Author

Topic: [EBOOK] Kriptologi, Kriptografi, Kriptanalisis & Cryptosystem (Read 469 times)

legendary
Activity: 2324
Merit: 1604
hmph..
Kalau lokasi atau IP mencurigakan, sebelum akan login, dengan posisi insert username, google akan memberlakukan captcha terlebih dahulu, seperti memasukan karakter huruf. Bahkan sampai berkali-kali harus authenticating 2fa hanya untuk read email.
Untuk captcha umumnya digunakan untuk anti bot atau ketika melakukan kesalahan input, sedangkan pada kasus IP biasanya terjadi jika IP tersebut merupakan IP yang benar-benar tidak pernah sama sekali digunakan semisal menggunakan VPN, dimana history login tidak pernah ada IP yang related sebelumnya. Apalagi kalau menggunakan TOR dan VPN gratisan, akan sering mendapatkan captcha,  tindakan ini untuk mencegah generate password, menurut saya bukan bagian dari 2FA atau RBA (CMIIW)
legendary
Activity: 2366
Merit: 2054
RBA-LOCATION: User akan diminta untuk memasukkan kode verifikasi jika ia terdeteksi melakukan login di lokasi yang berbeda. Sama dengan 2FA, hanya saja RBA akan dikirimkan ketika Anda login di lokasi berbeda
1. User login (sukses - memasukkan password dan user)
2. User diminta 2FA (jika mengaktifkan fitur)
3. RBA dikirimkan melalui email karena terdeteksi berada di lokasi baru
4. Konfirmasi
5. User sukses login di perangkat baru

Kalau lokasi atau IP mencurigakan, sebelum akan login, dengan posisi insert username, google akan memberlakukan captcha terlebih dahulu, seperti memasukan karakter huruf. Bahkan sampai berkali-kali harus authenticating 2fa hanya untuk read email.
legendary
Activity: 2324
Merit: 1604
hmph..
Risk-Based Authentication (RBA)


Image source: https://riskbasedauthentication.org/

Anda mungkin sudah mengerti tentang 2FA dan OTP, di sini saya akan menambahkan salah satu sistem security alternatif yang sebenarnya sudah sangat sering kita gunakan, namun mungkin kita berpikir bahwa kita sedang menggunakan 2FA, namun sebenarnya itu bukanlah 2FA melainkan Risk-Based Authentication (RBA)

Cara kerja RBA

Singkatnya, RBA ini akan mendeteksi setiap aktivitas login yang kita lakukan, dalam hal ini, RBA akan mendeteksi aktivitas tersebut dalam bentuk risk scoring (low, medium high), jika dijabarkan akan sebagai berikut:

LOW: akses akun dari device yang sama, lokasi yang sama, IP yang sama, maka login akan diizinkan
MEDIUM: akses akun dari device berbeda, IP berbeda, Lokasi berbeda maka RBA akan meminta informasi tambahan untuk mengkonfirmasi untuk melakukan akses (contoh: konfirmasi email)
HIGH: akses akan langsung ditolak

Komparasi Otentikasi

2FA : User akan diminta untuk memasukkan kode ketika sukses memasukkan username/email dan password (seperti pada email, google otentikator, sms)

RBA-DEVICE: User akan diminta untuk memasukkan kode otentikasi ulang ketika ia masuk pada perangkat baru atau perangkat yang tidak pernah menyimpan cookie bahwa user pernah login. Hampir sama dengan 2FA hanya saja akan diminta jika pengguna belum pernah masuk pada device tertentu. Jika Anda menggunakan 2FA maka prosesnya akan seperti ini:
1. User login (sukses - memasukkan password dan user)
2. User diminta 2FA (jika mengaktifkan fitur)
3. RBA dikirimkan melalui email jika terdeteksi berada di perangkat baru
4. Konfirmasi
5. User sukses login di perangkat baru

Jika sudah pernah login pada device baru sebelumnya, maka proses nomor 3 akan dilewati.

RBA-LOCATION: User akan diminta untuk memasukkan kode verifikasi jika ia terdeteksi melakukan login di lokasi yang berbeda. Sama dengan 2FA, hanya saja RBA akan dikirimkan ketika Anda login di lokasi berbeda
1. User login (sukses - memasukkan password dan user)
2. User diminta 2FA (jika mengaktifkan fitur)
3. RBA dikirimkan melalui email karena terdeteksi berada di lokasi baru
4. Konfirmasi
5. User sukses login di perangkat baru

Jika sudah pernah login pada lokasi yang sama sebelumnya, maka proses nomor 3 akan dilewati.

EBOOK:
1. More Than Just Good Passwords? A Study on Usability and Security Perceptions of Risk-based Authentication
Author:
* Stephan Wiefling, H-BRS University of Applied SciencesRuhr University Bochum
* Markus Dürmuth, Ruhr University BochumBochum, Germany
* Luigi Lo Iacono, H-BRS University of Applied SciencesSankt Augustin, Germany


2. Is This Really You? An Empirical Study onRisk-Based Authentication Applied in the Wild
Author:
* Stephan Wiefling
* Luigi Lo Iacono
* Markus D ̈urmuth
legendary
Activity: 2170
Merit: 1789
Sepertinya sebagian topik udah pernah dibuat ya (yang asimetris dkk itu). Sepertinya ini topik bakal luas cakupannya, menurut ane bisa direferensikan topik" tentang kriptografi dkk yang udah ada gan, dan bisa diarahkan ke sini aja kalau ada yang mau bahas kriptografi dst. Biar ga perlu banyak topik dan nasibnya jadi kayak thread" 2FA yang bertebaran.
legendary
Activity: 2324
Merit: 1604
hmph..

DISCLAIMER
Sebelumnya, saya disini bukanlah ahli di bidang kriptologi, tujuan utama saya membuat thread yang sebenarnya bukan dibidang saya adalah untuk berbagi apa yang saya baca dan sepertinya layak untuk dibahas lebih jauh di sini. Jadi, apabila ada rekan-rekan yang memang menguasai kriptologi atau lebih paham, tentu saya akan sangat senang apabila thread ini menjadi diskusi yang lebih baik dan memberi wawasan lebih untuk saya pribadi dan member-member yang tertarik pada ilmu ini. Tentunya saya disini tidak membuat konten 100% atau lebih ke arah mengumpulkan beberapa sumber referensi pada satu tempat dalam bentuk rangkuman EBOOK. Tujuan saya adalah bagi teman-teman yang ingin mendapatkan penjelasan yang lebih lengkap, bisa langsung merujuk ke referensi-referensi yang saya cantumkan. Setiap konten yang saya ambil juga sudah saya tambahkan pada tanda referensi, karena saya sangat awam dan hanya mengerti sebagian kecil dari bagian-bagian ini, seklai lagi, monggo yang mau menambahkan dan mengoreksi.


DEFINISI KRIPTOLOGI, KRIPTOGRAFI & CRYPTANALYSIS

Kriptologi (Cryptology) adalah ilmu/studi ilmiah tentang Krtiptografi (Cryptography) dan Kriptanalasis (Cryptanalysis)[1]
Kriptografi (Cryptography) adalah ilmu dan seni untuk menjaga pesan yang dikirimkan tetap aman[2]
Kriptanalisis (Cryptanalysis) adalah Kriptanalisis adalah studi tentang metode untuk mendapatkan makna informasi yang dienkripsi, tanpa akses ke informasi rahasia yang biasanya diperlukan untuk melakukannya[3]

Pada teknik kriptografi, untuk menjaga kerahasian sebuah pesan/data, kriptografi mentrasfer data tersebut dari data yang sifatnya jelas atau data yang mudah dibaca oleh manusia (plaintext) dan diubah dalam bentuk data berupa sandi (chipertext) yang tidak dapat dikenali. Perubahan dari plaintext menjadi ciphertext inilah yang kemudian dikenal dengan proses enkipsi (encryption). Sedangkan untuk mengubah dari ciphertext menjadi plaintext kembali, disebut dengan dekripsi (decryption). Algoritma dari enkripsi maupun dekripsi yang digunakan adalah Cipher dan Key.

Infografis cara kerja kriptografi secara sederhana


digambar ulang oleh ulum

Cipher merupakan sebuah fungsi matematika yang diterapkan untuk mengenkripsi dan mendeskripsi.
Kunci (Key) adalah sederetan bit yang dibutuhkan untuk mengenkripsi dan mendeskripsi data sebuah data.


