SlideShare a Scribd company logo

PKI-Sertifikat

Download as PPT, PDF
Universitas Bina Darma Palembang
Universitas Bina Darma Palembang

Public Key Infrastructure (PKI) memungkinkan otentikasi digital dan enkripsi dengan menggunakan sertifikat digital yang dikeluarkan oleh otoritas sertifikasi (CA). PKI terdiri atas pengguna, sertifikat digital, CA, dan direktori yang menyimpan sertifikat digital dan daftar pencabutan sertifikat (CRL). PKI mendefinisikan standar untuk komponen-komponennya dan memungkinkan hierarki CA.

Engineering
1 of 43
Rinaldi M/IF5054 Kriptografi 1 Public Key Infrastructure (PKI) Bahan Kuliah IF5054 Kriptografi
Rinaldi M/IF5054 Kriptografi2 Sertifikat Digital Kunci publik tidak mempunyai suatu kode identifikasi kepemilikan. Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk (impersonation attack ). Contoh: client perlu mengotentikasi server (via tanda- tangan digital dan menggunakan kunci publik server) Kasus menarik: peniruan website BCA.
Rinaldi M/IF5054 Kriptografi3
Rinaldi M/IF5054 Kriptografi4 Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital. Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA). Analog dengan sertifikat rumah/tanah (dikeluarkan oleh Pemkot/Pemda) CA biasanya adalah institusi keuangan (seperti bank) atau institusi yang terpercaya. Contoh CA terkenal: Verisign (www.verisign.com)
Rinaldi M/IF5054 Kriptografi5
Rinaldi M/IF5054 Kriptografi6
Rinaldi M/IF5054 Kriptografi7 Sertifikat digital adalah dokumen digital yang berisi informasi sebagai berikut: - nama subjek (perusahaan/individu yang disertifikasi) - kunci publik si subjek - waktu kadaluarsa sertifikat (expired time) - informasi relevan lain seperti nomor seri sertifikat, dll
Rinaldi M/IF5054 Kriptografi8 CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA) Kemudian, CA menandatangani nilai hash tersebut dengan menggunakan kunci privat CA. Contoh: Bob meminta sertifikat digital kepada CA untuk kunci publik: 198336A8B03030CF83737E3837837FC387092827FFA15C76B01 CA memmbuat sertifikat digital untuk Bob lalu menandatanganinya dengan kunci prvat CA.
Rinaldi M/IF5054 Kriptografi9 I hereby certifiy that the public key 198336A8B03030CF83737E3837837FC387092827FFA15C76B01 belongs to Bob Anderson 12345 University Avenue Barkeley, CA94702 E-mail: bob@barkeley.com Expiration Date: 13-Jul-2018 Tanda tangan digital: Nilai hash (SHA) dari sertifikat digital yang dienkripsi dengan menggunakan kunci privat CA Gambar 23.2 Contoh sebuah sertifikat digital
Rinaldi M/IF5054 Kriptografi10 Jadi, sertifikat digital mengikat kunci publik dengan identitas pemilik kunci publik. Sertifikat ini dapat dianggap sebagai ‘surat pengantar’ dari CA. Supaya sertifikat digital itu dapat diverifikasi (dicek kebenarannya), maka kunci publik CA harus diketahui secara luas.
Rinaldi M/IF5054 Kriptografi11 Seseorang yang memiliki kunci publik CA dapat memverifikasi tanda tangan di dalam sertifikat. Sertifikat digital tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories. Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat.
Rinaldi M/IF5054 Kriptografi12 X.509 Standard untuk sertifikat telah ditetapkan oleh ITU. Standard tersebut dinamakan X.509 dan digunakan secara luas di internet. Ada tiga versi standard X.509, yaitu V1, V2, dan V3.
Rinaldi M/IF5054 Kriptografi13 X.509 adalah cara mendeskripsikan sertifikat. Field-field utama di dalam sertifikat standard X.509 adalah sebagai berikut: Field Arti Version Versi X.509 Serial Number Nomor ini plus nama CA secara unik digunakan untuk mengidentifikasi sertifikat Signature Algorithm Algoritma yang digunakan untuk menandatangani sertifikat. Issuer Nama pemberian X.509 untuk CA Validity period Waktu awal dan akhir periode valid Subject name Entitas (individu atau organisasi) yang disertifikasi Public Key Kunci publik subjek dan ID dari algoritma yang menggunakannya. Issuer ID ID opsional yang secara unik mengidentifikasi certificate’s issuer. Subject ID ID opsional yang secara unik mengidentifikasi certificate’s subject Extensions Bayak ekstensi yang telah didefinisikan. Signature Tanda-tangan sertifikat (ditandatangani dengan kunci privat CA).
Rinaldi M/IF5054 Kriptografi14 Sertifikat Digital X.509 versi 3 (*) Versi Nomor Seri Sertifikat Signature Algorithm Identifier (untuk signature dari CA) Nama X.500 dari CA Perioda validitas (mulai dan berakhirnya) Nama X.500 dari Subjek Sertifikat Informasi Kunci Publik milik Subjek Agoritma yang digunakan Isi Kunci Publik Identifier Unik dari Penerbit (optional) Identifier Unik dari Subjek (optional) Extensions (optional) Digital Signature yang dibuat CA Digital Signature dibuat dengan menggunakan kunci privat CA *) Sumber: http://budi.paume.itb.ac.id
Rinaldi M/IF5054 Kriptografi15 Contoh sertifikat digital: *) Sumber: http://budi.paume.itb.ac.id
Rinaldi M/IF5054 Kriptografi16
Rinaldi M/IF5054 Kriptografi17*) Sumber: http://budi.paume.itb.ac.id
Rinaldi M/IF5054 Kriptografi18
Rinaldi M/IF5054 Kriptografi19 Adanya atribut waktu kadualarsa pada sertifikat digital dimaksudkan agar pengguna mengubah kunci publik (dan kunci privat pasangannya) secara periodik. Makin lama penggunaan kunci, makin besar peluang kunci diserang dan dikriptanalisis. Jika pasangan kunci tersebut diubah, maka sertifikat digital yang lama harus ditarik kembali (revoked). Pada sisi lain, jika kunci privat berhasil diketahui pihak lain sebelum waktu kadualarsanya, sertifikat digital harus dibatalkan dan ditarik kembali, dan pengguna harus mengganti pasangan kuncinya.  
Rinaldi M/IF5054 Kriptografi20 Bagaimana CA memberitahu ke publik bahwa sertifikat digital ditarik? Caranya: CA secara periodik mengeluarkan CRL (Certificate Revocation List) yang berisi nomor seri sertifikat digital yang ditarik. Sertifikat digital yang sudah kadaluarsa otomatis dianggap sudah tidak sah lagi dan ia juga dimasukkan ke dalam CRL. Dengan cara ini, maka CA tidak perlu memberitahu perubahan sertifikat digital kepada setiap orang.
Rinaldi M/IF5054 Kriptografi21
Rinaldi M/IF5054 Kriptografi22 Sayangnya, keberadaan CRL menyebabkan pengguna yang memakai sertifikat digital harus memiliki CRL untuk memvalidasi apakah sertifikat tersebut telah ditarik. Sebagai alternatif CRL adalah Online Certificate Status Protocol (OCSP), yang memvalidasi sertifikat secara real time.
Rinaldi M/IF5054 Kriptografi23 Sertifikat digital dapat digunakan untuk keamanan e- mail. Sebagai contoh, di dalam Microsoft Outlook, pilih: Tools  Options  Security
Rinaldi M/IF5054 Kriptografi24 Pada bagian bawah kotak dialog, anda akan melihat opsi untuk memperoleh digital ID. Dengan memilih opsi tersebut, anda akan dibawa ke situs web Microsoft dengan link ke beberapa CA. Sekali anda mempunyai sertifikat digital, anda dapat menandatangani e-mail secara digital
Rinaldi M/IF5054 Kriptografi25 Public Key Infrastructure (PKI) Jika hanya ada satu CA untuk melayani sertifikat digital dari seluruh dunia  overload Solusi yang mungkin: - mempunyai banyak CA - semua CA dijalankan oleh organisasi yang sama - Setiap CA bekerja dengan menggunakan kunci privat yang sama untuk menandatangani sertifikat. Solusi di atas rentan jika kunci privat dicuri, maka seluruh sertifikat tidak berlaku lagi. CA mana yang mempunyai otoritas dan diterima di seluruh dunia?
Rinaldi M/IF5054 Kriptografi26 Solusi yang digunakan saat ini: menggunakan PKI (Public Key Infrastructure). PKI terdiri atas komponen-komponen: - pengguna (pemohon sertifikat dan pemakai sertifikat) - sertifikat digital - CA - Direktori (menyimpan sertifikat digital dan CRL) PKI menyediakan cara penstrukturan komponen-komponen di atas dan mendefinisikan standard bermacam-macam dokumen dan protokol.
Rinaldi M/IF5054 Kriptografi27 • Bentuk PKI yang sederhana adalah hirarkhi CA dalam struktur pohon pada Gambar 23.4. R o o t R A - 1 R A - 2 C A - 2 C A - 3C A - 1 C A - 4 C A - 5 Gambar 23.4 Hirarkhi CA di dalam PKI
Rinaldi M/IF5054 Kriptografi28 Aras ke-nol adalah root. Root merupakan root certificate authority, yang mana adalah Internet Policy Registration Authority (IPRA). Root mensertifikasi CA aras satu dengan menggunakan privat root yang disebut root key. CA aras satu disebut RA (Regional Authorities), yang bertindak sebagai policy creation authority, yaitu oganisasi yang membuat kebijakan untuk memperoleh sertifikat digital. Sebuah RA mungkin mencakup beberapa area geografis, seperti negara bagian, negara, atau benua.
Rinaldi M/IF5054 Kriptografi29 RA menandatangai sertifikat digital untuk CA di bawahnya dengan menggunakan kunci privat RA. CA menandatangani sertifikat digital untuk individu atau organisasi dengan mengguankan kunci privat CA. CA bertanggung jawab untuk otentikasi sertifikat digital, sehingga CA harus memeriksa informasi secara hati-hati sebelum mengeluarkan sertifikat digital. Gambar 23.5 memperlihatkan rantai sertifikat di dalam PKI.
Rinaldi M/IF5054 Kriptografi30 R o o t R A - 1 R A - 2 C A - 2 C A - 3C A - 1 C A - 4 C A - 5 . . . . . .. . . . . . . . .. . . R A - 2 d is e t u ju i. K u n c i p u b lik n y a a d a la h 4 7 3 8 3 E 4 5 9 . .. T a n d a - t a n g a n r o o t . . . .. . . . . . . . .. . . . . C A - 5 d is e t u ju i. K u n c i p u b lik n y a a d a la h 6 5 B 3 4 D 1 3 5 . . . T a n d a - t a n g a n R A - 2 B o b K u n c i p u b l ik in i: 6 5 B 3 4 D 1 3 5 . .. a d a la h m il ik B o b E x p ir e D a t e : . .. . . . .. . . . . . . . .. . . . . T a n d a - t a n g a n C A - 5 Gambar 23.5 Contoh rantai sertifikat digital
Rinaldi M/IF5054 Kriptografi31 Verifikasi sertifikat digital dilakukan dari daun menuju akar (root). Rantai sertifikat yang menuju ke root disebut chain of trust atau certification path.
Rinaldi M/IF5054 Kriptografi32 Untuk melihat CA dan sertifikat digitalnya yang yang telah dipasang di dalam Internet Explorer (IE), pilih:   Tools  Internet Options  Contents
Rinaldi M/IF5054 Kriptografi33 Kemudian, klik tab:  Certificates  Trusted Root Certification Authorities
Rinaldi M/IF5054 Kriptografi34 Trusted Root CA adalah root di dalam PKI dan memiliki cabang berupa Intermediate CA. Bila terdapat server di internet yang diberi sertifikat oleh perusahaan yang tidak tercantum di dalam daftar CA di atas, maka IE akan memperingatkan bahwa IE tidak mengenal CA tersebut. Jika pengguna mempercayai server tersebut, maka CA tersebut akan ditambahkan ke dalam IE.
Rinaldi M/IF5054 Kriptografi35
Rinaldi M/IF5054 Kriptografi36
Rinaldi M/IF5054 Kriptografi37 Wireless PKI Wireless PKI (WPKI) adalah protokol keamanan yang dispesifikasikan untuk transmisi nirkabel (wireless). Seperti PKI, WPKI mengotentikasi pengguna dengan sertifikat digital dan mengenkripsi pesan dengan kriptografi kunci-publik. CA WPKI melibatkan Certicom (www.certicom.com) dan RSA (www.rsasecurity.com).
Rinaldi M/IF5054 Kriptografi38 Microsof Authenticode Banyak perusahaan piranti lunak (software companies) yang menawarkan produknya secara on-line, sedemikian sehingga pembeli dapat men-download piranti lunak langsung ke komputernya
Rinaldi M/IF5054 Kriptografi39 Beberapa pertanyaan yang sering muncul jika kita men-download piranti lunak dari internet: - 1. Bagaimana kita tahu bahwa program yang kita beli dari internet adalah aman dan tidak mengalamai perubahan (misalnya berubah karena gangguan virus)? - 2. Bagaimana kita yakin bahwa kita tidak men- download virus komputer? - 3. Bagaimana kita mempercayai situs web yang menjual program (software publisher) tersebut?
Rinaldi M/IF5054 Kriptografi40 Teknologi keamanan digunakan untuk menjamin bahwa piranti lunak yang di- download dapat dipercaya dan tidak mengalami perubahan. Microsoft Auhenticode, dikombinasikan dengan sertifikat digital VeriSign (atau digital ID), mengotentikasi penerbit piranti lunak (software publisher) dan mendeteksi apakah piranti lunak mengalami perubahan. Auhenticode adalah fitur sekuriti yang dibangun di dalam Internet Explorer
Rinaldi M/IF5054 Kriptografi41 Untuk menggunakan Microsoft Auhenticode, setiap penerbit harus mempunyai sertifikat digital yang dirancang untuk tujuan penerbitan piranti lunak. Sertifikat semacam itu dapat diperoleh dari CA seperti VeriSign. Untuk memperoleh sertifikat, penerbit piranti lunak harus menyediakan kunci publik dan informasi identifikasi lainnya dan menandatangai perjanjian bahwa ia tidak mendistribusikan virus.
Rinaldi M/IF5054 Kriptografi42 Microsoft Auhenticode menggunakan teknologi tanda-tangan digital untuk menandatangani piranti lunak. Piranti lunak yang ditandatangani dan sertifikat digital penerbit memberikan bukti bahwa piranti lunak tersebut aman dan tidak mengalami perubahan
Rinaldi M/IF5054 Kriptografi43 Bila pembeli mencoba men-downoad file, kotak dialog yang muncul di layar menampilkan sertifikat digital dan nama CA-nya. Link ke penerbit piranti lunak dan link ke CA juga disediakan sehingga pembeli dapat mempelajari lebih jauh mengenai penerbit dan CA sebelum ia menyetujui untuk men-download piranti lunak. Jika Microsoft Auhenticode menyatakan bahwa piranti lunak tersebut membahayakan, maka transaksi dihentikan

Recommended

CyberOps Associate Modul 21 Cryptography
CyberOps Associate Modul 21 CryptographyCyberOps Associate Modul 21 Cryptography
CyberOps Associate Modul 21 CryptographyPanji Ramadhan Hadjarati
 
Message AUthentication Code
Message AUthentication CodeMessage AUthentication Code
Message AUthentication CodeKeval Bhogayata
 
Digital Signatures
Digital SignaturesDigital Signatures
Digital SignaturesEhtisham Ali
 
Kerberos
KerberosKerberos
KerberosRafatSamreen
 
Authentication Application in Network Security NS4
Authentication Application in Network Security NS4Authentication Application in Network Security NS4
Authentication Application in Network Security NS4koolkampus
 
Wi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and PrivacyWi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and PrivacyKarri Huhtanen
 
Security attacks
Security attacksSecurity attacks
Security attacksTejaswi Potluri
 
4. The Advanced Encryption Standard (AES)
4. The Advanced Encryption Standard (AES)4. The Advanced Encryption Standard (AES)
4. The Advanced Encryption Standard (AES)Sam Bowne
 

Recommended

CyberOps Associate Modul 21 Cryptography
CyberOps Associate Modul 21 CryptographyCyberOps Associate Modul 21 Cryptography
CyberOps Associate Modul 21 CryptographyPanji Ramadhan Hadjarati
 
Message AUthentication Code
Message AUthentication CodeMessage AUthentication Code
Message AUthentication CodeKeval Bhogayata
 
Digital Signatures
Digital SignaturesDigital Signatures
Digital SignaturesEhtisham Ali
 
Kerberos
KerberosKerberos
KerberosRafatSamreen
 
Authentication Application in Network Security NS4
Authentication Application in Network Security NS4Authentication Application in Network Security NS4
Authentication Application in Network Security NS4koolkampus
 
Wi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and PrivacyWi-Fi Roaming Security and Privacy
Wi-Fi Roaming Security and PrivacyKarri Huhtanen
 
Security attacks
Security attacksSecurity attacks
Security attacksTejaswi Potluri
 
4. The Advanced Encryption Standard (AES)
4. The Advanced Encryption Standard (AES)4. The Advanced Encryption Standard (AES)
4. The Advanced Encryption Standard (AES)Sam Bowne
 
SISTEM OPERASI security system
SISTEM OPERASI security systemSISTEM OPERASI security system
SISTEM OPERASI security systemAnin Rodahad
 
encryption and decryption
encryption and decryptionencryption and decryption
encryption and decryptionSri Manakula Vinayagar Engineering College
 
Teknologi Interkoneksi Wireless (Nirkabel)
Teknologi Interkoneksi Wireless (Nirkabel)Teknologi Interkoneksi Wireless (Nirkabel)
Teknologi Interkoneksi Wireless (Nirkabel)Materi Kuliah Online
 
Fungsi Hash & Algoritma SHA-256 - Presentation
Fungsi Hash & Algoritma SHA-256 - PresentationFungsi Hash & Algoritma SHA-256 - Presentation
Fungsi Hash & Algoritma SHA-256 - PresentationAditya Gusti Tammam
 
Algoritma kriptografi modern
Algoritma kriptografi modernAlgoritma kriptografi modern
Algoritma kriptografi modernnuk Idianuj
 
Symmetric encryption and message confidentiality
Symmetric encryption and message confidentialitySymmetric encryption and message confidentiality
Symmetric encryption and message confidentialityCAS
 
SSL TLS Protocol
SSL TLS ProtocolSSL TLS Protocol
SSL TLS ProtocolDevang Badrakiya
 
Principles of public key cryptography and its Uses
Principles of public key cryptography and its UsesPrinciples of public key cryptography and its Uses
Principles of public key cryptography and its UsesMohsin Ali
 
Symbian OS Architecture
Symbian OS ArchitectureSymbian OS Architecture
Symbian OS ArchitecturePriya Pandharbale
 
Email security
Email securityEmail security
Email securityBaliram Yadav
 
MD-5 : Algorithm
MD-5 : AlgorithmMD-5 : Algorithm
MD-5 : AlgorithmSahil Kureel
 
Ipsec
IpsecIpsec
IpsecBaidyanath Dutta
 
Network Security and Cryptography
Network Security and CryptographyNetwork Security and Cryptography
Network Security and CryptographyAdam Reagan
 
IT6712 lab manual
IT6712 lab manualIT6712 lab manual
IT6712 lab manualMadhu Amarnath
 
Ip security
Ip security Ip security
Ip security Naveen Dubey
 
Digital signature
Digital signatureDigital signature
Digital signatureHossain Md Shakhawat
 
Kerberos Authentication Protocol
Kerberos Authentication ProtocolKerberos Authentication Protocol
Kerberos Authentication ProtocolBibek Subedi
 
Message Authentication Requirement-MAC
Message Authentication Requirement-MACMessage Authentication Requirement-MAC
Message Authentication Requirement-MACSou Jana
 
Kerberos
KerberosKerberos
KerberosSparkbit
 
cryptography and network security chap 3
cryptography and network security chap 3cryptography and network security chap 3
cryptography and network security chap 3Debanjan Bhattacharya
 
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...idsecconf
 
Sertifikat Digital
Sertifikat DigitalSertifikat Digital
Sertifikat Digitalpingkan lumongdong
 

More Related Content

What's hot

SISTEM OPERASI security system
SISTEM OPERASI security systemSISTEM OPERASI security system
SISTEM OPERASI security systemAnin Rodahad
 
Teknologi Interkoneksi Wireless (Nirkabel)
Teknologi Interkoneksi Wireless (Nirkabel)Teknologi Interkoneksi Wireless (Nirkabel)
Teknologi Interkoneksi Wireless (Nirkabel)Materi Kuliah Online
 
Fungsi Hash & Algoritma SHA-256 - Presentation
Fungsi Hash & Algoritma SHA-256 - PresentationFungsi Hash & Algoritma SHA-256 - Presentation
Fungsi Hash & Algoritma SHA-256 - PresentationAditya Gusti Tammam
 
Algoritma kriptografi modern
Algoritma kriptografi modernAlgoritma kriptografi modern
Algoritma kriptografi modernnuk Idianuj
 
Symmetric encryption and message confidentiality
Symmetric encryption and message confidentialitySymmetric encryption and message confidentiality
Symmetric encryption and message confidentialityCAS
 
Principles of public key cryptography and its Uses
Principles of public key cryptography and its UsesPrinciples of public key cryptography and its Uses
Principles of public key cryptography and its UsesMohsin Ali
 
Network Security and Cryptography
Network Security and CryptographyNetwork Security and Cryptography
Network Security and CryptographyAdam Reagan
 
Kerberos Authentication Protocol
Kerberos Authentication ProtocolKerberos Authentication Protocol
Kerberos Authentication ProtocolBibek Subedi
 
Message Authentication Requirement-MAC
Message Authentication Requirement-MACMessage Authentication Requirement-MAC
Message Authentication Requirement-MACSou Jana
 
cryptography and network security chap 3
cryptography and network security chap 3cryptography and network security chap 3
cryptography and network security chap 3Debanjan Bhattacharya
 

What's hot (20)

