Top Banner
Rinaldi M/IF5054 Kriptografi 1 Public Key Infrastructure (PKI) Materi Keamnan Jaringan 7
43

Public Key Infrastructure ( PKI )

Dec 30, 2015

Download

Documents

elizabeth-stout

Public Key Infrastructure ( PKI ). Materi Keamnan Jaringan 7. Sertifikat Digital. Kunci publik tidak mempunyai suatu kode identifikasi kepemilikan. Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk ( impersonation attack ). - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 1

Public Key Infrastructure (PKI)

Materi Keamnan Jaringan 7

Page 2: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 2

Sertifikat DigitalKunci publik tidak mempunyai suatu kode identifikasi kepemilikan.

Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk (impersonation attack ).

Contoh: client perlu mengotentikasi server (via tanda-tangan digital dan menggunakan kunci publik server)

Kasus menarik: peniruan website BCA.

Page 3: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 3

Page 4: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 4

Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital.

Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA).

Analog dengan sertifikat rumah/tanah (dikeluarkan oleh Pemkot/Pemda)

CA biasanya adalah institusi keuangan (seperti bank) atau institusi yang terpercaya.

Contoh CA terkenal: Verisign (www.verisign.com)

Page 5: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 5

Page 6: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 6

Page 7: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 7

Sertifikat digital adalah dokumen digital yang berisi informasi sebagai berikut:

- nama subjek (perusahaan/individu yang disertifikasi)

- kunci publik si subjek - waktu kadaluarsa sertifikat (expired

time) - informasi relevan lain seperti nomor

seri sertifikat, dll

Page 8: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 8

CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA)

Kemudian, CA menandatangani nilai hash tersebut dengan menggunakan kunci privat CA.

Contoh: Bob meminta sertifikat digital kepada CA untuk kunci publik:

198336A8B03030CF83737E3837837FC387092827FFA15C76B01

CA memmbuat sertifikat digital untuk Bob lalu menandatanganinya dengan kunci prvat CA.

Page 9: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 9

I hereby certifiy that the public key 198336A8B03030CF83737E3837837FC387092827FFA15C76B01 belongs to Bob Anderson 12345 University Avenue Barkeley, CA94702 E-mail: [email protected] Expiration Date: 13-Jul-2018

Tanda tangan digital: Nilai hash (SHA) dari sertifikat digital yang dienkripsi dengan menggunakan kunci privat CA

Gambar 23.2 Contoh sebuah sertifikat digital

Page 10: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 10

Jadi, sertifikat digital mengikat kunci publik dengan identitas pemilik kunci publik.

Sertifikat ini dapat dianggap sebagai ‘surat pengantar’ dari CA.

Supaya sertifikat digital itu dapat diverifikasi (dicek kebenarannya), maka kunci publik CA harus diketahui secara luas.

Page 11: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 11

Seseorang yang memiliki kunci publik CA dapat memverifikasi tanda tangan di dalam sertifikat.

Sertifikat digital tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories.

Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat.

Page 12: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 12

X.509

Standard untuk sertifikat telah ditetapkan oleh ITU.

Standard tersebut dinamakan X.509 dan digunakan secara luas di internet.

Ada tiga versi standard X.509, yaitu V1, V2, dan V3.

Page 13: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 13

X.509 adalah cara mendeskripsikan sertifikat. Field-field utama di dalam sertifikat standard X.509 adalah sebagai berikut:

Field Arti Version Versi X.509 Serial Number Nomor ini plus nama CA secara unik

digunakan untuk mengidentifikasi sertifikat Signature Algorithm Algoritma yang digunakan untuk

menandatangani sertifikat. Issuer Nama pemberian X.509 untuk CA Validity period Waktu awal dan akhir periode valid Subject name Entitas (individu atau organisasi) yang

disertifikasi Public Key Kunci publik subjek dan ID dari algoritma

yang menggunakannya. Issuer ID ID opsional yang secara unik

mengidentifikasi certificate’s issuer. Subject ID ID opsional yang secara unik

mengidentifikasi certificate’s subject Extensions Bayak ekstensi yang telah didefinisikan. Signature Tanda-tangan sertifikat (ditandatangani

dengan kunci privat CA).

Page 14: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 14

Sertifikat Digital X.509 versi 3 (*)

Versi

Nomor Seri Sertifikat

Signature Algorithm Identifier (untuk signature dari CA)

Nama X.500 dari CA

Perioda validitas (mulai dan berakhirnya)

Nama X.500 dari Subjek Sertifikat

Informasi Kunci Publik milik Subjek

Agoritma yang digunakan

Isi Kunci Publik

Identifier Unik dari Penerbit (optional)

Identifier Unik dari Subjek (optional)

Extensions (optional)

Digital Signature yang dibuat CA

DigitalSignature

dibuatdengan

menggunakankunci

privat CA

*) Sumber: http://budi.paume.itb.ac.id

Page 15: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 15

Contoh sertifikat digital:

*) Sumber: http://budi.paume.itb.ac.id

Page 16: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 16

Page 17: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 17*) Sumber: http://budi.paume.itb.ac.id

Page 18: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 18

Page 19: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 19

Adanya atribut waktu kadualarsa pada sertifikat digital dimaksudkan agar pengguna mengubah kunci publik (dan kunci privat pasangannya) secara periodik.

Makin lama penggunaan kunci, makin besar peluang kunci diserang dan dikriptanalisis. Jika pasangan kunci tersebut diubah, maka sertifikat digital yang lama harus ditarik kembali (revoked).

Pada sisi lain, jika kunci privat berhasil diketahui pihak lain sebelum waktu kadualarsanya, sertifikat digital harus dibatalkan dan ditarik kembali, dan pengguna harus mengganti pasangan kuncinya.

 

Page 20: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 20

Bagaimana CA memberitahu ke publik bahwa sertifikat digital ditarik?

Caranya: CA secara periodik mengeluarkan CRL (Certificate Revocation List) yang berisi nomor seri sertifikat digital yang ditarik.

Sertifikat digital yang sudah kadaluarsa otomatis dianggap sudah tidak sah lagi dan ia juga dimasukkan ke dalam CRL.

Dengan cara ini, maka CA tidak perlu memberitahu perubahan sertifikat digital kepada setiap orang.

Page 21: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 21

Page 22: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 22

Sayangnya, keberadaan CRL menyebabkan pengguna yang memakai sertifikat digital harus memiliki CRL untuk memvalidasi apakah sertifikat tersebut telah ditarik.

Sebagai alternatif CRL adalah Online Certificate Status Protocol (OCSP), yang memvalidasi sertifikat secara real time.

Page 23: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 23

Sertifikat digital dapat digunakan untuk keamanan e-mail. Sebagai contoh, di dalam Microsoft Outlook, pilih: Tools Options Security

Page 24: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 24

Pada bagian bawah kotak dialog, anda akan melihat opsi untuk memperoleh digital ID.

Dengan memilih opsi tersebut, anda akan dibawa ke situs web Microsoft dengan link ke beberapa CA.

Sekali anda mempunyai sertifikat digital, anda dapat menandatangani e-mail secara digital

Page 25: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 25

Public Key Infrastructure (PKI)

Jika hanya ada satu CA untuk melayani sertifikat digital dari seluruh dunia overload

Solusi yang mungkin: - mempunyai banyak CA- semua CA dijalankan oleh organisasi yang sama- Setiap CA bekerja dengan menggunakan kunci privat yang sama untuk menandatangani sertifikat.

Solusi di atas rentan jika kunci privat dicuri, maka seluruh sertifikat tidak berlaku lagi.CA mana yang mempunyai otoritas dan diterima di seluruh dunia?

Page 26: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 26

Solusi yang digunakan saat ini: menggunakan PKI (Public Key Infrastructure).

PKI terdiri atas komponen-komponen: - pengguna (pemohon sertifikat dan pemakai sertifikat) - sertifikat digital - CA - Direktori (menyimpan sertifikat digital dan CRL)

PKI menyediakan cara penstrukturan komponen-komponen di atas dan mendefinisikan standard bermacam-macam dokumen dan protokol.

Page 27: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 27

Bentuk PKI yang sederhana adalah hirarkhi CA dalam struktur pohon pada G am bar 23.4.

Root

R A-1 RA -2

C A-2 CA -3CA -1 CA -4 CA-5

G am bar 23.4 H irarkhi CA di dalam PKI

Page 28: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 28

Aras ke-nol adalah root. Root merupakan root certificate authority, yang mana adalah Internet Policy Registration Authority (IPRA).

Root mensertifikasi CA aras satu dengan menggunakan privat root yang disebut root key.

CA aras satu disebut RA (Regional Authorities), yang bertindak sebagai policy creation authority, yaitu oganisasi yang membuat kebijakan untuk memperoleh sertifikat digital.

Sebuah RA mungkin mencakup beberapa area geografis, seperti negara bagian, negara, atau benua.

Page 29: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 29

RA menandatangai sertifikat digital untuk CA di bawahnya dengan menggunakan kunci privat RA.

CA menandatangani sertifikat digital untuk individu atau organisasi dengan mengguankan kunci privat CA.

CA bertanggung jawab untuk otentikasi sertifikat digital, sehingga CA harus memeriksa informasi secara hati-hati sebelum mengeluarkan sertifikat digital. Gambar 23.5 memperlihatkan rantai sertifikat di dalam PKI.

Page 30: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 30

Root

R A-1 RA -2

C A-2 CA -3CA -1 CA -4 CA-5

. . . . . .. . .

. . . . . .. . .

R A -2 dis etu ju i.Ku n c i pu b likn yaad a lah 4 73 83 E 45 9 ...

T a nd a -tan g an ro ot

. . . .. . . . .

. . . .. . . . .

C A -5 dis etu ju i.Ku n c i pu b likn yaad a lah 6 5B 3 4D 13 5.. .

T a n da -ta ng a n R A -2

B ob

K u nc i pu bl ik in i:6 5 B3 4 D 1 35 ...a d ala h m il ik B obE xp ire D a te: . ..

. . . .. . . . .

. . . .. . . . .

T a nd a -tan g an C A -5

G am bar 23 .5 C ontoh rantai sertifikat d ig ital

Page 31: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 31

Verifikasi sertifikat digital dilakukan dari daun menuju akar (root).

Rantai sertifikat yang menuju ke root disebut chain of trust atau certification path.

Page 32: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 32

Untuk melihat CA dan sertifikat digitalnya yang yang telah dipasang di dalam Internet Explorer (IE), pilih:

  Tools Internet Options Contents

Page 33: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 33

Kemudian, klik tab: Certificates Trusted Root Certification Authorities

Page 34: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 34

Trusted Root CA adalah root di dalam PKI dan memiliki cabang berupa Intermediate CA.

Bila terdapat server di internet yang diberi sertifikat oleh perusahaan yang tidak tercantum di dalam daftar CA di atas, maka IE akan memperingatkan bahwa IE tidak mengenal CA tersebut.

Jika pengguna mempercayai server tersebut, maka CA tersebut akan ditambahkan ke dalam IE.

Page 35: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 35

Page 36: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 36

Page 37: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 37

Wireless PKIWireless PKI (WPKI) adalah protokol keamanan yang dispesifikasikan untuk transmisi nirkabel (wireless).

Seperti PKI, WPKI mengotentikasi pengguna dengan sertifikat digital dan mengenkripsi pesan dengan kriptografi kunci-publik.

CA WPKI melibatkan Certicom (www.certicom.com) dan RSA (www.rsasecurity.com).

Page 38: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 38

Microsof Authenticode

Banyak perusahaan piranti lunak (software companies) yang menawarkan produknya secara on-line, sedemikian sehingga pembeli dapat men-download piranti lunak langsung ke komputernya

Page 39: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 39

Beberapa pertanyaan yang sering muncul jika kita men-download piranti lunak dari internet:

- 1. Bagaimana kita tahu bahwa program yang kita beli dari internet adalah aman dan tidak mengalamai perubahan (misalnya berubah karena gangguan virus)?

-  2. Bagaimana kita yakin bahwa kita tidak men-download virus komputer?

- 3. Bagaimana kita mempercayai situs web yang menjual program (software publisher) tersebut?

Page 40: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 40

Teknologi keamanan digunakan untuk menjamin bahwa piranti lunak yang di-download dapat dipercaya dan tidak mengalami perubahan.

Microsoft Auhenticode, dikombinasikan dengan sertifikat digital VeriSign (atau digital ID), mengotentikasi penerbit piranti lunak (software publisher) dan mendeteksi apakah piranti lunak mengalami perubahan.

Auhenticode adalah fitur sekuriti yang dibangun di dalam Internet Explorer

Page 41: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 41

Untuk menggunakan Microsoft Auhenticode, setiap penerbit harus mempunyai sertifikat digital yang dirancang untuk tujuan penerbitan piranti lunak.

Sertifikat semacam itu dapat diperoleh dari CA seperti VeriSign. Untuk memperoleh sertifikat, penerbit piranti lunak harus menyediakan kunci publik dan informasi identifikasi lainnya dan menandatangai perjanjian bahwa ia tidak mendistribusikan virus.

Page 42: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 42

Microsoft Auhenticode menggunakan teknologi tanda-tangan digital untuk menandatangani piranti lunak.

Piranti lunak yang ditandatangani dan sertifikat digital penerbit memberikan bukti bahwa piranti lunak tersebut aman dan tidak mengalami perubahan

Page 43: Public Key Infrastructure  ( PKI )

Rinaldi M/IF5054 Kriptografi 43

Bila pembeli mencoba men-downoad file, kotak dialog yang muncul di layar menampilkan sertifikat digital dan nama CA-nya.

Link ke penerbit piranti lunak dan link ke CA juga disediakan sehingga pembeli dapat mempelajari lebih jauh mengenai penerbit dan CA sebelum ia menyetujui untuk men-download piranti lunak.

Jika Microsoft Auhenticode menyatakan bahwa piranti lunak tersebut membahayakan, maka transaksi dihentikan