TEKNIK -TEKNIK KRIPTOGRAFI[3]
Berikut adalah beberapa teknik yang digunakan dalam kriptografi:
Substitution Cipher: Unit plaintext diganti dengan ciphertext (Caesar cipher dan One-time pad)
Transposition Cipher: Transposition cipher adalah teknik enkripsi pesan dengan mengubah urutan huruf-huruf yang ada di dalam plaintext menjadi ciphertext dengan metode tertentu agar isi dari pesan tersebut tidak dimengerti kecuali oleh orang-orang yang dikehendaki.
Polyalphabetic Substitution Cipher: cipher substitusi yang menggunakan beberapa huruf substitusi (cipher Vigenère dan Enigma Machine)
Permutation Cipher:: metode enkripsi tempat posisi yang dari unit plaintext yang digeser sesuai dengan sistem reguler, sehingga teks sandi merupakan permutasi dari plaintext (permutasi adalah teknik memindahkan maupun merotasikan karakter dengan aturan tertentu)


Referensi gambar: [4]


KRIPTOGRAFI UNTUK KEBUTUHAN TRANSAKSI[1]
1. Menjaga kerahasiaan data dengan enkripsi
2. Keutuhan data
3. Jaminan terhadap identitas dan otentikasi pihak yang bertransaksi dengan password maupun sertifikasi digital. Dalam memenuhi keabsahan dari data untuk transaksi dapat dilakukan dengan penggunaan digital signature.
4. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan
memanfaatkan tanda tangan digital dan sertifikat digital.

Kriptosistem (Cryptographic system/cryptosystem) adalah fasilitas yang digunakan untuk mengkonversi plaintext ke ciphertext maupun dari cipertext ke plaintext.

[1]Karakteristik cryptosytem:
1. Keamanan sistem terletak pada tingkat kerahasiaan kunci (key) dan bukan pada kerahasiaan algoritma yang
digunakan.
2. Cryptosystem yang baik umumnya adalah yang memiliki ruang kunci (keyspace) yang besar.
3. Cryptosystem yang baik adalah yang dapat menghasilkan ciphertext yang terlihat acak dalam seluruh tes statistik yang dilakukan.
4. Cryptosystem yang baik adalah yang mampu menahan semua serangan yang telah dikenal sebelumnya

ALGORITMA
Berdasarkan key yang dipakai, algoritma kriptografi dapat dibedakan menjadi 2 golongan, yang diantaranya:
1. Algoritma Simetris
[4]Algoritma kriptografi simetris sendiri dibagi kembali menjadi 2 kategori yaitu algoritma aliran (Stream Ciphers) dan algoritma blok (Block Ciphers)
Secara singkat, langkah–langkah untuk mengenkripsi sebuah pesan dari cipher stream dilakukan dengan cara-cara sebagai berikut:
a. Menerjemahkan suatu huruf menjadi angka,
b. Kunci diperoleh dengan k1= cipher key sedangkan key yang lain diambil dari angka pesan dengan ketentuan ki = pi – 1,
c. Menggunakan transformasi cipi + ki ( mod 26 ), (lebih detail bisa ke referensi)
d. Formasi angka diubah kembali menjadi huruf.
2. Algoritma Asimetris
[2]Algoritma kriptografi asimetris adalah algoritma yang menggunakan key yang berbeda dalam proses enkripsi maupun dekripsinya. Algoritma ini disebut juga dengan algoritma public key (public key algorithm) karena kunci yang diberikan adalah untuk enkripsi yang dibuat untuk umum (public key) atau key yang diperbolehkan untuk diketahui oleh setiap orang, tapi kunci untuk melakukan dekripsi pesan hanya boleh diketahui oleh orang yang berwenang yang mengetahui data yang telah disandikan atau dalam istilah lain sebagai private key. Contoh yang dapat Anda kenali dalam penerapan kunci asimetris adalah RSA, PGP dan ECC.

[1]JENIS/METODE PENYERANGAN
Serangan untuk membongkar private key ini dilakukan oleh cryptanalyst. Bisa dikatakan apa yang dilakukan oleh hacker untuk meretas sebuah sandi juga merupakan contoh dari aktivitas cryptanalyst. Hanya saja, tidak semua cryptanalyst ini melakukan tindakan kejahatan, Anda tentu paham dengan hal ini. Di sini, saya akan menambahkan beberapa informasi bagaimana cara untuk melakukan serangan pada protokol kriptografi
Ciphertext-only attack. Dalam model serangan yang satu ini, seorang cryptanalyst telah memiliki ciphertext dari sejumlah pesan yang telah dienkripsi menggunakan algoritma yang sama.
Known-plaintext attack. Dalam tipe serangan ini, cryptanalyst mampu memiliki akses dan tidak hanya ke ciphertext sejumlah pesan, akan tetapi ia juga telah berhasil mendapatkan plaintext pesan-pesan tersebut.
Chosen-plaintext attack: Serangan ini merupakan serangan yang dilakukan oleh cryptanalyst yang pada kasusnya tidak hanya sudah memiliki akses pada ciphertext dan plaintext, tetapi ia juga dapat memilih plaintext yang dienkripsi sesuai dengan keinginannya.
Adaptive-chosen-plaintext attack: Tipe serangan ini merupakan suatu kasus serangan yang lebih khusus dari tipe serangan chosen-plaintext attack. Disini, Cryptanalyst tidak hanya dapat memilih plaintext yang dienkripsi, namun juga mampu memodifikasi pilihan berdasarkan hasil enkripsi sebelumnya. Dalam kasus chosen-plaintext attack, dijelaskan bahwa cryptanalyst kemungkinan hanya dapat memiliki plaintext dalam blok besar untuk dienkripsi; sedangkan dalam kasus adaptive-chosen-plaintext attack, cryptanalyst dapat memilih blok plaintext yang lebih kecil dan kemudian memilih yang blok lain berdasarkan hasil yang pertama. Dalam proses ini, cryptanalyst akan melakukan secara terus menerus hingga ia dapat memperoleh seluruh informasi yang utuh.
Chosen-ciphertext attack. Dengan menggunakan metode serangan ini, cryptanalyst dapat memilih ciphertext yang berbeda untuk didekripsi bahkan ia juga memiliki akses atas plaintext yang didekripsi.
Chosen-key attack. Cryptanalyst yang melakukan serangan dengan tipe ini adalah mereka yang memiliki pengetahuan tentang hubungan antar kunci-kunci yang berbeda.
Rubber-hose cryptanalysis. Metode serangan ini sama halnya seperti kasus perampokan yang dilakukan oleh perampok kepada korban, disini cryptanalyst melakukan ancaman, pememerasan atau bahkan memaksa seseorang hingga korban memberikan kuncinya.

Pada bagian ini, ada banyak sekali sub-teknik dari masing-masing, namun tidak saya sebutkan disini jika Anda ingin mengetahui detailnya, bisa langsung ke referensi.

Apa itu Password/Key Cracking?[3]
Dalam cryptanalysis dan keamanan komputer, password cracking adalah proses memulihkan kata sandi dari data yang telah disimpan atau dikirim oleh sistem komputer. Langkah umum yang digunakan adalah mencoba menebak kata sandi berulang kali (hacking). Usaha lainnya adalah dengan menggunakan layanan "lupa kata sandi" dan kemudian mengubahnya.

[6]MENGAPA KITA MEMBUTUHKAN ENKRIPSI
Mungkin bagi Anda yang masih penasaran (jika tidak, bisa melewatkan bagian ini), mengapa kita harus mempraktikkan enkripsi, saya akan mencantumkan beberapa alasan dari keputusan untuk enkripsi dan mengapa dibutuhkan.

1. Sebagai Autentikasi. Enkripsi public key membuktikan bahwa pengguna memiliki private key yang artinya pengguna tersebut adalah pengguna yang sah untuk mengakses data.
2. Privasi. Enkripsi merupakan metode untuk memberikan jaminan bahwa tidak ada yang dapat membaca pesan atau mengakses data kecuali penerima atau pemilik data yang sah. Langkah-langkah ini dapat mencegah tindakan-tindakan yang tidak diharapkan seperti peretas, penyedia layanan internet, spammer, dan bahkan lembaga pemerintah mengakses dan membaca data pribadi. Meskipun enkripsi sebagai jaminan privasi, bukan berarti Anda 100% aman, tergantung bagaimana algoritma yang digunakan dalam teknologi kriptografi yang diadopsi.
3. Bentuk kepatuhan terhadap peraturan pemerintah. Banyak industri dan departemen di pemerintahan yang memberlakukan aturan yang mewajibkan organisasi yang bekerja atau menyimpan informasi pribadi pengguna untuk menjaga agar data melalui metode enkripsi. Inilah yang kemudian dilakukan oleh penyedia layanan untuk melakukan enkripsi data.
4. Keamanan. Enkripsi membantu melindungi informasi ketika terjadi pelanggaran data, baik data dalam keadaan diam atau dalam proses transfer data.

Referensi Ebook dan Artikel:
[1] http://agungsr.staff.gunadarma.ac.id/Downloads/files/65818/SKK+-+Pert5.+Kriptografi.pdf
[2] https://dspace.uii.ac.id/bitstream/handle/123456789/3816/05.2%20bab%202.pdf?sequence=6&isAllowed=y
[3] https://www.simplilearn.com/cryptography-a-detailed-insight-rar217-article
[4] http://staff.uny.ac.id/sites/default/files/Presentation%20group%208_number%20theory.pdf
[5] https://media.neliti.com/media/publications/244656-pengamanan-data-informasi-menggunakan-kr-cf4f10ea.pdf
[6] https://www.simplilearn.com/data-encryption-methods-article?source=frs_left_nav_clicked

Jump to: