih GTE CyberTrust

sebagai otoritas sertifikat yang dipercaya. GTE memang memiliki

pengalaman 10 tahun dalam membuat sertifikat digital untuk pemerintah

federal Amerika Serikat. Berbeda dengan GTE, VeriSign lebih

mengkonsentrasikan dirinya pada pemberian sertifikat digital untuk individu

atau badan usaha umum.

III.6 Validitas Teknologi Kunci Publik

Sebenarnya, teknologi kunci publik yang mendasari tanda tangan digital dan

sertifikat digital tidaklah aman 100% [PRA98] [WIB98]. Secara teoritis

sebenarnya sertifikat digital dapat dipalsukan atau dicuri. Bahkan, ada

aksioma yang mengatakan bahwa tidak ada teknologi keamanan apapun

yang tidak bisa dijebol. Tapi ada dua faktor yang menjadi pertimbangan

mengapa berbagai teknologi keamanan (termasuk sertifikat digital) masih

digunakan, yaitu:

1. Kenyataan bahwa biaya yang dikeluarkan oleh pemalsu untuk

memecahkan kunci yang tepat relatif sangat tinggi.

2. Celah yang dapat dimanfaatkan untuk mencuri kunci sangat sempit

sehingga sulit dicari oleh pencuri.

Masalah kedua adalah bahwa teknologi berkembang sedemikian pesat, di

mana menurut hukum Moore, setiap 18 bulan, kemampuan komputer

berlipat dua kali lipat pada harga komputer yang sama. Hal ini berimplikasi

bahwa para pemalsu memiliki kemampuan memecah kunci dua kali lebih

cepat setiap 18 bulan. Pada implementasi komersilnya, dalam melakukan

Page 37: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

33

penandatanganan kita tidak bisa menggunakan kunci yang terlalu panjang

demi keamanan, karena akibatnya proses pemeriksaan terhadap tanda

tangan menjadi lama. Meskipun demikian, teknologi tanda tangan digital

tetap dapat dipakai karena waktu untuk membuat dan memeriksa tanda

tangan jauh lebih singkat daripada waktu memecahkan kunci secara ilegal.

Bruce Schneier dalam bukunya Applied Cryptography memberikan

rekomendasi untuk menentukan panjang kunci yang akan dipakai agar tidak

bisa dipalsukan sampai waktu tertentu.

Yang ketiga adalah kemungkinan munculnya teknologi revolusioner yang

tidak mengindahkan kaidah hukum Moore. Jika dapat dibuat sebuah

nanoprosesor pada skala molekuler (misalnya dengan DNA) atau skala

atomik, tentu terjadi waktu yang dibutuhkan para pemalsu untuk

memecahan kunci secara tidak legal menjadi sangat singkat, bahkan bisa

jauh lebih cepat daripada proses pemeriksaan tanda tangan dengan

menggunakan teknologi mikroprosesor. Hal ini akan membuat seluruh

perjanjian yang dibuat sebelumnya menjadi usang.

Page 38: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

34

Bab IV Implementasi Tanda Tangan Digital

Kita tidak pernah tahu, tetapi ini menjadi perhatian besar bagi kalangan

yang sangat peduli pada privasi. Kita mungkin tidak punya rencana jahat

atau skandal, tetapi jelas tidak ada yang senang dikuntit dan diintip. Privasi

dan keamanan juga menjadi perhatian bagi para aktivis. Di negara-negara

otoriter, orang-orang ini sering dianggap membahayakan pemerintah, dan

komunikasi mereka disadap. Para aktivis ini jelas tidak ingin pembicaraan

mereka diketahui oleh intel, karena membahayakan diri mereka. Untuk

orang-orang sadar privasi dan keamanan inilah teknologi enkripsi dan tanda

tangan digital menjadi pilihan [CEN03].

Dunia internet adalah dunia global dan transparan. Kedua sifat ini

mempunyai kelebihan dan kekurangannya masing-masing, salah satu akibat

dari transparan adalah privasi berkurang. Kini perlindungan terhadap privasi

di internet semakin meningkat baik secara teknikal maupun birokrasi.

Secara teknikal teknologi enkripsi semakin dikembangkan ke semua aplikasi

di internet. Laporan ini akan meninjau secara teknikal bagaimana kita

menjaga privasi dengan menggunakan enkripsi untuk aplikasi yang mungkin

tertua di internet, yaitu email.

