KELOMPOK FIRDAUS MARINGGA ( ) 2. HARUM AMBARWATI ( ) 3. I GUSTI BAGUS PRAMA ADITYA ( )

Pembayaran elektronik sekarang sudah menjadi seperti gaya hidup dan kebutuhan bagi sebagian masyarakat, terutama masyarakat perkotaan yang menginginkan pola bertransaksi yang praktis dan cepat. Dengan berkembangnya teknologi di bidang jaringan internet, suatu proses pembelian dan pembayaran melalui internet sudah bukan hal yang asing lagi. Masalah terpenting dalam jaringan komputer adalah masalah keamanan data yang dikirimkan. Pelaku kejahatan memanfaatkan celah keamanan yang ada untuk dimasuki dan melakukan manipulasi data. Pihak penjahat itu bisa saja berniat untuk sekedar mencari tahu saja, atau juga bisa mencuri berbagai macam hal seperti uang, data rahasia, dll.

Ada beberapa masalah yang terjadi melalui jaringan internet, yaitu: Http adalah sebuah protokol yang meminta atau menjawab antara client dan server. Terkadang pihak ketiga dapat masuk dan mengganggu jalannya komunikasi antara client dengan server, sehingga tidak adanya privasi. Http adalah protokol yang tidak sah: karena tidak mempunyai informasi penyimpanan dari pemakai, dan ini tidak memverifikasi identitas pemakai. Http menyediakan tidak berarti menyembunyikan keaslian yang terus- menerus.

Serangan yang akan dibahas di sini ialah serangan terhadap penggunaan beberapa protokol pada infrasktruktur kunci publik. Serangan tersebut dapat didefinisikan sebagai serangan terhadap protokol otentifikasi yang menggunakan pesan yang dibangkitkan dari protokol yang terpisah untuk menipu salah satu user yang akan mengira bahwa protokol telah selesai dilaksanakan. Serangan-serangan tersebut adalah: 1. Serangan terhadap kerahasiaan kunci publik 2. Serangan terhadap tandatangan kunci publik

Protokol Nedham Schroeder adalah protokol yang bertujuan untuk membangun hubungan dan otentifikasi komunikasi antara pihak A dan pihak B untuk dapat bertukar nilai rahasia. Namun terdapat celah keamanan yang menyatakan bahwa pihak A sedang aktif dalam protokol yang sedang berjalan. Celah keamanan tersebut memungkinkan kita (Intruder) untuk melakukan penyamaran dengan menggunakan tailored protocol. Dalam tailored protocol ini, pihak B mengirimkan pesan kepada A berisikan nilai untuk memberikan identifikasi berupa identitas milik pihak B. pihak A akan memberikan tanggapan berupa pesan yang telah ditandatangani. Penggunaan tailored protocol untuk melakukan serangan penyamaran dimungkinkan karena bentuk pesan yang dihasilkan oleh tailored protocol menyerupai bentuk pesan pada protokol Nedham Schroeder.

Serangan dengan Tailored Protocol, dimana Intruder menyamar sebagai pihak A, mengirimkan pesan kepada pihak B dengan menggunakan bentuk protokol yang bersesuaian. Intruder kemudian akan menerima pesan balasan dari pihak B. Intruder yang kemudian menyamar menjadi pihak B, akan melakukan forwarding pesan tersebut kepada pihak A dengan menggunakan tailored protocol. Pihak A akan mengirimkan balasan kepada Intruder dengan bentuk yang dapat dibaca, termasuk di dalamnya identitas dari pihak B. Intruder yang telah mendapatkan identitas dari pihak B kemudian mengirimkan pesan kepada pihak B dengan memvalidasi dirinya sebagai pihak A. Serangan ini berhasil, karena Intruder berhasil memaksa pihak A untuk melakukan dekripsi pesan sehingga Intruder berhasil mendapatkan pesan dengan bentuk yang dapat ia baca. Dengan metode ini, mustahil pihak A dapat mengetahui serangan, karena bentuk pesan yang digunakan sama dengan bentuk pesan normal pada protokol Nedham Schroeder.

