1. Konsep
kriptografi, plain text, chiper text, encrypted text.
A.
Pengertian Kriptografi
Kriptografi (cryptography) berasal dari bahasa Yunani,
terdiri dari dua suku kata yaitu kripto (crypto) dan graphia (graphy).
Kripto artinya menyembunyikan, sedangkan graphia artinya tulisan. Kriptografi
adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan
aspek keamanan informasi, seperti kerahasiaan data, keabsahan data, integritas
data, serta autentikasi data. Tetapi tidak semua aspek keamanan informasi dapat
diselesaikan dengan kriptografi.
Kriptografi dapat pula
diartikan sebagai ilmu atau seni untuk menjaga keamanan pesan. Pelaku atau
praktisi kriptografi sendiri disebut cryptographers. Pengamanan
dengan menggunakan kriptografi membuat pesan nampak. hanya bentuknya yang sulit
dikenali karena seperti diacak-acak.
· Pada prinsipnya, Kriptografi memiliki 4 komponen utama yaitu :
a) Plaintext, yaitu pesan yang dapat dibaca
b) Ciphertext, yaitu pesan acak yang tidak dapat dibaca
c) Key, yaitu kunci untuk melakukan teknik kriptografi
d) Algorithm, yaitu metode untuk melakukan enkrispi dan dekripsi
Kemudian,
proses yang akan dibahas dalam artikel ini meliputi 2 proses dasar pada
Kriptografi yaitu :
a) Enkripsi (Encryption)
b) Dekripsi (Decryption)
Dengan key yang digunakan sama untuk kedua proses
diatas. Penggunaan key yang sama untuk kedua proses enkripsi dan dekripsi ini
disebut juga dengan Secret Key, Shared Key atau Symetric
Key Cryptosystems.
a.
Enkripsi
Enkripsi (Encryption)
adalah sebuah proses menjadikan pesan yang dapat dibaca (plaintext) menjadi
pesan acak yang tidak dapat dibaca (ciphertext). Berikut adalah contoh enkripsi
yang digunakan oleh Julius Caesar, yaitu dengan mengganti masing-masing huruf
dengan 3 huruf selanjutnya(disebut juga
Additive/Substitution Cipher)
b.
Dekripsi
Deskripsi merupakan proses
kebalikan dari enkripsi dimana proses ini akan mengubah ciphertext menjadi
plaintext dengan menggunakan algoritma "pembalik" dan key yang sama.
Contoh:
·
Ilustrasi
Enkrisi - Dekripsi
Contoh Kriptografi :
Plaintext = MOBIL
Key = 7
Ciphertext = ?
Keterangan :
Pada baris pertama huruf
pertama di awali dengan huruf A, untuk baris keduanya huruf pertama diawali
sesuai dengan "nilai key", jika pada contoh nilai key adalah 7, maka
huruf pertama diawali dengan huruf "G", karena huruf "G"
merupakan urutan ke-7 dari urutan huruf (Alfabet).
B. Pengertian Plaintext
Plain Text adalah teks yang diencode dalam format
ASCII. Plain text tidak memiliki format dan informasi struktur seperti ukuran
dan tipe font, warna, atau layout. Plain text biasanya digunakan antar-komputer
yang tidak memiliki kesepakatan untuk saling bertukar informasi format dan
layout teks.
C. Pengertian Ciphertext
Ciphertext ini adalah bentuk setelah pesan dalam
plaintext telah diubah bentuknya menjadi lebih aman dan tidak dapat dibaca.
Proses mengubah plaintext menjadi ciphertext disebut encryption (enciphering),
dan proses membalikkannya kembali disebut decryption (deciphering).
2. Konsep Keamanan Sistem Informasi
· Konsep-konsep dasar keamanan
sistem informasi, yang meliputi:
a) Latar Belakang perlunya keamanan
sistem informasi
b) Pengertian keamanan sistem
informasi/keamanan komputer
c) Tujuan Keamanan sistem informasi
d) Aspek keamanan sistem informasi
LATAR BELAKANG
PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi
saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang
mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based
society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan
akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan,
perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya
nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh
diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain
dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak
informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh
orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi
tentang produk yang sedang dalam development, algoritma-algoritma dan
teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu
keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang
dapat diterima.
Masalah
keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali
masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik
dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan
kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap
penting. Apabila menggangu performansi dari sistem, seringkali keamanan
dikurangi atau ditiadakan.
Meskipun
sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang
(intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan
besaran yang dapat diukur dengan uang (tangible).
Dengan
adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti
pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh
kegiatan yang dapat dilakukan (Budi Raharjo, 2005):
Ø Hitung kerugian apabila sistem
informasi anda tidak bekerja selama 1 jam, selama 1 hari, 1 minggu, dan 1
bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat
diakses selama beberapahari. Setiap harinya dia dapat menderita kerugian
beberapa juta dolar.)
Ø Hitung kerugian apabila ada
kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda
mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko
anda.
Ø Hitung kerugian apabila ada data
yang hilang, misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari system anda. Berapa biaya yang dibutuhkan
untuk rekonstruksi data.
Ø Apakah nama baik perusahaan anda
merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal
dengan rentannya pengamanan data-datanya, bolak-balik terjadi security
incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan
keamanan uangnya.
PENGERTIAN KEAMANAN
SISTEM INFORMASI/KEAMANAN KOMPUTER
Berikut beberapa
pengertian dari kemanan sistem informasi:
John
D. Howard, Computer Security is preventing attackers from achieving objectives
through unauthorized access or unauthorized use of computers and networks.
G.
J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah
sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.
Wikipedia,
keamanan komputer atau sering diistilahkan keamanan sistem informasi adalah
cabang dari teknologi komputer yang diterapkan untuk komputer dan jaringan.
Tujuan keamanan komputer meliputi perlindungan informasi dan properti dari
pencurian, kerusakan, atau bencana alam, sehingga memungkinkan informasi dan
aset informasi tetap diakses dan produktif bagi penggunanya. Istilah keamanan
sistem informasi merujuk pada proses dan mekanisme kolektif terhadap informasi
yang sensitif dan berharga serta pelayann publikasi yang terlindungi dari gangguan
atau kerusakan akibat aktivitas yang tidak sah, akses individu yang tidak bisa
dipercaya dan kejadian tidak terencana.
TUJUAN KEAMANAN SISTEM
INFORMASI
Keperluan pengembangan
Keamanan Sistem Informasi memiliki tujuan sebagai berikut (Rahmat M. Samik-Ibrahim,
2005):
§ Penjaminan INTEGRITAS informasi.
§ Pengamanan KERAHASIAN data.
§ Pemastian KESIAGAAN sistem
informasi.
§ Pemastian MEMENUHI peraturan,
hukum, dan bakuan yang berlaku.
DOMAIN KEAMANAN SISTEM
INFORMASI
a. Keamanan Pengoperasian ,
teknik-teknik kontrol pada operasi personalia, sistem informasi dan perangkat
keras.
b. Keamanan Aplikasi dan Pengembangan
Sistem, mempelajari berbagai aspek keamanan serta kendali yang terkait pada
pengembangan sistem informasi. Cakupannya meliputi:
1) Tingkatan Kerumitan
Fungsi dan Aplikasi;
(2) Data Pengelolaan
Keamanan BasisData;
(3) SDLC: Systems
Development Life Cycle;
(4) metodology
pengembangan aplikasi
(5) pengendalian
perubahan perangkat lunak;
(6) program
bermasalah;
Rencana
Kesinambungan Usaha dan Pemulihan Bencana, mempelajari bagaimana aktifitas
bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana. Cakupannya
meliputi: Indentifikasi Sumber Daya Bisnis, Penentuan Nilai Bisnis, Analisa
Kegagalan Bisnis, Analisa Kerugian, – Pengelolaan Prioritas dan Krisis, Rencana
Pengembangan, Rencana Implementasi, dan Rencana Pemeliharaan
Hukum,
Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait dengan
kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah
etika dalam dunia komputer.
Keamanan
Fisik, mempelajari berbagai ancaman, resiko dan kontrol untuk pengamanan
fasilitas sistem informasi. Cakupannya meliputi: Kawasan Terbatas, Kamera
Pemantau dan Detektor Pergerakan, – Bunker (dalam tanah), Pencegahan dan
Pemadaman Api, Pemagaran, Peralatan Keamaman, Alarm, dan Kunci Pintu
Audit (Auditing)
ASPEK KEAMANAN SISTEM
INFORMASI
Garfinkel
mengemukakan bahwa keamanan komputer (computer security) melingkupi empat
aspek, yaitu privacy, integrity, authentication, dan availability. Selain
keempat hal di atas, masih ada dua aspek lain yang
juga sering dibahas
dalam kaitannya dengan electronic commerce, yaitu access control dan
non-repudiation.
Privacy /
Confidentiality
Inti
utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi
dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang
sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari
pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu
tersebut.
Contoh hal
yangberhubungan dengan privacy adalah e-mail seorang pemakai tidak boleh dibaca
oleh administrator. Contoh confidential information adalah data-data yang
sifatnya pribadi seperti nama, tempat tanggal lahir, social security number,
agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit,
dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan
penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari
sebuah Internet Service Provider (ISP).
Integrity
Aspek
ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah
informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah
e-mail dapat saja “ditangkap” di tengah jalan, diubah isinya kemudian
diteruskan ke alamat
yang dituju. Dengan
kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi
dan digital signature, misalnya, dapat mengatasi masalah ini.
Salah
satu contoh kasus adalah trojan horse dengan distribusi paket program TCP
Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan
membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung
jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka
ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail
kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda.
Contoh serangan lain adalah yang disebut “man in the middle attack”
dimana seseorang
menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
Authentication
Aspek
ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul
asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang
yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang
asli. Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan
teknologi watermarking dan digital signature. Watermarking juga dapat digunakan
untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil
karya dengan “tanda tangan” pembuat. Masalah kedua biasanya berhubungan dengan
access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses
informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia
adalah pengguna yang sah, misalnya dengan menggunakan password, biometric
(ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan
kepada orang untuk menguji siapa dia:
What you have
(misalnya kartu ATM)
What you know
(misalnya PIN atau password)
What you are
(misalnya sidik jari, biometric)
Penggunaan
teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek
ini. Secara umum, proteksi authentication dapat menggunakan digital
certificates.
Authentication
biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada
server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita
gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada
orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di
tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip)
dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah.
Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar
sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini
yang terjadi dengan kasus klikBCA.com.)
Availability
Aspek
availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau
meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering
disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi
permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar
perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down,
hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai
dikirimi e-mail bertubi-tubi dengan ukuran yang besar sehingga sang pemakai
tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya . Bayangkan
apabila anda dikirimi 5000 email dan anda harus mengambil (download) email
tersebut melalui telepon dari rumah. Serangan terhadap availability dalam
bentuk DoS attack merupakan yang terpopuler pada saat naskah ini ditulis. Pada
bagian lain akan dibahas
tentang serangan DoS
ini secara lebih rinci.
Access Control
Aspek
ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya
berhubungan dengan klasifikasi data (public, private, confidential, top secret)
& user (guest, admin, top manager, dsb.), mekanisme authentication dan juga
privacy. Access control seringkali dilakukan dengan menggunakan kombinasi
userid/password atau dengan menggunakan mekanisme lain (seperti kartu,
biometrics).
Non-repudiation
Aspek ini menjaga agar
seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai
contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat
menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting
dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan
teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini
masih harus didukung oleh hukum sehingga status dari digital signature itu
jelas legal.