IV.1 PGP: Pretty Good Privacy

Kembali pada contoh kasus Yasmin dan Saman di bab sebelumnya, Yasmin

dan Saman walaupun hanya tokoh di novel adalah contoh kalangan yang

sangat memerlukan teknologi ini. Dalam bab terakhir novel Saman itu,

Yasmin dan Saman berbalas email. Saat itu Saman menulis bahwa dia tidak

akan menuliskan informasi sensitif karena internet tidak aman dan mereka

bisa saja disadap oleh intel. Dia menyarankan Yasmin untuk menggunakan

Internet Services Provider (ISP) luar negeri atau menginstal program enkripsi

yang namanya Pretty Good Privacy (PGP).

Page 39: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

35

Ayu, sang penulis novel, sangat pantas menyebutkan nama program ini.

Karena saat kejadian dalam novel itu (1994) Pretty Good Privacy disingkat

PGP adalah program enkripsi yang paling terkenal yang bisa diperoleh

publik.

Saat itu Saman dan Yasmin berniat memakai PGP untuk Windows 3.11,

mungkin versi 2.6.3i Sekarang PGP sudah mencapai versi 8.0, dan tersedia

untuk semua versi sistem operasi Windows dalam versi freeware dan

komersial. Versi freewarenya dapat didownload di http://www.pgpi.org.

PGP juga tersedia untuk sistem operasi lain seperti keluarga Unix (Sun

Solaris, HP-UX, AIX, Linux) dan MacOS.

Untuk mempermudah penggunaan PGP dalam mengenkripsi dan memberi

tanda tangan digital, setelah diinstal PGP akan memasang plugin yang

terintegrasi dengan berbagai client email yang umum digunakan seperti

Microsoft Outlook, Outlook Express, Lotus Notes dan Qualcomm Eudora.

tombol-tombol untuk mengenkripsi dan menandatangani pesan akan muncul

di client email yang terkait.

Bila Anda ingin menggunakan client email selain yang disebutkan di atas,

Anda tidak perlu berkecil hati karena masih bisa menggunakan PGP. Hanya

saja, Anda tidak dapat mengenkripsi langsung dari dalam client email yang

Anda gunakan [CEN03].

IV.2 Sejarah PGP

Satu cara berkomunikasi melalui email dengan menjaga privasi adalah

mengenkripsi (mengacak atau mengsandikan) isi email kita dan hanya bisa

dibuka oleh penerima yang berhak. Implementasi enkripsi dalam email ini

dipelopori oleh Philip R. Zimmermann pada tahun 1991.

Zimmermann menulis program enkripsi email dengan nama Pretty Good

Privacy (PGP) dan disebar ke internet secara freeware. Pemerintah Amerika

mempunyai undang-undang yang melarang ekspor teknologi enkripsi atau

Page 40: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

36

kriptografi, sehingga selama 3 tahun Zimmermann diinvestigasi pemerintah

karena dianggap mengekspor teknologi ini dengan menyebarluaskan

perangkat lunaknya secara freeware.

Selama proses investigasi tersebut PGP telah menyebar ke seluruh dunia

sampai tahun 1996 pemerintah Amerika menutup kasus tersebut.

Zimmermann kemudian membuat perusahaan dengan nama PGP Inc. yang

kemudian perusahaan ini diakuisisi oleh Network Associates (NAI) bulan

Desember 1997. Selanjutnya NAI melanjutkan pengembangan produk PGP

untuk komersial dan freeware. Januari 2001 Zimmermann meninggalkan NAI

dan beraliansi dengan OpenPGP.

OpenPGP menjadi protokol enkripsi standar terbuka terhadap PGP versi NAI.

Working-group OpenPGP terus berusaha mendapatkan kualifikasi OpenPGP

sebagai standar internet yang didefinisikan oleh Internet Engineering Task

Force (IETF). Setiap standar internet dibuat sebuah dokumen yang

dipublikasikan secara umum dengan nama Request for Comments (RFC).

OpenPGP masuk dalam daftar RFC dengan nomor RFC2440. Saat ini OpenPGP

berhasil masuk ke tahap kedua dar 4 tahap standar RFC untuk menjadi RFC

yang bersifat draft standar.

IV.3 Bagaimana PGP bekerja?

PGP menggunakan sistem pasangan kunci privat dan kunci publik [HEN01]

[CEN03]. Kunci privat merupakan kunci yang dipegang oleh penggunanya dan

tidak boleh diketahui orang lain, sedangkan kunci publik ditujukan untuk

publik terutama orang yang akan menerima pesan enkripsi dari seseorang.

Enkripsi yang digunakan dalam PGP menggunakan algoritma tertentu. Saat

ini PGP menggunakan algoritma enkripsi CAST, AES, 3DES, dan Twofish.

