1

Keamanan Informasi, Kriptogragfi, dan Steganografi

Oleh: Dr. Rinaldi Munir

Kelompok Keilmuan InformatikaSekolah Teknik Elektro dan Informatika ITB

Kuliah Umum di Universitas Islam Negeri Sultan Syarif Qasim,

Kamis, 2 Juni 2016

2

Sekolah Teknik Informatika dan Elektro ITB

UIN Susqa

Prolog3

4

Pernah terima surel (e-mail) dari orang

tak dikenal dan mengandung file attachmet

berupa gambar seperti di bawah ini?

HATI-HATI!!!!!!!!!

5HATI-HATI! Jangan langsung klik jika anda tidak yakin!

6

http://thehackernews.com/2015/06/Stegosploit-malware.html

Stegosploit

aplikasi

steganografi

Just look at the image and you are HACKED!

Salah satu tenik di dalam

information security

Keamanan Informasi

7

Apakah keamanan informasi itu?

The U.S. Government’s National Information Assurance

Glossary defines INFOSEC as:

“Protection of information systems against

unauthorized access to or modification of

information, whether in storage, processing or

transit, and against the denial of service to

authorized users or the provision of service to

unauthorized users, including those measures

necessary to detect, document, and counter such

threats.”

8

Sumber: Mark Zimmerman, Information Security

Intinya, Keamanan Informasi menggambarkan

usaha untuk melindungi:

- sistem komputer (HW/SW)

- peralatan non-komputer

- fasilitas

- data dan informasi

dari penyalahgunaan oleh orang yang tidak

bertanggung jawab (unauthorized party)

9

10

Klasifikasi Keamanan

Informasi [menurut David Icove]

Fisik (physical security)

Manusia (people /

personel security)

Data, media, teknik

komunikasi

Kebijakan dan prosedur

(policy and procedures)

Biasanya orang

terfokus kepada

masalah data,

media, teknik

komunikasi.

Padahal kebijakan

(policy) sangat

penting!

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

11

Network security

fokus kepada saluran (media) pembawa

informasi

Application security

fokus kepada aplikasinya sendiri, termasuk di

dalamnya adalah database

Computer security

fokus kepada keamanan dari komputer (end

system), termasuk operating system (OS)

Klasifikasi Berdasarkan Elemen

Sistem

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

12

www.bank.co.id

Internet

Web SiteUsers

ISP

Network

sniffed, attacked

Network

sniffed,

attacked

Network

sniffed,

attacked

Trojan horse - Applications

(database,

Web server)

hacked

-OS hacked

1. System (OS)

2. Network

3. Applications (db)

Holes

Userid, Password,

PIN, credit card #

Letak potensi lubang keamanan

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Tujuan Keamanan Informasi *)

Menyediakan layanan:

Privacy / confidentiality

Integrity

Authentication

Availability

Non-repudiation

Access control

13

*) William Stallings, Cryptography and Security

14

Privacy / confidentiality

Melindungi informasi yang sensitif dan bersifat privat

Nama, tempat tanggal lahir, agama, hobby, riwayat

kesehatan, status perkawinan, nama anggota keluarga,

nama orang tua, dll

Nilai mata kuliah, IPK, dll

Data pelanggan

PIN, Password, catatan keuangan, pajak, dll

Foto pribadi, video, arsip, file, soal ujian, dll

Serangan: sniffer (penyadap), keylogger (penyadap

kunci), social engineering, kebijakan yang tidak jelas

Proteksi: firewall, kriptografi, steganografi, policy

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

15

Integrity

Memastikan informasi tetap utuh,

tidak diubah/tidak dimodifikasi

Serangan:

Penerobosan pembatas akses,

spoofing (pemalsuan), virus

(mengubah berkas), trojan horse

Proteksi:

message authentication code

(MAC), digital signature, digital

certificate, hash function

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

16

Authentication

Meyakinkan keaslian data,

sumber data, orang yang mengakses

data, server yang digunakan Bagaimana mengenali nasabah bank pada

servis Internet Banking? Lack of physical contact

Menggunakan: 1. what you have (identity card)

2. what you know (password, PIN)

3. what you are (biometric identity)

Serangan: identitas palsu, passwordpalsu, terminal palsu, situs web palsu

Proteksi: digital certificates

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

17

Availability

Informasi harus dapat tersedia ketika dibutuhkan

Serangan terhadap server: dibuat hang, down, crash,

lambat

Serangan: Denial of Service (DoS) attack

Proteksi: backup, firewall untuk proteksi serangan

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

18

Non-repudiation

Tidak dapat menyangkal (telah melakukan

transaksi)

menggunakan digital signature / certificates

perlu pengaturan masalah hukum (bahwa digital

signature sama seperti tanda tangan

konvensional)

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

19

Access Control

Mekanisme untuk mengatur siapa boleh

melakukan apa

biasanya menggunakan password, token

adanya kelas / klasifikasi pengguna dan data,

misalnya:

Publik

Private

Confidential

Top Secret

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Malware, Adware, Spyware…

Malware: program berbahaya (malicious software) yang

tidak diinginkan, dapat merusak sistem komputer,

menghambat akses internet, bahkan mencuri informasi

rahasia seperti password dan PIN.

Jenis-jenis malware:

- virus komputer,

- trojan horse

- worm

- spyware

- adware20

Virus Komputer

Jenis malware yang menyerang file eksekusi (.exe atau

.com) yang akan menyerang dan menggandakan diri

ketika file exe/com yang terinfeksi dijalankan.

Menyebar dengan cara menyisipkan program dirinya

pada program atau dokumen yang ada dalam komputer.

21

Trojan Horse Program yang diam-diam masuk ke komputer kita

dengan cara melekat pada program lain. Tujuannya

untuk merusak sistem, memungkinkan orang lain

mencuri informasi seperti password atau PIN.

22

23

Worm Program komputer yang dapat menggandakan dirinya

secara sendiri di dalam sistem komputer.

Tidak seperti virus, sebuah worm dapat menggandakan

dirinya tanpa perlu mengaitkan dirinya dengan program

lain dengan memanfaatkan jaringan (LAN/WAN/Internet)

24

Spyware

Program yang bertindak sebagai mata-mata untuk

mengetahui kebiasaan pengguna komputer dan

mengirimkan informasi tersebut ke pihak lain.

Spyware biasanya digunakan oleh pihak pemasang iklan.

25

26

27

28

Adware

Iklan yang dimasukan secara tersembunyi oleh pembuat

program, biasanya pada program yang bersifat freeware

untuk tujuan promosi atau iklan.

29

Phising

Bentuk penipuan untuk memperoleh informasi

pribadi seperti userID, password, ATM, kartu

kredit dan sebagainya melalui e-mail atau

website palsu yang tampak asli.

Dilakukan dengan menggunakan teknik social

engineering.

30

31

Points to “bad” IP

Address!

32

Kasus pemalsuan situs Bank BCÄ:www.clickbca.comwww.klickbca.comwww.klik-bca.com

Keylogger

Program yang dapat memantau penekanan

tombol pada keyboard, sehingga orang lain

dapat mengetahui password dan informasi

apapun yang kita ketik.

Dapat tersedia dalam bentuk hardware dan

software

33

34

35

36

Kriptografi

Kriptografi

Merupakan kakas (tool) sangat penting di dalam

keamanan informasi

Kata cryptography berasal dari bahasa Yunani: krupto (hidden atau secret) dan grafh (writing)

Artinya “secret writing”

Kriptografi: ilmu dan seni untuk menjagakerahasian pesan.

37

38

EnkripsiPlainteks DekripsiCipherteks

Plainteks

Kunci Kunci

Kunci K Kunci K

Kirim senjata perang

P

Kirim senjata perang

P

Stype xouvatx kutreq

CEnkripsi

EK (P) = C

Dekripsi

DK (C) = P

cipherteks

plainteks plainteks

Kriptografi mengamankan komunikasi data

dan informasi tersimpan

39

40

41

Enkripsi di dalam WhatsApp

Kriptografi melindungi informasi dari kasus-kasus

seperti di bawah ini:

1. Wikileaks: mengungkapkan dokumen-dokumen

rahasia negara dan perusahaan kepada publik

melalui situs web.

42

Julian Assange, salah satu

pendiri situs WikiLeaks. Kantor dan tempat penyimpanan data WikiLeaks.

Dokumen yang dibocorkan:

1. Data Nasabah Bank Julius Baer

2. Surel Sarah Palin

3. Video Helikopter Apache

4. Perang Afganistan

5. Berkas Guantanamo

5. Dokumen Perang Irak

6. Kawat diplomatik Amerika Serikat

(Sumber: Wikipedia)

43

2. Kasus penyadapan percakapan ponsel antara

Artalyta Suryani (Ayin) dan Kemas Yahya Rahman

yang melibatkan Jaksa Urip Tri Gunawan tentang

“dugaan” suap Rp 6 Milyar lebih.

