Keamanan Informasi, Kriptogragfi, dan Steganografi

Kuliah Umum di Universitas Islam Negeri Sultan Syarif Qasim, Kamis, 2 Juni 2016

Keamanan Informasi, Kriptogragfi, dan Steganografi Oleh: Dr. Rinaldi Munir

Kelompok Keilmuan Informatika Sekolah Teknik Elektro dan Informatika ITB

1

UIN Susqa

Sekolah Teknik Informatika dan Elektro ITB

2

Prolog 3

Pernah terima surel (e-mail) dari orang tak dikenal dan mengandung file attachmet berupa gambar seperti di bawah ini?

HATI-HATI!!!!!!!!!

4

HATI-HATI! Jangan langsung klik jika anda tidak yakin! 5

Stegosploit

aplikasi steganografi

Salah satu tenik di dalam information security Just look at the image and you are HACKED! http://thehackernews.com/2015/06/Stegosploit-malware.html

6

Keamanan Informasi 7

Apakah keamanan informasi itu? 

The U.S. Government’s National Information Assurance Glossary defines INFOSEC as: “Protection of information systems against unauthorized access to or modification of information, whether in storage, processing or transit, and against the denial of service to authorized users or the provision of service to unauthorized users, including those measures necessary to detect, document, and counter such threats.” 8

Sumber: Mark Zimmerman, Information Security



Intinya, Keamanan Informasi menggambarkan usaha untuk melindungi: - sistem komputer (HW/SW) - peralatan non-komputer - fasilitas - data dan informasi dari penyalahgunaan oleh orang yang tidak bertanggung jawab (unauthorized party) 9

Klasifikasi Keamanan Informasi [menurut David Icove] Fisik (physical security) Manusia (people / personel security)

Data, media, teknik komunikasi Kebijakan dan prosedur (policy and procedures)

Biasanya orang terfokus kepada masalah data, media, teknik komunikasi. Padahal kebijakan (policy) sangat penting!

10

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Klasifikasi Berdasarkan Elemen Sistem 

Network security 



Application security 



fokus kepada saluran (media) pembawa informasi fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database

Computer security 

fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) 11

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Letak potensi lubang keamanan Network sniffed, attacked

ISP

Holes 1. 2. 3.

Internet Network sniffed, attacked

Users

System (OS) Network Applications (db)

Network sniffed, attacked

Web Site Trojan horse

Userid, Password, PIN, credit card #

www.bank.co.id

- Applications (database, Web server) hacked -OS hacked

12

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Tujuan Keamanan Informasi *) Menyediakan layanan:  Privacy / confidentiality  Integrity  Authentication  Availability  Non-repudiation  Access control 13

*) William Stallings, Cryptography and Security

Privacy / confidentiality 

Melindungi informasi yang sensitif dan bersifat privat 

   





Nama, tempat tanggal lahir, agama, hobby, riwayat kesehatan, status perkawinan, nama anggota keluarga, nama orang tua, dll Nilai mata kuliah, IPK, dll Data pelanggan PIN, Password, catatan keuangan, pajak, dll Foto pribadi, video, arsip, file, soal ujian, dll

Serangan: sniffer (penyadap), keylogger (penyadap kunci), social engineering, kebijakan yang tidak jelas Proteksi: firewall, kriptografi, steganografi, policy 14

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Integrity 



Memastikan informasi tetap utuh, tidak diubah/tidak dimodifikasi Serangan: 



Penerobosan pembatas akses, spoofing (pemalsuan), virus (mengubah berkas), trojan horse

Proteksi: 

message authentication code (MAC), digital signature, digital certificate, hash function 15

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Authentication 

Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan 



 

Bagaimana mengenali nasabah bank pada servis Internet Banking? Lack of physical contact Menggunakan: 1. what you have (identity card) 2. what you know (password, PIN) 3. what you are (biometric identity)

Serangan: identitas palsu, password palsu, terminal palsu, situs web palsu Proteksi: digital certificates 16

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Availability 

Informasi harus dapat tersedia ketika dibutuhkan 

 

Serangan terhadap server: dibuat hang, down, crash, lambat

Serangan: Denial of Service (DoS) attack Proteksi: backup, firewall untuk proteksi serangan

17

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Non-repudiation 

Tidak dapat menyangkal (telah melakukan transaksi)  

menggunakan digital signature / certificates perlu pengaturan masalah hukum (bahwa digital signature sama seperti tanda tangan konvensional)

18

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Access Control 

Mekanisme untuk mengatur siapa boleh melakukan apa  

biasanya menggunakan password, token adanya kelas / klasifikasi pengguna dan data, misalnya: Publik  Private  Confidential  Top Secret 

19

Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC

Malware, Adware, Spyware… 

Malware: program berbahaya (malicious software) yang tidak diinginkan, dapat merusak sistem komputer, menghambat akses internet, bahkan mencuri informasi rahasia seperti password dan PIN.



Jenis-jenis malware: - virus komputer, - trojan horse - worm - spyware - adware 20

Virus Komputer 



Jenis malware yang menyerang file eksekusi (.exe atau .com) yang akan menyerang dan menggandakan diri ketika file exe/com yang terinfeksi dijalankan. Menyebar dengan cara menyisipkan program dirinya pada program atau dokumen yang ada dalam komputer.

21

Trojan Horse 

Program yang diam-diam masuk ke komputer kita dengan cara melekat pada program lain. Tujuannya untuk merusak sistem, memungkinkan orang lain mencuri informasi seperti password atau PIN.

22

23

Worm 

Program komputer yang dapat menggandakan dirinya secara sendiri di dalam sistem komputer.



Tidak seperti virus, sebuah worm dapat menggandakan dirinya tanpa perlu mengaitkan dirinya dengan program lain dengan memanfaatkan jaringan (LAN/WAN/Internet)

24

Spyware 

Program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan pengguna komputer dan mengirimkan informasi tersebut ke pihak lain.



Spyware biasanya digunakan oleh pihak pemasang iklan.

25

26

27

28

Adware 

Iklan yang dimasukan secara tersembunyi oleh pembuat program, biasanya pada program yang bersifat freeware untuk tujuan promosi atau iklan.

29

Phising 

Bentuk penipuan untuk memperoleh informasi pribadi seperti userID, password, ATM, kartu kredit dan sebagainya melalui e-mail atau website palsu yang tampak asli.



Dilakukan dengan menggunakan teknik social engineering.

30

Points to “bad” IP Address!

31

Kasus pemalsuan situs Bank BCÄ: www.clickbca.com www.klickbca.com www.klik-bca.com

32

Keylogger 

Program yang dapat memantau penekanan tombol pada keyboard, sehingga orang lain dapat mengetahui password dan informasi apapun yang kita ketik.



Dapat tersedia dalam bentuk hardware dan software

33

34

35

Kriptografi 36

Kriptografi 





Merupakan kakas (tool) sangat penting di dalam keamanan informasi Kata cryptography berasal dari bahasa Yunani: krupto (hidden atau secret) dan grafh (writing) Artinya “secret writing” Kriptografi: ilmu dan seni untuk menjaga kerahasian pesan.

37

Kunci

Kunci

Plainteks

Cipherteks Enkripsi

Dekripsi

Plainteks

Kunci K

Kunci K Stype xouvatx kutreq

C Kirim senjata perang

P plainteks

Enkripsi EK (P) = C

cipherteks

Dekripsi DK (C) = P

Kirim senjata perang

P plainteks

38



Kriptografi mengamankan komunikasi data dan informasi tersimpan

39

40

Enkripsi di dalam WhatsApp

41

Kriptografi melindungi informasi dari kasus-kasus seperti di bawah ini: 1.

Wikileaks: mengungkapkan dokumen-dokumen rahasia negara dan perusahaan kepada publik melalui situs web.

Julian Assange, salah satu pendiri situs WikiLeaks.

Kantor dan tempat penyimpanan data WikiLeaks. 42

Dokumen yang dibocorkan: 1. Data Nasabah Bank Julius Baer 2. Surel Sarah Palin 3. Video Helikopter Apache 4. Perang Afganistan 5. Berkas Guantanamo 5. Dokumen Perang Irak 6. Kawat diplomatik Amerika Serikat (Sumber: Wikipedia) 43

2. Kasus penyadapan percakapan ponsel antara Artalyta Suryani (Ayin) dan Kemas Yahya Rahman yang melibatkan Jaksa Urip Tri Gunawan tentang “dugaan” suap Rp 6 Milyar lebih. Transkrip percakapan: A: Halo.. K: Halo. A: Ya, siap. K: Sudah dengar pernyataan saya (Soal penghentian penyelidikan kasus BLBI)? He…he…he A: Good, very good. K: Jadi tugas saya sudah selesai. A: Siap, tinggal… K: Sudah jelas itu, gamblang. Tidak ada permasalahan lagi Rinaldi Munir/IF4020 Kriptografi

