Pilar Komputasi Terpercaya

1

Agenda  Alasan pengamanan e-business  Pengertian keamanan dasar  Layer teknologi keamanan  Serangan Terhadap E-Commerce  SpyWare dan Denial of Service  Teknologi Keamanan 2

Pilar Komputasi Terpercaya  Kehandalan : sistem komputer dapat dipercaya, tersedia jika

diperlukan, melakukan sesuai harapan pada level tertentu.  Keamanan : sustem kebal terhadap serangan dan kerahasiaan, integritas dan ketersediaan sistem dan data terlindungi.  Privasi : setiap orang dapat mengendalikan informasi pribadi dan organisasi.  Integritas Bisnis : perusahaan bertanggung jawab terhadap pelanggan dan membantu mereka untuk menemukan solusi yang tepat untuk isu bisnis mereka, menyelesiakan masalah dengan produk dan layanan, dan terbuka untuk berinteraksi dengan pelanggan.

3

Skenario koneksi dan kepedulian keamanan  Skenario koneksi :  Jaringan kabel tradisional  Jaringan nirkabel publik  Jaringan bergerak  Kepedulian keamanan :  Aplikasi percaya pada kondisi Internet  Bisnis percaya pada Internet  Serangan keamanan dari dalam

4

Tipe umum Serangan Serangan Organisasi Penyerang

Data terbatas Pelanggaran keamanan Virus, Trojan Horses, dan Worm

Serangan Otomatis

DoS Koneksi Gagal Denial of Service (DoS) 5

Konsekuensi Kurang Pengamanan  Pencurian kekayaan intelektual  Terganggunya sistem  Kehilangan produktifitas  Mengganggu reputasi bisnis  Kehilangan kepercayaan konsumen  Beberapa kehilangan keuangan karena

hilangnya keuntungan

6

Tantangan Penerapan Sistem Keamanan

Penyerang vs. Tim Penahan

Penyerang hanya perlu tahu satu kelamahan Tim Penahan harus mengamankan semua kemungkinan Penyerang memiliki waktu yang tidak terbatas Tim Penahan bekerja dalam batasan waktu dan biaya Sistem yang aman lebih sulit untuk digunakan Password yang kuat dan komplek sulit untuk diingat Pengguna menyukai password yang sederhana

Keamanan vs. Penggunaan

Apakah Saya perlu Keamanan ?

Keamanan sbg renungan

Pengembang dan manajemen berfikir bahwa keamanan tidak menambah nilai bisnis Menghilangkan kelemahan sebelum produk diluncurkan adalah sangat mahal. 7

E-business memerlukan pengamanan  Jika kita akan melakukan bisnis dengan   



seseorang Ketika berubah dari kerjasama bilateral menuju pasar dunia … dari “lakukan ini sendiri” menuju “telah dikerjakan oleh tim” Ketika menyediakan layanan online, dimana saja, 24 jam sehari, dan 7 hari seminggu Ketika bekerja di rumah atau secara mobile

8

Keamanan juga untuk area lain

Tele-medicine dan pertukaran data medis

9

Hak Cipta dan intelectual property  Hak Cipta  Rancangan embedded system  Algoritma  Karya sastra dan musik  Karya seni tari dan pantomim  Hasil karya grafis, lukisan dan patung  Karya seni video dan audiovisual  Karya arsitektur  Kekayaan intelektual  Kepemilikan ide dan kontrol terhadap representasi virtual dari ide tersebut 10

Area ini juga … Produksi

Pengguna konten Manajemen konten

$$ $

1011011

Pembuat konten

Distribusi beraneka ragam konten 11

Memerlukan  Kerahasiaan  Hanya orang yang berhak yang dapat membaca pesan

 Integritas  Modifikasi data harus dapat diketahui

 Non-repudiation (Penerimaan)  Bukti transmisi data dan perdangan yang faktual

 Otentifikasi  Identitas rekan bisnis haurs dapat dibuktikan

 Kualitas layanan 12

Kepentingan keamanan Kerahasaan

Integritas

Kualitas

Non-rep

Otentifikasi

++

+

+

++

++

++

Layanan

E-commerce

+

Market places

++

+

ASP

++

++

++

++

Teleworking

++

+

++

++

Medicine

++

++

+

++ 13

Agenda  Alasan pengamanan e-business  Pengertian keamanan dasar  Layer teknologi keamanan  Serangan Terhadap E-Commerce  SpyWare dan Denial of Service  Teknologi Keamanan 14

Pengertian Kemanan  Definisi kamus : proteksi atau pertahanan terhadap

serangan, campur tangan, spionase dll.  Klasifikasi keamanan komputer  Kerahasiaan 

Perlindungan terhadap pembukaan data yang tidak berhak dan memastikan otentikasi sumber data

 Integritas 

Pencegahan modifikasi data yang tidak berhak

 Ketersediaan (kebutuhan) 

Pencegahan kelambatan data dan kehilangan 15

Sumber serangan keamanan TI Pemerintah dan komunitas perorangan

Ancaman „Internal“ - Pegawai - Kesalahan aplikasi

Rekan Bisnis - Pelanggan - Outsourcer - Saingan

Perusahaan X Hacker 16

Survey keamanan Computer  Penelitian bersama FBI USA (Federal Bureau of

Investigation) dan Computer Security Institute (CSI)  520 perusahaan disurvey pada tahun 1998  64% perusahaan melaporkan pelanggaran keamanan  Kehilangan keuangan secara keseluruhan diatas 136 juta

USD  Akses orang dalam yang tidak berhak menjadi serangan utama  Pencurian informasi hak cipta pada urutan kedua

17

Kehilangan Keuangan

Sumber : Cylink Document "The Need for Information Security"

18

Keamanan sangat penting  Seharusnya dihubungkan dengan analisis resiko yang

hati-hati  Seharusnya dipelihara tidak secara teknologi, lebih

menyeluruh  Tidak terlalu overestimasi  Dikelola secara wajar 19

Kebijakan dan Integrasi Keamanan  Kebijakan keamanan adalah aturan tertulis yang

menjelaskan aset yang dilindungi dan alasan perlindungan serta siapa yang bertanggun jawab terhadapnya.  Keamanan fisik  Kemanan jaringan  Otorisasi akses  Proteksi Virus  Penanganan benacana

20

Elemen Spesifik Kebijakan Keamanan  Otentifikasi  Siapa yang mencoba mengakses situs  Kendali Akses  Siapa yang berhak untuk login dan mengakses situs  Kerahasiaan  Siapa yang diijinkan untuk melihat informasi yang dipilih  Integritas data  Siapa yang diijinkan untuk mengubah data  Audit  Apa dan siapa yang melakukan suatu akses dan kapan waktunya 21

Tiga komponen keamanan  Tiga sudut pandang  Sudut pandang pengguna  Sudut pandang server  Sudut pandang keduanya

 Tiga bagian  Keamanan sisi client  Keamanan sisi server  Dokumen kerahasiaan 22

Keamanan sisi client  Ukuran untuk melindungi kerahasiaan pribadi

pengguna dan integritas komputernya  Contoh solusi teknologi

 Proteksi dari virus kompter dan berbagai perangkat

lunak lain  Batasan jumlah informasi personal yang dapat dikirim browser tanpa sepengetahuan pengguna

23

Keamanan sisi server  Ukuran untuk melindungi server dan mesin dari

serangan Denial-of-service, vandalisme terhadap situs, virus server  Solusi yang dilakukan  Memasaing sistem firewall  Mengencangan keamanan sistem operasi  Menggunakan aplikasi penangkap serangan dari luar

24

Dokumen kerahasiaan  Ukuran untuk melindungi informasi pribadi dari

pembukaan oleh pihak ketiga yang tidak berhak.

