Portal yaitu kumpulan lanyanan dari banyak provider yang ditempatkannya ke dalam presentasi yang terorganisasi yang sesuai atau cocok dengan aliran kerja para pelanggannya (user). Para provider menggunakan berbagai sistem dan paradigma aplikasi yang berbeda, dimana semuanya mempunyai hardware yang berbeda, operating system yang berbeda, dan paradigma aplikasi yang berbeda untuk menatur keamanannya.
Teknologi Single Sign on sangat penting bagi portal. Singkatnya, portal
membutuhkannya untuk mengkoordinasikan informasi dari beberapa web site,
penyimpanan data, XML, dan sistem transaksi lainnya. Kesemua ini
mempunyai paradigma keamanan yang berbeda
dimana solusi Single Sign-on akan diterapkan. Contoh dari vendor di arena ini adalah Netegrity, Oblix, IBM, dan Entrust.
Sebuah evolusi dari teknologi Single Sign-on. Ketika SSO mencoba utuk
memfasilitasi aktivitas, Sistem Pendelegasian manajemen mencoba untuk
bertindak sebagai titik tunggal bagi pengaturan semua aplikasi dan
sistem operasi tingkat keamanan. Sistem Pendelegasian manajemen pada
akhirnya akan menggantikan sistem SSO seiring pendewasaannya.
Contoh vendor di arena ini adalah : Netegrity dan IBM.
Firewalls adalah komputer yang menjalankan software dimana menganalisis
dan menyaring paket jaringan dan membuat keputusan sekuritas berdasar
rekomendasinya.
- Pendeteksian Penyusup (Intrusion Detection)
Software ini menganalisis pola aktifitas dalam suatu jaringan untuk mengetahui jika dia “diserang”.
Ilmu pengetahuan ini menyediakan perhitungan matematis yang teliti dalam
rangka otentifikasi, enkripsi, dan non repudiation. Keamanan portal
yang tinggi menerapkan kriptografi untuk semua kemampuannya.
Sistem kontrol akses menyediakan aturan berdasar daftar identitas untuk
menetapkan sebuah identitas, dimana bagian dari sebuah peranan/tugas
atau group/kelompok, harus mempunyai level akses yang tepat untuk
menjalankan operasi yang menggunakan sumber daya. Ilmu pengetahuan
keamanan komputer adalah kombinasi kontrol akses dan teknologi
kriptografi. Semua portal menggunakan kontrol akses.
Otentifikasi mempunyai dua macam format, yaitu format kriptografi dan
format kontrol akses. Format kriptografi dalam otentifikasi menggunakan
skema dasar sertifikasi untuk memastikan identitas. Format kontrol akses
lebih sederhana, dimana biasanya menggunakan mandate seperti user-id
(identitas pengguna) dan password.
- Non Repudiation (Kunci yang sangat kuat dan susah dirusak)
Tindakan mempercayakan data pada suatu sistem kunci yang susah dirusak
disebut non repudiation yang menggunakan teknologi public key dan
fungsi-fungsi lama dari kriptografi. Portal Finansial, Portal Perawatan
Kesehatan akan memperoleh manfaat lebih dari teknologi ini.
Sebuah fungsi kontrol akses yang sangat penting. Penting sekali, dimana
portal akan memelihara daftar otorisasi, (a.k.a, daftar kontrol akses)
untuk menetapkan level akses yang tepat pada setiap identitas yang bisa
mengakses sumber daya. Seperti sebuah sistem akan menetapkan jika user
diotorisasi terhadap tindakan yang dilakukan terhadap sumber daya.
Sebuah persetujuan awal untuk mengimplementasikan paradigma keamanan,
sebuah kebijakan keamanan perlu ditetapkan untuk organisasi. Outline
kebijakan keamanan dalam bisnis dibutuhkan untuk keamanan dan prosedur
organisasi untuk mempertemukan kebutuhankebutuhan bisnis. Seperti sebuah
kebijakan yang digunakan untuk mendefinisikan kontrol akses dan
kebijakan sertifikasi.
Groups adalah koleksi identitas yang diorganisasikan. Groups diatur atau
dikonfigurasikan oleh personil administratif dan diatur di atas basis
harian (hari per hari). Portal selalu butuh untuk mengatur group sebagai
alat ekonomi untuk mengatur privasi, integritas, dan aksesibilitas yang
tepat dari data.
Roles mengorganisasikan koleksi kemampuan. Koleksi dari kemampuan ini
cenderung dipelihara oleh developer. Roles dapat berupa group dan atau
user sebagai anggota yang mempunyai akses untuk kemampuan yang
didefinisikan oleh developer. Keanggotaan roles cenderung diatur oleh
administrator.
- LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) adalah protokol perangkat
lunak untuk memungkinkan semua orang mencari resource organisasi,
perorangan dan lainnya, seperti file atau printer di dalam jaringan baik
di internet atau intranet. Protokol LDAP membentuk sebuah direktori
yang berisi hirarki pohon yang memiliki cabang, mulai dari negara
(countries), organisasi, departemen sampai dengan perorangan. Dengan
menggunakan LDAP, seseorang dapat mencari informasi mengenai orang lain
tanpa mengetahui lokasi orang yang akan dicari itu
Sebuah struktur direktori umum yang diterima oleh sebagian besar
industri. Portal menggunakan ini untuk mengatur informasi pengguna,
informasi organisasi, sebagai kontrol akses dan informasi sertifikasi
kriptografi.
LDAP (Lightweight Directory Access Protocol) dapat diartikan sebagai
directory services dan object oriented database. Apa saja yang LDAP
dapat lakukan? LDAP menyediakan berbagai layanan seperti menyediakan
data untuk client contohnya data karyawan, addressbook, email, account
login dan banyak data lainnya. Dengan LDAP kita juga dapat melakukan
searching informasi dengan berbagai filtering atau melakukan akses
terhadap informasi khusus sebuah object. Penggunaan LDAP umumnya :
a. Pusat management data
b. Otentikasi
c. Email
d. Address Book
e. Accounting
f. dll
Implementasi LDAP yang sudah banyak digunakan oleh perusahaan-perusahaan adalah
sebagai berikut :
_ Open Source Software (OSS) menggunakan OpenLDAP, tinyLDAP, Fedora
Directory Services (FDS)
_ Sun (Bagian dari SunOne)
_ Netscape (NDS)
_ Microsoft (Bagian dari Active Directory)
_ Novell (Bagian dari eDirectory)
- Otoritas Sertifikasi (Certificates Authorities atau CA)
Otoritas sertifikasi adalah penentu keputusan dalam pembuktian,
identitas digital, meskipun pada kenyataannya cenderung tidak dapat
dipertanggung jawabkan atas hasil kerjanya. Berdasarkan hal ini, dan
aksi tanda tangan digital, otoritas sertifikasi tidak dapat diadopsi
secara luas. Otoritas sertifikasi dapat menghasilkan sertifikasi.
Ketika ada publik CA, seperti Valicert dan Verisign, perusahaan membuat
sertikasinya sendiri. CA bermanfaat bagi portal yang menyediakan servis
perdagangan dengan nilai tinggi atau jasa pelayanan kesehatan,
bagaimanapun juga, mereka menyediakan mekanisme third party (pihak
ketiga) untuk memvalidasi identitas. Aplikasi portal yang lebih kecil
akan membuat sertifikasinya sendiri. Tanda tangan digital memungkinkan
sertifikasi-diri sendiri. Sertifikasi diri sendiri (self certified) ini
legal dan valid untuk bertransaksi.
- Otoritas validasi (Validation Authorities atau VA)
Standar X509 meragukan dan tidak semua sertifikat yang dibuat dari semua
vendor sama. Dalam hal ini, ketika perusahaan-perusahaan saling
bertukar sertifikat sebelum melakukan e-Business, perusahaan “sumber“
membuat sertifikat dan akan mengontrol pemeliharaan sertifikat. Dengan
kata lain, jika sumber pengguna “menjadi jahat“ sumber perusahaan
pengguna akan meninjau kembali sertifikat tersebut. Otoritas validasi
memungkinkan perusahan tujuan melakukan “penerbitan sertifikasi lokal“,
hal ini mengurangi kebutuhan komunikasi organisasi yang kuat diantara
dua perusahaan yang menerapkan sertifikasi transaksi secara kriptografi.
Dalam hal ini, VA mempunyai kemampuan validasi secara “real time“,
membuatnya nyaman untuk high end yang ekstrem, lingkungan keamanan yang
tinggi. VA akan sangat bermanfaat bagi portal yang berharap menyediakan
proteksi kriptografi untuk pelanggannya, sekalipun dibutuhkan
pemeliharaan tingkat keamanan yang tertinggi pada interoperabilitas dan
kontrol terhadap sertifikasi.
- Infrastruktur Kunci Publik (Public Key Infrastructur)
Kriptografi kunci publik menyediakan implementasi elegan (elok) dari
implementasi enkripsi, non repudiation, dan otentifikasi yang
membutuhkan aktifitas manajemen kunci yang minimum. Ini membuat
infrastruktur kunci publik lebih efisien untuk mengatur bila
dibandingkan dengan infrastruktur kunci simetrik yang tradisional.
Portal yang membutuhkan kriptogafi akan menggunakan PKI (Public Key
Infrastructure).
- Secure Socket Layer (SSL)
Standar bagi transaksi-transaksi yang butuh keamanan dengan menggunakan
kriptografi public key dan X509. Ini dikhususkan bagi otentifikasi (dua
arah) dan enkripsi informasi yang dikirim melalui socket TCP/IP. Portal
yang membutuhkan transaksi financial atau data perawatan kesehatan akan
menggunakan SSL.
Secure Access Markup Languange
Terinspirasi oleh Netegrity, bahasa ini dibangun untuk memfasilitas
Strategi Manajemen Pendelegasian. Berisi transaksi-transaksi yang tak
bereputasi untuk mengatur kontrol aksesnya. Dengan ini diharapkan
vendor-vendor software akan merangkul SAML untuk memfasilitasi strategi
SSO miliknya (segera akan dikenal Manajemen Pendelegasian). Portal akan
mengurangi biayanya dalam jangka menengah dengan mengadopsi SAML,
sebagai sebuah integrasi dengan paradigma keamanan lainnya yang akan
semakin sederhana.
-
Tanda tangan Digital (Digital Signature)
Tanda tangan digital memanfaatkan kemampuan kunci (non repudiation) yang
susah ditembus dari public key infrastructure untuk menyediakan
kriptografi yang memastikan data dikelola sebagai integritas.
Seperti apa sih tandatangan digital itu? Apakah konsepnya sama dengan
“user” atau “password”, atau gabungan keduanya plus dengan image?
Bagaimana mengadministrasikan perbedaan antara tandatangan digital Si A
dengan Si B?
Sepintas lalu memang demikian, seperti password tapi teknologi yang
dipakai berbeda dan tidak ada imagenya. Jadi , tanda tangan digital
berbasis pada teknologi PKI (public key infrastructure). Teknologi ini
sudah lama dikenal di luar negeri, yang sudah menggunakan contohnya
adalah verysign atau e-trust. Di Indonesia baru dikembangkan oleh
indosat dan telkom, tapi kabarnya BCA juga menggunakan teknologi ini.
Dalam PKI tersebut, ada yang dinamakan kunci publik (public key)
dengan kunci privat (privat key), keduanya berbentuk bilangan biner
(binary). Kunci-kunci tersebut dikeluarkan oleh sebuah badan yang
dinamakan CA (certification authority). Kunci public tersebut disimpan
di RA (repisitory authority) seperti bank kunci yang dimiliki oleh
sistem tersebut dan orang dapat mengetahui kunci publik yang ada di RA.
Badan tersebut bisa terpisah atau bersamaan. Sedangkan kunci privatnya
tidak disebar ke publik, jadi hanya pihak yang mendaftarkan dirinya pada
CA dan lawan (pihak) bertindak sebagai subjek hukum yang melakukan
transaksi, yang mengetahui kunci privat tersebut. Transaksi disini tidak
harus diartikan dengan uang, tapi juga pertukaran data.
Orang yang tidak melakukan suatu pertukaran data tidak akan
mengetahui kunci privat tersebut. Karena hanya dengan kunci privat si
pengirim maka si penerima baru bisa membuka/membaca pesan yang dikirim.
Hanya para pihak saja yang mengetahui kunci-kunci tersebut (terutama
kunci privatnya). Tidak mungkin ada tanda tangan yang sama antara A
dengan B, karena sistemnya sudah demikian dibuat sedemikian. Satu angka
saja berubah maka pesan tidak akan terbaca, karena ada proses yang
namanya otentikasi, benar apa tidak bahwa yang mengirim pesan adalah si
A, baru kemudian pesan yang di enkripsi (disandikan) bisa dibuka dengan
kunci privat yang ada.
teknologi PKI cukup aman. Mengenai administrasi kunci tersebut, tidak
perlu ragu karena sistem yang dibangun sedemikian rupa sehingga tidak
mungkin ada satu kunci yang sama persis. Dan kemudahannya lagi, si
pengirim pesan dapat mengganti kunci privatnya (seperti PIN).
PKI adalah arsitektur keamanan yang telah diperkenalkan untuk memberikan
peningkatan tingkat kepercayaan untuk bertukar informasi melalui
Internet semakin tidak aman. Panduan ini untuk PKI memberikan pembaca
dengan pengenalan dasar istilah kunci dan konsep yang digunakan dalam
PKI termasuk penggunaan enkripsi, tanda tangan digital, kunci publik,
kunci privat, sertifikat digital, Otoritas Sertifikat, pencabutan
sertifikat dan penyimpanan. Ia menyebutkan fitur dan layanan yang
digunakan oleh PKI dan teknik yang terlibat dalam kriptografi kunci
publik.
- Public Key digunakan untuk Enkripsi
Orang lain menggunakan kunci enkripsi publik Anda ketika mereka ingin
mengirimkan informasi rahasia. Informasi yang akan dikirim dienkripsi
menggunakan kunci publik Anda *. Anda dapat memberikan kunci publik ke
pengirim, atau dapat diambil dari direktori di mana ia dipublikasikan.
* Catatan: Dalam praktek normal, informasi aktual yang dikirim
dienkripsi menggunakan algoritma kunci rahasia (simetrik kriptografi).
Algoritma simetris lebih cepat daripada algoritma kunci publik / swasta
(kriptografi asimetris). Kunci acak (session key) yang dihasilkan, dan
digunakan dengan algoritma simetrik untuk mengenkripsi informasi. Kunci
publik ini kemudian digunakan untuk mengenkripsi kunci yang baik dan
dikirim ke penerima.
2. Kunci pribadi digunakan untuk Dekripsi
Sebuah kunci privat digunakan untuk mendekripsi informasi yang telah
dienkripsi menggunakan kunci publik yang sesuai. Orang yang menggunakan
kunci pribadi bisa memastikan bahwa informasi itu dapat mendekripsi
harus telah dimaksudkan untuk mereka, tetapi mereka tidak bisa
memastikan siapa informasi itu dari.
Catatan: Dalam praktek yang normal kunci pribadi digunakan untuk
mendekripsi kunci sesi, dan kunci yang digunakan untuk mendekripsi
informasi aktual daripada kunci privat mendekripsi semua informasi.
3. Kunci pribadi untuk Signature
Jika pengirim ingin membuktikan kepada penerima bahwa mereka adalah
sumber informasi yang (mungkin mereka menerima tanggung jawab hukum
untuk itu) mereka menggunakan kunci privat untuk menandatangani pesan
digital (digital signature). Berbeda dengan tanda tangan tulisan tangan,
tanda tangan digital ini berbeda setiap kali dibuat. Nilai matematika
unik, ditentukan oleh isi pesan, dihitung menggunakan ‘hashing’ atau
algoritma otentikasi pesan ‘, dan kemudian nilai ini dienkripsi dengan
kunci pribadi – membuat tanda tangan digital untuk pesan tertentu. Nilai
dienkripsi baik melekat pada akhir pesan atau dikirim sebagai file
terpisah bersama dengan pesan. Kunci publik yang sesuai dengan kunci
pribadi ini juga dapat dikirim dengan pesan, baik sendiri atau sebagai
bagian dari sertifikat.
Catatan: Setiap orang menerima informasi dilindungi hanya dengan
tanda tangan digital dapat memeriksa tanda tangan dan dapat membaca dan
memproses informasi. Menambahkan tanda tangan digital ke informasi tidak
memberikan kerahasiaan.
4. Kunci Publik untuk Signature
Penerima pesan digital ditandatangani menggunakan kunci publik yang
tepat untuk memeriksa tanda tangan dengan melakukan langkah-langkah
berikut. Sebuah contoh non-teknis diberikan setelah langkah-langkah.
1. Kunci publik yang tepat digunakan untuk mendekripsi nilai hash yang pengirim dihitung untuk informasi
2. Menggunakan algoritma hashing (di mana sertifikat digunakan akan
tercantum dalam sertifikat kunci publik dikirim dengan pesan), hash dari
informasi yang diterima dihitung
3. Nilai hash yang baru dihitung dibandingkan dengan nilai hash yang
pengirim awalnya dihitung. Ini ditemukan pada langkah 1 di atas. Jika
nilai cocok, penerima mengetahui bahwa orang yang mengendalikan kunci
privatnya untuk kunci publik dikirim informasi. Mereka juga tahu bahwa
informasi tersebut belum diubah sejak ditandatangani
4. Jika sertifikat kunci publik dikirim dengan informasi itu kemudian
divalidasi dengan CA yang menerbitkan sertifikat untuk memastikan bahwa
sertifikat tersebut belum dipalsukan dan karena itu identitas controller
dari kunci pribadi adalah asli
5. Akhirnya, jika tersedia, daftar pencabutan untuk CA diperiksa untuk
memastikan bahwa sertifikat tersebut belum dicabut, atau jika sudah
dicabut, apa tanggal dan waktu pencabutan itu.
Sebagai contoh, misalkan Anda dikirimi dokumen Word dengan e-mail.
Pengirim telah menandatanganinya dengan menghitung nilai hash untuk
dokumen Word, kemudian dienkripsi dengan kunci yang nilai pribadi
mereka. Anda menerima dokumen Word, dan menghitung nilai hash untuk itu.
Anda mendekripsi lembah hash yang pengirim terenkripsi dan
membandingkan keduanya. Jika mereka sama, dokumen tidak berubah dan Anda
yakin yang mengirim dokumen. (Jika mereka tidak cocok Anda tahu bahwa
dokumen tersebut telah diubah atau pengirim tidak yang mereka klaim.)
Jika tidak ada kesalahan telah ditemukan, penerima dapat pastikan keaslian dan keakuratan informasi yang telah diterima.
Untuk mengenkripsi informasi yang akan disimpan untuk digunakan
sendiri (yaitu, Anda akan menjadi orang yang hanya mampu membacanya),
Anda harus menggunakan kunci publik Anda sendiri sebagai kunci penerima
(Anda adalah penerima) agar dapat mendekripsi dan membaca informasi
nanti. Jika Anda menggunakan orang lain kunci publik, maka hanya mereka
akan dapat mendekripsi dan membaca informasi. (Untuk menghindari
kesulitan berhubungan dengan tidak bisa membaca pesan terenkripsi jika
Anda bukan salah satu penerima, beberapa sistem tidak menghapus pesan
asli setelah enkripsi sementara yang lainnya menyimpan salinan dari
kunci yang digunakan untuk enkripsi baik di bawah Public Key pengirim
atau di bawah kunci Pemulihan Sistem Metode terakhir ini. juga disebut
sebagai escrow kunci atau pemulihan kunci.)
Kriptografi Kunci Publik sebaiknya digunakan untuk enkripsi /
dekripsi dan penandatanganan / verifikasi informasi. Enkripsi informasi
memastikan privasi dengan mencegah pengungkapan yang tidak diinginkan,
dan menandatangani pesan mengotentikasi pengirim pesan dan memastikan
pesan belum diubah sejak dikirim. Harus diingat bahwa hanya informasi
ditandatangani / dienkripsi telah dilindungi. Umumnya dalam e-mail
sistem, alamat dan pesan tubuh mungkin memiliki perlindungan sama sekali
dan tidak boleh dianggap aman atau bagian dari informasi yang
dilindungi.
- PKI sertifikat (Sertifikat Digital)
Pada bagian pada kunci publik dan swasta, referensi dibuat untuk
sertifikat. Sertifikat adalah informasi mengacu pada kunci publik, yang
telah ditandatangani secara digital oleh Otoritas Sertifikasi (CA).
Informasi yang biasanya ditemukan di sertifikat sesuai dengan v3 (IETF)
standar ITU X.509. Sertifikat sesuai dengan standar yang mencakup
informasi tentang identitas diterbitkan dari pemilik kunci privatnya,
panjang kunci, algoritma yang digunakan, dan algoritma hashing terkait,
tanggal validitas sertifikat dan tindakan-tindakan utama yang dapat
digunakan untuk.
Sertifikat adalah tidak penting untuk operasi PKI, namun, beberapa
skema perlu untuk mencari informasi tentang controller sebuah kunci
pribadi, dan sertifikat X.509 adalah skema yang paling sering
dilaksanakan.
- Penggunaan Kunci Pengendalian
Salah satu bidang dalam sertifikat kunci publik (sertifikat) adalah
bidang penggunaan kunci. Hal ini digunakan oleh CA untuk menyatakan
menggunakan CA telah disetujui. Ini tidak berarti bahwa kunci privat
terkait tidak dapat digunakan dalam cara lain. Tidak ada sertifikat
dengan kunci pribadi. Orang menerima informasi dilindungi menggunakan
sistem kunci publik harus memeriksa, di mana sertifikat disediakan,
bahwa penggunaan kunci dinyatakan dalam sertifikat sesuai dengan
penggunaan aktual.
- PKI metode untuk menyimpan Kunci Publik dan Kunci Pribadi
Sertifikat digital
Kunci publik disimpan di dalam sertifikat digital serta informasi
terkait lainnya (pengguna informasi, tanggal kedaluwarsa, penggunaan,
yang mengeluarkan sertifikat dll). CA memasuki informasi yang terkandung
dalam sertifikat tersebut ketika ditempatkan dan informasi ini tidak
dapat diubah. Karena sertifikat tersebut akan ditandatangani secara
digital dan semua informasi di dalamnya dimaksudkan untuk tersedia untuk
umum tidak perlu untuk mencegah akses ke membacanya, meskipun Anda
harus mencegah pengguna lain merusak, menghapus atau menggantinya.
Perlindungan
Jika seseorang mengakses keuntungan ke komputer Anda, mereka dengan
mudah bisa mendapatkan akses ke kunci pribadi Anda (s). Untuk alasan
ini, akses ke kunci pribadi biasanya dilindungi dengan password pilihan
Anda. Password kunci privat tidak boleh diberikan kepada orang lain dan
harus cukup panjang sehingga mereka tidak mudah ditebak. Ini adalah sama
dengan menjaga KARTU ATM dan PIN nya. Jika seseorang berhasil
mendapatkan memegang kartu Anda maka satu-satunya hal yang mencegah dia
menggunakan itu adalah PIN (password) melindunginya. Jika seseorang
memiliki PIN maka mereka dapat mengambil uang Anda dan Anda tidak dapat
menghentikan mereka.
