Portal dan Keamanan
Portal
adalah kumpulan servis dari banyak provider dan menempatkannya ke dalam
presentasi yang terorganisasi yang sesuai atau cocok dengan aliran kerja para
pelanggannya (user). Para provider menggunakan berbagai sistem dan
paradigma aplikasi yang berbeda, dimana semuanya mempunyai hardware yang
berbeda, operating system yang berbeda, dan paradigma aplikasi yang berbeda
untuk mengatur keamanannya.
Single
Sign-on
Teknologi Single Sign on sangat penting bagi
portal. Singkatnya, portal membutuhkannya untuk mengkoordinasikan informasi
dari beberapa web site, penyimpanan data, XML, dan sistem transaksi lainnya.
Kesemua ini mempunyai paradigma keamanan yang berbeda dimana solusi Single
Sign-on akan diterapkan. Contoh dari vendor di arena ini adalah Netegrity,
Oblix, IBM, dan Entrust.
Pendelegasian
Manajemen
Sebuah
evolusi dari teknologi Single Sign-on. Ketika SSO mencoba utuk memfasilitasi
aktivitas, Sistem Pendelegasian manajemen mencoba untuk bertindak sebagai titik
tunggal bagi pengaturan semua aplikasi dan sistem operasi tingkat keamanan.
Sistem Pendelegasian manajemen pada akhirnya akan menggantikan sistem SSO
seiring pendewasaannya.
Contoh
vendor di arena ini adalah : Netegrity dan IBM.
Firewalls
Firewalls
adalah komputer yang menjalankan software
dimana menganalisis dan menyaring paket jaringan dan membuat keputusan
sekuritas berdasar rekomendasinya.
Pendeteksian Penyusup
(Intrusion Detection)
Software
ini menganalisis pola aktifitas dalam suatu jaringan untuk mengetahui jika dia
“diserang”.
Kriptografi
Ilmu
pengetahuan ini menyediakan perhitungan matematis yang teliti dalam rangka
otentifikasi, enkripsi, dan non repudiation. Keamanan portal yang tinggi
menerapkan kriptografi untuk semua kemampuannya.
Access
controls
Sistem
kontrol akses menyediakan aturan berdasar daftar identitas untuk menetapkan
sebuah identitas, dimana bagian dari sebuah peranan/tugas atau group/kelompok,
harus mempunyai level akses yang tepat untuk menjalankan operasi yang
menggunakan sumber daya. Ilmu pengetahuan keamanan komputer adalah kombinasi
kontrol akses dan teknologi kriptografi. Semua portal menggunakan kontrol
akses.
Otentifikasi
Otentifikasi
mempunyai dua macam format, yaitu format kriptografi dan format kontrol akses.
Format kriptografi dalam otentifikasi menggunakan skema dasar sertifikasi untuk
memastikan identitas. Format kontrol akses lebih sederhana, dimana biasanya
menggunakan mandate seperti user-id (identitas pengguna) dan password.
Non
Repudiation (Kunci yang sangat kuat dan
susah dirusak)
Tindakan
mempercayakan data pada suatu sistem kunci yang susah dirusak disebut non
repudiation yang menggunakan teknologi public key dan fungsi-fungsi lama
dari kriptografi. Portal Finansial, Portal Perawatan Kesehatan akan memperoleh
manfaat lebih dari teknologi ini.
Otorisasi
Sebuah
fungsi kontrol akses yang sangat penting. Penting sekali, dimana portal akan
memelihara daftar otorisasi, (a.k.a, daftar kontrol akses) untuk menetapkan
level akses yang tepat pada setiap identitas yang bisa mengakses sumber daya.
Seperti sebuah sistem akan menetapkan jika user diotorisasi terhadap tindakan
yang dilakukan terhadap sumber daya.
Policy
(Kebijakan)
Sebuah
persetujuan awal untuk mengimplementasikan paradigma keamanan, sebuah kebijakan
keamanan perlu ditetapkan untuk organisasi. Outline kebijakan keamanan dalam
bisnis dibutuhkan untuk keamanan dan prosedur organisasi untuk mempertemukan
kebutuhankebutuhan bisnis. Seperti sebuah kebijakan yang digunakan untuk
mendefinisikan kontrol akses dan kebijakan sertifikasi.
Groups
Groups
adalah koleksi identitas yang diorganisasikan. Groups diatur atau
dikonfigurasikan oleh personil administratif dan diatur di atas basis harian
(hari per hari). Portal selalu butuh untuk mengatur group sebagai alat ekonomi
untuk mengatur privasi, integritas, dan aksesibilitas yang tepat dari data.
Roles
(Peranan-peranan)
Roles
mengorganisasikan koleksi kemampuan. Koleksi dari kemampuan ini cenderung
dipelihara oleh developer. Roles dapat berupa group dan atau user sebagai
anggota yang mempunyai akses untuk kemampuan yang didefinisikan oleh developer.
Keanggotaan roles cenderung diatur oleh administrator.
LDAP (Lightweight
Directory Access Protocol)
LDAP (Lightweight
Directory Access Protocol) adalah protokol perangkat lunak untuk memungkinkan semua orang
mencari resource organisasi, perorangan dan lainnya, seperti file
atau printer di dalam jaringan baik di internet atau intranet. Protokol LDAP membentuk sebuah
direktori yang berisi hirarki
pohon yang memiliki cabang, mulai dari negara (countries), organisasi, departemen sampai dengan perorangan. Dengan
menggunakan LDAP, seseorang dapat mencari informasi mengenai orang lain tanpa
mengetahui lokasi orang yang akan dicari itu
Sebuah struktur direktori umum yang diterima oleh sebagian besar
industri. Portal menggunakan ini untuk mengatur informasi pengguna, informasi
organisasi, sebagai kontrol akses dan informasi sertifikasi kriptografi.
LDAP
(Lightweight Directory Access Protocol) dapat diartikan sebagai directory
services dan object oriented database. Apa saja yang LDAP dapat lakukan? LDAP
menyediakan berbagai layanan seperti menyediakan data untuk client contohnya
data karyawan, addressbook, email, account login dan banyak data lainnya.
Dengan LDAP kita juga dapat melakukan searching informasi dengan berbagai
filtering atau melakukan akses terhadap informasi khusus sebuah object.
Penggunaan LDAP umumnya :
a.
Pusat management data
b.
Otentikasi
c.
Email
d.
Address Book
e.
Accounting
f.
dll
Implementasi
LDAP yang sudah banyak digunakan oleh perusahaan-perusahaan adalah
sebagai
berikut :
_
Open Source Software (OSS) menggunakan OpenLDAP, tinyLDAP, Fedora
Directory
Services (FDS)
_
Sun (Bagian dari SunOne)
_
Netscape (NDS)
_
Microsoft (Bagian dari Active Directory)
_
Novell (Bagian dari eDirectory)
Otoritas Sertifikasi
(Certificates Authorities atau CA)
Otoritas
sertifikasi adalah penentu keputusan dalam pembuktian, identitas digital,
meskipun pada kenyataannya cenderung tidak dapat dipertanggung jawabkan atas
hasil kerjanya. Berdasarkan hal ini, dan aksi tanda tangan digital, otoritas
sertifikasi tidak dapat diadopsi secara luas. Otoritas sertifikasi dapat
menghasilkan sertifikasi.
Ketika
ada publik CA, seperti Valicert dan Verisign, perusahaan membuat sertikasinya
sendiri. CA bermanfaat bagi portal yang menyediakan servis perdagangan dengan
nilai tinggi atau jasa pelayanan kesehatan, bagaimanapun juga, mereka
menyediakan mekanisme third party (pihak ketiga) untuk memvalidasi
identitas. Aplikasi portal yang lebih kecil akan membuat sertifikasinya sendiri.
Tanda tangan digital memungkinkan sertifikasi-diri sendiri. Sertifikasi diri
sendiri (self certified) ini legal dan valid untuk bertransaksi.
Otoritas validasi
(Validation Authorities atau VA)
Standar
X509 meragukan dan tidak semua sertifikat yang dibuat dari semua vendor sama.
Dalam hal ini, ketika perusahaan-perusahaan saling bertukar sertifikat sebelum
melakukan e-Business, perusahaan “sumber“ membuat sertifikat dan akan
mengontrol pemeliharaan sertifikat. Dengan kata lain, jika sumber pengguna
“menjadi jahat“ sumber perusahaan pengguna akan meninjau kembali sertifikat
tersebut. Otoritas validasi memungkinkan perusahan tujuan melakukan “penerbitan
sertifikasi lokal“, hal ini mengurangi kebutuhan komunikasi organisasi yang
kuat diantara dua perusahaan yang menerapkan sertifikasi transaksi secara
kriptografi.
Dalam
hal ini, VA mempunyai kemampuan validasi secara “real time“, membuatnya
nyaman untuk high end yang ekstrem, lingkungan keamanan yang tinggi. VA
akan sangat bermanfaat bagi portal yang berharap menyediakan proteksi
kriptografi untuk pelanggannya, sekalipun dibutuhkan pemeliharaan tingkat
keamanan yang tertinggi pada interoperabilitas dan kontrol terhadap
sertifikasi.
Infrastruktur Kunci
Publik (Public Key Infrastructur)
Kriptografi
kunci publik menyediakan implementasi elegan (elok) dari implementasi enkripsi,
non repudiation, dan otentifikasi yang membutuhkan aktifitas manajemen kunci
yang minimum. Ini membuat infrastruktur kunci publik lebih efisien untuk
mengatur bila dibandingkan dengan infrastruktur kunci simetrik yang
tradisional. Portal yang membutuhkan kriptogafi akan menggunakan PKI (Public
Key Infrastructure).
Secure Socket Layer
(SSL)
Standar
bagi transaksi-transaksi yang butuh keamanan dengan menggunakan kriptografi
public key dan X509. Ini dikhususkan bagi otentifikasi (dua arah) dan enkripsi
informasi yang dikirim melalui socket TCP/IP. Portal yang membutuhkan transaksi
financial atau data perawatan kesehatan akan menggunakan SSL.
Secure
Access Markup Languange
Terinspirasi
oleh Netegrity, bahasa ini dibangun untuk memfasilitas Strategi Manajemen
Pendelegasian. Berisi transaksi-transaksi yang tak bereputasi untuk mengatur
kontrol aksesnya. Dengan ini diharapkan vendor-vendor software akan merangkul
SAML untuk memfasilitasi strategi SSO miliknya (segera akan dikenal Manajemen
Pendelegasian). Portal akan mengurangi biayanya dalam jangka menengah dengan
mengadopsi SAML, sebagai sebuah integrasi dengan paradigma keamanan lainnya
yang akan semakin sederhana.
Tanda tangan Digital
(Digital Signature)
Tanda
tangan digital memanfaatkan kemampuan kunci (non repudiation) yang susah
ditembus dari public key infrastructure untuk menyediakan kriptografi
yang memastikan data dikelola sebagai integritas.
Seperti apa sih
tandatangan digital itu? Apakah konsepnya sama dengan "user" atau
"password", atau gabungan keduanya plus dengan image? Bagaimana
mengadministrasikan perbedaan antara tandatangan digital Si A dengan Si B?
Sepintas lalu memang
demikian, seperti password tapi teknologi yang dipakai berbeda dan tidak ada
imagenya. Jadi , tanda tangan digital berbasis pada teknologi PKI (public
key infrastructure). Teknologi ini sudah lama dikenal di luar negeri, yang
sudah menggunakan contohnya adalah verysign atau e-trust. Di
Indonesia baru dikembangkan oleh indosat dan telkom, tapi kabarnya BCA juga
menggunakan teknologi ini.
Dalam PKI tersebut,
ada yang dinamakan kunci publik (public key) dengan kunci privat (privat
key), keduanya berbentuk bilangan biner (binary). Kunci-kunci
tersebut dikeluarkan oleh sebuah badan yang dinamakan CA (certification
authority). Kunci public tersebut disimpan di RA (repisitory
authority) seperti bank kunci yang dimiliki oleh sistem tersebut dan
orang dapat mengetahui kunci publik yang ada di RA. Badan tersebut bisa
terpisah atau bersamaan. Sedangkan kunci privatnya tidak disebar ke publik,
jadi hanya pihak yang mendaftarkan dirinya pada CA dan lawan (pihak)
bertindak sebagai subjek hukum yang melakukan transaksi, yang mengetahui kunci privat
tersebut. Transaksi disini tidak harus diartikan dengan uang, tapi juga
pertukaran data.
Orang yang tidak melakukan
suatu pertukaran data tidak akan mengetahui kunci privat tersebut. Karena hanya
dengan kunci privat si pengirim maka si penerima baru bisa membuka/membaca
pesan yang dikirim. Hanya para pihak saja yang mengetahui kunci-kunci tersebut
(terutama kunci privatnya). Tidak mungkin ada tanda tangan yang sama antara A
dengan B, karena sistemnya sudah demikian dibuat sedemikian. Satu angka saja
berubah maka pesan tidak akan terbaca, karena ada proses yang namanya
otentikasi, benar apa tidak bahwa yang mengirim pesan adalah si A, baru
kemudian pesan yang di enkripsi (disandikan) bisa dibuka dengan kunci privat
yang ada.
teknologi PKI cukup
aman. Mengenai administrasi kunci tersebut, tidak perlu ragu karena sistem yang
dibangun sedemikian rupa sehingga tidak mungkin ada satu kunci yang sama
persis. Dan kemudahannya lagi, si pengirim pesan dapat mengganti kunci
privatnya (seperti PIN).
PKI
adalah arsitektur keamanan yang telah diperkenalkan untuk memberikan
peningkatan tingkat kepercayaan untuk bertukar informasi melalui Internet
semakin tidak aman. Panduan ini untuk PKI memberikan pembaca dengan pengenalan
dasar istilah kunci dan konsep yang digunakan dalam PKI termasuk penggunaan
enkripsi, tanda tangan digital, kunci publik, kunci privat, sertifikat digital,
Otoritas Sertifikat, pencabutan sertifikat dan penyimpanan. Ia menyebutkan
fitur dan layanan yang digunakan oleh PKI dan teknik yang terlibat dalam
kriptografi kunci publik.
Public
Key digunakan untuk Enkripsi
Orang
lain menggunakan kunci enkripsi publik Anda ketika mereka ingin mengirimkan
informasi rahasia. Informasi yang akan dikirim dienkripsi menggunakan kunci
publik Anda *. Anda dapat memberikan kunci publik ke pengirim, atau dapat
diambil dari direktori di mana ia dipublikasikan.
*
Catatan: Dalam praktek normal, informasi aktual yang dikirim dienkripsi
menggunakan algoritma kunci rahasia (simetrik kriptografi). Algoritma simetris
lebih cepat daripada algoritma kunci publik / swasta (kriptografi asimetris).
Kunci acak (session key) yang dihasilkan, dan digunakan dengan algoritma
simetrik untuk mengenkripsi informasi. Kunci publik ini kemudian digunakan
untuk mengenkripsi kunci yang baik dan dikirim ke penerima.
Kunci
pribadi digunakan untuk Dekripsi
Sebuah
kunci privat digunakan untuk mendekripsi informasi yang telah dienkripsi
menggunakan kunci publik yang sesuai. Orang yang menggunakan kunci pribadi bisa
memastikan bahwa informasi itu dapat mendekripsi harus telah dimaksudkan untuk
mereka, tetapi mereka tidak bisa memastikan siapa informasi itu dari.
Catatan:
Dalam praktek yang normal kunci pribadi digunakan untuk mendekripsi kunci sesi,
dan kunci yang digunakan untuk mendekripsi informasi aktual daripada kunci
privat mendekripsi semua informasi.
Kunci
pribadi untuk Signature
Jika
pengirim ingin membuktikan kepada penerima bahwa mereka adalah sumber informasi
yang (mungkin mereka menerima tanggung jawab hukum untuk itu) mereka
menggunakan kunci privat untuk menandatangani pesan digital (digital
signature). Berbeda dengan tanda tangan tulisan tangan, tanda tangan digital
ini berbeda setiap kali dibuat. Nilai matematika unik, ditentukan oleh isi
pesan, dihitung menggunakan 'hashing' atau algoritma otentikasi pesan ', dan
kemudian nilai ini dienkripsi dengan kunci pribadi - membuat tanda tangan
digital untuk pesan tertentu. Nilai dienkripsi baik melekat pada akhir pesan
atau dikirim sebagai file terpisah bersama dengan pesan. Kunci publik yang
sesuai dengan kunci pribadi ini juga dapat dikirim dengan pesan, baik sendiri
atau sebagai bagian dari sertifikat.
Catatan:
Setiap orang menerima informasi dilindungi hanya dengan tanda tangan digital
dapat memeriksa tanda tangan dan dapat membaca dan memproses informasi.
Menambahkan tanda tangan digital ke informasi tidak memberikan kerahasiaan.
Kunci
Publik untuk Signature
Penerima
pesan digital ditandatangani menggunakan kunci publik yang tepat untuk
memeriksa tanda tangan dengan melakukan langkah-langkah berikut. Sebuah contoh
non-teknis diberikan setelah langkah-langkah.
1. Kunci publik yang tepat digunakan untuk
mendekripsi nilai hash yang pengirim dihitung untuk informasi
2. Menggunakan algoritma hashing (di mana
sertifikat digunakan akan tercantum dalam sertifikat kunci publik dikirim
dengan pesan), hash dari informasi yang diterima dihitung
3. Nilai hash yang baru dihitung dibandingkan
dengan nilai hash yang pengirim awalnya dihitung. Ini ditemukan pada langkah 1
di atas. Jika nilai cocok, penerima mengetahui bahwa orang yang mengendalikan
kunci privatnya untuk kunci publik dikirim informasi. Mereka juga tahu bahwa
informasi tersebut belum diubah sejak ditandatangani
4. Jika sertifikat kunci publik dikirim dengan
informasi itu kemudian divalidasi dengan CA yang menerbitkan sertifikat untuk
memastikan bahwa sertifikat tersebut belum dipalsukan dan karena itu identitas
controller dari kunci pribadi adalah asli
5. Akhirnya, jika tersedia, daftar pencabutan
untuk CA diperiksa untuk memastikan bahwa sertifikat tersebut belum dicabut,
atau jika sudah dicabut, apa tanggal dan waktu pencabutan itu.
Sebagai
contoh, misalkan Anda dikirimi dokumen Word dengan e-mail. Pengirim telah
menandatanganinya dengan menghitung nilai hash untuk dokumen Word, kemudian
dienkripsi dengan kunci yang nilai pribadi mereka. Anda menerima dokumen Word,
dan menghitung nilai hash untuk itu. Anda mendekripsi lembah hash yang pengirim
terenkripsi dan membandingkan keduanya. Jika mereka sama, dokumen tidak berubah
dan Anda yakin yang mengirim dokumen. (Jika mereka tidak cocok Anda tahu bahwa
dokumen tersebut telah diubah atau pengirim tidak yang mereka klaim.)
Jika
tidak ada kesalahan telah ditemukan, penerima dapat pastikan keaslian dan
keakuratan informasi yang telah diterima.
Untuk
mengenkripsi informasi yang akan disimpan untuk digunakan sendiri (yaitu, Anda
akan menjadi orang yang hanya mampu membacanya), Anda harus menggunakan kunci
publik Anda sendiri sebagai kunci penerima (Anda adalah penerima) agar dapat
mendekripsi dan membaca informasi nanti. Jika Anda menggunakan orang lain kunci
publik, maka hanya mereka akan dapat mendekripsi dan membaca informasi. (Untuk
menghindari kesulitan berhubungan dengan tidak bisa membaca pesan terenkripsi
jika Anda bukan salah satu penerima, beberapa sistem tidak menghapus pesan asli
setelah enkripsi sementara yang lainnya menyimpan salinan dari kunci yang
digunakan untuk enkripsi baik di bawah Public Key pengirim atau di bawah kunci
Pemulihan Sistem Metode terakhir ini. juga disebut sebagai escrow kunci atau
pemulihan kunci.)
Kriptografi
Kunci Publik sebaiknya digunakan untuk enkripsi / dekripsi dan penandatanganan
/ verifikasi informasi. Enkripsi informasi memastikan privasi dengan mencegah
pengungkapan yang tidak diinginkan, dan menandatangani pesan mengotentikasi
pengirim pesan dan memastikan pesan belum diubah sejak dikirim. Harus diingat
bahwa hanya informasi ditandatangani / dienkripsi telah dilindungi. Umumnya
dalam e-mail sistem, alamat dan pesan tubuh mungkin memiliki perlindungan sama
sekali dan tidak boleh dianggap aman atau bagian dari informasi yang
dilindungi.
1.2.1
PKI sertifikat (Sertifikat Digital)
Pada
bagian pada kunci publik dan swasta, referensi dibuat untuk sertifikat.
Sertifikat adalah informasi mengacu pada kunci publik, yang telah
ditandatangani secara digital oleh Otoritas Sertifikasi (CA). Informasi yang
biasanya ditemukan di sertifikat sesuai dengan v3 (IETF) standar ITU X.509.
Sertifikat sesuai dengan standar yang mencakup informasi tentang identitas
diterbitkan dari pemilik kunci privatnya, panjang kunci, algoritma yang
digunakan, dan algoritma hashing terkait, tanggal validitas sertifikat dan
tindakan-tindakan utama yang dapat digunakan untuk.
Sertifikat
adalah tidak penting untuk operasi PKI, namun, beberapa skema perlu untuk
mencari informasi tentang controller sebuah kunci pribadi, dan sertifikat X.509
adalah skema yang paling sering dilaksanakan.
1.2.2
Penggunaan Kunci Pengendalian
Salah
satu bidang dalam sertifikat kunci publik (sertifikat) adalah bidang penggunaan
kunci. Hal ini digunakan oleh CA untuk menyatakan menggunakan CA telah
disetujui. Ini tidak berarti bahwa kunci privat terkait tidak dapat digunakan
dalam cara lain. Tidak ada sertifikat dengan kunci pribadi. Orang menerima
informasi dilindungi menggunakan sistem kunci publik harus memeriksa, di mana
sertifikat disediakan, bahwa penggunaan kunci dinyatakan dalam sertifikat
sesuai dengan penggunaan aktual.
1.3.2
PKI metode untuk menyimpan Kunci Publik dan Kunci Pribadi
Sertifikat
digital
Kunci
publik disimpan di dalam sertifikat digital serta informasi terkait lainnya
(pengguna informasi, tanggal kedaluwarsa, penggunaan, yang mengeluarkan
sertifikat dll). CA memasuki informasi yang terkandung dalam sertifikat
tersebut ketika ditempatkan dan informasi ini tidak dapat diubah. Karena
sertifikat tersebut akan ditandatangani secara digital dan semua informasi di
dalamnya dimaksudkan untuk tersedia untuk umum tidak perlu untuk mencegah akses
ke membacanya, meskipun Anda harus mencegah pengguna lain merusak, menghapus
atau menggantinya.
Perlindungan
Jika
seseorang mengakses keuntungan ke komputer Anda, mereka dengan mudah bisa
mendapatkan akses ke kunci pribadi Anda (s). Untuk alasan ini, akses ke kunci
pribadi biasanya dilindungi dengan password pilihan Anda. Password kunci privat
tidak boleh diberikan kepada orang lain dan harus cukup panjang sehingga mereka
tidak mudah ditebak. Ini adalah sama dengan menjaga KARTU ATM dan PIN nya. Jika
seseorang berhasil mendapatkan memegang kartu Anda maka satu-satunya hal yang
mencegah dia menggunakan itu adalah PIN (password) melindunginya. Jika
seseorang memiliki PIN maka mereka dapat mengambil uang Anda dan Anda tidak
dapat menghentikan mereka.
Vendor
yang berbeda sering menggunakan berbeda dan kadang-kadang format penyimpanan
proprietary untuk menyimpan kunci. Sebagai contoh, Entrust menggunakan format
proprietary EPF., Sementara Verisign, GlobalSign, dan Baltimore, untuk beberapa
nama, menggunakan standar p12. Format.
1,3
Komponen dari PKI
Sebuah
PKI (infrastruktur kunci publik) dibuat dengan menggabungkan sejumlah layanan
dan teknologi:
1)
Sertifikasi otoritas (CA)
Sebuah
isu CA dan memverifikasi sertifikat (lihat di atas). CA bertanggung jawab untuk
mengidentifikasi (sampai batas lain) kebenaran dari identitas orang meminta
sertifikat yang akan dikeluarkan, dan memastikan bahwa informasi yang
terkandung dalam sertifikat tersebut adalah benar dan digital
menandatanganinya.
Membangkitkan
pasangan kunci
CA
dapat membuat kunci publik dan kunci pribadi (pasangan kunci) atau orang yang
mengajukan permohonan sertifikat mungkin harus menghasilkan pasangan kunci
mereka sendiri dan mengirim permintaan ditandatangani berisi kunci publik
mereka ke CA untuk validasi. Orang yang mengajukan permohonan sertifikat dapat
memilih untuk menghasilkan pasangan sendiri kunci mereka sehingga untuk
memastikan bahwa kunci pribadi tidak pernah meninggalkan kendali mereka dan
sebagai hasilnya kurang cenderung menjadi tersedia untuk orang lain.
Penerbitan
sertifikat digital
Kecuali
Anda menghasilkan sertifikat Anda sendiri (beberapa perangkat lunak aplikasi
akan memungkinkan Anda melakukan hal ini) biasanya Anda akan harus membeli satu
dari CA. Sebelum CA mengeluarkan sertifikat Anda dengan mereka akan membuat
pemeriksaan berbagai untuk membuktikan bahwa Anda adalah yang Anda katakan.
CA
dapat dianggap sebagai setara PKI sebuah badan paspor - masalah Anda CA
sertifikat setelah Anda memberikan mandat yang mereka perlukan untuk mengkonfirmasi
identitas Anda, dan kemudian tanda-tanda CA (perangko) sertifikat untuk
mencegah modifikasi dari informasi yang tercantum dalam sertifikat.
Sebuah
CA juga mungkin menyatakan kualitas pemeriksaan yang dilakukan sebelum
sertifikat diterbitkan. Kelas yang berbeda dari sertifikat dapat dibeli yang
sesuai dengan tingkat pemeriksaan dibuat. Ada tiga atau empat kelas umum
sertifikat: Kelas 1 sertifikat dapat dengan mudah diperoleh dengan memberikan
alamat email, Kelas 2 sertifikat memerlukan informasi pribadi tambahan yang
harus diberikan, dan Kelas 3 sertifikat hanya dapat dibeli setelah pemeriksaan
telah dibuat mengenai pemohon identitas. Sebuah kelas 4 dapat digunakan oleh
pemerintah dan organisasi yang membutuhkan tingkat yang sangat tinggi checking.
Menggunakan
sertifikat
Seorang
individu mungkin memiliki sejumlah sertifikat yang dikeluarkan oleh sejumlah
CA. Aplikasi Web yang berbeda mungkin bersikeras bahwa Anda menggunakan
sertifikat hanya dikeluarkan oleh CA tertentu. Sebagai contoh, sebuah bank
mungkin bersikeras bahwa Anda menggunakan sertifikat yang dikeluarkan oleh
mereka untuk menggunakan layanan mereka, sedangkan situs Web publik mungkin
menerima sertifikat yang Anda tawarkan (sama seperti beberapa memungkinkan
pilihan bebas ID dan password).
CA
dapat menjadi unit dalam organisasi Anda, sebuah perusahaan (yaitu bank atau
kantor pos), atau badan independen (VeriSign).
Memeriksa
sertifikat
Sertifikat
kunci publik ditandatangani oleh CA untuk mencegah modifikasi atau pemalsuan.
Tanda tangan ini juga digunakan saat memeriksa bahwa kunci publik masih
berlaku. Tanda tangan ini divalidasi terhadap daftar 'root CA' yang terkandung
dalam berbagai aplikasi 'PKI sadar' (misalnya browser Anda). Beberapa
sertifikat CA disebut 'Sertifikat Akar' sebagai mereka membentuk akar segala
validasi sertifikat. Validasi sertifikat terjadi secara otomatis menggunakan
sertifikat publik lain yang terkandung dalam daftar root CA.
Catatan:
PGP (Pretty Good Privacy) pengguna biasanya bertindak sebagai otoritas mereka
sendiri yang mengeluarkannya, sehingga Anda menerima sertifikat mereka atas
dasar bahwa mereka adalah yang mereka katakan tanpa verifikasi lebih lanjut.
Metode ini disebut 'Web kepercayaan' karena didasarkan pada orang yang Anda
percaya bukan kewajiban dalam kontrak.
2)
Pencabutan
Dimana
sistem bergantung pada penerbitan sertifikat sehingga orang dapat berkomunikasi
satu sama lain, harus ada sistem untuk membiarkan orang tahu kapan sertifikat
tidak lagi berlaku. Hal ini dapat dilakukan dalam satu dari dua cara.
Sertifikat dapat dihapus dari Direktori atau database di mana mereka harus
ditemukan. Akibatnya, setiap upaya untuk menemukan mereka untuk memeriksa bahwa
mereka masih ada akan gagal dan orang yang mencari mereka akan tahu bahwa
mereka telah dicabut.
Ada
dua masalah dengan pendekatan ini. Yang pertama adalah bahwa serangan penolakan
layanan pada Direktori atau database dapat membuat penampilan sertifikat gagal.
Yang kedua adalah bahwa Direktori ini dirancang untuk mengoptimalkan waktu
untuk membaca informasi, sehingga menghapus informasi yang biasanya dihindari,
seperti yang update. Juga, menghapus catatan tidak memberitahu orang meminta
informasi mengapa tidak ada, yang mungkin mereka butuhkan untuk mengetahui
mengapa dan kapan itu dihapus.
Akibatnya,
sistem daftar pencabutan telah dikembangkan yang ada di luar Direktori atau
database. Ini adalah daftar sertifikat yang tidak berlaku lagi (karena alasan
apapun), setara dengan daftar ATM hilang atau dicuri kartu. Saat ini ada dua
metode yang berbeda untuk memeriksa pencabutan sertifikat - 'CRL' atau 'OCSP.
Daftar pencabutan mungkin publik bahkan ketika Direktori cocok atau database
tidak. Hal ini karena sertifikat mungkin telah didistribusikan untuk digunakan
di luar jaringan pribadi dari organisasi yang terlibat.
3)
Registration Authority (RA)
Sebuah
CA mungkin menggunakan pihak ketiga Registration Authority (RA) untuk melakukan
pemeriksaan yang diperlukan pada orang atau perusahaan meminta sertifikat untuk
memastikan bahwa mereka adalah yang mereka katakan. Bahwa RA dapat muncul ke
pemohon sertifikat sebagai CA, tetapi mereka tidak benar-benar menandatangani
sertifikat yang diterbitkan.
Penerbitan
Sertifikat metode 4)
Salah
satu dasar-dasar sistem PKI adalah kebutuhan untuk menerbitkan sertifikat
sehingga pengguna dapat menemukan mereka. (Anda harus bisa mendapatkan pegangan
dari kunci enkripsi publik untuk penerima informasi yang terenkripsi.) Ada dua
cara untuk mencapai ini. Salah satunya adalah untuk menerbitkan sertifikat di
setara dengan sebuah buku telepon elektronik. Yang lain adalah dengan
mengirimkan sertifikat Anda kepada orang-orang Anda berpikir mungkin
membutuhkannya dengan satu cara atau yang lain. Pendekatan yang paling umum
tercantum di bawah ini.
Direktori
Direktori
adalah database yang X.500/LDAP-compliant. Ini berarti bahwa mereka berisi
sertifikat dalam format X.509, dan bahwa mereka menyediakan fasilitas pencarian
yang spesifik seperti yang ditetapkan dalam standar LDAP diterbitkan oleh IETF.
Direktori dapat dibuat tersedia untuk umum atau mereka mungkin tertutup menjadi
organisasi tertentu - yaitu perusahaan mungkin memiliki direktori sendiri di
mana ia memegang sertifikat bagi penggunanya dan hanya para penggunanya dapat
mengakses direktori ini. Direktori Sebuah bersifat rahasia ketika berisi
informasi bahwa pemilik tidak ingin tersedia untuk umum. Direktori publik di
sisi lain dapat dibaca oleh siapapun yang memiliki akses kepada mereka.
Database
Sebuah
database dapat dikonfigurasi untuk menerima sertifikat X.509 format. Hal ini
dapat dilakukan untuk sistem pribadi di mana metode pencarian untuk mencari
sertifikat tidak mengikuti struktur LDAP. Karena pada dasarnya eksklusif,
metode ini tidak digunakan untuk sistem publik.
Email,
floppy disk dll
Sertifikat
dapat dikirim dalam e-mail sehingga penerima dapat menambahkannya ke koleksi
mereka sendiri pada server mereka atau desktop, tergantung pada cara sistem
keamanan mereka telah dikonfigurasi. Mereka mungkin juga akan dimasukkan ke
floppy disk, atau media lainnya.
5)
Sertifikat Sistem Manajemen
Istilah
ini mengacu pada sistem manajemen melalui sertifikat yang diterbitkan,
sementara atau permanen ditangguhkan, diperbaharui atau dicabut. Sertifikat
sistem manajemen biasanya tidak menghapus sertifikat karena mungkin diperlukan
untuk membuktikan status mereka di suatu titik waktu, mungkin untuk alasan
hukum. Sebuah CA (dan mungkin RA) akan menjalankan sistem manajemen sertifikat
untuk dapat melacak tanggung jawab mereka dan kewajiban.
6)
'PKI sadar' aplikasi
Istilah
ini biasanya mengacu pada aplikasi yang memiliki toolkit CA tertentu perangkat
lunak pemasok ditambahkan kepada mereka sehingga mereka dapat menggunakan
pemasok CA dan sertifikat untuk mengimplementasikan fungsi PKI. Istilah ini
tidak berarti bahwa aplikasi memiliki 'pengetahuan' yang dibangun ke dalam
mereka tentang apa persyaratan keamanan sebenarnya, atau yang PKI layanan yang
relevan untuk memberikan mereka. Isu-isu ini cukup terpisah dari memiliki PKI
layanan yang tersedia.
Di
dunia yang serba online seperti sekarang ini, keamanan informasi menjadi suatu
hal yang sangat penting. Jika di dunia nyata kita bisa mengetahui identitas
orang menggunakan KTP, maka di dunia maya kita mengenal
orang/institusi/dokumen/dsb menggunakan kredensial elektronik. Salah satu
bentuk kredensial elektronik ini adalah PKI (Public Key Infrastructure).
PKI
memastikan kebenaran identitas seseorang, atau keaslian dari suatu dokumen.
PKI
bekerja menggunakan sepasang kunci : kunci pribadi, dan kunci publik. Kunci
pribadi dipergunakan untuk kita sendiri, dan hanya si pemilik kunci yang
mengetahui nomor kunci ini. Sedangkan kunci publik merupakan kunci yang bisa
digunakan oleh siapapun juga. Kunci ini hanya bisa dipergunakan untuk membuka
suatu dokumen jika digunakan secara berpasangan.
Untuk
memastikan bahwa dokumen rahasia tidak pernah mengalami perubahan, maka dokumen
asli disandi menggunakan suatu teknik penyandian dan menghasilkan suatu angka
yang disebut hash. Di dunia nyata, hash serupa dengan sidik jari yang mewakili
dokumen asli dalam bentuk yang sangat kompak. Hash digunakan untuk membuktikan
keaslian dari suatu dokumen, karena perubahan sedikit saja dari dokumen asli
akan mengubah sidik jari (hash).
Tanda
tangan digital memanfaatkan teknik hash dan kunci pribadi untuk menandatangani
suatu dokumen digital. Dokuman yang akan ditandatangani harus disandi, kemudian
hashnya disandi kembali menggunakan kunci pribadi. Dan orang lain bisa menerima
dan membaca dokumen tadi tapi tidak bisa mengubahkan (untuk mengubah
membutuhkan kunci pribadi)
lembaga
yang berwenang untuk membuat dan mengawasi jalannya prosedur pemakaian public
key :
1. CA (Certification Authority) adalah sebuah
badan hukum yang berfungsi sebagai pihak ketiga terpercaya yang menerbitkan SD
(Sertifikat Digital) dan menyediakan keamanan yang dapat dipercaya oleh para
pengguna dalam menjalankan pertukaran informasi secara elektronik, sehingga
memenuhi empat aspek keamanan (privacy/confidentiality, authentication,
integrity, non repudiation).
2. RA (Registration Authority) adalah sebuah
lembaga yang bertanggungjawab memverifikasi data identitas pemegang sertifikat
dan memvalidasi kebenarannya.
PKI merupakan pengaturan yang mengikat kunci
publik dengan identitas masing-masing pengguna menggunakan Certification
Authority (CA). Dengan kalimat singkat PKI adalah infrastruktur sekuriti yang
diimplementasikan menggunakan konsep dan teknik kriptografi kunci public.
Menurut
Internet X.509 Public Key Infrastructure Certificate Management Protocols,
dalam sebuah model public key infrastructure terdapat beberapa entitas:
1.Subject atau subscriber
2.Certification Authority (CA)
3.Registration Authority (RA)
4.Certificate Repository
5.Relying Party
0 comments :
Post a Comment