44

A: Bagus itu K: Tapi saya dicaci maki. Sudah baca Rakyat Merdeka (surat kabar Rakyat Merdeka yang terbit di Jakarta)? A: Aaah Rakyat Merdeka, mah nggak usah dibaca K: Bukan, katanya saya mau dicopot ha..ha…ha. Jadi gitu ya… A: Sama ini Bang, saya mau informasikan K: Yang mana? A: Masalah si Joker. K: Ooooo nanti, nanti, nanti. A: Nggak, itu kan saya perlu jelasin, Bang K: Nanti, nanti, tenang saja. A: Selasa saya ke situ ya… K: Nggak usah, gampang itu, nanti, nanti. Saya sudah bicarakan dan sudah ada pesan dari sana. Kita… A: Iya sudah K: Sudah sampai itu A: Tapi begini Bang… K: Jadi begini, ini sudah telanjur kita umumkan. Ada alasan lain, nanti dalam perencanaan Rinaldi Munir/IF4020 Kriptografi

45

Algoritma kriptografi 

  

  



DES (Data Encyption Standard) AES Blowfish IDEA GOST Serpent RC2, RC4, RC5 RSA, ElGamal, ECC, DSA, dll 46

Steganografi 47

Prolog 

Misalkan anda mempunyai data rahasia seperti password. Password: T3knolo911nf0rmas1



Anda ingin menyimpan password tersebut dengan aman (tidak bisa diketahui orang lain).



Bagaimana caranya agar password tersebut dapat disimpan dengan aman? 48

Cara I: Mengenkripsinya

T3knolo911nf0rmas1

Enkripsi

(plaintext)

%j>9*4$jd8)?hyt8 (clphertext)

%j>9*4$jd8)?hyt8 (clphertext)

Dekripsi

T3knolo911nf0rmas1 (plaintext)

 Bidang KRIPTOGRAFI (cryptography) 49

Cara II: Menyembunyikannya

T3knolo911nf0rmas1

 Bidang STEGANOGRAFI (steganography)

50

Apa Steganografi itu? 

Dari Bahasa Yunani: steganos + graphien

“steganos” (στεγανός): tersembunyi “graphien” (γραφία) : tulisan steganografi: tulisan tersembunyi (covered writing) 

Steganography: ilmu dan seni menyembunyikan pesan rahasia dengan cara menyisipkannya di dalam media lain. Tujuan: pesan tidak terdeteksi keberadaannya

51

Perbedaan Kriptografi dan Steganografi 

Kriptografi: menyembunyikan isi (content) pesan  Tujuan: agar pesan tidak dapat dibaca oleh pihak ketiga (lawan)



Steganografi: menyembunyikan keberadaan (existence) pesan  Tujuan: untuk menghindari kecurigaan (conspicuous) dari pihak ketiga (lawan) 52

53

Sejarah Steganografi 

Steganografi dengan media kepala budak (dikisahkan oleh Herodatus, sejarawan Yunani pada tahun 440 BC di dalam buku: Histories of Herodatus). Kepala budak dibotaki, ditulisi pesan dengan cara tato, rambut budak dibiarkan tumbuh, budak dikirim. Di tempat penerima kepala budak digunduli agar pesan bisa dibaca.

54

Citra (image) atau Gambar ”Sebuah gambar bermakna lebih dari seribu kata” (A picture is more than a thousand words)

55

Namun, di balik sebuah gambar dapat tersembunyi informasi rahasia

STEGANOGRAFI

56

Steganografi pada Gambar #inlcude <stdio.h> int main() { printf(“Hello world”); return 0; }

Embedded Message

Cover-image

Stego-image

57

Cover image

Embedded image

58

Stego-image

Extracted image

59

GIF image

Cover image

Stego-image

60

Embedded message

Cover image

Stego-image

61

Citra Digital 

Citra terdiri dari sejumlah pixel. Citra 1200 x 1500 berarti memiliki 1200 x 1500 pixel = 1.800.000 pixel

pixel



Setiap pixel panjangnya n-bit. Citra biner  1 bit/pixel Citra grayscale  8 bit/pixel Citra true color  24 bit/pixel

62

Citra Lenna

True color image (24-bit)

Grayscale image (8-bit)

Bimary image (1-bit)

63

Pada citra 24-bit (real image), 1 pixel = 24 bit, terdiri dari komponen RGB (Red-Green-Blue) 100100111001010010001010 R

G

B

64

Metode Modifikasi LSB 

Memanfaatkan kelemahan indra visual manusia dalam mengamati perubahan sedikit pada gambar



Caranya: Mengganti bit LSB pixel dengan bit data. 11010010 MSB

LSB

LSB = Least Significant Bit MSB = Most Significant Bit

Mengubah bit LSB hanya mengubah nilai byte satu lebih tinggi atau satu lebih rendah dari nilai sebelumnya  tidak berpengaruh terhadap persepsi visual/auditori. 65

Misalkan semua bit LSB pada citra berwarna dibalikkan Dari semula 0 menjadi 1; dari semula 1 menjadi 0

Sebelum

Sesudah

Adakah perbedaaanya?

66

Misalkan semua bit LSB pada citra grayscale dibalikkan Dari semula 0 menjadi 1; dari semula 1 menjadi 0

Sebelum

Sesudah

Adakah perbedaaanya?

67

Metode Modifikasi LSB 

Tinjau 1 buah pixel dari citra 24-bit (3 x 8 bit): 10000010 01111011 01110101 (130)

(123)

(117)



Bit bit-bit embedded message: 010



Embed:

00110010

10100011

11100010

Stego-image

Original: misalkan pixel [130, 123, 117] berwarna “ungu” Stego-image: pixel [131, 122, 117] tetap “ungu” tapi berubah sangat sedikit. Mata manusia tidak dapat membedakan perubahan warna yang sangat kecil. 68

Pergeseran warna sebesar 1 dari 256 warna tidak dapat dilihat oleh manusia PESAN RAHASIA : KETEMUAN Di STASIUN KA MALAM JAM 13.00

0111

00110011 00110010 10100010 10100011 11100010 11100011 01101111 69

Sumber: TA Yulie Anneria Sinaga 13504085



Jika pesan = 10 bit, maka jumlah byte yang digunakan = 10 byte



Contoh susunan byte yang lebih panjang: 00110011 10100010 11100010 10101011 00100110 10010110 11001001 11111001 10001000 10100011



Pesan: 1110010111



Hasil penyisipan pada bit LSB: 00110011 10100011 11100011 10010111 11001000 11111001

10101010 00100110 10001001 10100011 70

Aplikasi Steganografi:

Digital Watermarking

71

Fakta 

Jutaan gambar/citra digital bertebaran di internet via email, website, bluetooth, dsb



Siapapun bisa mengunduh citra, meng-copy-nya, menyunting, mengirim, memanipulasi, dsb.



Sekali citra diunduh/copy, referensi pemilik yang asli hilang  sebab informasi kepemilikan tidak melekat di dalam citra.



Memungkinkan terjadi pelanggaran HAKI: - mengklaim kepemilikan citra orang lain - pemilik citra yang asli tidak mendapat royalti atas penggandaan ilegal 72

Siapa pemilik citra ini?

73

Karakteristik Dokumen Digital 

Dokumen digital - citra (JPEG/GIF/BMP/TIFF Images) - audio (MP3/WAV audio) - video (MPEG video) - teks (Ms Word document)

Kelebihan dokumen digital (sekaligus kelemahannya):  Tepat sama kalau digandakan  Mudah didistribusikan (misal: via internet)  Mudah di-edit (diubah)  Tidak ada perlindungan terhadap kepemilikan, copyright, editing, dll. 74  Solusi: digital watermarking.

Digital Watermarking 



 

Digital Watermarking: penyisipan informasi (watermark) yang menyatakan kepemilikan data multimedia Watermark: teks, logo, audio, data biner (+1/-1), barisan bilangan riil Watermarking merupakan aplikasi steganografi Tujuan: memberikan perlindungan copyright

+

=

75

Image Watermarking

Watermark melekat di dalam citra • Penyisipan watermark tidak merusak kualitas citra • Watermark dapat dideteksi/ekstraksi kembali sebagai bukti kepemilikan/copyright •

76

Cara Konvensional Memberi Label Copyright 

Label copyright ditempelkan pada gambar.