Transkrip percakapan:

A: Halo..

K: Halo.

A: Ya, siap.

K: Sudah dengar pernyataan saya (Soal penghentian

penyelidikan kasus BLBI)? He…he…he

A: Good, very good.

K: Jadi tugas saya sudah selesai.

A: Siap, tinggal…

K: Sudah jelas itu, gamblang. Tidak ada permasalahan lagi

Rinaldi Munir/IF4020 Kriptografi 44

A: Bagus itu

K: Tapi saya dicaci maki. Sudah baca Rakyat Merdeka (surat

kabar Rakyat Merdeka yang terbit di Jakarta)?

A: Aaah Rakyat Merdeka, mah nggak usah dibaca

K: Bukan, katanya saya mau dicopot ha..ha…ha. Jadi gitu ya…

A: Sama ini Bang, saya mau informasikan

K: Yang mana?

A: Masalah si Joker.

K: Ooooo nanti, nanti, nanti.

A: Nggak, itu kan saya perlu jelasin, Bang

K: Nanti, nanti, tenang saja.

A: Selasa saya ke situ ya…

K: Nggak usah, gampang itu, nanti, nanti. Saya sudah bicarakan

dan sudah ada pesan dari sana. Kita…

A: Iya sudah

K: Sudah sampai itu

A: Tapi begini Bang…

K: Jadi begini, ini sudah telanjur kita umumkan. Ada alasan lain,

nanti dalam perencanaanRinaldi Munir/IF4020 Kriptografi 45

Algoritma kriptografi

DES (Data Encyption Standard)

AES

Blowfish

IDEA

GOST

Serpent

RC2, RC4, RC5

RSA, ElGamal, ECC, DSA, dll

46

Steganografi

47

Prolog

Misalkan anda mempunyai data rahasia seperti

password.

Password: T3knolo911nf0rmas1

Anda ingin menyimpan password tersebut

dengan aman (tidak bisa diketahui orang lain).

Bagaimana caranya agar password tersebut

dapat disimpan dengan aman?

48

Cara I: Mengenkripsinya

Bidang KRIPTOGRAFI (cryptography)

49

T3knolo911nf0rmas1 %j&gt9*4$jd8)?hyt8Enkripsi

Dekripsi%j&gt9*4$jd8)?hyt8 T3knolo911nf0rmas1

(plaintext) (clphertext)

(clphertext) (plaintext)

50

T3knolo911nf0rmas1

Cara II: Menyembunyikannya

Bidang STEGANOGRAFI (steganography)

51

Apa Steganografi itu?

Dari Bahasa Yunani: steganos + graphien

“steganos” (στεγανός): tersembunyi

“graphien” (γραφία) : tulisan

steganografi: tulisan tersembunyi (covered writing)

Steganography: ilmu dan seni menyembunyikan

pesan rahasia dengan cara menyisipkannya di

dalam media lain.

Tujuan: pesan tidak terdeteksi keberadaannya

Perbedaan Kriptografi dan Steganografi

Kriptografi: menyembunyikan isi (content) pesan

Tujuan: agar pesan tidak dapat dibaca oleh pihak

ketiga (lawan)

Steganografi: menyembunyikan keberadaan

(existence) pesan

Tujuan: untuk menghindari kecurigaan

(conspicuous) dari pihak ketiga (lawan)

52

53

54

Sejarah Steganografi

Steganografi dengan media kepala budak (dikisahkan oleh Herodatus, sejarawan Yunani pada tahun 440 BC di dalam buku: Histories of Herodatus).

Kepala budak dibotaki, ditulisi pesan dengan cara tato, rambut budak dibiarkan tumbuh, budak dikirim. Di tempat penerima kepala budak digunduli agar pesan bisa dibaca.

55

Citra (image) atau Gambar

”Sebuah gambar bermakna lebih dari seribu kata”

(A picture is more than a thousand words)

56

Namun, di balik sebuah gambar dapat

tersembunyi informasi rahasia

S T E G A N O G R A F I

57

Steganografi pada Gambar

#inlcude <stdio.h>

int main()

{

printf(“Hello world”);

return 0;

}

Embedded Message Cover-image Stego-image

58

Cover image

Embedded image

59

Stego-image

Extracted image

60

GIF image

Cover image Stego-image

Embedded message

61

Cover image

Stego-image

Citra Digital

Citra terdiri dari sejumlah pixel. Citra 1200 x 1500 berarti

memiliki 1200 x 1500 pixel = 1.800.000 pixel

Setiap pixel panjangnya n-bit.

Citra biner 1 bit/pixel

Citra grayscale 8 bit/pixel

Citra true color 24 bit/pixel62

pixel

63

True color image(24-bit)

Grayscale image(8-bit)

Bimary image(1-bit)

Citra Lenna

64

100100111001010010001010

Pada citra 24-bit (real image), 1 pixel = 24 bit, terdiri dari komponen RGB (Red-Green-Blue)

R G B

65

Metode Modifikasi LSB Memanfaatkan kelemahan indra visual manusia dalam

mengamati perubahan sedikit pada gambar

Caranya: Mengganti bit LSB pixel dengan bit data.

11010010

MSB LSB

Mengubah bit LSB hanya mengubah nilai byte satu lebih tinggi atau satu lebih rendah dari nilai sebelumnya tidak berpengaruh terhadap persepsi visual/auditori.

LSB = Least Significant BitMSB = Most Significant Bit

66

Misalkan semua bit LSB pada citra berwarna dibalikkanDari semula 0 menjadi 1; dari semula 1 menjadi 0

Sebelum Sesudah

Adakah perbedaaanya?

67

Sebelum Sesudah

Misalkan semua bit LSB pada citra grayscale dibalikkanDari semula 0 menjadi 1; dari semula 1 menjadi 0

Adakah perbedaaanya?

68

Metode Modifikasi LSB

Tinjau 1 buah pixel dari citra 24-bit (3 x 8 bit):

10000010 01111011 01110101

(130) (123) (117)

Bit bit-bit embedded message: 010

Embed: 00110010 10100011 11100010

Original: misalkan pixel [130, 123, 117] berwarna “ungu”Stego-image: pixel [131, 122, 117] tetap “ungu” tapi berubah sangat sedikit. Mata manusia tidak dapat membedakan perubahan warna yang sangat kecil.

Stego-image

69

PESAN RAHASIA :

KETEMUAN Di STASIUN KA

MALAM JAM 13.00

0

00110011

10100010

11100010

01101111

111

00110010

10100011

11100011

01101111

Sumber: TA Yulie Anneria Sinaga 13504085

Pergeseran warna sebesar 1 dari 256 warna tidak

dapat dilihat oleh manusia

70

Jika pesan = 10 bit, maka jumlah byte yang digunakan = 10 byte

Contoh susunan byte yang lebih panjang:

00110011 10100010 11100010 10101011 00100110

10010110 11001001 11111001 10001000 10100011

Pesan: 1110010111

Hasil penyisipan pada bit LSB:

00110011 10100011 11100011 10101010 00100110

10010111 11001000 11111001 10001001 10100011

Aplikasi Steganografi:

Digital Watermarking

71

72

Fakta

Jutaan gambar/citra digital bertebaran di internet via email, website, bluetooth, dsb

Siapapun bisa mengunduh citra, meng-copy-nya, menyunting, mengirim, memanipulasi, dsb.

Sekali citra diunduh/copy, referensi pemilik yang asli hilang sebab informasi kepemilikan tidak melekat di dalam citra.

Memungkinkan terjadi pelanggaran HAKI:

- mengklaim kepemilikan citra orang lain

- pemilik citra yang asli tidak mendapat royalti atas

penggandaan ilegal

73

Siapa pemilik citra ini?

74

Karakteristik Dokumen Digital Dokumen digital

- citra (JPEG/GIF/BMP/TIFF Images)

- audio (MP3/WAV audio)

- video (MPEG video)

- teks (Ms Word document)

Kelebihan dokumen digital (sekaligus kelemahannya):

Tepat sama kalau digandakan

Mudah didistribusikan (misal: via internet)

Mudah di-edit (diubah)

Tidak ada perlindungan terhadap kepemilikan, copyright, editing, dll.

Solusi: digital watermarking.

75

Digital Watermarking

Digital Watermarking: penyisipan informasi (watermark)

yang menyatakan kepemilikan data multimedia

Watermark: teks, logo, audio, data biner (+1/-1), barisan

bilangan riil

Watermarking merupakan aplikasi steganografi

Tujuan: memberikan perlindungan copyright

+

=

76

• Watermark melekat di dalam citra• Penyisipan watermark tidak merusak kualitas citra • Watermark dapat dideteksi/ekstraksi kembali sebagai

bukti kepemilikan/copyright

Image Watermarking

77

Cara Konvensional Memberi Label

Copyright

Label copyright ditempelkan pada gambar.

Kelemahan: tidak efektif melindungi copyright

sebab label bisa dipotong atau dibuang dengan

program pengolahan citra komersil (ex: Adobe

Photoshop).

78

Original image + label copyright

Cropped image

79Label kepemilikan

80

Teknik watermarking

Watermark disisipkan ke dalam data multimedia.

Watermark terintegrasi di dalam data

multimedia.

Kelebihan:

1. Setiap penggandaan (copy) data multimedia

akan membawa watermark di dalamnya.

2. Watermark tidak bisa dihapus atau dibuang.

81

82

Jenis-jenis Watermarking

Fragile watermarking

Tujuan: untuk menjaga integritas/orisinilitas

media digital.

Robust watermarking

Tujuan: untuk menyisipkan label kepemilikan

media digital.

Rinaldi Munir/IF4020 Kriptografi

Fragile Watermarking Watermark rusak atau berubah terhadap manipulasi

(common digital processing) yang dilakukan pada media.

Tujuan: pembuktian keaslian dan tamper proofing

83

(a)

(b)

(c)

(d)

Watermark rusakPenambahan noise

84Contoh fragile watermarking lainnya (Wong, 1997)

Robust Watermarking Watermark tetap kokoh (robust) terhadap manipulasi

(common digital processing) yang dilakukan pada media.

Contoh: kompresi, cropping, editing, resizing, dll

Tujuan: perlindungan copyright

85

Original image

watermark

Watermarked image JPEG compression

Extracted watermark

Extracted watermark

Cropped image

Noisy image

Extracted watermark

Extracted watermark

Resized image

+ =

86

Robustness

Citra asli Citra ber-watermark

Citra ber-watermark

dikompresi 75%

Citra ber-watermark di-crop

87

Data apa saja yang bisa di-

watermark?

Citra Image Watermarking

Video Video Watermarking

Audio Audio Watermarking

Teks Text Watermarking

Perangkat lunak Software watermarking

88

Watermarking pada Citra

Visible Watermarking

Invisible Watermarking

89

Visible Watermarking

90

Visible Watermarking

91

Invisible Watermarking

92

Aplikasi watermark: Owner identification

Originalwork

Distributedcopy

Watermarkdetector

Alice isowner!

Watermarkembedder

Alice

93

Aplikasi watermark: Proof of ownership

Originalwork

Distributedcopy

Watermarkdetector

Alice isowner!

Watermarkembedder

Alice

Bob

94

Aplikasi watermark: Transaction tracking

Originalwork

HonestBob

Watermarkdetector

B:Evil Bobdid it!

Watermark A

EvilBob

Unauthorizedusage

Watermark B

Alice

95

Aplikasi watermark: Content authentication

Watermark embedder

Watermark detector

96

Aplikasi watermark: Content authentication

Original Hasil pengubahan

97

Foto mana yang asli?

98

Compliantrecorder

CompliantplayerLegal copy

Illegal copy

Playback control

Record control

Non-compliantrecorder

Aplikasi watermark: Copy control/Piracy Control

Watermark digunakan untuk mendeteksi apakah media digital

dapat digandakan (copy) atau dimainkan oleh perangkat keras.

99

Watermarkembedder

Watermarkdetector

Broadcasting system

Content wasbroadcast!

Originalcontent

Aplikasi watermark: Broadcast monitoring

Watermark digunakan untuk memantau kapan konten digital

ditransmisikan melalui saluran penyiaran seperti TV dan radio.

Referensi

1. Mark Zimmerman, Information Security

2. Budi Rahardjo, Prinsip Keamanan, INDOCISC.

3. Rinaldi Munir, Bahan Kuliah Kriptografi

4. Raymond McLeod, Jr. and George P. Schell,

Information Security

5. http://www.catatanteknisi.com/2011/12/pengertian-jenis-

jenis-malware.html

100

Perihal

Nama: Dr. Rinaldi Munir

Kelompok Keilmuan Informatika

Sekolah Teknik Elektro dan Informatika (STEI) - ITB

Komunikasi

E-mail: rinaldi.munir@itb.ac.id

rinaldi-m@stei.itb.ac.id

Web: http://informatika.stei.itb.ac.id/~rinaldi.munir

Blog: http://rinaldimunir.wordpress.com

http://catatankriptografi.wordpress.com

Facebook: http://www.facebook.com/rinaldi.munir

Kantor: Lab Ilmu dan Rekayasa Komputasi (IRK)

LabTek V (Lantai 4), Jl. Ganesha 10 Bdg