 Solusi yang dapat dilakukan  Password untuk identifikasi pengguna  Kriptografi  Steganografi  Otentifikasi dokumen

25

Agenda  Alasan pengamanan e-business  Pengertian keamanan dasar  Layer teknologi keamanan  Serangan Terhadap E-Commerce  SpyWare dan Denial of Service  Teknologi Keamanan 26

Pendekatan pengamanan berlapis Kemanan Organisasi Keamanan Aplikasi Keamanan Jaringan Kemanan Sistem Operasi Keamanan Fisik

27

Pendekatan pengamanan berlapis Kemanan Organisasi Aplikasi • PembatasanKeamanan akses secara Fisik • Biometrik Keamanan Jaringan

Kemanan Sistem Operasi Keamanan Fisik

28

Pendekatan pengamanan berlapis • Login pengguna Kemanan Organisasi • Pengetahuan tentang kelemahan Keamanan Aplikasi • Enkripsi Data / penyimpan Keamanan Jaringan Kemanan Sistem Operasi Keamanan Fisik

29

Pendekatan pengamanan berlapis Kemanan Organisasi Keamanan Aplikasi • Pelatian danKeamanan pendidikanJaringan pegawai • Tim dan aturan respon bencana • Aturan keamanan Kemanan Sistem Operasi • Proses / pengorganisasian

Keamanan Fisik

30

Pendekatan pengamanan berlapis Infrastruktur Kunci Publik Keamanan Organisasi Keamanan Aplikasi Keamanan Jaringan Keamanan Sistem Operasi Keamanan Fisik

31

Kelemahan pada jaringan IP  Sniffing (mendengarkan)  Memantau trafik Internet (isi dan alamat)  Spoofing (menirukan)  Trafik berpura-pura datang dari luar  Connection hijacking (pembajakan)  Pembajakan oleh seseorang seolah-olah akes dari pengguna yang berhak

32

Keamanan Jaringan  SSL / TLS  IPsec  VPN  Keamanan Mobile

33

Secure Sockets Layer (SSL)  Dibangun oleh Netscape untuk mengamankan

browsing web  Dirancang sebagai protokol “session layer” pada TCP – sesi individu dapat digunakan untuk multikoneksi TCP  Model komunikasi berbasis client-server  Mendukung multienkripsi, otentifikasi-integritas, dan algoritma pertukaran kunci publik  Protokol Transport Layer Security (TLS) pada IETF adalah standar sebelumnya 34

Layanan Keamaan SSL  Kerahasiaan  Otentifikasi Server  Berbasis sertifikat server X.509, roots pada browser  Otentifikasi Client  opsional, didukung jika client memiliki sertifikat  Strict Message Sequencing  Berdasarkan TCP

35

Sekilas IPsec  Diadopsi sebagai standar yang diusulkan oleh IETF: RFCs

2401-2412 (12/98)  Format yang sesuai antara IPv4 dan IPv6  Authentication Header (AH) untuk seluruh integritas dan

otentifikasi datagram  Encapsulating Security Payload (ESP) untuk kerahaisan,

otentifikasi dan integritas modular  Negosiasi kemanan secara terpisah dan protokol

manajemen kunci : IKE 36

Virtual Private Network (VPN)  Jaringan tertutup pada infrastruktur publik  Enkripsi trafik data  Mengaburkan sistem internal  Mencegah data dari sistem yang tidak

dikenal  Dukungan kualitas layanan

37

Metode lain untuk VPN  PPTP: protokol Point-to-Point Tunneling Protocol

milik microsoft. Pada saat ini, PPTP dibundle dalam sistem operasi windows  L2TP: Layer 2 Tunneling Protocol (L2TP) dirancanga oleh IETF, standara yang menunjukan gabungan antara PPTP engan protokol L2F (Layer 2 Forwarding)  MPLS untuk VPN : menyediakan isolasi trafik, mirip layanan ATM atau Frame Relay. 38

Kemanan WAP  Wireless Application Protocol menggunakan WTLS  Tidak selalu diimplementasikan (gateway / telepon) server

GSM / GPRS

Gateway WAP

WTLS

SSL / VPN 39

Keamanan Aplikasi  Sistem messaging yang aman  Keamanan EDI  Keamanan Middleware  Keamanan basis data  Keamanan server

40

Keamanan Messaging  E-mail dan aplikasi e-mail, dimana pesan dibuat dan

diterima oleh pengguna yang berupa orang atau program email  Standar :  S/MIME  PGP  MSP  MOSS  PEM  X.400 41

Protokol keamanan EDI  Keamanan Electronic Data Interchange (EDI)  Standar X12  Standar EDIFACT (EDI for Administration,

Commerce and Transport)  EDI diatas Internet:  Menggunakan FTP: tidak ada dukungan keamanan  Menggunakan XML: menggunakan jaringan atau kemanan aplikasi 42

Struktur EDI dalam X.12 An Interchange: Header (ISA)

Functional group

Functional group

Functional group

Trailer (IEA)

A Functional group: Header (GS)

Transaction set

Transaction set

Transaction set

A Transaction set Header (ST)

Transaction set segments

Sumber : „E-business security“

Trailer (SE)

Trailer (GE) Security segment inserted here

43

Keamanan Middleware  Keamanan CORBA  Menyerang sistem client/server (kepercayaan

terhadap client)  Srangan dari distributed object system  Realisasi keamanan CORBA  Menggunakan SSL  Dengan implementasi Secure Inter-ORB Protocol (SECIOP)

44

Projek Kota Virtual  Pelabuhan Rotterdam

menggunakan EDI  Tidak dapat diakses untuk SME’s  Sehingga  X.25  Internet  EDI  XML  Layanan mobile (WAP, GPRS)

 Esensi keamanan  Analisis resiko  Arsitektur keamanan  Termasuk mobile, jalur back office

 ABN AMRO, CMG, PCR, ECT,

EUR, Telematica Instituut 45

Arsitektur keamanan  Arstitektur keamanan  Pendekatan keamanan yang integral pada semua lapis  Model dan alat untuk mengahadapi situasi yang komplek  Kemanan pada situasi yang hetrogen  Internet Mobile + fixed / perangkat yang berbeda  Teknologi jaringan yang berbeda  Sertifikasi keamanan internasional  Hubungan antara otentifikasi dan identifikasi

personal

46

Agenda  Alasan pengamanan e-business  Pengertian keamanan dasar  Layer teknologi keamanan  Serangan Terhadap E-Commerce  SpyWare dan Denial of Service  Teknologi Keamanan 47

Serangan E-commerce  Serangan Client  Konten aktif  





Java applets, Active X controls, JavaScript, dan VBScript Program yang dieksekusi yang disisipkan pada objek yang didownload Berbagai kontek aktif dapat disisipkan pada halaman web yang tidak merusak sekalipun Cookies menyimpan nama pengguna, password, dan informasi umumnya

48

ActiveX Control  ActiveX adalah objek, memanggil program yang

mengandung insturksi untuk melakukan sesuatu.  ActiveX berjalan pada windows 98, 2000  Ketika didownload, ActiveX mengeksekusi program lain, sehingga dapat sepentuhnya mengakses sumber daya yang terdapat pada komputer

49

Grafik dan sisipan Email  Kode dapat disisipkan ke dalama gambar

menyebabkan kerusakan pada komputer  Plug-ins digunakan untuk memutar klip audiovisual, grafik animai  Dapat menyimpan instruksi yang merusak yang

disembunyikan dalam objek  http://home.netscape.com/plugins/

 Sisipan E-mail dapat mengandung macro yang

merusak yang disimpan dalam dokumen

50

Serangan saluran komunikasi  Serangan kerahasiaan  Kerahasiaan adalah pencegahan pembacaan informasi oleh orang yang tidak berhak  Privacy adalah perlindungan hak cipta seseorang sehingga tidak dapat dibajak  Pencurian informasi pribadi dan sensitif adalah bahaya yang sangat penting  Alamat IP web yang kita gunakan sangat mudah diketahui oleh umum, sangat rawan untuk diserang

51

Serangan Server  Semakin komplek suatu software, semakin tinggi

peluang kesalahan (bug) pada kode pemrograman  Server bekerja pada berbagai level privilege yang barbed :  Level yang paling tinggi menyediakan akses dan

fleksibilitas yang tinggi  Level yang paling rendah menyediakan batasan logika pada program yang sedang berjalan

52

Serangan Server  Serangan kerahasiaan terjadi pada saat isi foler server

dimunulkan ke dalam halamanWeb sehingga bisa diakses dan diubah dari browser  Administrator dapat mematikan fitur tampilan nama folder untuk mencegah serangan terhadap data server  Cookie harus dilindungi setiap kali melakukan transmisi  Salah satu file yang paling sensitif dalam web adalah sepasang username dan password  Administrator Web server bertanggung jawab untuk memastikan keamanan password dan file sensitif lainnya. 53

IP Spoofing  Definisi : penyerang mengirim paket dengan

memalsukan alamat IP sumber pada header TCP/IP  IP spoofing adalah serangan dasar dari berbagai serangan Denial of Service (DoS)  Paket yang dipalsukan sangat sulit untuk dilacak alamat sumber sebenarnya

54

Serangan DoS  SYN flood  Land  Ping of death  Teardrop  Smurf  UDP flood  Distributed DoS

55

Serangan Basis Data  Pengungkapan informasi perusahaan yang bernilai

dan rahasia adalah kerusakan yang sangat parah  Keamanan biasanya dilakukan dengan membuat privilege pengguna  Beberapa basis data pada dasarnya tidak aman. Perlu ditambahkan mekanisme pengamanan

56

Pusat Kordinasi CERT  CERT (Computer Emergency Response Team)  Berlokasi di SEI (Software Engineering Institute)

di Univristas Carnegie Mellon  Merespon terhadap kejadian keamanan pada pemerintah USA dan sektor perseorangan  www.cert.org

57

Agenda  Alasan pengamanan e-business  Pengertian keamanan dasar  Layer teknologi keamanan  Serangan Terhadap E-Commerce  SpyWare dan Denial of Service  Teknologi Keamanan 58

Spyware  Spyware adalah program yang disusupkan yang dapat

mengakses sumber daya yang kita miliki sehingga mengganggu proses pada komputer

 Tipe-tipe Spyware  Spyware  Adware  Embedded Programs  Trojan Horse  Browser Hijackers  Dialers  Malware 59

Alasan Pembuatan Spyware  Keuntungan  Tantangan  Kebencian  Kebosanan  Bisnis

60

Ciri-ciri serangan Spyware  Komputer berjalan lebih lambat dari biasanya  Popup pada internet  Toolbar baru  Perubahan Homepage  Hasil searching terlihat berbeda  Pesan kesalahan ketika mengakses web

61

Contoh Spyware

62

Menghilangkan SpyWare 1. 2. 3. 4. 5. 6. 7.

Add dan Remove Programs Menu Reboot Jalankan Spybot Scan Reboot Jalankan Microsoft Antispyware Scan Reboot Jika masih belum selesi lakukan perubahan pada register

63

Denial of Service (DoS)  DoS adalah aktifitas penyerangan yang mencegah

sistem dari menyediakan layanan kepada pengguna yang berhak  Serangan DoS menggunakan berbagai bentuk dan berbagai vektor serangan  Ketika serangan sukses, host yang ditarget mungkin menghentikan penyediaan layanan, menyediakan layanan terbatas atau hanya memberi layanan pada pengguna tertentu saja.

64

Pendorong DoS  Serangan DoS bisanya dilakukan oleh beberapa tipe

penyerang :

 Kesenangan (karena mereka bisa…)  Aktifis (anarkis, anti globalisasi, dll)  Teroris (alat untuk membuat keonaran)  Persaingan (dareah abu-abu seperti industri judi dll)  Militer

 Masih terdapat alasan-alasan lain pelaku serangan

DoS tapi tidak terlalu berarti

65

DDoS – Distributed DoS  Sejalan dengan peningaktan perlindungan DoS,

langkah berikutnya adalah menghabiskan bandwidh dari host yang dituju  Hal ini bisa dicapai dengan menggunakan serangan DDoS.  Dengan DDoS, setiap anggota penyerang membangkitkan sejumlah trafik. Secara bersamaan akan menghasilkan trafik yang membanjiri sistem yang dituju.

66

Serangan DoS  DoS dapat dilakukan dengan berbagai cara :  Merusak aplikasi   

Kegagalan akses memori Buffer overflow Berbagai eksepsi akses memori

 Menghancurkan data  Menghabiskan sumber daya  Memori  CPU  Bandwidth  Ruang harddisk 67

Merusak aplikasi  Cara yang paling umum dilakukan pada serangan DoS  Dalam berbagai kasus, tipe input tertentu dapat memunculkan kesalahan pada aplikasi yang tidak diantisipasi, yang menyebabkan kerusakan :  Buffer overflow  Perubahan data – sehingga aplikasi tidak dapat

mengenali. Akhirnya berhenti karena kesalahan  SQL Injection yang menyebabkan shutdown 68

Penghancuran Data  Salah satu cara serangan DoS adalah dengan merusak data yang diakses bukan layanannya sendiri  Jika situs memiliki kelemahan dalam SQL injection, misalnya, mungkin dimasuki dilakukan perintah DELETE semua data pada semua tabel  Meskipun situs web online, akan tidak berarti kalau tidak ada dukungan basis data yang benar

69

Menghabiskan Sumberdaya  Penghabisan sumber daya adalah teknik melakukan serangan DoS pada berbagai situs atau aplikasi  Serangan tipe ini dilakukan dengan melakukan serangan dalam jumah banyak sehingga menghabiskan kapasitas  Serangan yang sempurna dilakukan dengan mengarahkan pada titik kelemahan serhingga efeknya maksimum menggunakan sumber daya yang minimal. 70

Contoh – Penghabisan Sumberdaya  Konsumsi CPU  Apliksi forum dalam jumlah besar  Mengandung jutaan pesan  Pada proses pencarian, penyerang dapat dengan

mudah membuat ekspresi yang komplik yang mengkonsumsi waktu kerja CPU setiap kali melakukan pencarian.  Penyerang kemudian menulis permintaan ini lebih banyak lagi

71

Contoh – Penghabisan Sumberdaya  Konsumsi CPU – dengan cara SQL Injection  Ketika SQL injection dilakukan – dapat digunakan untuk serangan DoS walaupun tanpa permisi untuk mematikan komputer atau menghapus data  Salah satu cara menyibukan CPU adalah dengan melakukan query data bersarang :

72

Contoh – Penghabisan Sumberdaya  Konsumsi Memori  Aplikasi web mail  Mengijinkan upload file untuk disisipkan pada email  Semua sisipan file disimpan dalam memori aplikasi sampai tombol “send” ditekan  Tidak ada batasan atau ukuran atau jumlah sisipan file  Asumsi bahwa hacker memiliki bandwidth yang besar, hacker dapat mengupload ribuan sisipan file, mengkonsumsi semua memori pada mesin

73

Contoh – Penghabisan Sumberdaya  Konsumsi Hard Disk  Beberapa aplikasi web  Log rinci setiap kali terjadi kesalahan disimpan dalam hard disk  Penyerang melakukan permintaan sederhana yang akan menghasilkan beberapa KB file log  Penyerang akan mengulangi permintaan ini sampai hard disk penuh.  Prilaku aplikasi pada saat hard disk penuh adalah :  

Aplikasi akan berhenti pada saat tidak dapat menulis file Jika file terletak pada partisi sistem, seluruh mesin mungkin crash 74

Contoh – Penghabisan Sumberdaya  Konsumsi jaringan  Beberapa aplikasi web  Penyerang memiliki koneksi Internet yang luas  Peneyrang melakukan permintaan kecil yang menghasilkan sejumlah besar data (misal menampilkan semua item dalam sistem)  Penyerang dapat melakukan permintaan yang sama berualng-ualng sehingga sejumlah besar data akan kembali ke server.

75

Distributed Application DoS  Penyerangan terhadap suatu aplikasi untuk menghabiskan sumber daya  Hasil akhirnya mirip dengan serangan DoS yaitu aplikasi kehabisan sumber daya  DADoS sedikit barbed dengan serangan DoS  Biasanya diperlukan beberapa host untuk melakukan semua serangan

76

Agenda  Alasan pengamanan e-business  Pengertian keamanan dasar  Layer teknologi keamanan  Serangan Terhadap E-Commerce  SpyWare dan Denial of Service  Teknologi Keamanan 77

Teknologi Keamanan  Pengembang perlu menggunakan dan menerapkan :  Enkripsi  Hash  Tandatangan digital  Sertifikat digital  Komunkasi yang aman  Otentifikasi  Otorisasi  Firewall  Audit  Paket layanan 78

Enkripsi  Enkripsi adalah proses pengkodean data  Dalam rangka melindungi identitas atau data  Melindungi data dari penambahan

 Enkripsi dapat :  Asimetrik  Simetrik

79

Simetrik vs. Asimetrik Tipe Algoritma

Penjelasan Menggunakan satu kunci untuk :

Simetrik

Mengenkripsi data Mendekripsi data

Cepat dan efesien Menggunakan dua kunci :

Asimetrik

Kunci publik untuk mengenkripsi data Kunci pirvate untuk mendekripsi data

Lebih aman Lebih lambat daripada enkripsi simeteri 80

Memeriksa Integritas data dengan Hash User A

Nilai Hash

User B

Data

Algoritma Hash

Algoritma Hash

Data Nilai Hash

Jika nilai hash sama, data valid

Data Nilai Hash

User A mengirim data dan nilai hash ke User B 81

Tandatangan digital User B

User A

Algoritma Hash

Data Algoritma Hash

Data

Kunci Publik User A

Nilai Hash

Nilai Hash Kunci Private User A

Nilai Hash

Jika nilai hash cocok, data berasal dari pemilik kunci private dan valid 82

Sertifikat Digital User

Kunci Private

Sepasang Kunci Private/Publik

Komputer Kunci Publik

Aplikasi

Layanan Otoritas Sertifikasi

Administrator yang tersertifikasi 83

Teknologi komunikasi yang aman  Teknologi pengamanan  IPSec  SSL  TLS  Enkripsi RPC SSL/TLS

IPSec Enkripsi RPC

84

Bagaimana IPSec Bekerja Kebijakan IPSec

Kebijakan IPSec

Negosiasi Asosiasi Kemanan

Layer TCP

Layer TCP

Driver IPSec

Driver IPSec

Paket IP Terenkripsi 85

Bagaimana SSL bekerja 2

Browser Aman

Sertifikat Root Server Web

Pesan Server Web Aman

3

4

HTTPS 1

1.

Pengguna membuak server web yang aman dengan HTTPS

2.

Browser membuat kunci sesi yang unik dan mengenkripsinya dengan kunci publik server web, yang dibuat dari sertifikat root

3.

Server Web menerima kunci sesi dan mendekrip menggunakan kunci private server

4.

Setelah koneksi terbangun, semua komunikasi antara browser dan server web aman

86

Daftar Pustaka  Chen, Shay. “Application Denial of Service”. Hactics.

2007.  Janssen, Wil. “E-business security”. Telematika Instituut.  Lee, Insup. “E-Commerce Systems”. University of Pennsylvania.  ___. “Essentials of Application Security”. MSDN. 2002.

87