PRAKTEK OPEN PGP

Penggunaan komunikasi elektronik yang saat ini banyak digunakan adalah layanan e-mail. Dengan menggunakan layanan ini, setiap orang dapat melakukan kirim terima file secara cepat dan mudah. Tetapi diluar itu, faktor keamanan juga harus diperhatikan. Sebab semakin meningkatnya teknologi komunikasi elektronik, semakin cepat pula perkembangan para attacker yang mencoba mengetahui informasi tersebut. Penambahan sertifikat yang digenerate dengan ssl ke dalam suatu layanan email seperti open pgp dapat memberikan tambahan keamanan dalam berkomunikasi. Sehingga setiap pengguna tidak perlu khawatir akan kerahasiaan informasinya.

1.   Pendahuluan

Pada zaman sekarang ini, semua orang sudah menggunakan komunikasi elektronik untuk dapat berkomunikasi atau tukar-menukar pesan kepada orang lain. Penggunaan komunikasi elektronik memang dapat dirasakan sangat mudah dan efektif dalam bertukar pesan. Komunikasi elektronik yang paling banyak digunakan oleh individu maupun kelompok bahkan tingkat coorporate pun yaitu menggunakan layanan e-mail. E-mail merupakan layanan untuk dapat melakukan kirim-terima pesan hingga jarak terjauh sekalipun dengan menggunakan akses internet.  E-mail digunakan banyak orang untuk mengirimkan informasi dari yang bersifat biasa, rahasia, bahkan sangat rahasia. Sehingga perlunya keamanan untuk dapat mengamankan pesan yang hendak dikirim agar seorang attacker tidak bisa mengetahui isi dari informasi tersebut.

Penggunaan SSL pada open PGP dalam berkomunikasi melalui internet dapat memberikan solusi dari permasalahan diatas. SSL yang nantinya digunakan untuk membuat sertifikat menjadi PGP yang diletakkan pada layanan e-mail open PGP akan menjadi sebuah parameter keamanannya. Sehingga perlunya pemahaman yang mendalam mengenai SSL dan PGP. Dengan implementasi tersebut, kita tetap akan mudah menggunakan layanan open PGP. Berbeda halnya dengan open PGP yang tanpa sertifikat sendiri, pesan yang diterima akan berupa plain text (teks terang), sedangkan pesan yang diterima dengan sertifikat buatan, akan terbaca sederetan cipher text (teks sandi).

Private/Public Key

Private Key adalah kunci enkripsi yang hanya boleh diakses oleh pemilik kunci, sedangkan public key sebisa mungkin harus disebarkan seluas-luasnya. Penyebaran public key ini dapat dilakukan secara manual, yakni dengan cara mengunduh dari web seseorang, mengirimkannya menggunakan email, atau seseorang dapat juga mengirimkan public keynya ke suatu key server seperti yang tersedia. Semua orang dapat mendownload public key milik orang lain untuk digunakan di kemudian hari.

Private key digunakan untuk mendekrip chiper text yang ditujukan kepada sang pemilik, atau menandatangani suatu dokumen/file yang dikirimkan kepada orang lain. Bagaimana dengan public key? Key inilah yang digunakan oleh orang lain untuk mengenkrip file teks yang ditujukan kepada sang pemilik key, atau untuk memeriksa/verifikasi keaslian dokumen yang telah ditandatangani oleh pemilik private key.

2.   Dasar Teori

2.1       PGP

PGP (Pretty Good Privacy) adalah program enkripsi yang memiliki tingkat keamanan cukup tinggi dengan menggunakan “private-public key” sebagai dasar autentifikasinya. PGP memiliki dua versi, yaitu USA version dan International version.  PGP veris USA hanya dapat digunakan di wilayah Amerika dan hanya berlaku untuk warganegara Amerika saja. Versi USA ini menggunakan algoritma asimetrik, yaitu RSA algorithm dalam proses enkripsi dan dekripsinya. Sedangkan untuk versi internasional, PGP dapat digunakan oleh semua warganegara di seluruh penjuru dunia. Algoritma penyandian yang digunakan adalah algoritma MPILIB yang merupakan algoritma buatan Phill Zimmermann. Untuk membedakan antara versi USA dan internasional, dapat dengan cara melihat penulisannya. PGP versi internasional menambahkan akhiran “i” pada nomor seri PGP. Contohnya, nomor versi PGP terakhir adalah 7.0.3 untuk versi USA dan 7.0.3i untuk versi internasional. Beberapa tahun belakangan ini, penggemar dan pengguna PGP semakin meningkat sehingga PGP telah menjadi standar de-facto program enkripsi untuk electronic mail. Versi International lebih banyak digunakan oleh masyarakat dunia karena kapabilitasnya . Layanan PGP versi ini dapat berlaku ke seluruh mancanegara.  Jadi, ketika seseorang mengirim e-mail menggunakan PGP versi ini, maka penerima dapat mambaca e-mail tersebut karena versi yang digunakan bersifat universal.

Pada dasarnya, PGP merupakan program yang digunakan untuk mengenkripsi satu atau lebih dokumen. Dengan PGP tersebut, hanya orang-orang tertentu saja yang bisa membaca file-file enkripsi tersebut. Bagaimana PGP sebagai program enkripsi dokumen bisa digunakan untuk pengiriman e-mail? Sebenarnya, program PGP mengenkripsi isi mail yang kita tulis menjadi sebuah file. File tersebut dibaca oleh program mail yang kemudian dikirimkan ke tujuan. Penerima e-mail harus menyimpan mail tersebut ke dalam sebuah file. File tersebut didekripsi sehingga isi mail aslinya akan terlihat. Jadi, mail yang dikirimkan adalah dalam bentuk terenkripsi sehingga tidak bisa dibaca dengan mudah oleh orang-orang yang tidak memiliki akses membaca mail tersebut.

Dasar-dasar PGP

Sebelum menggunakan program PGP, ada baiknya kita tinjau terlebih dahulu konsep yang digunakan oleh PGP. Hal ini bertujuan agar istilah-istilah dalam PGP dipahami dengan baik sehingga tidak terjadi kesalahan dalam implementasi PGP itu sendiri.

Seperti yang telah disinggung di awal makalah, PGP menggunakan “private-public keys” sebagai dasar otorisasinya. Setiap kali kita membuat kunci, PGP akan menciptakan dua buah kunci yaitu Private key dan Public key yang merupakan sebuah pasangan yang bersesuaian. Private key adalah kunci yang hanya diketahui oleh kita sendiri. Public key adalah kunci yang kita beritahukan kepada orang-orang yang kita percaya. Public key digunakan sebagai dasar proses pengenkripsian dokumen-dokumen yang hanya bisa dibuka oleh orang yang memiliki private key yang bersesuaian.

Sebagai contoh : Adi memiliki 2 buah kunci yaitu kunci A (terdiri dari  private key A dan public key A) dan kunci B (terdiri dari private key B dan public key B). Kemudian, Hanna akan mengirimkan sebuah e-mail rahasia kepada Adi. Hanna telah memperoleh public key B dari Adi sendiri. Setelah itu, Hanna menjalankan program PGP untuk mengenkripsi e-mail yang akan dikirimkannya ke Adi dengan menggunakan public key B. Ketika  Adi menerima e-mail dari Hanna, ia mempergunakan program PGP untuk dekripsinya. PGP akan menanyakan private key yang bersesuaian yaitu private key B. Jadi, Adi hanya bisa mendekripsi isi e-mail tersebut dengan menggunakan private key B saja.

Kita bisa mengumpulkan beberapa public key dari orang-orang yang membagikan public key-nya. Dengan mengumpulkan beberapa public key, kita bisa mengirimkan sebuah e-mail yang dienkripsi ke beberapa orang secara langsung. Untuk memperkaya koleksi public key yang kita miliki, kita bisa melakukan tukar-menukar public key dengan orang lain.  Ada cara lain untuk mendapatkan public key yaitu melalui public key server. Kita bisa mengambil public key dari orang-orang yang kita inginkan melalui public key server ini. Hanya saja, server tersebut tidak menjamin validasi dari key tersebut. Salah satu resources yang cukup baik untuk public key server adalah http://www.ifi.uio.no/pgp/keyservers.html. Homepage tersebut menjadi pointer menuju public key server di berbagai negara.

Pada paragraf di atas, terdapat kata-kata “tidak menjamin validasi dari key tersebut”. Apa artinya? Sebenarnya, kita bisa membuat public key sebanyak yang kita kehendaki dengan nama yang berbeda. Bisa saja kita membuat public key dengan username Bill Clinton dan alamat e-mail <thepresident@whitehouse.gov>. Dengan demikian, mail-mail rahasia yang ditujukan ke Presiden Bill Clinton bisa kita baca. Tetapi, apakah semudah itu? Tentu saja tidak. Pembuatan dan penambahan public key sebaiknya dan sangat dianjurkan diikuti dengan certification dan signature.

PGP memerlukan beberapa file tambahan yang berperan penting pada proses autentifikasi. File tersebut ada 4 buah, yang bernama (default) : secring.pgp, pubring.pgp, secring.pgp (cadangan), dan randseed.bin. File pubring.pgp adalah file yang berisi koleksi public key milik kita. File secring.pgp adalah file yang berisi private key milik kita. File secring.pgp (cadangan) adalah file cadangan yang berisi private key milik kita. File secring.pgp yang asli akan dibandingkan dengan cadangannya saat melakukan perintah “pgp -kc”. Selain itu, file cadangan tersebut bertujuan supaya bila terjadi sesuatu dengan file secring.pgp yang asli sehingga tidak bisa dibaca, kita masih memiliki cadangan. Ketiga file ini seharusnya tidak diperlihatkan ataupun diberikan kepada orang lain. Seluruh kunci untuk membuka akses PGP terdapat di sana. Bila file-file ini jatuh ke tangan orang lain, kemungkinan tertembusnya enkripsi PGP menjadi jauh lebih besar. [untuk lebih lengkapnya download file pdf-nya disini]

*Oleh : Didi Supriadi / Tingkat III Teknik Rancang Bangun Palsn

* Dosen : Yoga Restu

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: