IP SECURITY KRIPTOGRAFI
OLEH:
TRIA ARDI PUSPA LAGA
085669417061
TEKNIK INFORMATIKA
FAKULTAS ILMU KOMPUTER
UNIVERSITAS SRIWIJAYA
2008
BAB I
BAB I
PENDAHULUAN
1.
Landasan Teori
Pada awal
perkembangannya, jaringan komputer hanya digunakan untuk pengiriman e-mail antar perguruan tinggi untuk
keperluan riset dan untuk berbagi penggunaan printer dalam suatu perusahaan. Untuk memenuhi tujuan tersebut,
aspek keamanan jaringan pada saat itu tidak mendapat perhatian penting.
Seiring dengan perkembangan, jaringan komputer telah digunakan untuk
hal-hal yang lebih kompleks seperti untuk perbankan, untuk perdagangan, dan
sebagainya. Dan semua itu menggunakan
media Internet.
internet tidak lagi dimonopoli oleh
beberapa elemen industri namun sebagian besar industri kecil dan menengah juga
diikutsertakan untuk bisa memanfaatkan teknologi internet dalam usaha mereka.
Di tengah-tengah pergolakan teknologi informasi pada dunia usaha, internet
ternyata tidak lagi bisa menyediakan arus informasi yang lebih bersifat privat.
Berbagai mesin pencari tumbuh dan layanan e-commerce juga berkembang. Belum
lagi serangan virus dan spam, serta kejahatan informasi yang lain terus
mengintai.
Internet merupakan suatu
wilayah pertukaran data yang bersifat public. Namun dalam implementasinya, ada
beberapa pertukaran informasi yang bersifat privat. Apalagi untuk aktivitas
yang memiliki resiko tinggi apabila berjalan di media nonsecure seperti
internet ini. Dengan adanya informasi yang bersifat privat, dikembangkanlah
suatu teknik untuk menghantarkan informasi tersebut melalui jaringan public
secara lebih secure.
Dalam makalah ini,
IPsec akan dibahas sebagai salah satu aplikasi teknik kriptografi untuk
keamanan jaringan komputer. Aspek keamanan yang disediakan merupakan hasil dari
teknik kriptografi yang diimplementasikan dalam rangkaian protocol IPsec.
2.
Tujuan Penelitian
Dengan adanya tugas ini saya
mengharapkan dapat memberi wawasan khususnya untuk saya sendiri tentang luasnya
ilmu kriptografi dan implementasinya ke dalam rangkaian protocol IPsec.
3.
Metode Penelitian
Metode penelitian yang saya gunakan
adalah metode literature.
BAB II
LANDASAN
TEORI
1.
Kriptografi
1.1. Pengertian
Kriptografi
Kriptografi (cryptography)
merupakan ilmu dan seni penyimpanan pesan, data,atau informasi secara aman.
Kriptografi berasal dari bahasa Yunani yaitu dari kata Crypto dan Graphia yang
berarti penulisan rahasia. Kriptografi adalah suatu ilmu yang mempelajari
penulisan secara rahasia. Kriptografi merupakan bagian dari suatu cabang ilmu
matematika yang disebut Cryptology. Kriptografi bertujuan menjaga kerahasiaan
informasi yang terkandung dalam data sehingga informasi tersebut tidak dapat
diketahui oleh pihak yang tidak sah.
Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan
aspek keamanan informasi, yaitu :
- Secrecy/Confidentiality, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah di enkripsi.
- Integrity Control, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
- Authentication, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain. Pihak yang berkomunikasi harus dapat memastkan bahwa pihak lain yang diajak berkomunikasi adalah benar-benar pihak yang dikehendaki.
- Non-repudiation, atau nirpenyangkalan adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat. Pembuktian korespondensi antara pihak yang mengirimkan suatu informasi dengan yang dikirimkan juga perlu dilakukan sehingga identitas pengirim suatu informasi dapat dipastikan dan penyangkalan pihak tersebut atas informasi yang telah dikirimnya tidak dapat dilakukan.
Dalam menjaga
kerahasiaan data, kriptografi mentransformasikan informasi asli atau dikenal
dengan sebutan (plaintext) ke dalam
bentuk informasi yang di acak/di enkripsi (ciphertext) yang tidak dikenali. Ciphertext inilah yang
kemudian dikirimkan oleh pengirim (sender)
kepada penerima (receiver). Setelah
sampai di penerima, ciphertext tersebut ditransformasikan kembali dalam bentuk
plaintext agar dapat dikenali.
Suatu pesan yang
tidak disandikan disebut sebagai plaintext
ataupun dapat disebut juga sebagai cleartext.Proses
transformasi dari plaintext ke ciphertext dikenal dengan proses enkripsi.
Sedangkan proses transformasi dari ciphertext ke plaintext dikenal dengan
proses dekripsi. Kedua proses tersebut dilakukan dengan menggunakan algoritma
tertentu yang dikenal dengan kunci.
Berikut gambaran
bagaimana plaintext bertransformasi ke ciphertext dan bagaimana ciphertext
kembali menjadi plaintext:
Proses dekripsi/enkripsi sederhana
Rumusan secara sederhana :
Enkripsi : E(P) = C
Dekripsi : D(C)
= P atau D(E(P)) = P
1.2. Algoritma
Kriptografi
Terdapat dua jenis algoritma kriptografi .
·
Algoritma
Simetris
Algoritma Simetris adalah algoritma kriptografi
yang konvensional. Kunci enkripsi dan dekripsi menggunakan algoritma yang sama.
Contoh algoritma simetris adalah algoritma DES.
·
Algoritma
Asimetris
Algoritma Simetris adalah algoritma
kriptografi yang menggunakan kunci yang berbeda untuk proses enkripsi dan
dekripsinya. Kunci yang digunakan untuk proses enkripsi disebut dengan kunci
public (public key). Kunci yang
digunakan untuk proses dekripsi disebut dengan kunci privat/kunci secure (privat key). Contoh algoritma asimetris
adalah algoritma RSA.
Proses dekripsi/enkripsi menggunakan algoritma
asimetris
1.3. Fungsi
Hash
Fungsi hash biasanya
digunakan untuk mengidentefikasi keaslian suatu pesan. Fungsi hash memetakan pesan M (Message)
dengan panjang berapapun menjadi nilai hash h dengan panjang tetap (tertentu,
tergantung algoritmanya).
Sifat-sifat dari fungsi hash adalah sebagai berikut:
·
Menghasilkan nilai h yang mudah dihitung bila diberikan
M.
·
Umumnya fungsi hash menghasilkan keluaran nilai h
dengan panjang 128 bit.
·
M tidak dapat dihitung jika hanya diketahui h (sifat one-way
function), atau mudah untuk menghitung h dan sukar untuk dikembalikan ke M
semula.
·
Tidak mungkin dicari M dan M’ sedemikian sehingga
H(M)=H(M’) (sifat collision free).
·
Fungsi hash yang menghasilkan keluaran dengan
ukuran yang kecil mudah diserang oleh birthday attack
·
Sifat one-way function sangat penting dalam teknik kriptografi,
karena jika tanpa sifat tersebut maka penyerang dapat menemukan nilai M dengan
mengetahui nilai hash-nya h.
·
Sifat collision free mencegah kemungkinan pemalsuan.
·
Serangan terhadap fungsi hash umumnya dilakukan dengan cara mendapatkan dua
pesan secara acak yang memiliki nilai hash h sama.
Implementasi fungsi hash adalah digital
signature.
1.4. Digital
Signature
–
Sering
diartikan tanda tangan elektronik
–
Bukan tanda tangan di kertas yang discan menjadi image
–
Adalah teknik kriptografi untuk menjamin otentikasi pesan
dan pengirim pesan
–
Digunakan
untuk otentikasi (menjamin keaslian pesan dan keaslian pengirim pesan)
–
Menggunakan
fungsi hash
–
Menggunakan
algoritma kunci asimetri
Skema digital signature
Penjelasan gambar diatas adalah sebagai berikut
:
- Pesan diproses dengan fungsi hash H menghasilkan nilai hash (message digest)
- Nilai hash dienkripsi dengan kriptografi kunci asimetri menggunakan kunci privat pengirim (Ps).
- Nilai hash yang telah dienkripsi digabung dengan pesan asli (M)
- Pesan yang telah digabung dikirimkan melalui jaringan komputer terbuka (Internet)
- Sesampainya di penerima, pesan asli dipisahkan lagi dari nilai hash yang terekripsi.
- Nilai hash yang terenkripsi kemudian didekripsi dengan kunci publik pengirim.
- Hasil dekripsi tersebut kemudian dibandingkan denganpesan asli (M)
1.5. Hash
Message Authentication Code (HMAC)
Untuk menjamin
integritas paket, IPsec menggunakan Hash Message Authentication Code (HMAC).
HMAC adalah algoritma authentikasi menggunakan kunci privat. Integritas data
dan autentikasi asal data yang disediakan oleh HMAC bergantung pada penyebaran
kunci rahasia yang digunakan, jika hanya sumber (pengirim) dan tujuan
(penerima) yang mengetahui kunci HMAC, maka autentikasi asal data dan
integritas data untuk message-message yang dikirim antara kedua pihak tersebut
terjamin. HMAC sendiri merupakan pengembangan dari fungsi hash.
HMAC menggunakan
fungsi hash satu arah, H, dan kunci rahasia K. beberapa fungsi hash yang
digunakan diantaranya adalah: MD5 dan SHA-1. Untuk memperjelas fungsi hash yang digunakan,
digunakan notasi HMAC-H. Contohnya, HMACMD5 menyatakan HMAC yang menggunakan
fungsi hash MD5. H merupakan fungsi hash yang melakukan hashing dengan iterasi
suatu fungsi kompresi pada blok-blok data. Panjang blok data dalam byte, B(B=64
untuk MD5 dan SHA-1), dan panjang output hash dalam byte,L (L=16 untuk MD5
,L=20 untuk SHA-1), masingmasing menjadi batas atas dan batas bawah panjang
kunci K. Bila panjang K melebihi B, maka yang digunakan sebagai kunci adalah
H(K).
2.
IP Security
2.1. Pengertian
IP Security
IPSec (singkatan dari IP Security) adalah sebuah protokol
yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork
berbasis TCP/IP. IPSec diimplementasikan pada lapisan transport dalam OSI
Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih
tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat
dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan.
IPSec umumnya
diletakkan sebagai sebuah lapisan tambahan di dalam stack protokol TCP/IP dan
diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin
komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara
pengirim dan penerima. Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang
diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP
dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter
tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap
paket IP tersebut.
Secara umum layanan yang diberikan IPSec adalah:
·
Data Confidentiality,
pengirim data dapat mengenkripsi paket data sebelum dilakukan transmit data.
·
Data Integrity, penerima
dapat mengotentifikasi paket yang dikirimkan oleh pengirim untuk meyakinkan
bahwa data tidak dibajak selama transmisi.
·
Data Origin Authentication, penerima dapat mengotentifikasi dari mana asal paket IPsec yang
dikirimkan.
·
Anti Replay, penerima
dapat mendeteksi dan menolak paket yang telah dibajak.
Secara teknis, IPsec terdiri atas
dua bagian utama. Bagian pertama mendeskripsikan dua protocol untuk penambahan header pada paket yang membawa security identifier, data mengenai integrity control, dan informasi keamanan lain. Bagian
kedua berkaitan dengan protocol pembangkitan dan distribusi kunci. Bagian
pertama IPsec adalah implementasi dua protokol keamanan yaitu:
1. Authentication Header (AH) menyediakan data integrity, data origin
authentication dan proteksi terhadap replay attack.
2. Encapsulating Security
Payload (ESP) menyediakan layanan yang disediakan oleh AH ditambah layanan
data confidentiality dan traffic flow confidentiality.
2.2. Protokol Authentication
Header (AH)
AH (Authentication Header),
autentifikasi sumber data dan proteksi terhadap pencurian data. Protocol AH
dibuat dengan melakukan enkapsulasi paket IP asli kedalam paket baru yang
mengandung IP header yang baru yaitu AH header disertai dengan header asli. Isi
data yang dikirimkan melalui protocol AH bersifat clear text sehingga tunnel yang
berdasar protocol AH ini tidak menyediakan kepastian data.
Format Paket data AH:
Proses implementasi AH pada paket :
2.3. Protokol
Encapsulating Security Payload (ESP)
ESP (Encapsulated Security Payload)
dapat menyediakan kepastian data, autentikasi sumber data dan proteksi terhadap
gangguan pada data. Protocol ESP
dibuat dengan melakukan enkripsi pada
paket IP dan membuat paket IP lain yang mengandung header IP asli dan header
ESP. Data yang terenkripsi (yang mengandung header IP asli) dan trailer ESP,
separuhnya terenkripsi dan sebagian tidak.
Format paket data ESP :
2.4. Internet
Key Exchange (IKE)
Interne Key Exchange (IKE) berfungsi untuk
pembangkitan dan penukaran kunci kriptografi secara otomatis. Kunci kriptografi
digunakan dalam auntentikasi node yang berkomunikasi dan proses enkripsi dan
dekripsi paket yang dikirimkan.
2.5. Security
Association
Kombinasi tentang bagaimana melindungi
data (ESP dan atau AH termasuk algoritma dan kunci), apa saja data yang
dilindungi dan pada saat apa data dilindungi disebut dengan Security Association
(SA).
SA merupakan identifikasi unik dengan berbasiskan
Security Parameter Index (SPI), alamat tujuan IP dan protocol keamanan (AH dan
atau ESP) yang diimplementasikan dalam trafik jaringan IPSec. Dua tipe SA yang
didefinisikan yaitu
• Transport Mode
protokol menyediakan proteksi
terhadap layer di atas IP layer. Layanan keamanan pada mode ini
dilakukan dengan penambahan sebuah IPsec header antara IP header dengan header protokol layer di atas IP yang diproteksi.
Implementasi IPsec di skema komunikasi end-to-end
• Tunnel mode
protokol diaplikasikan untuk
menyediakan proteksi pada paket IP sehingga sekaligus melindungi layer di atas IP layer. Hal ini dilakukan dengan
mengenkapsulasi paket IP yang akan diproteksi pada sebuah IP datagram yang lain.
IPsec diimplementasikan di antara Security Gateway
Dalam implementasinya Security
Association ini dikelompokkan dalam suatu database. Database tersebut antara
lain:
• Security Policy Database (SPD)
Semua elemen yang penting pada proses SA
dimasukkan kedalam Security Policy Database (SPD), yang akan menspesifikasikan
pelayanan apakah yang diberikan pada IP Datagram yang lewat pada trafik
tersebut. SPD harus memperhitungkan semua proses pada trafik meliputi Inbound
dan Outbound dan trafik non IPSec. Pada pelaksanaannya, IPSec akan mengecek SA pada
SPD tersebut dan memberikan aksi discard (untuk paket pada host yang berada
diluar network tersebut), bypass IPSec atau apply IPSec. Manajemen SPD harus
meliputi beberapa selector yaitu alamat IP sumber, nama sub bagian database,
dan port serta protocol tujuan dan sumber paket (TCP,UDP).
• Security Association Database (SAD)
Pada dasarnya isi dari SAD mirip dengan
isi SPD yaitu policy trafik Inbound dan Outbound. Perbedaannya pada SPD setiap
proses outbound tidak langsung menunjuk pada satu SA atau dikenal dengan SA
Bundle. Pada proses inbound SAD memiliki index tujuan alamat IP, protocol IPSec
dan SPI. Untuk proses Inbound pada SA akan melihat beberapa hal pada SAD yaitu
header terluar alamat IP tujuan, protocol IPSec, SPI, Sequence Number Counter, Sequence
Counter Overflow, Anti-replay Window, AH algorithm,ESP algorithm dan lifetime.
BAB III
PEMBAHASAN
Analisa penggunaan Kriptografi pada IPsec
Menurut
Ferguson dan Schneier, IPsec merupakan masalah yang kompleks untuk keamanan
informasi. Nyatanya, untuk merancang keamanan di IPsec kita harus mencoba
situasi-situasi yang berbeda dengan pilihan-pilihan yang berbeda pula. Yang
diharapkan adalah sistem yang akan dihasilkan dapat memberi keamanan sesuai
dengan kompleksitas pembangunannya. Walaupun, tidak ada sistem IPsec yang akan mencapai
keamanan yang paling tinggi.
Masalah utama yang menjadi
perhatian dalam mengimplementasikan aspek keamanan dalam jaringan komputer
adalah di layer mana aspek keamanan tersebut harus diimplementasikan. Salah
satu solusi yang menjamin tingkat keamanan paling tinggi adalah dengan mengimplementasikan
aspek keamanan pada application layer. Dengan implementasi aspek keamanan
pada layer ini maka keamanan data dapat dijamin secara end-to-end (proses ke proses) sehingga upaya
apa pun untuk mengakses atau mengubah data dalam proses pengiriman data dapat
dicegah. Namun, pendekatan ini membawa pengaruh yang besar yaitu bahwa semua
aplikasi yang dibangun harus ditambahkan dengan aspek keamanan untuk dapat
menjamin keamanan pengiriman data.
Pendekatan lain didasarkan bahwa
tidak semua pengguna menyadari pentingnya aspek keamanan sehingga mungkin
menyebabkan mereka tidak dapat menggunakan fitur keamanan pada aplikasi dengan
benar. Selain itu, tidak semua pengembang aplikasi memiliki kemauan untuk menambahkan
aspek keamanan pada aplikasi mereka. Oleh karena itu, aspek keamanan ditambahkan
pada network layer sehingga fitur kemanan dapat dipenuhi tanpa campur
tangan pengguna atau pengembang aplikasi.
Pada akhirnya pendekatan kedua
mendapat dukungan lebih banyak daripada pendekatan pertama sehingga dibuat
sebuah standar keamanan network layer yang salah satu desainnya yaitu
IPsec. IPsec merupakan kumpulan protokol yang dikembangkan oleh IETF (Internet Engineering
Task Force) untuk mendukung pertukaran paket yang aman melalui IP layer.
Seperti yang telah diketahui
bahwa IPsec mempunyai 2 protokol utama yaitu Authentication Header (AH) dan
Encapsulating Security Payload (ESP) . Kedua protocol ini sama-sama menjadi menjadi
bagian utama untuk memberi pelayanan keamanan bagi IPsec. AH dan ESP
independent terhadap algoritma kriptografi, meskipun sekumpulan algoritma
tertentu dispesifikasikan sebagai sarana untuk mendukung interoperabilitas.
Perbedaan kedua protocol ini
adalah hanyalah protocol ESP yang menyediakan fitur data confidentiality dengan mengunakan algoritma simetri. Protocoll
AH tidak menyediakan fitur ini walaupun sama-sama menyediakan fitur data
integrity. Aspek inilah yang menyebabkan protocol IPsec dibagi menjadi dua
jenis (AH dan ESP). Hal ini bertujuan untuk menyediakan fleksibilitas bagi
pengguna untuk dapat memilih tingkat keamanan yang dikehendaki karena tidak
semua pesan bersifat rahasia tetapi integritas data tetap harus dijaga. Bila
pesan tidak bersifat rahasia maka pengguna dapat menggunakan protocol AH dan
bila pesan harus dijamin kerahasiaannya maka pengguna dapat menggunakan
protocol ESP.
Kunci enkripsi sendiri ditentukan
oleh Security Association.
Menurut Ferguson dan Schneier,
authentikasi pada IPsec memperbolehkan penerima pesan (Message) menolak paket
data yang error atau berbeda dengan lebih cepat, tanpa pesan tersebut harus di
dekripsi terlebih dahulu. Hal ini dapat membantu penanganan Denial of Service
(DOS) yang menyerang dengan mengirimkan data dengan bandwidth yang sangat besar.
ESP hanya memperbolehkan
enkripsi. Karena dapat memberikan performa keamanan yang
lebih baik.
Sebelum implementasi ESP
Dengan memakai ESP
Enkripsi sebelum atau sesudah
Autentikasi memiliki keuntungan yaitu :
Saat AH di proteksi oleh ESP,
dimungkinkan bahwa setiap orang dapat
menginterrupt pesan (message) dan memodifikasi AH dengan tidak terdeteksi. Maka
dibutuhkan Autentification Information untuk membantu memproteksi AH dan ESP.
IPsec sering juga digunakan pada VPN
(Virtual Private Network), yang memperbolehkan system berkomunikasi secara
secure pada public network seperti Internet. IPsec berbasis VPN diciptakan dengan
menggunakan IPsec untuk mengenkripsi trafik antara 2 node. Ipsec menggunakan
IKE (Internet Key Exchange) protokol untuk mengautentikasi identitas pengirim
dan penerima. Ketika sekali hanshake terlampau, Ipsec mengenkripsi semua data
yang sedang ditransfer antara dua pengirim dan penerima.
Enkripsi Ipsec berada pada IP layer, sehingga memungkinkan
perusahaan untuk memproteksi seluruh tipe traffic Internet. Karena protokol
beroperasi dibawah layer aplikasi, Ipsec bersifat transparan pada aplikasi-aplikasi
IP-based. Sehingga, aplikasi dapat berjalan tanpa bisa tersentuh oleh
penyerang, dan pengguna (pengirim ataupun penerima) tidak harus merubah
kebiasaan menggunakan aplikasi untuk mentransfer pesan.
Walaupun Ipsec menawarkan solusi yang
menjanjikan untuk keamanan jaringan, ketetapan Ipsec dan operasi enkripsinya
dijalankan secara intensif dan dapat
menyebabkan penurunan performa network.
Berikut gambaran cara kerja Ipsec :
Cara kerja IPSec dapat dibagi dalam lima tahap,
yaitu:
ü
Memutuskan menggunakan IPSec antara dua titik akhir di
internet
ü
Mengkonfigurasi dua buah gateway antara titik akhir untuk
mendukung IPSec
ü
Inisialisasi tunnel IPSec antara dua gateway
ü
Negosiasi dari parameter IPSec/IKE antara dua gateway
ü
Mulai melewatkan data
Untuk
lebih jelasnya berikut ini diberikan contoh langkah demi langkah IPSec antara
Bob yang berada di kota New York dan Alice yang berada di kota San Fransisco. Langkah-langkah
hubungan tersebut diuraikan sebagai berikut:
ü
SF mengkonfigurasi IPSec dengan NY
ü
NY mengkonfigurasi IPSec dengan SF
ü
Alice mengirimkan data kepada Bob
ü
SF mengenali bahwa data tersebut harus diamankan
ü
SF memulai IKE dengan peer di NY
ü
SF menawarkan algoritma enkripsi, algoritma hash (untuk
otentifikasi), metode otentifikasi, protokol EPS atau AH
ü
NY setuju dengan tawaran SF lalu meresponnya dengan mengirimkan
persetujuan kepada SF
ü
SF membangkitkan bilangan acak, ’ nonce’, dan mengirimkannya
bersama kunci public ke NY
ü
NY menggunakan kunci public SF untuk mendekripsi nonce
yang telah dienkripsi dan kemudian memverifikasinya ke SF
ü
SF menggunakan kunci private untuk menandatangani nonce
dan mengirimkannya kembali ke NY
ü
NY menggunakan kunci private untuk menandatangani nonce
dan mengirinkannya kembali ke SF
ü
SF menggunakan kunci public untuk mendekrip nonce yang
dienkrip kemudian
memverifikasi ke NY
memverifikasi ke NY
ü
NY menggunakan kunci public SF untuk mendekrip nonce yang
dienkrip kemudian memverifikasi ke SF
ü
SF memulai quick mode negotiation dengan NY dengan
membangkitkan dan
mengirimkan security parameter index (SPI)
mengirimkan security parameter index (SPI)
ü
NY memverifikasi bahwa SPI belum digunakan olehnya dan
mengkonfirmasi bahwa SF dapat menggunakan SPI tersebut, sambil NY juga mengirimkan
SPI miliknya sendiri ke SF.
ü
SF mengkonfirmasi SPI milik NY dan mengirimkan alamat
dari host Alice yang
akan menggunakan IPSec SA NY mengkonfirmasi ke SF bahwa dapat mendukung
akan menggunakan IPSec SA NY mengkonfirmasi ke SF bahwa dapat mendukung
ü
IPSec untuk Alice dan sekaligus mengirimkan alamat host
Bob ke NY
SF mengkonfirmasi ke NY bahwa dapat mendukung IPSec untuk Bob dan
mengirimkan atribut IPSec (umur SA dan algoritma enkripsi ke NY)
SF mengkonfirmasi ke NY bahwa dapat mendukung IPSec untuk Bob dan
mengirimkan atribut IPSec (umur SA dan algoritma enkripsi ke NY)
ü
NY memverifikasi bahwa atribut IPSec yang dikirimkan SF
dan membangun pasangan SA IPSec (inbound dan outbound) untuk Bob untuk berbicara
kepada Alice
ü
SF menerima
konfirmasi atribut IPSec NY dan membangun pasangan SA IPsec
(inbound dan outbound) untuk Alice untuk berbicara kepada Bob
(inbound dan outbound) untuk Alice untuk berbicara kepada Bob
ü
Tunnel terbentuk
BAB IV
KESIMPULAN
Kesimpulan yang bisa diambil:
- Kriptografi (cryptography) merupakan ilmu dan seni penyimpanan pesan, data,atau informasi secara aman.
- Kriptografi memiliki dua jenis algoritma yaitu algoritma kriptografi simetri dan algoritma kriptografi asimetri
- Algoritma kriptografi simetri adalah algoritma yang mana kunci enkripsi dan kunci dekripsi menggunakan algoritma yang sama sedangkan algoritma kriptografi asimetri adalah algoritma yang mana kunci enkripsi dan kunci dekripsi menggunakan dua kunci yang berbeda (public key dan privat key) .
- Aspek keamanan dalam komunikasi melalui jaringan komputer menjadi semakin penting terutama karena banyaknya aktivitas pertukaran informasi rahasia melalui Internet.
- Keamanan jaringan terbagi menjadi empat kategori umum, yaitu:
- Secrecy/Confidentiality
- Authentication
- Nonrepudiation
- Integrity Control
- IPsec merupakan salah satu solusi kemanan jaringan berupa protokol kemanan yang berada di network layer untuk pengiriman paket IP.
- IPsec terdiri atas dua bagian utama, yaitu:
a. Protokol penambahan header pada paket IP (AH dan ESP)
b. Protokol pembangkitan dan
distribusi kunci secara otomatis (IKE)
- IPsec menggunakan teknik-teknik kriptografi dalam menyediakan layanan keamanan
- IPsec: Aplikasi Teknik Kriptografi untuk Keamanan Jaringan Komputer Authentication, Data Integrity, dan Confidentiality.
- Authentication dan Data Integrity disediakan oleh protokol AH dan ESP dengan menggunakan HMAC.
- Confidentiality disediakan oleh protokol ESP dengan mengunakan algoritma kriptografi simetri.
- Walaupun menurut para ahli masih memiliki beberapa kekurangan, IPsec masih dianggap sebagai solusi terbaik dalam menyediakan keamanan dalam komunikasi melalui jaringan komputer.
DAFTAR PUSTAKA
Mulya, Megah, 2008, Bahan Ajar Kriptografi, Jurusan Teknik Informatika Fakultas Ilmu
Komputer Universitas Sriwijaya, Palembang
Tidak ada komentar:
Posting Komentar