Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
Diterbitkan olehZaky Huda Telah diubah "9 tahun yang lalu
2
KELOMPOK 14 1. FIRDAUS MARINGGA (118090040) 2. HARUM AMBARWATI (118090042) 3. I GUSTI BAGUS PRAMA ADITYA (118091010)
3
Pendahuluan Masalah & Serangan Protokol Serangan terhadap kerahasiaan kunci publik Serangan terhadap tandatangan kunci publik Cara mengatasi serangan Kesimpulan & Daftar Pustaka
4
Pembayaran elektronik sekarang sudah menjadi seperti gaya hidup dan kebutuhan bagi sebagian masyarakat, terutama masyarakat perkotaan yang menginginkan pola bertransaksi yang praktis dan cepat. Dengan berkembangnya teknologi di bidang jaringan internet, suatu proses pembelian dan pembayaran melalui internet sudah bukan hal yang asing lagi. Masalah terpenting dalam jaringan komputer adalah masalah keamanan data yang dikirimkan. Pelaku kejahatan memanfaatkan celah keamanan yang ada untuk dimasuki dan melakukan manipulasi data. Pihak penjahat itu bisa saja berniat untuk sekedar mencari tahu saja, atau juga bisa mencuri berbagai macam hal seperti uang, data rahasia, dll.
5
Ada beberapa masalah yang terjadi melalui jaringan internet, yaitu: Http adalah sebuah protokol yang meminta atau menjawab antara client dan server. Terkadang pihak ketiga dapat masuk dan mengganggu jalannya komunikasi antara client dengan server, sehingga tidak adanya privasi. Http adalah protokol ringan, tidak berstatus dan generik yang dapat dipergunakan dalam berbagai macam tipe dokumen. Namun dalam protokol ini segi keamanan data yang dikirim belum diperhatikan, data yang dikirimkan tidak dienkripsi, sehingga data yang dikirim rawan, dapat dibaca/ dirusak oleh orang lain.
6
Serangan yang akan dibahas di sini ialah serangan terhadap penggunaan beberapa protokol pada infrasktruktur kunci publik. Serangan tersebut dapat didefinisikan sebagai serangan terhadap protokol otentifikasi yang menggunakan pesan yang dibangkitkan dari protokol yang terpisah untuk menipu salah satu user yang akan mengira bahwa protokol telah selesai dilaksanakan. Serangan- serangan tersebut adalah: 1. Serangan terhadap kerahasiaan kunci publik 2. Serangan terhadap tandatangan kunci publik
7
Protokol Nedham Schroeder adalah protokol yang bertujuan untuk membangun hubungan dan otentifikasi komunikasi antara pihak A dan pihak B untuk dapat bertukar nilai rahasia. Namun terdapat celah keamanan yang menyatakan bahwa pihak A sedang aktif dalam protokol yang sedang berjalan. Celah keamanan tersebut memungkinkan kita (Intruder) untuk melakukan penyamaran dengan menggunakan tailored protocol. Dalam tailored protocol ini, pihak B mengirimkan pesan kepada A berisikan nilai untuk memberikan identifikasi berupa identitas milik pihak B. pihak A akan memberikan tanggapan berupa pesan yang telah ditandatangani. Penggunaan tailored protocol untuk melakukan serangan penyamaran dimungkinkan karena bentuk pesan yang dihasilkan oleh tailored protocol menyerupai bentuk pesan pada protokol Nedham Schroeder.
9
Serangan dengan Tailored Protocol, dimana Intruder menyamar sebagai pihak A, mengirimkan pesan kepada pihak B dengan menggunakan bentuk protokol yang bersesuaian. Intruder kemudian akan menerima pesan balasan dari pihak B. Intruder yang kemudian menyamar menjadi pihak B, akan melakukan forwarding pesan tersebut kepada pihak A dengan menggunakan tailored protocol. Pihak A akan mengirimkan balasan kepada Intruder dengan bentuk yang dapat dibaca, termasuk di dalamnya identitas dari pihak B. Intruder yang telah mendapatkan identitas dari pihak B kemudian mengirimkan pesan kepada pihak B dengan memvalidasi dirinya sebagai pihak A. Serangan ini berhasil, karena Intruder berhasil memaksa pihak A untuk melakukan dekripsi pesan sehingga Intruder berhasil mendapatkan pesan dengan bentuk yang dapat ia baca. Dengan metode ini, mustahil pihak A dapat mengetahui serangan, karena bentuk pesan yang digunakan sama dengan bentuk pesan normal pada protokol Nedham Schroeder.
10
Serangan pada Protokol SSL-3. Protokol SSL-3 yang dimaksud adalah server B yang memiliki RSA–based signature certificate untuk mengotentifikasi dirinya kepada pihak A dan untuk bertukar data secara aman dengan membuat kunci enkripsi untuk komunikasi. Server mengirimkan kunci publik sementara dan tandatangan dari kunci tersebut. Selanjutnya, client akan menggunakan kunci tersebut untuk melakukan enkripsi pada pesan yang dikirimkan kepada server. Mengingat keamanan algoritma RSA, client dapat menyimpulkan bahwa hanya pihak server saja yang dapat membaca pesan rahasia tersebut. Meskipun demikian, protokol ini masih dapat diserang dengan menggunakan tailored protocol. Dalam protokol ini, pihak A mengirimkan nilai rahasia kepada server B. Server akan mengirimkan balasan berupa nilai Hash dari pesan tsb untuk melakukan otentifikasi terhadap penerima pesan. Satu hal yang didapatkan ialah protokol ini dapat memaksa server untuk melakukan hash pada pesan yang tidak ia buat.
11
Serangan pada Protokol SSL-3, dimana Intruder mengirimkan kunci publik buatannya sendiri kepada server. Server tentunya akan memberikan balasan berupa nilai hash dari kunci tersebut. Intruder kemudian akan membuat situs yang menyamarkan dirinya sebagai server. Saat pihak A menghubungi situs palsu tersebut, Intruder akan mengirimkan nilai hash yang telah ia dapatkan dari server kepada pihak A. pihak A tertipu, dan mengira pesan yang ia dapatkan adalah dari server yang sebenarnya. Pihak A akan mengirimkan pesan yang telah dienkripsi dengan kunci yang dikirimkan oleh intruder. Intruder akan terus dapat membaca seluruh data yang dikirimkan oleh pihak A. karena pihak A telah menganggap server B sebagai server yang sah.
14
Oleh karena itu, kita pergunakan protokol yang dapat mendukung segi keamanan yaitu, HTTPS (HTTP melalui SSL or HTTP Secure), merupakan protokol HTTP yang menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) sebagai sublayer dibawah HTTP aplikasi layer yang biasa. HTTP di enkripisi dan deskripsi dari halaman yang diminta pengguna serta halaman yang dikembalikan oleh web server. HTTPS digunakan untuk melindungi dari orang mengakses tanpa izin dan dari serangan man-in- themiddle. HTTPS dikembangkan oleh Netscape. Dengan HTTPS kita dapat melakukan proteksi data yaitu hanya penerima saja yang dapat membaca data, Kenyamanan (data privacy), memungkinkan identifikasi server ataupun client, otentikasi server dan klien, dan integritas data. Sedangkan SSL (Secure Socket Layer) adalah arguably internet yang paling banyak digunakan untuk enkripsi. Ditambah lagi, SSL sigunakan tidak hanya keamanan koneksi web, tetapi untuk berbagai aplikasi yang memerlukan enkripsi jaringan end-to-end.
15
Secure Socket Layer (SSL) merupakan suatu protokol yang telah dikembangkan dan dipergunakan untuk mengatasi permasalahan keamanan yang mengancam proses transaksi menggunakan jaringan internet. SSL didukung pula dengan penyediaan fasilitas enkripsi yang cukup memadai dan dilengkapi dengan sebuah proses handshaking dan pengiriman data yang cukup aman untuk mengatasi berbagai kejahatan jaringan internet yang ada. Secure Socket Layer (SSL) juga merupakan protokol kriptografi yang menyediakan komunikasi yang aman di Internet. Protokol ini menyediakan authentikasi akhir dan privasi komunikasi di Internet menggunakan cryptography. Dalam penggunaan umumnya, hanya server yang diauthentikasi (dalam hal ini, memiliki identitas yang jelas) selama dari sisi client tetap tidak terauthentikasi. Authentikasi dari kedua sisi (mutual authentikasi) memerlukan penyebaran PKI pada client-nya. Protokol ini mengizinkan aplikasi dari client atau server untuk berkomunikasi dengan didesain untuk mencegah eavesdropping, [[tampering]] dan message forgery.
16
Secure Sockets Layer (SSL) merupakan sistem yang digunakan untuk mengenkripsi pengiriman informasi pada internet, sehingga data dapat dikirim dengan aman. Protokol SSL mengatur keamanan dan integritas menggunakan enkripsi, autentikasi, dan kode autentikasi pesan. SSL protocol menyedian privasi komunikasi di internet. SSL tidak mendukung fileencryption, access- control, atau proteksi virus, jadi SSL tidak dapat membantu mengatur data sensitif setelah dan sebelum pengiriman yang aman.
18
Sejarah dan pengembangan: Dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan Transport Layer Security, sebagai protocol standart IETF. Definisi awal dari TLS muncul pada RFC,2246 : “The TLS Protocol Version 1.0″. Visa, MaterCard, American Express dan banyak lagi institusi finansial terkemuka yang memanfaatkan TLS untuk dukungan commerce melalui internet. Seprti halnya SSL, protocol TLS beroperasi dalam tata-cara modular. TLS didesain untuk berkembang, dengan mendukung kemampuan meningkat dan kembali ke kondisi semula dan negosiasi antar ujung.
19
Ada beberapa hal yang mungkin dapat diusulkan untuk mengatasi permasalahan serangan ini : Membatasi penggunaan protokol untuk kunci publik. Hal ini memperkecil resiko serangan, namun masih tidak menutup celah keamanan secara total. Melakukan verifikasi terhadap protokol yang digunakan setiap aplikasi baik berupa versi protokol, maupun langkah-langkah protokol. Secara teoritis, cara ini mungkin efektif digunakan, tetapi implementasi dari konsep ini rasanya masih sulit. Menggunakan hardware level encryption untuk bertukar pesan. Hardware Encryption bisa menghasilkan level enkripsi yang lebih kuat dan tentunya menjadikan setiap komputer memiliki identitas unik yang akan mempersulit terjadinya serangan terhadap infrastruktur kunci publik.
20
Infrastruktur kunci publik digunakan untuk menyimpan dan mendistribuksikan kunci publik milik user untuk digunakan pada proses otentifikasi maupun saluran aman pada jaringan internet. Serangan dapat terjadi apabila infrastruktur kunci publik dalam pelaksanaannya menggunakan lebih dari satu protokol untuk berkomunikasi. Serangan hanya dapat terwujud apabila kondisinya terpenuhi.
21
http://www.ittelkom.ac.id/library/index.php?option= com_repository&Itemid=34&task=detail&nim=1110 40028 http://www.informatika.org/~rinaldi/Kriptografi/2008 -2009/Makalah2/MakalahIF3058-2009-b008.pdf http://te.ugm.ac.id/~risanuri/v01/wp- content/uploads/2009/06/http%20dan%20handsha ke%20via%20https%20_32582,32649_.pdf id.wikipedia.org/wiki/Transport_Layer_Security
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.