Kelemahan: tidak efektif melindungi copyright sebab label bisa dipotong atau dibuang dengan program pengolahan citra komersil (ex: Adobe Photoshop).

77

Original image + label copyright

Cropped image

78

Label kepemilikan

79

Teknik watermarking 





Watermark disisipkan ke dalam data multimedia. Watermark terintegrasi di dalam data multimedia.

Kelebihan: 1. Setiap penggandaan (copy) data multimedia akan membawa watermark di dalamnya. 2. Watermark tidak bisa dihapus atau dibuang. 80

81

Jenis-jenis Watermarking 

Fragile watermarking Tujuan: untuk menjaga integritas/orisinilitas media digital.



Robust watermarking Tujuan: untuk menyisipkan label kepemilikan media digital.

Rinaldi Munir/IF4020 Kriptografi

82

Fragile Watermarking 



Watermark rusak atau berubah terhadap manipulasi (common digital processing) yang dilakukan pada media. Tujuan: pembuktian keaslian dan tamper proofing

Penambahan noise

(a)

(b)

(c)

(d)

Watermark rusak

83

Contoh fragile watermarking lainnya (Wong, 1997)

84

Robust Watermarking 



Watermark tetap kokoh (robust) terhadap manipulasi (common digital processing) yang dilakukan pada media. Contoh: kompresi, cropping, editing, resizing, dll Tujuan: perlindungan copyright

+

= Extracted watermark

watermark Original image

Watermarked image

Extracted watermark Noisy image

Resized image

JPEG compression

Extracted watermark Cropped image

Extracted watermark

85

Robustness Citra asli

Citra ber-watermark

Citra ber-watermark dikompresi 75%

Citra ber-watermark di-crop

86

Data apa saja yang bisa diwatermark?     

Citra  Image Watermarking Video  Video Watermarking Audio  Audio Watermarking Teks  Text Watermarking Perangkat lunak  Software watermarking

87

Watermarking pada Citra  Visible

Watermarking  Invisible Watermarking

88

Visible Watermarking

89

Visible Watermarking

90

Invisible Watermarking

91

Aplikasi watermark: Owner identification Alice

Original work

Watermark embedder

Alice is owner! Distributed copy

Watermark detector

92

Aplikasi watermark: Proof of ownership Alice

Original work

Watermark embedder

Bob

Alice is owner! Watermark detector Distributed copy

93

Aplikasi watermark: Transaction tracking Alice

Watermark A

Original work B:Evil Bob did it!

Honest Bob

Evil Bob Watermark B

Watermark detector Unauthorized usage 94

Aplikasi watermark: Content authentication Watermark embedder

Watermark detector

95

Aplikasi watermark: Content authentication

Original

Hasil pengubahan

96

Foto mana yang asli?

97

Aplikasi watermark: Copy control/Piracy Control Watermark digunakan untuk mendeteksi apakah media digital dapat digandakan (copy) atau dimainkan oleh perangkat keras. Legal copy

Compliant player

Compliant recorder

Playback control

Illegal copy

Record control

Non-compliant recorder 98

Aplikasi watermark: Broadcast monitoring Watermark digunakan untuk memantau kapan konten digital ditransmisikan melalui saluran penyiaran seperti TV dan radio.

Original content

Watermark embedder

Broadcasting system

Content was broadcast! Watermark detector

99

Referensi 1. 2. 3. 4.

5.

Mark Zimmerman, Information Security Budi Rahardjo, Prinsip Keamanan, INDOCISC. Rinaldi Munir, Bahan Kuliah Kriptografi Raymond McLeod, Jr. and George P. Schell, Information Security http://www.catatanteknisi.com/2011/12/pengertian-jenisjenis-malware.html

100

Perihal

Nama: Dr. Rinaldi Munir Kelompok Keilmuan Informatika Sekolah Teknik Elektro dan Informatika (STEI) - ITB

Komunikasi 

E-mail: [email protected] [email protected]



Web: http://informatika.stei.itb.ac.id/~rinaldi.munir Blog: http://rinaldimunir.wordpress.com http://catatankriptografi.wordpress.com Facebook: http://www.facebook.com/rinaldi.munir







Kantor: Lab Ilmu dan Rekayasa Komputasi (IRK) LabTek V (Lantai 4), Jl. Ganesha 10 Bdg