Serangan pada Protokol SSL-3. Protokol SSL-3 yangdimaksud adalah server B yang memiliki RSA–based signature certificate untuk mengotentifikasi dirinya kepada pihak A dan untuk bertukar data secara aman dengan membuat kunci enkripsi untuk komunikasi. Server mengirimkan kunci publik sementara dan tandatangan dari kunci tersebut. Selanjutnya, client akan menggunakan kunci tersebut untuk melakukan enkripsi pada pesan yang dikirimkan kepada server. Mengingat keamanan algoritma RSA, client dapat menyimpulkan bahwa hanya pihak server saja yang dapat membaca pesan rahasia tersebut. Meskipun demikian, protokol ini masih dapat diserang dengan menggunakan tailored protocol. Dalam protokol ini, pihak A mengirimkan nilai rahasia kepada server B. Server akan mengirimkan balasan berupa nilai Hash dari pesan tsb untuk melakukan otentifikasi terhadap penerima pesan. Satu hal yang didapatkan ialah protokol ini dapat memaksa server untuk melakukan hash pada pesan yang tidak ia buat.

Serangan pada Protokol SSL-3, dimana Intruder mengirimkan kunci publik buatannya sendiri kepada server. Server tentunya akan memberikan balasan berupa nilai hash dari kunci tersebut. Intruder kemudian akan membuat situs yang menyamarkan dirinya sebagai server. Saat pihak A menghubungi situs palsu tersebut, Intruder akan mengirimkan nilai hash yang telah ia dapatkan dari server kepada pihak A. pihak A tertipu, dan mengira pesan yang ia dapatkan adalah dari server yang sebenarnya. Pihak A akan mengirimkan pesan yang telah dienkripsi dengan kunci yang dikirimkan oleh intruder. Intruder akan terus dapat membaca seluruh data yang dikirimkan oleh pihak A. karena pihak A telah menganggap server B sebagai server yang sah.

Secure Socket Layer (SSL) merupakan suatu protokol yang telah dikembangkan dan dipergunakan untuk mengatasi permasalahan keamanan yang mengancam proses transaksi menggunakan jaringan internet. SSL didukung pula dengan penyediaan fasilitas enkripsi yang cukup memadai dan dilengkapi dengan sebuah proses handshaking dan pengiriman data yang cukup aman untuk mengatasi berbagai kejahatan jaringan internet yang ada. Secure Socket Layer (SSL), merupakan protokol kriptografi yang menyediakan komunikasi yang aman di Internet. Protokol ini menyediakan authentikasi akhir dan privasi komunikasi di Internet menggunakan cryptography. Dalam penggunaan umumnya, hanya server yang diauthentikasi (dalam hal ini, memiliki identitas yang jelas) selama dari sisi client tetap tidak terauthentikasi. Authentikasi dari kedua sisi (mutual authentikasi) memerlukan penyebaran PKI pada client-nya. Protokol ini mengizinkan aplikasi dari client atau server untuk berkomunikasi dengan didesain untuk mencegah eavesdropping, [[tampering]] dan message forgery.

Sejarah dan pengembangan: Dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan Transport Layer Security, sebagai protocol standart IETF. Definisi awal dari TLS muncul pada RFC,2246 : “The TLS Protocol Version 1.0″. Visa, MaterCard, American Express dan banyak lagi institusi finansial terkemuka yang memanfaatkan TLS untuk dukungan commerce melalui internet. Seprti halnya SSL, protocol TLS beroperasi dalam tata-cara modular. TLS didesain untuk berkembang, dengan mendukung kemampuan meningkat dan kembali ke kondisi semula dan negosiasi antar ujung.

Ada beberapa hal yang mungkin dapat diusulkan untuk mengatasi permasalahan serangan ini : Membatasi penggunaan protokol untuk kunci publik. Hal ini memperkecil resiko serangan, namun masih tidak menutup celah keamanan secara total. Melakukan verifikasi terhadap protokol yang digunakan setiap aplikasi baik berupa versi protokol, maupun langkah-langkah protokol. Secara teoritis, cara ini mungkin efektif digunakan, tetapi implementasi dari konsep ini rasanya masih sulit. Menggunakan hardware level encryption untuk bertukar pesan. Hardware Encryption bisa menghasilkan level enkripsi yang lebih kuat dan tentunya menjadikan setiap komputer memiliki identitas unik yang akan mempersulit terjadinya serangan terhadap infrastruktur kunci publik.

Infrastruktur kunci publik digunakan untuk menyimpan dan mendistribuksikan kunci publik milik user untuk digunakan pada proses otentifikasi maupun saluran aman pada jaringan internet. Serangan dapat terjadi apabila infrastruktur kunci publik dalam pelaksanaannya menggunakan lebih dari satu protokol untuk berkomunikasi. Serangan hanya dapat terwujud apabila kondisinya terpenuhi, namun jika kondisinya tidak terpenuhi besar kemungkinan service yang ditawarkan juga tidak akan berjalan.