I. Security System Computer Computer security atau dikenal juga dengan sebutan cybersecurity atau IT security adalah keamanan informasi yang diaplikasikan kepada computer dan jaringannya. Computer security bertujuan membantu user agar dapat mencegah penipuan disebuah sistem yang berbasis informasi. Informasinya sendiri arti non fisik. Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai pelindung informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan. 1.1. Tujuan Menurut Garfinkel dan Spafford, ahli dalam computer security, komputer dikatakan aman jika bisa diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan. Keamanan komputer memiliki 4 tujuan, yaitu: 1. Availability 2. Integrity 3. Control 4. Audit Tujuan keamanan komputer dalam CASIFO : a. Perusahaan Berusaha melindungi data dan informasi dari orang yang tidak berada dalam ruang lingkupnya. b. Ketersediaan Tujuan SIFO adalah menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya. c. Integritas Semua sub sistem SIFO harus meneydiakan gambaran akurat dari sistem fisik yang diwakilinya. [1]
1.2. Ruang Lingkup Keamanan Lingkup keamanan adalah sisi-sisi jangkauan keamanankomputer yang bisa dilakukan. Pada prinsipnya pengamanan sistem computer mencakup 4 hal, yaitu: 1. Pengamanan secara fisik Komputer secara fisik adalah wujud computer yang bisa dilihat dan diraba, seperti monitor, CPU, keyboard dan lainnya. Jika komputer memang perlu untuk diamankan karena fungsi dan data didalamnya penting, maka pengamanan secara fisik dapat dilakukan dengan menempatkannya pada tempat atau lokasi yang mudah diawasi dan dikendalikan, pada ruangan tertentu yang dapat dikunci, dan sulit dijangkau orang lain sehingga taka da komponen yang hilang. 2. Pengamanan Akses Ini dilakukan untuk PC yang menggunakan sistem operasi logging (penguncian) dan sistem operasi jaringan. Ini dilakukan untuk antisipasi kejadian yang sifatnya disengaja atau tidak disengaja, seperti kelalaian atau keteledoran user yang seringkali meninggalkan komputer dalam keadaan masih menyala, atau jika berada pada jaringan komputer tersebut masih berada dalam logon user. Keteledoran ini dapat menyebabkan pihak lain dapat mengakses beberapa fasilitas pada sistem komputer yang sebenernya bukan menjadi haknya. Selain itu pada computer jaringan pengaman akses biasanya menjadi tanggung jawab dari administrator sistem. 3. Pengamanan Data Pengamanan data dilakukan dengan menerapkan sistem tingkatan atau hierarki akses dimana seseorang hanya dapat mengakses data tertentu saja yang menjadi haknya. Sebagai contoh, departemen pemasaran dari suatu perusahaan hanya dapat megakses data yang berkaitan dengan pemasaran barang dan tidak dapat mengakses data gaji pegawai, karena data gaji pegawai merupakan wewenang dari departemen personalia. 4. Pengamanan Kombinasi Jaringan Jaringan disini berkaitan erat dengan pemanfaatan jaringan publik seperti internet. Pengamanan jaringan dapat dilakukan dengan menggunakan kriptografi dimana data yang
sifatnya sensitif dapat dienkripsi atau disandikan terlebih dahulu sebelum ditransmisikan melalui jaringan. Dengan mentransmisikan data yang telah dienkripsi, maka walaupun data tersebut jatuh ke pihak yang tidak berhak, pihak tersebut tidak dapat mengerti isi dari data tersebut. 1.3. Aspek Ancaman Keamanan Dalam dunia cyber yang sangat keras saat ini, ancaman akan keamanan komputer sudah sangat memiliki resiko yang tinggi. Banyaknya orang yang sudah memiliki kemampuan untuk melakukan penerobosan dalam sistem keamanan pada komputer sehingga mereka bisa mengetahui celah yang bisa dilalui untuk mendapatkan informasi atau data yang diinginkan oleh pelaku kejahatan cyber. Berikut aspek-aspek keamanan komputer : 1. Interruption Interruption merupakan ancaman terhadap availability. Informasi dan data yang ada dalam sistem computer dirusak dan dihapus, sehingga jika dibutuhkan, data atau informasi sudah tidak ada lagi. Contoh dalam hal ini yaitu hardisk dirusak, kabel komunikasi dipotong, dan lainya yang bersifat diluar teknis secara software, melainkan harus dilakukan secara manual. 2. Interception Interception merupakan ancaman terhadap kerahasiaan. Informasi yang ada disadap orang yang tidak berhak untuk mendapatkan akses ke komputer dimana infromasi itu disimpan. Pada aspek ini, data berhasil diambil sebelum atau sesudah data ditransmisikan ke tujuan. Teknik ini sangat sering dilakukan dan sangat transparan, bahkan mungkin saat ini kitadisadap namun kita tak pernah menyadari hal tersebut. 3. Modifikasi Aspek modifikasi merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil menyadap lalulintas informasi yang sedang dikirim dan mengubah sesuai keinginan tersebut. Pada aspek informasi atau data tidak langsung terkirim ke tujuan, namun terkirim ke pelaku dan pelaku mempunyai otoritas full apakah
data ingin diubah, dihapus bahkan pelaku bisa saja meneruskan informasi tersebut ke tujuan. 4. Fabrication
Fabrication merupakan ancaman terhadap integrity. Orang yang tidak berhak berhasil meniru dengan memalsukan suatu informasi yang ada sehingga orang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki si penerima informasi tersebut. 1.4. Enkripsi Pada Keamanan Sistem Komputer Kemajuan di bidang telekomunikasi dan komputer telah memungkinkan seseorang untuk melakukan transaksi bisnis secara cashless, selain itu ia juga dapat mengirimkan informasi kepada temannya secara on-line. Kegiatan-kegiatan tersebut tentu saja akan menimbulkan resiko bilamana informasi yang sensitif dan berharga tersebut diakses oleh orang-orang yang tidak berhak (unauthorized persons). Misalnya, informasi mengenai nomor kartu kredit anda, bila informasi ini jatuh kepada orang-orang yang jahat maka anda harus bersiap-siap terhadap melonjaknya tagihan kartu kredit anda. Sebelum tahun 1970-an, teknologi kriptografi digunakan terbatas hanya untuk tujuan militer dan diplomatik. Akan tetapi kemudian bidang bisnis dan perorangan mulai menyadari pentingnya melindungi informasi berharga. Pengertian Dasar Suatu pesan yang tidak disandikan disebut sebagai plaintext ataupun dapat disebut juga sebagaicleartext. Proses yang dilakukan untuk mengubah plaintext ke dalam ciphertext disebut encryptionatau encipherment. Sedangkan proses untuk mengubah ciphertext kembali ke plaintext disebutdecryption atau decipherment. Secara sederhana istilah-istilah di atas dapat digambarkan sebagai berikut : Gb.Proses Enkripsi/Dekripsi Sederhana Cryptography adalah suatu ilmu ataupun seni mengamankan pesan, dan dilakukan olehcryptographer. Sedang, cryptanalysis adalah suatu ilmu dan seni membuka (breaking) ciphertext dan orang yang melakukannya disebut cryptanalyst. Cryptographic system atau cryptosystem adalah suatu fasilitas untuk mengkonversikan plaintext ke ciphertext dan sebaliknya. Dalam sistem ini, seperangkat parameter yang menentukan transformasi pencipheran tertentu disebut suatu set kunci. Proses enkripsi dan dekripsi diatur oleh satu atau beberapa kunci kriptografi. Secara umum, kunci-kunci yang digunakan untuk proses pengenkripsian dan pendekripsian tidak perlu identik, tergantung pada sistem yang digunakan. Secara umum operasi enkripsi dan dekripsi dapat diterangkan secara matematis sebagai berikut :
EK (M) = C (Proses Enkripsi) DK (C) = M (Proses Dekripsi) Pada saat proses enkripsi kita menyandikan pesan M dengan suatu kunci K lalu dihasilkan pesan C. Sedangkan pada proses dekripsi, pesan C tersebut diuraikan dengan menggunakan kunci K sehingga dihasilkan pesan M yang sama seperti pesan sebelumnya. Dengan demikian keamanan suatu pesan tergantung pada kunci ataupun kuncikunci yang digunakan, dan tidak tergantung pada algoritma yang digunakan. Sehingga algoritma- algoritma yang digunakan tersebut dapat dipublikasikan dan dianalisis, serta produk-produk yang menggunakan algoritma tersebut dapat diproduksi massal. Tidaklah menjadi masalah apabila seseorang mengetahui algoritma yang kita gunakan. Selama ia tidak mengetahui kunci yang dipakai, ia tetap tidak dapat membaca pesan. Cryptographic system (cryptosystem) Suatu cryptosystem terdiri dari sebuah algoritma, seluruh kemungkinan plaintext, ciphertext dan kunci-kunci. Secara umum cryptosystem dapat digolongkan menjadi dua buah, yaitu : 1. Symmetric Cryptosystem Dalam symmetric cryptosystem ini, kunci yang digunakan untuk proses enkripsi dan dekripsi pada prinsipnya identik, tetapi satu buah kunci dapat pula diturunkan dari kunci yang lainnya. Kunci-kunci ini harus dirahasiakan. Oleh karena itulah sistem ini sering disebut sebagai secret-key ciphersystem. Jumlah kunci yang dibutuhkan umumnya adalah : nC2 = n . (n-1) -------2 dengan menyatakan banyaknya pengguna . Contoh dari sistem ini adalah Data Encryption Standard (DES), Blowfish, IDEA.
2. Assymmetric Cryptosystem Dalam assymmetric cryptosystem ini digunakan dua buah kunci. Satu kunci yang disebut kunci publik (public key) dapat dipublikasikan, sedang kunci yang lain yang disebut kunci privat (private key) harus dirahasiakan. Proses menggunakan sistem ini dapat diterangkan secara sederhana sebagai berikut : bila A ingin mengirimkan pesan kepada B, A dapat menyandikan pesannya dengan menggunakan kunci publik B, dan bila B ingin membaca surat tersebut, ia perlu mendekripsikan surat itu dengan kunci privatnya. Dengan demikian kedua belah pihak dapat menjamin asal surat serta keaslian surat tersebut, karena adanya mekanisme ini. Contoh sistem ini antara lain RSA Scheme dan Merkle-Hellman Scheme. Setiap cryptosytem yang baik harus memiliki karakteristik sebagai berikut : 1. Keamanan sistem komputer terletak pada kerahasiaan kunci dan bukan pada kerahasiaan algoritma yang digunakan. 2. Cryptosystem yang baik memiliki ruang kunci (keyspace) yang besar. 3. Cryptosystem yang baik akan menghasilkan ciphertext yang terlihat acak dalam seluruh tes statistik yang dilakukan terhadapnya. 4. Cryptosystem yang baik mampu menahan seluruh serangan yang telah dikenal sebelumnya Namun demikian perlu diperhatikan bahwa bila suatu cryptosystem berhasil memenuhi seluruh karateristik di atas belum tentu ia merupakan sistem yang baik. Banyak cryptosystem lemah yang terlihat baik pada awalnya. Kadang kala untuk menunjukkan bahwa suatu cryptosystem kuat atau baik dapat dilakukan dengan menggunakan pembuktian matematika. Hingga saat ini masih banyak orang yang menggunakan cryptosystem yang relatif mudah dibuka, alasannya adalah mereka tidak mengetahui sistem lain yang lebih baik serta kadang kala terdapat motivasi yang kurang untuk menginvestasikan seluruh usaha yang diperlukan untuk membuka suatu sistem. Cryptographic Protocol Definisi Suatu protokol adalah serangkaian langkah yang melibatkan dua pihak atau lebih dan dirancang untuk menyelesaikan suatu tugas. Dari definisi ini dapat diambil beberapa arti sebagai berikut : a. protokol memiliki urutan dari awal hingga akhir; b. setiap langkah harus dilaksanakan secara bergiliran; c. suatu langkah tidak dapat dikerjakan bila langkah sebelumnya belum selesai;
d. diperlukan dua pihak atau lebih untuk melaksanakan protokol; e. protokol harus mencapai suatu hasil; Selain itu, suatu protokol pun memiliki karakteristik yang lain, yaitu : 1. setiap orang yang terlibat dalam protokol harus mengetahui terlebih dahulu mengenai protokol dan seluruh langkah yang akan dilaksanakan; 2. setiap orang yang terlibat dalam protokol harus menyetujui untuk mengikutinya; 3. protokol tidak boleh menimbulkan kerancuan; 4. protokol harus lengkap; Cryptographic protocol adalah suatu protokol yang menggunakan kriptografi. Protokol ini melibatkan sejumlah algoritma kriptografi, namun secara umum tujuan protokol lebih dari sekedar kerahasiaan. Pihak-pihak yang berpartisipasi mungkin saja ingin membagi sebagian rahasianya untuk menghitung sebuah nilai, menghasilkan urutan random, atau pun menandatangani kontrak secara bersamaan. Penggunaan kriptografi dalam sebuah protokol terutama ditujukan untuk mencegah atau pun mendeteksi adanya eavesdropping dan cheating. Fungsi Protokol Dalam kehidupan kita sehari-hari terdapat banyak sekali protokol tidak resmi, misalnya saja dalam permainan kartu, pemungutan suara dalam pemilihan umum. Akan tetapi tidak ada seorang pun yang memikirkan mengenai protokol-protokol ini, protokol-protokol ini terus berkembang, semua orang mengetahui bagaimana menggunakannya. Saat ini, semakin banyak interaksi antar manusia dilakukan melalui jaringan komputer. Komputer ini tentu saja memerlukan suatu protokol formal agar dapat melakukan hal yang biasa dilakukan manusia tanpa berpikir. Bila kita berpindah dari satu daerah ke daerah lain dan mengetahui bahwa kartu pemilihan suaranya berbeda dengan yang biasa kita gunakan, kita dapat beradaptasi dengan mudah. Akan tetapi kemampuan ini belum dimiliki oleh komputer, sehingga diperlukan suatu protokol. Protokol digunakan untuk mengabtraksikan proses penyelesaian suatu tugas dari mekanisme yang digunakan. Protokol komunikasi adalah sama meskipun diimplementasikan pada PC atau VAX. Bila kita yakin bahwa kita memiliki protokol yang baik, kita dapat mengimplementasikannya dalam segala benda mulai dari telepon hingga pemanggang roti cerdas.
Penyerangan terhadap protokol Penyerangan cryptographic dapat ditujukan pada beberapa hal berikut : a. algoritma cryptographic yang digunakan dalam protokol; b. teknik cryptographic yang digunakan untuk mengimplementasikan algoritma dan protokol; c. protokol itu sendiri;