Proses sederhananya adalah anda mengenkripsi pesan dengan kunci publik

rekan anda dan kemudian rekan anda membuka pesan terenkripsi dengan

kunci privatnya. Proses enkripsi cukup memakan waktu dan utilitas CPU,

dengan PGP dan algoritma ekripsinya proses ini bisa lebih cepat karena cara

Page 41: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

37

PGP mengenkripsi pesan dengan menggunakan kunci publik penerima dan

mengenkripsi sebuah kunci pendek untuk mengenkripsi seluruh pesan

[HEN01]. Pesan terenkripsi dengan kunci pendek ini dikirim ke penerima.

Penerima akan men-decrypt pesan dengan menggunakan kunci privatnya

untuk mendapatkan kunci pendek tadi dan digunakan untuk men-decrypt

seluruh pesan.

PGP lahir dua versi kunci publik yaitu Rivest-Shamir-Adleman (RSA) yang

dikembangkan sejak 1977 dan Diffie-Hellman. Versi pertama menggunakan

algoritma IDEA (International Data Enkripsiion Algorithm) yang

dikembangkan di Zurich untuk men-generate kunci pendek dan mengenkripsi

seluruh pesan kemudian mengenkripsi kunci pendek tersebut dengan

algoritma RSA. Sedangkan versi kedua menggunakan algoritma CAST untuk

men-generate kunci pendek dari seluruh pesan untuk meg-enkripsinya

kemudian menggunakan algoritma Diffie-Hellman untuk mengenkripsi kunci

pendek tersebut.

Selain faktor pasangan kunci dan algoritma di atas PGP mempunyai satu lagi

fasilitas untuk menyatakan keabsahan dari kunci dan pesan yang terenkripsi

yaitu sebuah digital signature (tanda tangan digital) [CEN01]. PGP

menggunakan algoritma yang efisien untuk men-generate kode hash (kode

yang menyatakan integritas sebuah data) dari informasi nama dan informasi

lainnya. Hash yang dihasilkan kemudian di-enkripsi dengan kunci privat.

Penerima kemudian akan menggunakan kunci publik pengirim untuk men-

decrypt kode hash. Jika cocok maka kode hash tadi menjadi tanda tangan

digital untuk pesan tersebut, sehingga penerima yakin bahwa pesan tersebut

dikirim oleh pengirim yang diketahui. PGP versi RSA menggunakan algoritma

MD5 (Message Digest 5, 128bit) untuk menggenerate kode hash sedangkan

versi Diffie-Hellman menggunakan algoritma SHA-1.

IV.4 GPG: Gnu Privacy Guard

GPG digunakan sebagai pengganti PGP yang pernah mengalami masalah

dengan pemerintah AS dan masalah paten. Saat ini kedua masalah tersebut

Page 42: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

38

tidak ada lagi, namun GPG masih terus dikembangkan. Karena dirancang

sebagai penggantinya, GPG sepenuhnya kompatibel dengan PGP. GPG

mendukung berbagai algoritma enkripsi, seperti ElGamal (tanda tangan

digital dan enkripsi), DSA, RSA, AES, 3DES, Blowfish, Twofish, CAST5, MD5,

SHA-1, RIPE-MD-160 and TIGER. IDEA tidak didukung oleh GPG karena

masalah paten.

GnuPG adalah perangkat lunak enkripsi email pengganti PGP yang lengkap

dan bebas [CEN03]. Bebas karena tidak menggunakan algoritma enkripsi

yang telah dipatenkan sehingga bisa dipakai oleh siapa saja tanpa batasan.

GnuPG memenuhi spesifikasi OpenPGP RFC2440. Beberapa fitur yang

ditawarkan GnuPG adalah [CEN03]:

• Penggantian penuh terhadap pemakaian PGP

• Tidak menggunakan algoritma yang telah dipatenkan

• Bebas, berlisensi GNU dan ditulis dari awal (from scratch)

• Fungsi yang lebih baik dibandingkan PGP

• Kompatibel dengan PGP versi 5 dan yang lebih tinggi

• Mendukung algoritma ElGamal (tanda tangan dan enkripsi), DSA, RSA,

AES, 3DES, Blowfish, Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 and

TIGER.

• Mudah diimplementasikan jika ada algoritma baru (penggunaan

extension modules)

• Menggunakan format standar untuk identitas pengguna

• Banyak bahasa yang sudah mentranslasikan

• Mudah diimplementasikan dengan menggunakan algoritma baru

dengan perluasan modul-modul

• Terintegrasi dengan HKP keyservers (www.keys.pgp.net)

GnuPG bekerja sempurna di atas sistem operasi Linux dengan platform x86,

mips, alpha, sparc64 ataupun powerpc. Sistem operasi lain dengan platform

x86 yang juga bekerja adalah FreeBSD, OpenBSD, NetBSD dan bahkan

Microsoft Windows dan MacOS X. Platform lain dengan sistem operasi selain

Page 43: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

39

Linux masih dalam pengembangan. Utilitas ini dapat didownload di

http://www.gnupg.org/.

GPG adalah utilitas yang menggunakan command line. Pengguna yang lebih

suka menggunakan antarmuka grafis lebih baik melirik PGP, atau mencari

aplikasi lain yang menggunakan GUI sebagai front-end GPG. Distribusi

(Distro) Linux biasanya menyertakan GPG, walaupun mungkin tidak diinstal

tidak secara default.

GnuPG dibuat oleh tim GnuPG yang terdiri dari Matthew Skala, Michael

Roth, Niklas Hernaeus, R Guyomarch and Werner Koch. Gael Queri, Gregory

Steuck, Janusz A. Urbanowicz, Marco d'Itri, Thiago Jung Bauermann, Urko

Lusa and Walter Koch yang membuat translasi resmi dan Mike Ashley yang

mengerjakan GNU Privacy Handbook.

Berikut proses instalasi dari source code di atas distribusi Linux Mandrake

8.0. Distribusi Mandrake sebenarnya sudah mempunyai paket GnuPG versi

1.0.4. Anda disarankan mengupgrade ke versi 1.0.6 dengan dua cara yaitu

mendownload versi RPM di ftp://rpmfind.net/linux/Mandrake/updates/8.0/RPMS/gnupg-1.0.6-

1.1mdk.i586.rpm atau mengikuti penjelasan berikut dengan mengcompile

versi terakhir dari sourcenya (jangan lupa compiler gcc, header/library gcc

dan header Linux sudah anda install). Ambil source code dari situs resmi

GnuPG: ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.0.6.tar.gz

Ekstrak source code GnuPG:

$ tar -zxvf gnupg-1.0.6.tar.gz

$ cd gnupg-1.0.6

$ ./configure --prefix=/usr --enable-m-guard

Di sini prefix kita arahkan ke /usr untuk menyesuaikan dengan sistem file

standar.

$ make

Page 44: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

40

$ make check

$ su

# make install

Kini GnuPG siap kita pakai.

IV.4.1 Membuat Kunci

Syarat pertama dalam menggunakan GnuPG adalah membuat pasangan kunci

privat dan publik. Lakukan dengan cara:

$ gpg --gen-key

Ulangi sekali lagi karena GnuPG membutuhkan direktori konfigurasi di

~/.gnupg (langkah di atas hanya membuat direktori dan konfigurasi awal

GnuPG)

$ gpg --gen-key

gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Perangkat lunak

Foundation, Inc.

This program comes with ABSOLUTELY NO WARRANTY.

This is free perangkat lunak, and you are welcome to

redistribute it

under certain conditions. See the file COPYING for details.

gpg: /home/jay/.gnupg/secring.gpg: keyring created

gpg: /home/jay/.gnupg/pubring.gpg: keyring created

Please select what kind of key you want:

(1) DSA and ElGamal (default)

(2) DSA (sign only)

(4) ElGamal (sign and enkripsi)

Your selection?

Langkah pertama ini adalah pemilihan algoritma, anda bisa memilih pilihan

1 atau 4, pilihan 2 hanya tanda tangan tanpa enkripsi. Kita ambil default

pilihan 1.

DSA keypair will have 1024 bits.

About to generate a new ELG-E keypair.

Page 45: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

41

minimum keysize is 768 bits

default keysize is 1024 bits

highest suggested keysize is 2048 bits

What keysize do you want? (1024)

Langkah kedua ini adalah pemilihan tingkat enkripsi yang kita pakai. Kita

ambil default 1024bit.

Requested keysize is 1024 bits

Please specify how long the key should be valid.

0 = key does not expire

<n> = key expires in n days

<n>w = key expires in n weeks

<n>m = key expires in n months

<n>y = key expires in n years

Key is valid for? (0)

Langkah ketiga adalah pengisian sampai berapa lama kunci yang kita buat

berlaku. Anda bisa memilih pilihan di atas, misalnya kita pilih berlaku untuk

satu tahun, isi dengan 1y.

Key expires at Sat 07 Sep 2002 02:00:20 AM JAVT

Is this correct (y/n)?

Jawab ya, jika tidak GnuPG akan menanyakan kembali pilihan di atas.

You need a User-ID to identify your key; the perangkat lunak

constructs the user id

from Real Name, Comment and Email Address in this form:

"Heinrich Heine (Der Dichter) <[email protected]>"

Real name:

Email address:

Comment:

Page 46: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

42

Langkah keempat adalah mengisi infomasi identitas kita. Bagian comment

bisa anda isi atau tidak, menunjukkan informasi tambahan misalnya institusi

tempat anda sekolah/bekerja.

You selected this USER-ID: "Yulian F. Hendriyana

<[email protected]>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Tekan O jika sudah benar.

You need a Passphrase to protect your secret key.

Enter passphrase:

Passphrase adalah password kunci privat yang sedang dibuat. Berguna

untuk melindungi kunci privat jika diketahui orang lain [CEN03].

We need to generate a lot of random bytes. It is a good idea

to perform some other

action (type on the keyboard, move the mouse, utilize the

disks) during the prime

generation; this gives the random number generator a better

chance to gain enough

entropy.

Pada saat GnuPG membuat kunci dibutuhkan entropi sistem yang sangat

banyak untuk membuat kombinasi kunci yang aman. Untuk menambah

entropi di sistem gerakan mouse atau mengetik di keyboard secara cepat

dan random.

public and secret key created and signed.

Terakhir adalah pesan dari GnuPG bahwa kunci privat dan publik telah

selesai dibuat dan ditandatangani.

IV.4.2 Model Konsol

GnuPG didesain sebagai fungsi back end, artinya dia berjalan di mode konsol

dan sudah siap dipakai oleh perangkat lunak lain sebagai front end [CEN03].

Berikut beberapa dasar perintah dalam GnuPG yang berkaitan dengan

pertukaran kunci dan mengenkrip atau mendekrip.

Page 47: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

43

Melihat daftar kunci:

$ gpg --list-key

/home/jay/.gnupg/pubring.gpg

---------------------------------

pub 1024D/53E6DD86 2001-09-06 Yulian F. Hendriyana

<[email protected]>

sub 1024g/5E9C96E3 2001-09-06 [expires: 2002-09-06]

Mengekspor kunci publik dan disimpan menjadi sebuah file teks biasa.

$ gpg -a --export

$ gpg -a --export > gpgpub-key.asc

Kini anda sudah bisa mempublikasikan kunci publik (misalnya dipublikasikan

di home page personal) atau dikirim melalui email ke rekan anda yang

menggunakan PGP, juga anda bisa mengirimkannya ke keyserver

wwwkeys.pgp.net.

$ gpg --keyserver wwwkeys.pgp.net --send-keys

Mengimport kunci publik rekan anda. Misalnya anda mendapat kunci publik

dalam sebuah file teks bernama gpgpub-firman.asc

$ gpg --import gpgpub-firman.asc

gpg: key 49B688BF: public key imported

gpg: /home/jay/.gnupg/trustdb.gpg: trustdb created

gpg: Total number processed: 1

gpg: imported: 1

Kini kita dapat berkorespondensi dengan aman dengan rekan kita yang juga

telah mengimport kunci publik. Tanpa aplikasi front end kita bisa mengirim

pesan dalam bentuk file teks, kemudian kita enkripsi dan dikirim melalui

email. Penerima akan membuka email dan menyimpannya ke dalam file dan

di-decrypt untuk bisa melihat pesan kita. Misalnya pesan kita tulis dalam file

pesan.txt untuk dikirim ke rekan kita.

Page 48: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

44

$ gpg -a -o pesan.gpg -e -r [email protected] pesan .txt

Anda tinggal mengirimkan file pesan.gpg melalui email. Rekan anda setelah

menyimpan ke dalam file bisa men-decrypt dengan cara:

$ gpg -a -d pesan.gpg

Selain pesan yang dienkripsi anda juga bisa menambahkan tanda tangan

(signature) terhadap pesan tersebut. Untuk kasus tertentu misalnya dalam

diskusi melalui mailing list anda cukup membubuhkan tandatangan saja.

Fitur lain bisa anda pelajari melalui manual GnuPG atau GnuPG Handbook

yang bisa anda dapatkan versi pdfnya di:

http://www.gnupg.org/gph/en/manual.pdf

Sekarang kita beralih ke aplikasi front end yang mendukung GnuPG.

IV.5 GUI untuk GPG

Jika Anda menginginkan antarmuka grafis untuk GPG pada sistem operasi

Windows, Anda bisa menggunakan Windows Privacy Tools (WinPT). Front

end GPG ini dapat diperoleh gratis di http://www.winpt.org. Untuk

menggunakan WinPT, Anda harus menyediakan komputer yang dilengkapi

dengan sistem operasi Windows 98/2000/XP/ME, memori sekurang-

kurangnya 128 Mb RAM, dan tempat kosong di harddisk sebesar 3,5 MB.

Tentu saja Anda harus memiliki email client untuk dapat memanfaatkan

plugin yang disediakan WinPT. Saat ini WinPT menyediakan plugin untuk

client email Eudora dari Qualcomm dan Outlook dari Microsoft. Antarmuka

grafis untuk GPG juga tersedia pada sistem operasi Linux. Para pemakai

yang menggunakan lingkungan desktop KDE bisa memilih KGPG (http://devel-

home.kde.org/) untuk mempermudah pemakaian GPG. Bila Anda lebih

menyukai GNOME, antarmuka yang lebih tepat adalah Seahorse

(http://seahorse.sourceforge.net/)

Aplikasi email manapun dapat digunakan dengan GPG, namun yang paling

baik mendukung GPG di Linux di antaranya Exmh, Evolution, KMail dan

Slypheed untuk client email grafis, dan Mutt untuk client berbasis teks.

Page 49: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

45

Tapi, itu semua terpulang kepada pembaca yang budiman. Andalah yang

tahu kebutuhan Anda sendiri.

IV.6 Mail Client

Berikut adalah beberapa Mail User Agent (MUA) atau mail client yang

mendukung aplikasi GnuPG. Cara menggunakan mail client di bawah ini

hanya seputar informasi yang berkaitan dengan GnuPG. Silakan lihat manual

masing-masing MUA tentang cara menggunakannya.

IV.6.1 Mutt

Mutt mempunyai konfigurasi global di /etc/Muttrc, anda bisa mengcopy

file ini ke homedir anda menjadi .muttrc dan mengeditnya atau anda bisa

mendownload konfigurasi mutt buatan Ronny Haryanto di

http://ronny.haryan.to/muttrc. Untuk fungsi GnuPG anda tinggal

menambahkan konfigurasi berikut ke dalam .muttrc anda.

set pgp_decode_command="gpg %?p?--passphrase-fd 0? --no-

verbose --batch \

--output - %f"

set pgp_verify_command="gpg --no-verbose --batch --output - --

verify %s \

%f"

set pgp_decrypt_command="gpg --passphrase-fd 0 --no-verbose --

batch \

--output - %f"

set pgp_sign_command="gpg --no-verbose --batch --output - \

--passphrase-fd 0 --armor --detach-sign --textmode

%?a?-u %a? %f"

set pgp_clearsign_command="gpg --no-verbose --batch --output -

\

--passphrase-fd 0 --armor --textmode --clearsign %?a?-u

%a? %f"

set pgp_enkripsi_only_command="pgpewrap gpg -v --batch --

output - \

Page 50: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

46

--enkripsi --textmode --armor --always-trust -- -r %r -

- %f"

set pgp_enkripsi_sign_command="pgpewrap gpg --passphrase-fd 0

-v \

--batch --output - --enkripsi --sign %?a?-u %a? --armor

\

--always-trust -- -r %r -- %f"

set pgp_import_command="gpg --no-verbose --import -v %f"

set pgp_export_command="gpg --no-verbose --export --armor %r"

set pgp_verify_key_command="gpg --no-verbose --batch --

fingerprint \

--check-sigs %r"

set pgp_list_pubring_command="gpg --no-verbose --batch --with-

colons \

--list-keys %r"

set pgp_list_secring_command="gpg --no-verbose --batch --with-

colons \

--list-secret-keys %r"

set pgp_getkeys_command="gpg --no-verbose --keyserver

wwwkeys.pgp.net \

--recv-keys %r"

Untuk mengirim email yang ditandatangan atau di-enkripsi anda cukup

membuat mail seperti biasa dan pada saat sebelum dikirim (menekan

tombol y sebelum yakin akan dikirim) ada pilihan untuk menambahkan

enkripsi. Defaultnya dengan menekan tombol p (lihat screenshot), akan

keluar pilihan:

(e)ncrypt, (s)ign, sign (a)s, (b)oth, or (f)orget it?

Anda bisa menekan e untuk mengenkripsi pesan, s untuk menandatangai, a

untuk menandatangani dengan pengguna lain (jika anda mempunya dua atau

lebih identitas atau pasangan kunci GnuPG), b untuk menandatangani dan

mengenkripsi dan f untuk batal. Jika anda menekan b (sign and enkripsi)

maka salah satu tampilan informasi di layar akan berubah menjadi:

Page 51: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

47

PGP: Sign, Enkripsi

sign as: <default>

Selanjutnya mutt akan memilih kunci publik yang sesuai (mutt akan melihat

identitas pengguna yang sama dengan identitas pengguna GnuPG dari kunci

publik yang ada di dalam daftar). Sewaktu dikirim mutt akan meminta kita

memasukkan passphrase dan kemudian mengirim email tersebut.

Rekan kita jika menggunakan mutt juga pada saat membaca email secara

otomatis mutt akan men-decrypt pesan yang kita kirim setelah penerima

mengisi passphrase yang diminta oleh mutt. Contoh pesan yang telah di-

decrypt akan keluar di mutt seperti ini:

[-- PGP output follows (current time: Fri 07 Sep 2001 03:18:53

AM JAVT) --]

gpg: Tanda tangan made Thu 06 Sep 2001 10:04:34 PM JAVT using

DSA key ID B399F52B

gpg: Good tanda tangan from "Yulian F. Hendriyana

<[email protected]>"

[-- End of PGP output --]

[-- The following data is signed --]

IV.6.2 Kmail

Kmail merupakan MUA yang terintegrasi dengan desktop manager KDE.

Dalam tugas ini penulis menggunakan Kmail dari KDE 2.2 yang terbaru. Di

sini tidak akan dijelaskan lebih detail karena frontend grafis Kmail mudah

dimengerti, berikut screenshot yang bisa menjadi contoh gambarannya

[CEN03].

1. Menambahkan identitas user GnuPG pada konfigurasi identitas Kmail. Isi

pada bagian Identity di bagian kolom PGP User Identity.

2. Pada bagian Security tab PGP check list bagian Enkripsiion tool. Bisa

anda gunakan Auto-detect atau GPG - Gnu Privacy Guard

3. Pada waktu mengirim surat ada tombol bergambar kunci. Tekan jika

akan mengirim pesan yang di-enkripsi dengan GnuPG.

4. Kemudian anda diminta mengisi passphrase.

Page 52: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

48

5. Jika alamat email tujuan tidak termasuk dalam daftar kunci publik maka

Kmail akan mengeluarkan dialog kepada User ID yang mana email

tersebut akan di-enkripsi.

6. Jika anda mengaktifkan Show chipered/signed text after composing di

penjelasan nomor 2 di atas maka Kmail akan menampilkan konfirmasi

email yang di-enkripsi.

Untuk membaca email yang di-enkripsi akan lebih mudah karena kita cukup

mengisi passphrase ketika email yang terenkripsi kita buka.

IV.6.3 Sylpheed

Sylpheed adalah MUA GUI yang berbasis GTK+, dibuat oleh Hiroyuki

Yamamoto. Sylpheed dibuat dengan tujuan [CEN03]:

• Respon yang cepat

• Interface yang canggih

• Mudah dikonfigurasi

• Fitur yang banyak

Untuk mengcompile Sylpheed dibutuhkan paket GTK+ 1.2.6 atau lebih tinggi

dan untuk mendukung GnuPG membutuhkan aplikasi GPGME (GnuPG Made

Easy) yang merupakan library GnuPG untuk aplikasi lain dalam memudahkan

akses program ke GnuPG. GPGME bisa anda download di:

ftp://ftp.gnupg.org/gcrypt/alpha/gpgme/

Sedangkan Sylpheed dapat anda download di:

http://sylpheed.good-day.net/sylpheed/sylpheed-0.6.1.tar.bz2

Catatan: GPGME saat ini masih belum dinyatakan stabil oleh pembuatnya.

Proses instalasi GPGME:

$ tar -zxvf gpgme-0.2.2.tar.gz

$ cd gpgme-0.2.2

$ ./configure --prefix=/usr

$ make

Page 53: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

49

$ make check

$ su

# make install

Kemudian lanjutkan dengan kompilasi Sylpheed

$ tar -yxvf sylpheed-0.6.1.tar.bz2

$ cd sylpheed-0.6.1

$ ./configure --prefix=/usr --enable-gpgme --enable-ssl

Pilihan enable-ssl bisa anda aktifkan jika menginginkan dukungan SSL untuk

koneksi POP3 atau IMAP.

$ make

$ su

# make install

Kini anda siap menggunakan MUA Sylpheed, di KDE anda tinggal menekan

tombol Alt-F2 dan mengisi sylpheed untuk menjalankannya. Berikut

penjelasan beserta screenshotnya:

1. Di dalam Common Preferences bagian Privacy anda akan mendapat

pilihan enkripsi sign dan enkripsi.

2. Jika anda mempunyai beberapa identitas atau account email lebih dari

satu Sylpheed mempunyai pilihan masing-masing untuk setiap account.

3. Untuk mengirim pesan terenkripsi sewaktu mengedit email klik pilihan

Message, di sini anda akan mendapatkan pilihan apakah pesan akan

ditandatangani atau di-enkripsi atau kedua-duanya.

Setelah mengklik tombol Send Sylpheed akan meminta anda memasukkan

passphrase.

4. Kemudian Sylpheed akan meminta konfirmasi anda kunci publik penerima

yang akan dipakai, kemudian Sylpheed akan mengirimkan email.

5. Sama seperti MUA lainnya pada saat Sylpheed membaca email yang di-

enkripsi akan muncul dialog untuk memasukkan passphrase, berikut

contoh email yang telah sukses di-decrypt, ada dua baris informasi

attachment dan informasi tandatangan pengirim.

Page 54: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

50

IV.6.4 Utility GnPG

Untuk memudahkan mengadministrasi daftar kunci publik ada aplikasi

frontend GUI untuk GnuPG ini yang bernama GPA (GNU Privacy Assistant).

GPA bisa anda download di:

ftp://ftp.gnupg.org/gcrypt/alpha/gpa/gpa-0.4.1.tar.gz

Berikut contoh screenshot GPA, dengan perangkat lunak ini anda akan

mendapat kemudahan yang lebih dalam mengimpor, mengekspor kunci

publik melalui file ataupun keyserver.

Page 55: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

51

Bab V Penutup

V. 1. Kesimpulan

Beberapa kesimpulan yang dapat diambil dari tugas ini adalah:

1. Untuk memproteksi dokumen atau email yang kira kirim dapat

menggunakan tanda tangan digital.

2. Tanda tangan digital menggunakan teknologi kunci publik dan kunci

privat dan dalam peorses enkripsinya menggunakan fungsi hash satu arah

untuk menghasilkan message digest yang tidak dapat di kembalikan ke

dokumen asalnya. Sifat message digest ini berbeda untuk setiap dokumen

yang dienkrip.

3. Untuk mengatasi masalah pendistribusian kunci publik dapat digunakan

sertifikat digital yang ditambahkan dalam dokumen yang dikirim.

4. Penggunaan email dengan menyertakan tanda tangan digital dapat

dilakukan dengan murah, praktis, dan cepat. Pengguna tinggal

menggunakan GPG yang merupakan perangkat lunak freeware untuk

menghasilkan tanda tangan digital.

5. Penggunaan GPG yang praktis dan dapat didownload gratis ini sangat

bermanfaat untuk digunakan oleh UKM-UKM yang notabener mempunyai

kemampuan finansial yang terbatas, khususnya untuk membeli perangkat

lunak yang berlisensi.

V. 2. Saran

Beberapa saran yang dapat diberikan adalah:

1. Masalah keamanan pengiriman email/dokumen harus selalu

disosialisasikan kepada masyarakat, khussunya pengguna internet.

2. Penggunaan GPG dan perangkat lunak email client yang mendukungnya

perlu lebih disosialisasikan kepada masyarakat terutama kepada UKM

karena kemudahan dan kepraktisannya dalam membuat tanda tangan

digital dan memproteksi email yang dikirim.

Page 56: Penggunaan Tanda Tangan Digital untuk Pengamanan ...opensource.telkomspeedy.com/repo/abba/v06/Kuliah/MTI-Keamanan... · Memalsukan pesan yangterlihat asli, jadi seolah-olah sebuah

© 2005 Kelompok 122_m_final_revisl_IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

52

Daftar Pustaka

[CEN03] Cengka, G. N., PGP & GPG: Agar Tidak disadap Intel, Tren Digit@l,

No. 7/2003,

http://www.trendigital.com/12102003/TrenInternet/TrenInternet

.htm, diakses: 19 Desember 2005.

[DIR04] Tanda Tangan Digital: Catatan Pendek Tentang TI untuk

Organisasi Kecil dan Pemakai di Rumah, Februari 2004,

http://direktif.web.id/arc/2004/02/tanda-tangan-digital.

Diakses: 19 Desember 2005

[HEN01] Hendriyana, Y. F., GNU Privacy Guard,

http://yulian.firdaus.or.id/gnupg.php, diakses tanggal 21

Desember 2005.

[JUL02] Juliasari, N., Penerapan Teknik Enkripsi Blok dan RC4 Stream

Cipher pada Database Nasabah Koperasi, Budi Luhur, 2002.

[KRU03] Krutz, R. L., Vines, R. D., The CISSP Prep Guide Gold Edition,

Wiley, 2003.

[WIB98] Wibowo, A. M., Mengenal Tanda Tangan dan Sertifikat Digital,

Infokomputer Online, Vol. II No. 6 Minggu Ketiga Juni 1998,

http://www.infokomputer.com/arsip/internet/0698/cakra/cakra

wa2.shtml, diakses tanggal 19 Desember 2005.

[PRA98] Prasetya, ISBW., Mengupas Rahasia Penyandian Informasi,

Infokomputer Online, Vol. II No. 6 Minggu Ketiga Juni 1998,

http://www.infokomputer.com/arsip/internet/0698/cakra/cakra

wa1.shtml, diakses tanggal 19 Desember 2005.

[YOU96] Youd, D. W., What is a Digital Signature?,

http://www.youdzone.com/signature.html, diakses: 21 Desember

2005.