Vendor yang berbeda sering menggunakan berbeda dan kadang-kadang
format penyimpanan proprietary untuk menyimpan kunci. Sebagai contoh,
Entrust menggunakan format proprietary EPF., Sementara Verisign,
GlobalSign, dan Baltimore, untuk beberapa nama, menggunakan standar p12.
Format.
1,3 Komponen dari PKI
Sebuah PKI (infrastruktur kunci publik) dibuat dengan menggabungkan sejumlah layanan dan teknologi:
1) Sertifikasi otoritas (CA)
Sebuah isu CA dan memverifikasi sertifikat (lihat di atas). CA
bertanggung jawab untuk mengidentifikasi (sampai batas lain) kebenaran
dari identitas orang meminta sertifikat yang akan dikeluarkan, dan
memastikan bahwa informasi yang terkandung dalam sertifikat tersebut
adalah benar dan digital menandatanganinya.
Membangkitkan pasangan kunci
CA dapat membuat kunci publik dan kunci pribadi (pasangan kunci) atau
orang yang mengajukan permohonan sertifikat mungkin harus menghasilkan
pasangan kunci mereka sendiri dan mengirim permintaan ditandatangani
berisi kunci publik mereka ke CA untuk validasi. Orang yang mengajukan
permohonan sertifikat dapat memilih untuk menghasilkan pasangan sendiri
kunci mereka sehingga untuk memastikan bahwa kunci pribadi tidak pernah
meninggalkan kendali mereka dan sebagai hasilnya kurang cenderung
menjadi tersedia untuk orang lain.
Penerbitan sertifikat digital
Kecuali Anda menghasilkan sertifikat Anda sendiri (beberapa perangkat
lunak aplikasi akan memungkinkan Anda melakukan hal ini) biasanya Anda
akan harus membeli satu dari CA. Sebelum CA mengeluarkan sertifikat Anda
dengan mereka akan membuat pemeriksaan berbagai untuk membuktikan bahwa
Anda adalah yang Anda katakan.
CA dapat dianggap sebagai setara PKI sebuah badan paspor – masalah
Anda CA sertifikat setelah Anda memberikan mandat yang mereka perlukan
untuk mengkonfirmasi identitas Anda, dan kemudian tanda-tanda CA
(perangko) sertifikat untuk mencegah modifikasi dari informasi yang
tercantum dalam sertifikat.
Sebuah CA juga mungkin menyatakan kualitas pemeriksaan yang dilakukan
sebelum sertifikat diterbitkan. Kelas yang berbeda dari sertifikat
dapat dibeli yang sesuai dengan tingkat pemeriksaan dibuat.
Ada tiga
atau empat kelas umum sertifikat:
Kelas 1 sertifikat dapat dengan mudah
diperoleh dengan memberikan alamat email,
Kelas 2 sertifikat memerlukan
informasi pribadi tambahan yang harus diberikan,
Kelas 3 sertifikat
hanya dapat dibeli setelah pemeriksaan telah dibuat mengenai pemohon
identitas. Kelas 4 dapat digunakan oleh pemerintah dan organisasi
yang membutuhkan tingkat yang sangat tinggi checking.
Menggunakan sertifikat
Seorang individu mungkin memiliki sejumlah sertifikat yang
dikeluarkan oleh sejumlah CA. Aplikasi Web yang berbeda mungkin
bersikeras bahwa Anda menggunakan sertifikat hanya dikeluarkan oleh CA
tertentu. Sebagai contoh, sebuah bank mungkin bersikeras bahwa Anda
menggunakan sertifikat yang dikeluarkan oleh mereka untuk menggunakan
layanan mereka, sedangkan situs Web publik mungkin menerima sertifikat
yang Anda tawarkan (sama seperti beberapa memungkinkan pilihan bebas ID
dan password).
CA dapat menjadi unit dalam organisasi Anda, sebuah perusahaan (yaitu bank atau kantor pos), atau badan independen (VeriSign).
Memeriksa sertifikat
Sertifikat kunci publik ditandatangani oleh CA untuk mencegah
modifikasi atau pemalsuan. Tanda tangan ini juga digunakan saat
memeriksa bahwa kunci publik masih berlaku. Tanda tangan ini divalidasi
terhadap daftar ‘root CA’ yang terkandung dalam berbagai aplikasi ‘PKI
sadar’ (misalnya browser Anda). Beberapa sertifikat CA disebut
‘Sertifikat Akar’ sebagai mereka membentuk akar segala validasi
sertifikat. Validasi sertifikat terjadi secara otomatis menggunakan
sertifikat publik lain yang terkandung dalam daftar root CA.
Catatan: PGP (Pretty Good Privacy) pengguna biasanya bertindak
sebagai otoritas mereka sendiri yang mengeluarkannya, sehingga Anda
menerima sertifikat mereka atas dasar bahwa mereka adalah yang mereka
katakan tanpa verifikasi lebih lanjut. Metode ini disebut ‘Web
kepercayaan’ karena didasarkan pada orang yang Anda percaya bukan
kewajiban dalam kontrak.
2) Pencabutan
Dimana sistem bergantung pada penerbitan sertifikat sehingga orang
dapat berkomunikasi satu sama lain, harus ada sistem untuk membiarkan
orang tahu kapan sertifikat tidak lagi berlaku. Hal ini dapat dilakukan
dalam satu dari dua cara. Sertifikat dapat dihapus dari Direktori atau
database di mana mereka harus ditemukan. Akibatnya, setiap upaya untuk
menemukan mereka untuk memeriksa bahwa mereka masih ada akan gagal dan
orang yang mencari mereka akan tahu bahwa mereka telah dicabut.
Ada dua masalah dengan pendekatan ini. Yang pertama adalah bahwa
serangan penolakan layanan pada Direktori atau database dapat membuat
penampilan sertifikat gagal. Yang kedua adalah bahwa Direktori ini
dirancang untuk mengoptimalkan waktu untuk membaca informasi, sehingga
menghapus informasi yang biasanya dihindari, seperti yang update. Juga,
menghapus catatan tidak memberitahu orang meminta informasi mengapa
tidak ada, yang mungkin mereka butuhkan untuk mengetahui mengapa dan
kapan itu dihapus.
Akibatnya, sistem daftar pencabutan telah dikembangkan yang ada di
luar Direktori atau database. Ini adalah daftar sertifikat yang tidak
berlaku lagi (karena alasan apapun), setara dengan daftar ATM hilang
atau dicuri kartu. Saat ini ada dua metode yang berbeda untuk memeriksa
pencabutan sertifikat – ‘CRL’ atau ‘OCSP. Daftar pencabutan mungkin
publik bahkan ketika Direktori cocok atau database tidak. Hal ini karena
sertifikat mungkin telah didistribusikan untuk digunakan di luar
jaringan pribadi dari organisasi yang terlibat.
3) Registration Authority (RA)
Sebuah CA mungkin menggunakan pihak ketiga Registration Authority
(RA) untuk melakukan pemeriksaan yang diperlukan pada orang atau
perusahaan meminta sertifikat untuk memastikan bahwa mereka adalah yang
mereka katakan. Bahwa RA dapat muncul ke pemohon sertifikat sebagai CA,
tetapi mereka tidak benar-benar menandatangani sertifikat yang
diterbitkan.
Penerbitan Sertifikat metode 4)
Salah satu dasar-dasar sistem PKI adalah kebutuhan untuk menerbitkan
sertifikat sehingga pengguna dapat menemukan mereka. (Anda harus bisa
mendapatkan pegangan dari kunci enkripsi publik untuk penerima informasi
yang terenkripsi.) Ada dua cara untuk mencapai ini. Salah satunya
adalah untuk menerbitkan sertifikat di setara dengan sebuah buku telepon
elektronik. Yang lain adalah dengan mengirimkan sertifikat Anda kepada
orang-orang Anda berpikir mungkin membutuhkannya dengan satu cara atau
yang lain. Pendekatan yang paling umum tercantum di bawah ini.
Direktori
Direktori adalah database yang X.500/LDAP-compliant. Ini berarti
bahwa mereka berisi sertifikat dalam format X.509, dan bahwa mereka
menyediakan fasilitas pencarian yang spesifik seperti yang ditetapkan
dalam standar LDAP diterbitkan oleh IETF. Direktori dapat dibuat
tersedia untuk umum atau mereka mungkin tertutup menjadi organisasi
tertentu – yaitu perusahaan mungkin memiliki direktori sendiri di mana
ia memegang sertifikat bagi penggunanya dan hanya para penggunanya dapat
mengakses direktori ini. Direktori Sebuah bersifat rahasia ketika
berisi informasi bahwa pemilik tidak ingin tersedia untuk umum.
Direktori publik di sisi lain dapat dibaca oleh siapapun yang memiliki
akses kepada mereka.
Database
Sebuah database dapat dikonfigurasi untuk menerima sertifikat X.509
format. Hal ini dapat dilakukan untuk sistem pribadi di mana metode
pencarian untuk mencari sertifikat tidak mengikuti struktur LDAP. Karena
pada dasarnya eksklusif, metode ini tidak digunakan untuk sistem
publik.
Email, floppy disk dll
Sertifikat dapat dikirim dalam e-mail sehingga penerima dapat
menambahkannya ke koleksi mereka sendiri pada server mereka atau
desktop, tergantung pada cara sistem keamanan mereka telah
dikonfigurasi. Mereka mungkin juga akan dimasukkan ke floppy disk, atau
media lainnya.
5) Sertifikat Sistem Manajemen
Istilah ini mengacu pada sistem manajemen melalui sertifikat yang
diterbitkan, sementara atau permanen ditangguhkan, diperbaharui atau
dicabut. Sertifikat sistem manajemen biasanya tidak menghapus sertifikat
karena mungkin diperlukan untuk membuktikan status mereka di suatu
titik waktu, mungkin untuk alasan hukum. Sebuah CA (dan mungkin RA) akan
menjalankan sistem manajemen sertifikat untuk dapat melacak tanggung
jawab mereka dan kewajiban.
6) ‘PKI sadar’ aplikasi
Istilah ini biasanya mengacu pada aplikasi yang memiliki toolkit CA
tertentu perangkat lunak pemasok ditambahkan kepada mereka sehingga
mereka dapat menggunakan pemasok CA dan sertifikat untuk
mengimplementasikan fungsi PKI. Istilah ini tidak berarti bahwa aplikasi
memiliki ‘pengetahuan’ yang dibangun ke dalam mereka tentang apa
persyaratan keamanan sebenarnya, atau yang PKI layanan yang relevan
untuk memberikan mereka. Isu-isu ini cukup terpisah dari memiliki PKI
layanan yang tersedia.
Di dunia yang serba online seperti sekarang ini, keamanan informasi
menjadi suatu hal yang sangat penting. Jika di dunia nyata kita bisa
mengetahui identitas orang menggunakan KTP, maka di dunia maya kita
mengenal orang/institusi/dokumen/dsb menggunakan kredensial elektronik.
Salah satu bentuk kredensial elektronik ini adalah PKI (Public Key
Infrastructure).
PKI memastikan kebenaran identitas seseorang, atau keaslian dari suatu dokumen.
PKI bekerja menggunakan sepasang kunci : kunci pribadi, dan kunci
publik. Kunci pribadi dipergunakan untuk kita sendiri, dan hanya si
pemilik kunci yang mengetahui nomor kunci ini. Sedangkan kunci publik
merupakan kunci yang bisa digunakan oleh siapapun juga. Kunci ini hanya
bisa dipergunakan untuk membuka suatu dokumen jika digunakan secara
berpasangan.
Untuk memastikan bahwa dokumen rahasia tidak pernah mengalami
perubahan, maka dokumen asli disandi menggunakan suatu teknik penyandian
dan menghasilkan suatu angka yang disebut hash. Di dunia nyata, hash
serupa dengan sidik jari yang mewakili dokumen asli dalam bentuk yang
sangat kompak. Hash digunakan untuk membuktikan keaslian dari suatu
dokumen, karena perubahan sedikit saja dari dokumen asli akan mengubah
sidik jari (hash).
Tanda tangan digital memanfaatkan teknik hash dan kunci pribadi untuk
menandatangani suatu dokumen digital. Dokuman yang akan ditandatangani
harus disandi, kemudian hashnya disandi kembali menggunakan kunci
pribadi. Dan orang lain bisa menerima dan membaca dokumen tadi tapi
tidak bisa mengubahkan (untuk mengubah membutuhkan kunci pribadi)
lembaga yang berwenang untuk membuat dan mengawasi jalannya prosedur pemakaian public key :
- CA (Certification Authority)
adalah sebuah badan hukum yang
berfungsi sebagai pihak ketiga terpercaya yang menerbitkan SD
(Sertifikat Digital) dan menyediakan keamanan yang dapat dipercaya oleh
para pengguna dalam menjalankan pertukaran informasi secara elektronik,
sehingga memenuhi empat aspek keamanan (privacy/confidentiality,
authentication, integrity, non repudiation).
- RA (Registration Authority)
adalah sebuah lembaga yang
bertanggungjawab memverifikasi data identitas pemegang sertifikat dan
memvalidasi kebenarannya.
PKI adalah pengaturan yang mengikat kunci publik dengan identitas
masing-masing pengguna menggunakan Certification Authority (CA). Dengan
kalimat singkat PKI adalah infrastruktur sekuriti yang diimplementasikan
menggunakan konsep dan teknik kriptografi kunci public.
Menurut Internet X.509 Public Key Infrastructure Certificate
Management Protocols, dalam sebuah model public key infrastructure
terdapat beberapa entitas:
1.Subject atau subscriber
2.Certification Authority (CA)
3.Registration Authority (RA)
4.Certificate Repository
5.Relying Party
SUMBER : Modul 06 "Portal dan Keamanan" (Disusun Oleh : Ratna Mutu Manikam, SKom,MT) Fakultas Ilmu Komputer Sistem Informasi
