Kuliah Umum di Universitas Islam Negeri Sultan Syarif Qasim, Kamis, 2 Juni 2016
Keamanan Informasi, Kriptogragfi, dan Steganografi Oleh: Dr. Rinaldi Munir
Kelompok Keilmuan Informatika Sekolah Teknik Elektro dan Informatika ITB
1
UIN Susqa
Sekolah Teknik Informatika dan Elektro ITB
2
Prolog 3
Pernah terima surel (e-mail) dari orang tak dikenal dan mengandung file attachmet berupa gambar seperti di bawah ini?
HATI-HATI!!!!!!!!!
4
HATI-HATI! Jangan langsung klik jika anda tidak yakin! 5
Stegosploit
aplikasi steganografi
Salah satu tenik di dalam information security Just look at the image and you are HACKED! http://thehackernews.com/2015/06/Stegosploit-malware.html
6
Keamanan Informasi 7
Apakah keamanan informasi itu?
The U.S. Government’s National Information Assurance Glossary defines INFOSEC as: “Protection of information systems against unauthorized access to or modification of information, whether in storage, processing or transit, and against the denial of service to authorized users or the provision of service to unauthorized users, including those measures necessary to detect, document, and counter such threats.” 8
Sumber: Mark Zimmerman, Information Security
Intinya, Keamanan Informasi menggambarkan usaha untuk melindungi: - sistem komputer (HW/SW) - peralatan non-komputer - fasilitas - data dan informasi dari penyalahgunaan oleh orang yang tidak bertanggung jawab (unauthorized party) 9
Klasifikasi Keamanan Informasi [menurut David Icove] Fisik (physical security) Manusia (people / personel security)
Data, media, teknik komunikasi Kebijakan dan prosedur (policy and procedures)
Biasanya orang terfokus kepada masalah data, media, teknik komunikasi. Padahal kebijakan (policy) sangat penting!
10
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Klasifikasi Berdasarkan Elemen Sistem
Network security
Application security
fokus kepada saluran (media) pembawa informasi fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
Computer security
fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) 11
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Letak potensi lubang keamanan Network sniffed, attacked
ISP
Holes 1. 2. 3.
Internet Network sniffed, attacked
Users
System (OS) Network Applications (db)
Network sniffed, attacked
Web Site Trojan horse
Userid, Password, PIN, credit card #
www.bank.co.id
- Applications (database, Web server) hacked -OS hacked
12
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Tujuan Keamanan Informasi *) Menyediakan layanan: Privacy / confidentiality Integrity Authentication Availability Non-repudiation Access control 13
*) William Stallings, Cryptography and Security
Privacy / confidentiality
Melindungi informasi yang sensitif dan bersifat privat
Nama, tempat tanggal lahir, agama, hobby, riwayat kesehatan, status perkawinan, nama anggota keluarga, nama orang tua, dll Nilai mata kuliah, IPK, dll Data pelanggan PIN, Password, catatan keuangan, pajak, dll Foto pribadi, video, arsip, file, soal ujian, dll
Serangan: sniffer (penyadap), keylogger (penyadap kunci), social engineering, kebijakan yang tidak jelas Proteksi: firewall, kriptografi, steganografi, policy 14
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Integrity
Memastikan informasi tetap utuh, tidak diubah/tidak dimodifikasi Serangan:
Penerobosan pembatas akses, spoofing (pemalsuan), virus (mengubah berkas), trojan horse
Proteksi:
message authentication code (MAC), digital signature, digital certificate, hash function 15
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Authentication
Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan
Bagaimana mengenali nasabah bank pada servis Internet Banking? Lack of physical contact Menggunakan: 1. what you have (identity card) 2. what you know (password, PIN) 3. what you are (biometric identity)
Serangan: identitas palsu, password palsu, terminal palsu, situs web palsu Proteksi: digital certificates 16
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Availability
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server: dibuat hang, down, crash, lambat
Serangan: Denial of Service (DoS) attack Proteksi: backup, firewall untuk proteksi serangan
17
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Non-repudiation
Tidak dapat menyangkal (telah melakukan transaksi)
menggunakan digital signature / certificates perlu pengaturan masalah hukum (bahwa digital signature sama seperti tanda tangan konvensional)
18
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Access Control
Mekanisme untuk mengatur siapa boleh melakukan apa
biasanya menggunakan password, token adanya kelas / klasifikasi pengguna dan data, misalnya: Publik Private Confidential Top Secret
19
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Malware, Adware, Spyware…
Malware: program berbahaya (malicious software) yang tidak diinginkan, dapat merusak sistem komputer, menghambat akses internet, bahkan mencuri informasi rahasia seperti password dan PIN.
Jenis-jenis malware: - virus komputer, - trojan horse - worm - spyware - adware 20
Virus Komputer
Jenis malware yang menyerang file eksekusi (.exe atau .com) yang akan menyerang dan menggandakan diri ketika file exe/com yang terinfeksi dijalankan. Menyebar dengan cara menyisipkan program dirinya pada program atau dokumen yang ada dalam komputer.
21
Trojan Horse
Program yang diam-diam masuk ke komputer kita dengan cara melekat pada program lain. Tujuannya untuk merusak sistem, memungkinkan orang lain mencuri informasi seperti password atau PIN.
22
23
Worm
Program komputer yang dapat menggandakan dirinya secara sendiri di dalam sistem komputer.
Tidak seperti virus, sebuah worm dapat menggandakan dirinya tanpa perlu mengaitkan dirinya dengan program lain dengan memanfaatkan jaringan (LAN/WAN/Internet)
24
Spyware
Program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan pengguna komputer dan mengirimkan informasi tersebut ke pihak lain.
Spyware biasanya digunakan oleh pihak pemasang iklan.
25
26
27
28
Adware
Iklan yang dimasukan secara tersembunyi oleh pembuat program, biasanya pada program yang bersifat freeware untuk tujuan promosi atau iklan.
29
Phising
Bentuk penipuan untuk memperoleh informasi pribadi seperti userID, password, ATM, kartu kredit dan sebagainya melalui e-mail atau website palsu yang tampak asli.
Dilakukan dengan menggunakan teknik social engineering.
30
Points to “bad” IP Address!
31
Kasus pemalsuan situs Bank BCÄ: www.clickbca.com www.klickbca.com www.klik-bca.com
32
Keylogger
Program yang dapat memantau penekanan tombol pada keyboard, sehingga orang lain dapat mengetahui password dan informasi apapun yang kita ketik.
Dapat tersedia dalam bentuk hardware dan software
33
34
35
Kriptografi 36
Kriptografi
Merupakan kakas (tool) sangat penting di dalam keamanan informasi Kata cryptography berasal dari bahasa Yunani: krupto (hidden atau secret) dan grafh (writing) Artinya “secret writing” Kriptografi: ilmu dan seni untuk menjaga kerahasian pesan.
37
Kunci
Kunci
Plainteks
Cipherteks Enkripsi
Dekripsi
Plainteks
Kunci K
Kunci K Stype xouvatx kutreq
C Kirim senjata perang
P plainteks
Enkripsi EK (P) = C
cipherteks
Dekripsi DK (C) = P
Kirim senjata perang
P plainteks
38
Kriptografi mengamankan komunikasi data dan informasi tersimpan
39
40
Enkripsi di dalam WhatsApp
41
Kriptografi melindungi informasi dari kasus-kasus seperti di bawah ini: 1.
Wikileaks: mengungkapkan dokumen-dokumen rahasia negara dan perusahaan kepada publik melalui situs web.
Julian Assange, salah satu pendiri situs WikiLeaks.
Kantor dan tempat penyimpanan data WikiLeaks. 42
Dokumen yang dibocorkan: 1. Data Nasabah Bank Julius Baer 2. Surel Sarah Palin 3. Video Helikopter Apache 4. Perang Afganistan 5. Berkas Guantanamo 5. Dokumen Perang Irak 6. Kawat diplomatik Amerika Serikat (Sumber: Wikipedia) 43
2. Kasus penyadapan percakapan ponsel antara Artalyta Suryani (Ayin) dan Kemas Yahya Rahman yang melibatkan Jaksa Urip Tri Gunawan tentang “dugaan” suap Rp 6 Milyar lebih. Transkrip percakapan: A: Halo.. K: Halo. A: Ya, siap. K: Sudah dengar pernyataan saya (Soal penghentian penyelidikan kasus BLBI)? He…he…he A: Good, very good. K: Jadi tugas saya sudah selesai. A: Siap, tinggal… K: Sudah jelas itu, gamblang. Tidak ada permasalahan lagi Rinaldi Munir/IF4020 Kriptografi
44
A: Bagus itu K: Tapi saya dicaci maki. Sudah baca Rakyat Merdeka (surat kabar Rakyat Merdeka yang terbit di Jakarta)? A: Aaah Rakyat Merdeka, mah nggak usah dibaca K: Bukan, katanya saya mau dicopot ha..ha…ha. Jadi gitu ya… A: Sama ini Bang, saya mau informasikan K: Yang mana? A: Masalah si Joker. K: Ooooo nanti, nanti, nanti. A: Nggak, itu kan saya perlu jelasin, Bang K: Nanti, nanti, tenang saja. A: Selasa saya ke situ ya… K: Nggak usah, gampang itu, nanti, nanti. Saya sudah bicarakan dan sudah ada pesan dari sana. Kita… A: Iya sudah K: Sudah sampai itu A: Tapi begini Bang… K: Jadi begini, ini sudah telanjur kita umumkan. Ada alasan lain, nanti dalam perencanaan Rinaldi Munir/IF4020 Kriptografi
45
Algoritma kriptografi
DES (Data Encyption Standard) AES Blowfish IDEA GOST Serpent RC2, RC4, RC5 RSA, ElGamal, ECC, DSA, dll 46
Steganografi 47
Prolog
Misalkan anda mempunyai data rahasia seperti password. Password: T3knolo911nf0rmas1
Anda ingin menyimpan password tersebut dengan aman (tidak bisa diketahui orang lain).
Bagaimana caranya agar password tersebut dapat disimpan dengan aman? 48
Cara I: Mengenkripsinya
T3knolo911nf0rmas1
Enkripsi
(plaintext)
%j>9*4$jd8)?hyt8 (clphertext)
%j>9*4$jd8)?hyt8 (clphertext)
Dekripsi
T3knolo911nf0rmas1 (plaintext)
Bidang KRIPTOGRAFI (cryptography) 49
Cara II: Menyembunyikannya
T3knolo911nf0rmas1
Bidang STEGANOGRAFI (steganography)
50
Apa Steganografi itu?
Dari Bahasa Yunani: steganos + graphien
“steganos” (στεγανός): tersembunyi “graphien” (γραφία) : tulisan steganografi: tulisan tersembunyi (covered writing)
Steganography: ilmu dan seni menyembunyikan pesan rahasia dengan cara menyisipkannya di dalam media lain. Tujuan: pesan tidak terdeteksi keberadaannya
51
Perbedaan Kriptografi dan Steganografi
Kriptografi: menyembunyikan isi (content) pesan Tujuan: agar pesan tidak dapat dibaca oleh pihak ketiga (lawan)
Steganografi: menyembunyikan keberadaan (existence) pesan Tujuan: untuk menghindari kecurigaan (conspicuous) dari pihak ketiga (lawan) 52
53
Sejarah Steganografi
Steganografi dengan media kepala budak (dikisahkan oleh Herodatus, sejarawan Yunani pada tahun 440 BC di dalam buku: Histories of Herodatus). Kepala budak dibotaki, ditulisi pesan dengan cara tato, rambut budak dibiarkan tumbuh, budak dikirim. Di tempat penerima kepala budak digunduli agar pesan bisa dibaca.
54
Citra (image) atau Gambar ”Sebuah gambar bermakna lebih dari seribu kata” (A picture is more than a thousand words)
55
Namun, di balik sebuah gambar dapat tersembunyi informasi rahasia
STEGANOGRAFI
56
Steganografi pada Gambar #inlcude <stdio.h> int main() { printf(“Hello world”); return 0; }
Embedded Message
Cover-image
Stego-image
57
Cover image
Embedded image
58
Stego-image
Extracted image
59
GIF image
Cover image
Stego-image
60
Embedded message
Cover image
Stego-image
61
Citra Digital
Citra terdiri dari sejumlah pixel. Citra 1200 x 1500 berarti memiliki 1200 x 1500 pixel = 1.800.000 pixel
pixel
Setiap pixel panjangnya n-bit. Citra biner 1 bit/pixel Citra grayscale 8 bit/pixel Citra true color 24 bit/pixel
62
Citra Lenna
True color image (24-bit)
Grayscale image (8-bit)
Bimary image (1-bit)
63
Pada citra 24-bit (real image), 1 pixel = 24 bit, terdiri dari komponen RGB (Red-Green-Blue) 100100111001010010001010 R
G
B
64
Metode Modifikasi LSB
Memanfaatkan kelemahan indra visual manusia dalam mengamati perubahan sedikit pada gambar
Caranya: Mengganti bit LSB pixel dengan bit data. 11010010 MSB
LSB
LSB = Least Significant Bit MSB = Most Significant Bit
Mengubah bit LSB hanya mengubah nilai byte satu lebih tinggi atau satu lebih rendah dari nilai sebelumnya tidak berpengaruh terhadap persepsi visual/auditori. 65
Misalkan semua bit LSB pada citra berwarna dibalikkan Dari semula 0 menjadi 1; dari semula 1 menjadi 0
Sebelum
Sesudah
Adakah perbedaaanya?
66
Misalkan semua bit LSB pada citra grayscale dibalikkan Dari semula 0 menjadi 1; dari semula 1 menjadi 0
Sebelum
Sesudah
Adakah perbedaaanya?
67
Metode Modifikasi LSB
Tinjau 1 buah pixel dari citra 24-bit (3 x 8 bit): 10000010 01111011 01110101 (130)
(123)
(117)
Bit bit-bit embedded message: 010
Embed:
00110010
10100011
11100010
Stego-image
Original: misalkan pixel [130, 123, 117] berwarna “ungu” Stego-image: pixel [131, 122, 117] tetap “ungu” tapi berubah sangat sedikit. Mata manusia tidak dapat membedakan perubahan warna yang sangat kecil. 68
Pergeseran warna sebesar 1 dari 256 warna tidak dapat dilihat oleh manusia PESAN RAHASIA : KETEMUAN Di STASIUN KA MALAM JAM 13.00
0111
00110011 00110010 10100010 10100011 11100010 11100011 01101111 69
Sumber: TA Yulie Anneria Sinaga 13504085
Jika pesan = 10 bit, maka jumlah byte yang digunakan = 10 byte
Contoh susunan byte yang lebih panjang: 00110011 10100010 11100010 10101011 00100110 10010110 11001001 11111001 10001000 10100011
Pesan: 1110010111
Hasil penyisipan pada bit LSB: 00110011 10100011 11100011 10010111 11001000 11111001
10101010 00100110 10001001 10100011 70
Aplikasi Steganografi:
Digital Watermarking
71
Fakta
Jutaan gambar/citra digital bertebaran di internet via email, website, bluetooth, dsb
Siapapun bisa mengunduh citra, meng-copy-nya, menyunting, mengirim, memanipulasi, dsb.
Sekali citra diunduh/copy, referensi pemilik yang asli hilang sebab informasi kepemilikan tidak melekat di dalam citra.
Memungkinkan terjadi pelanggaran HAKI: - mengklaim kepemilikan citra orang lain - pemilik citra yang asli tidak mendapat royalti atas penggandaan ilegal 72
Siapa pemilik citra ini?
73
Karakteristik Dokumen Digital
Dokumen digital - citra (JPEG/GIF/BMP/TIFF Images) - audio (MP3/WAV audio) - video (MPEG video) - teks (Ms Word document)
Kelebihan dokumen digital (sekaligus kelemahannya): Tepat sama kalau digandakan Mudah didistribusikan (misal: via internet) Mudah di-edit (diubah) Tidak ada perlindungan terhadap kepemilikan, copyright, editing, dll. 74 Solusi: digital watermarking.
Digital Watermarking
Digital Watermarking: penyisipan informasi (watermark) yang menyatakan kepemilikan data multimedia Watermark: teks, logo, audio, data biner (+1/-1), barisan bilangan riil Watermarking merupakan aplikasi steganografi Tujuan: memberikan perlindungan copyright
+
=
75
Image Watermarking
Watermark melekat di dalam citra • Penyisipan watermark tidak merusak kualitas citra • Watermark dapat dideteksi/ekstraksi kembali sebagai bukti kepemilikan/copyright •
76
Cara Konvensional Memberi Label Copyright
Label copyright ditempelkan pada gambar.
Kelemahan: tidak efektif melindungi copyright sebab label bisa dipotong atau dibuang dengan program pengolahan citra komersil (ex: Adobe Photoshop).
77
Original image + label copyright
Cropped image
78
Label kepemilikan
79
Teknik watermarking
Watermark disisipkan ke dalam data multimedia. Watermark terintegrasi di dalam data multimedia.
Kelebihan: 1. Setiap penggandaan (copy) data multimedia akan membawa watermark di dalamnya. 2. Watermark tidak bisa dihapus atau dibuang. 80
81
Jenis-jenis Watermarking
Fragile watermarking Tujuan: untuk menjaga integritas/orisinilitas media digital.
Robust watermarking Tujuan: untuk menyisipkan label kepemilikan media digital.
Rinaldi Munir/IF4020 Kriptografi
82
Fragile Watermarking
Watermark rusak atau berubah terhadap manipulasi (common digital processing) yang dilakukan pada media. Tujuan: pembuktian keaslian dan tamper proofing
Penambahan noise
(a)
(b)
(c)
(d)
Watermark rusak
83
Contoh fragile watermarking lainnya (Wong, 1997)
84
Robust Watermarking
Watermark tetap kokoh (robust) terhadap manipulasi (common digital processing) yang dilakukan pada media. Contoh: kompresi, cropping, editing, resizing, dll Tujuan: perlindungan copyright
+
= Extracted watermark
watermark Original image
Watermarked image
Extracted watermark Noisy image
Resized image
JPEG compression
Extracted watermark Cropped image
Extracted watermark
85
Robustness Citra asli
Citra ber-watermark
Citra ber-watermark dikompresi 75%
Citra ber-watermark di-crop
86
Data apa saja yang bisa diwatermark?
Citra Image Watermarking Video Video Watermarking Audio Audio Watermarking Teks Text Watermarking Perangkat lunak Software watermarking
87
Watermarking pada Citra Visible
Watermarking Invisible Watermarking
88
Visible Watermarking
89
Visible Watermarking
90
Invisible Watermarking
91
Aplikasi watermark: Owner identification Alice
Original work
Watermark embedder
Alice is owner! Distributed copy
Watermark detector
92
Aplikasi watermark: Proof of ownership Alice
Original work
Watermark embedder
Bob
Alice is owner! Watermark detector Distributed copy
93
Aplikasi watermark: Transaction tracking Alice
Watermark A
Original work B:Evil Bob did it!
Honest Bob
Evil Bob Watermark B
Watermark detector Unauthorized usage 94
Aplikasi watermark: Content authentication Watermark embedder
Watermark detector
95
Aplikasi watermark: Content authentication
Original
Hasil pengubahan
96
Foto mana yang asli?
97
Aplikasi watermark: Copy control/Piracy Control Watermark digunakan untuk mendeteksi apakah media digital dapat digandakan (copy) atau dimainkan oleh perangkat keras. Legal copy
Compliant player
Compliant recorder
Playback control
Illegal copy
Record control
Non-compliant recorder 98
Aplikasi watermark: Broadcast monitoring Watermark digunakan untuk memantau kapan konten digital ditransmisikan melalui saluran penyiaran seperti TV dan radio.
Original content
Watermark embedder
Broadcasting system
Content was broadcast! Watermark detector
99
Referensi 1. 2. 3. 4.
5.
Mark Zimmerman, Information Security Budi Rahardjo, Prinsip Keamanan, INDOCISC. Rinaldi Munir, Bahan Kuliah Kriptografi Raymond McLeod, Jr. and George P. Schell, Information Security http://www.catatanteknisi.com/2011/12/pengertian-jenisjenis-malware.html
100
Perihal
Nama: Dr. Rinaldi Munir Kelompok Keilmuan Informatika Sekolah Teknik Elektro dan Informatika (STEI) - ITB
Komunikasi
E-mail:
[email protected] [email protected]
Web: http://informatika.stei.itb.ac.id/~rinaldi.munir Blog: http://rinaldimunir.wordpress.com http://catatankriptografi.wordpress.com Facebook: http://www.facebook.com/rinaldi.munir
Kantor: Lab Ilmu dan Rekayasa Komputasi (IRK) LabTek V (Lantai 4), Jl. Ganesha 10 Bdg