SISTEM OPERASI security system
SISTEM OPERASI security systemSISTEM OPERASI security system
SISTEM OPERASI security system
 
encryption and decryption
encryption and decryptionencryption and decryption
encryption and decryption
 
Teknologi Interkoneksi Wireless (Nirkabel)
Teknologi Interkoneksi Wireless (Nirkabel)Teknologi Interkoneksi Wireless (Nirkabel)
Teknologi Interkoneksi Wireless (Nirkabel)
 
Fungsi Hash & Algoritma SHA-256 - Presentation
Fungsi Hash & Algoritma SHA-256 - PresentationFungsi Hash & Algoritma SHA-256 - Presentation
Fungsi Hash & Algoritma SHA-256 - Presentation
 
Algoritma kriptografi modern
Algoritma kriptografi modernAlgoritma kriptografi modern
Algoritma kriptografi modern
 
Symmetric encryption and message confidentiality
Symmetric encryption and message confidentialitySymmetric encryption and message confidentiality
Symmetric encryption and message confidentiality
 
SSL TLS Protocol
SSL TLS ProtocolSSL TLS Protocol
SSL TLS Protocol
 
Principles of public key cryptography and its Uses
Principles of public key cryptography and its UsesPrinciples of public key cryptography and its Uses
Principles of public key cryptography and its Uses
 
Symbian OS Architecture
Symbian OS ArchitectureSymbian OS Architecture
Symbian OS Architecture
 
Email security
Email securityEmail security
Email security
 
MD-5 : Algorithm
MD-5 : AlgorithmMD-5 : Algorithm
MD-5 : Algorithm
 
Ipsec
IpsecIpsec
Ipsec
 
Network Security and Cryptography
Network Security and CryptographyNetwork Security and Cryptography
Network Security and Cryptography
 
IT6712 lab manual
IT6712 lab manualIT6712 lab manual
IT6712 lab manual
 
Ip security
Ip security Ip security
Ip security
 
Digital signature
Digital signatureDigital signature
Digital signature
 
Kerberos Authentication Protocol
Kerberos Authentication ProtocolKerberos Authentication Protocol
Kerberos Authentication Protocol
 
Message Authentication Requirement-MAC
Message Authentication Requirement-MACMessage Authentication Requirement-MAC
Message Authentication Requirement-MAC
 
Kerberos
KerberosKerberos
Kerberos
 
cryptography and network security chap 3
cryptography and network security chap 3cryptography and network security chap 3
cryptography and network security chap 3
 

Similar to PKI-Sertifikat

Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...idsecconf
 
Presentasi Seminar TTD Aplikasi Perkantoran
Presentasi Seminar TTD Aplikasi PerkantoranPresentasi Seminar TTD Aplikasi Perkantoran
Presentasi Seminar TTD Aplikasi PerkantoranThe World Bank
 
Riko Rahmada - Sertifikat dan Tanda Tangan Digital Indonesia
Riko Rahmada - Sertifikat dan Tanda Tangan Digital IndonesiaRiko Rahmada - Sertifikat dan Tanda Tangan Digital Indonesia
Riko Rahmada - Sertifikat dan Tanda Tangan Digital Indonesiaidsecconf
 
Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...
Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...
Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...idsecconf
 
(paper) Implementasi Digital Signature pada E-Government
(paper) Implementasi Digital Signature pada E-Government(paper) Implementasi Digital Signature pada E-Government
(paper) Implementasi Digital Signature pada E-Governmentidsecconf
 
Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...
Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...
Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...Saiful Hidayat
 

Similar to PKI-Sertifikat (10)

Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
Agung Nugraha - “Layanan Certification Authority (CA), Document Signing and V...
 
Sertifikat Digital
Sertifikat DigitalSertifikat Digital
Sertifikat Digital
 
Presentasi Seminar TTD Aplikasi Perkantoran
Presentasi Seminar TTD Aplikasi PerkantoranPresentasi Seminar TTD Aplikasi Perkantoran
Presentasi Seminar TTD Aplikasi Perkantoran
 
Riko Rahmada - Sertifikat dan Tanda Tangan Digital Indonesia
Riko Rahmada - Sertifikat dan Tanda Tangan Digital IndonesiaRiko Rahmada - Sertifikat dan Tanda Tangan Digital Indonesia
Riko Rahmada - Sertifikat dan Tanda Tangan Digital Indonesia
 
Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...
Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...
Ancaman Pemalsuan Sertifikat Digital Pada Implementasi Infrastruktur Kunci Pu...
 
Pengendalian sistem informasi berbasis komputer
Pengendalian sistem informasi berbasis komputerPengendalian sistem informasi berbasis komputer
Pengendalian sistem informasi berbasis komputer
 
(paper) Implementasi Digital Signature pada E-Government
(paper) Implementasi Digital Signature pada E-Government(paper) Implementasi Digital Signature pada E-Government
(paper) Implementasi Digital Signature pada E-Government
 
Radio Frequency Identification
Radio Frequency IdentificationRadio Frequency Identification
Radio Frequency Identification
 
Kriptografi dalam kehidupan sehari hari
Kriptografi dalam kehidupan sehari hariKriptografi dalam kehidupan sehari hari
Kriptografi dalam kehidupan sehari hari
 
Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...
Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...
Saiful Hidayat Pemanfaatan Certification authority (CA) Untuk Transaksi Elekt...
 

More from Universitas Bina Darma Palembang

More from Universitas Bina Darma Palembang (20)

30448 pertemuan1
30448 pertemuan130448 pertemuan1
30448 pertemuan1
 
29510 pertemuan18(form method-get-post-dan-session(1))
29510 pertemuan18(form method-get-post-dan-session(1))29510 pertemuan18(form method-get-post-dan-session(1))
29510 pertemuan18(form method-get-post-dan-session(1))
 
28501 pertemuan14(php)
28501 pertemuan14(php)28501 pertemuan14(php)
28501 pertemuan14(php)
 
28500 pertemuan22(header dokumen html dgn tag title)
28500 pertemuan22(header dokumen html dgn tag title)28500 pertemuan22(header dokumen html dgn tag title)
28500 pertemuan22(header dokumen html dgn tag title)
 
25437 pertemuan25(hitcounter)
25437 pertemuan25(hitcounter)25437 pertemuan25(hitcounter)
25437 pertemuan25(hitcounter)
 
23921 pertemuan 3
23921 pertemuan 323921 pertemuan 3
23921 pertemuan 3
 
19313 pertemuan6
19313 pertemuan619313 pertemuan6
19313 pertemuan6
 
18759 pertemuan20(web html editor)
18759 pertemuan20(web html editor)18759 pertemuan20(web html editor)
18759 pertemuan20(web html editor)
 
18040 pertemuan13(css)
18040 pertemuan13(css)18040 pertemuan13(css)
18040 pertemuan13(css)
 
17945 pertemuan5
17945 pertemuan517945 pertemuan5
17945 pertemuan5
 
16406 pertemuan17(konsep basis-data-di-web)
16406 pertemuan17(konsep basis-data-di-web)16406 pertemuan17(konsep basis-data-di-web)
16406 pertemuan17(konsep basis-data-di-web)
 
15294 pertemuan9(eksplorasi &defenisi masalah0
15294 pertemuan9(eksplorasi &defenisi masalah015294 pertemuan9(eksplorasi &defenisi masalah0
15294 pertemuan9(eksplorasi &defenisi masalah0
 
13926 pertemuan4
13926 pertemuan413926 pertemuan4
13926 pertemuan4
 
12738 pertemuan 15(php lanjutan)
12738 pertemuan 15(php lanjutan)12738 pertemuan 15(php lanjutan)
12738 pertemuan 15(php lanjutan)
 
6346 pertemuan21(web statis dengan struktur html)
6346 pertemuan21(web statis dengan struktur html)6346 pertemuan21(web statis dengan struktur html)
6346 pertemuan21(web statis dengan struktur html)
 
5623 pertemuan11(html1)
5623 pertemuan11(html1)5623 pertemuan11(html1)
5623 pertemuan11(html1)
 
4740 pertemuan8(komponen dalam web)
4740 pertemuan8(komponen dalam web)4740 pertemuan8(komponen dalam web)
4740 pertemuan8(komponen dalam web)
 
4075 pertemuan10 (analisa kebutuhan)
4075 pertemuan10 (analisa kebutuhan)4075 pertemuan10 (analisa kebutuhan)
4075 pertemuan10 (analisa kebutuhan)
 
2670 pertemuan12(html lanjut)
2670 pertemuan12(html lanjut)2670 pertemuan12(html lanjut)
2670 pertemuan12(html lanjut)
 
2190 pertemuan24(polling)
2190 pertemuan24(polling)2190 pertemuan24(polling)
2190 pertemuan24(polling)
 

PKI-Sertifikat

  • 1. Rinaldi M/IF5054 Kriptografi 1 Public Key Infrastructure (PKI) Bahan Kuliah IF5054 Kriptografi
  • 2. Rinaldi M/IF5054 Kriptografi2 Sertifikat Digital Kunci publik tidak mempunyai suatu kode identifikasi kepemilikan. Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk (impersonation attack ). Contoh: client perlu mengotentikasi server (via tanda- tangan digital dan menggunakan kunci publik server) Kasus menarik: peniruan website BCA.
  • 4. Rinaldi M/IF5054 Kriptografi4 Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital. Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA). Analog dengan sertifikat rumah/tanah (dikeluarkan oleh Pemkot/Pemda) CA biasanya adalah institusi keuangan (seperti bank) atau institusi yang terpercaya. Contoh CA terkenal: Verisign (www.verisign.com)
  • 7. Rinaldi M/IF5054 Kriptografi7 Sertifikat digital adalah dokumen digital yang berisi informasi sebagai berikut: - nama subjek (perusahaan/individu yang disertifikasi) - kunci publik si subjek - waktu kadaluarsa sertifikat (expired time) - informasi relevan lain seperti nomor seri sertifikat, dll
  • 8. Rinaldi M/IF5054 Kriptografi8 CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA) Kemudian, CA menandatangani nilai hash tersebut dengan menggunakan kunci privat CA. Contoh: Bob meminta sertifikat digital kepada CA untuk kunci publik: 198336A8B03030CF83737E3837837FC387092827FFA15C76B01 CA memmbuat sertifikat digital untuk Bob lalu menandatanganinya dengan kunci prvat CA.
  • 9. Rinaldi M/IF5054 Kriptografi9 I hereby certifiy that the public key 198336A8B03030CF83737E3837837FC387092827FFA15C76B01 belongs to Bob Anderson 12345 University Avenue Barkeley, CA94702 E-mail: bob@barkeley.com Expiration Date: 13-Jul-2018 Tanda tangan digital: Nilai hash (SHA) dari sertifikat digital yang dienkripsi dengan menggunakan kunci privat CA Gambar 23.2 Contoh sebuah sertifikat digital
  • 10. Rinaldi M/IF5054 Kriptografi10 Jadi, sertifikat digital mengikat kunci publik dengan identitas pemilik kunci publik. Sertifikat ini dapat dianggap sebagai ‘surat pengantar’ dari CA. Supaya sertifikat digital itu dapat diverifikasi (dicek kebenarannya), maka kunci publik CA harus diketahui secara luas.
  • 11. Rinaldi M/IF5054 Kriptografi11 Seseorang yang memiliki kunci publik CA dapat memverifikasi tanda tangan di dalam sertifikat. Sertifikat digital tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories. Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat.
  • 12. Rinaldi M/IF5054 Kriptografi12 X.509 Standard untuk sertifikat telah ditetapkan oleh ITU. Standard tersebut dinamakan X.509 dan digunakan secara luas di internet. Ada tiga versi standard X.509, yaitu V1, V2, dan V3.
  • 13. Rinaldi M/IF5054 Kriptografi13 X.509 adalah cara mendeskripsikan sertifikat. Field-field utama di dalam sertifikat standard X.509 adalah sebagai berikut: Field Arti Version Versi X.509 Serial Number Nomor ini plus nama CA secara unik digunakan untuk mengidentifikasi sertifikat Signature Algorithm Algoritma yang digunakan untuk menandatangani sertifikat. Issuer Nama pemberian X.509 untuk CA Validity period Waktu awal dan akhir periode valid Subject name Entitas (individu atau organisasi) yang disertifikasi Public Key Kunci publik subjek dan ID dari algoritma yang menggunakannya. Issuer ID ID opsional yang secara unik mengidentifikasi certificate’s issuer. Subject ID ID opsional yang secara unik mengidentifikasi certificate’s subject Extensions Bayak ekstensi yang telah didefinisikan. Signature Tanda-tangan sertifikat (ditandatangani dengan kunci privat CA).
  • 14. Rinaldi M/IF5054 Kriptografi14 Sertifikat Digital X.509 versi 3 (*) Versi Nomor Seri Sertifikat Signature Algorithm Identifier (untuk signature dari CA) Nama X.500 dari CA Perioda validitas (mulai dan berakhirnya) Nama X.500 dari Subjek Sertifikat Informasi Kunci Publik milik Subjek Agoritma yang digunakan Isi Kunci Publik Identifier Unik dari Penerbit (optional) Identifier Unik dari Subjek (optional) Extensions (optional) Digital Signature yang dibuat CA Digital Signature dibuat dengan menggunakan kunci privat CA *) Sumber: http://budi.paume.itb.ac.id
  • 15. Rinaldi M/IF5054 Kriptografi15 Contoh sertifikat digital: *) Sumber: http://budi.paume.itb.ac.id
  • 17. Rinaldi M/IF5054 Kriptografi17*) Sumber: http://budi.paume.itb.ac.id
  • 19. Rinaldi M/IF5054 Kriptografi19 Adanya atribut waktu kadualarsa pada sertifikat digital dimaksudkan agar pengguna mengubah kunci publik (dan kunci privat pasangannya) secara periodik. Makin lama penggunaan kunci, makin besar peluang kunci diserang dan dikriptanalisis. Jika pasangan kunci tersebut diubah, maka sertifikat digital yang lama harus ditarik kembali (revoked). Pada sisi lain, jika kunci privat berhasil diketahui pihak lain sebelum waktu kadualarsanya, sertifikat digital harus dibatalkan dan ditarik kembali, dan pengguna harus mengganti pasangan kuncinya.  
  • 20. Rinaldi M/IF5054 Kriptografi20 Bagaimana CA memberitahu ke publik bahwa sertifikat digital ditarik? Caranya: CA secara periodik mengeluarkan CRL (Certificate Revocation List) yang berisi nomor seri sertifikat digital yang ditarik. Sertifikat digital yang sudah kadaluarsa otomatis dianggap sudah tidak sah lagi dan ia juga dimasukkan ke dalam CRL. Dengan cara ini, maka CA tidak perlu memberitahu perubahan sertifikat digital kepada setiap orang.
  • 22. Rinaldi M/IF5054 Kriptografi22 Sayangnya, keberadaan CRL menyebabkan pengguna yang memakai sertifikat digital harus memiliki CRL untuk memvalidasi apakah sertifikat tersebut telah ditarik. Sebagai alternatif CRL adalah Online Certificate Status Protocol (OCSP), yang memvalidasi sertifikat secara real time.
  • 23. Rinaldi M/IF5054 Kriptografi23 Sertifikat digital dapat digunakan untuk keamanan e- mail. Sebagai contoh, di dalam Microsoft Outlook, pilih: Tools  Options  Security
  • 24. Rinaldi M/IF5054 Kriptografi24 Pada bagian bawah kotak dialog, anda akan melihat opsi untuk memperoleh digital ID. Dengan memilih opsi tersebut, anda akan dibawa ke situs web Microsoft dengan link ke beberapa CA. Sekali anda mempunyai sertifikat digital, anda dapat menandatangani e-mail secara digital
  • 25. Rinaldi M/IF5054 Kriptografi25 Public Key Infrastructure (PKI) Jika hanya ada satu CA untuk melayani sertifikat digital dari seluruh dunia  overload Solusi yang mungkin: - mempunyai banyak CA - semua CA dijalankan oleh organisasi yang sama - Setiap CA bekerja dengan menggunakan kunci privat yang sama untuk menandatangani sertifikat. Solusi di atas rentan jika kunci privat dicuri, maka seluruh sertifikat tidak berlaku lagi. CA mana yang mempunyai otoritas dan diterima di seluruh dunia?
  • 26. Rinaldi M/IF5054 Kriptografi26 Solusi yang digunakan saat ini: menggunakan PKI (Public Key Infrastructure). PKI terdiri atas komponen-komponen: - pengguna (pemohon sertifikat dan pemakai sertifikat) - sertifikat digital - CA - Direktori (menyimpan sertifikat digital dan CRL) PKI menyediakan cara penstrukturan komponen-komponen di atas dan mendefinisikan standard bermacam-macam dokumen dan protokol.
  • 27. Rinaldi M/IF5054 Kriptografi27 • Bentuk PKI yang sederhana adalah hirarkhi CA dalam struktur pohon pada Gambar 23.4. R o o t R A - 1 R A - 2 C A - 2 C A - 3C A - 1 C A - 4 C A - 5 Gambar 23.4 Hirarkhi CA di dalam PKI
  • 28. Rinaldi M/IF5054 Kriptografi28 Aras ke-nol adalah root. Root merupakan root certificate authority, yang mana adalah Internet Policy Registration Authority (IPRA). Root mensertifikasi CA aras satu dengan menggunakan privat root yang disebut root key. CA aras satu disebut RA (Regional Authorities), yang bertindak sebagai policy creation authority, yaitu oganisasi yang membuat kebijakan untuk memperoleh sertifikat digital. Sebuah RA mungkin mencakup beberapa area geografis, seperti negara bagian, negara, atau benua.
  • 29. Rinaldi M/IF5054 Kriptografi29 RA menandatangai sertifikat digital untuk CA di bawahnya dengan menggunakan kunci privat RA. CA menandatangani sertifikat digital untuk individu atau organisasi dengan mengguankan kunci privat CA. CA bertanggung jawab untuk otentikasi sertifikat digital, sehingga CA harus memeriksa informasi secara hati-hati sebelum mengeluarkan sertifikat digital. Gambar 23.5 memperlihatkan rantai sertifikat di dalam PKI.
  • 30. Rinaldi M/IF5054 Kriptografi30 R o o t R A - 1 R A - 2 C A - 2 C A - 3C A - 1 C A - 4 C A - 5 . . . . . .. . . . . . . . .. . . R A - 2 d is e t u ju i. K u n c i p u b lik n y a a d a la h 4 7 3 8 3 E 4 5 9 . .. T a n d a - t a n g a n r o o t . . . .. . . . . . . . .. . . . . C A - 5 d is e t u ju i. K u n c i p u b lik n y a a d a la h 6 5 B 3 4 D 1 3 5 . . . T a n d a - t a n g a n R A - 2 B o b K u n c i p u b l ik in i: 6 5 B 3 4 D 1 3 5 . .. a d a la h m il ik B o b E x p ir e D a t e : . .. . . . .. . . . . . . . .. . . . . T a n d a - t a n g a n C A - 5 Gambar 23.5 Contoh rantai sertifikat digital
  • 31. Rinaldi M/IF5054 Kriptografi31 Verifikasi sertifikat digital dilakukan dari daun menuju akar (root). Rantai sertifikat yang menuju ke root disebut chain of trust atau certification path.
  • 32. Rinaldi M/IF5054 Kriptografi32 Untuk melihat CA dan sertifikat digitalnya yang yang telah dipasang di dalam Internet Explorer (IE), pilih:   Tools  Internet Options  Contents
  • 33. Rinaldi M/IF5054 Kriptografi33 Kemudian, klik tab:  Certificates  Trusted Root Certification Authorities
  • 34. Rinaldi M/IF5054 Kriptografi34 Trusted Root CA adalah root di dalam PKI dan memiliki cabang berupa Intermediate CA. Bila terdapat server di internet yang diberi sertifikat oleh perusahaan yang tidak tercantum di dalam daftar CA di atas, maka IE akan memperingatkan bahwa IE tidak mengenal CA tersebut. Jika pengguna mempercayai server tersebut, maka CA tersebut akan ditambahkan ke dalam IE.
  • 37. Rinaldi M/IF5054 Kriptografi37 Wireless PKI Wireless PKI (WPKI) adalah protokol keamanan yang dispesifikasikan untuk transmisi nirkabel (wireless). Seperti PKI, WPKI mengotentikasi pengguna dengan sertifikat digital dan mengenkripsi pesan dengan kriptografi kunci-publik. CA WPKI melibatkan Certicom (www.certicom.com) dan RSA (www.rsasecurity.com).
  • 38. Rinaldi M/IF5054 Kriptografi38 Microsof Authenticode Banyak perusahaan piranti lunak (software companies) yang menawarkan produknya secara on-line, sedemikian sehingga pembeli dapat men-download piranti lunak langsung ke komputernya
  • 39. Rinaldi M/IF5054 Kriptografi39 Beberapa pertanyaan yang sering muncul jika kita men-download piranti lunak dari internet: - 1. Bagaimana kita tahu bahwa program yang kita beli dari internet adalah aman dan tidak mengalamai perubahan (misalnya berubah karena gangguan virus)? - 2. Bagaimana kita yakin bahwa kita tidak men- download virus komputer? - 3. Bagaimana kita mempercayai situs web yang menjual program (software publisher) tersebut?
  • 40. Rinaldi M/IF5054 Kriptografi40 Teknologi keamanan digunakan untuk menjamin bahwa piranti lunak yang di- download dapat dipercaya dan tidak mengalami perubahan. Microsoft Auhenticode, dikombinasikan dengan sertifikat digital VeriSign (atau digital ID), mengotentikasi penerbit piranti lunak (software publisher) dan mendeteksi apakah piranti lunak mengalami perubahan. Auhenticode adalah fitur sekuriti yang dibangun di dalam Internet Explorer
  • 41. Rinaldi M/IF5054 Kriptografi41 Untuk menggunakan Microsoft Auhenticode, setiap penerbit harus mempunyai sertifikat digital yang dirancang untuk tujuan penerbitan piranti lunak. Sertifikat semacam itu dapat diperoleh dari CA seperti VeriSign. Untuk memperoleh sertifikat, penerbit piranti lunak harus menyediakan kunci publik dan informasi identifikasi lainnya dan menandatangai perjanjian bahwa ia tidak mendistribusikan virus.
  • 42. Rinaldi M/IF5054 Kriptografi42 Microsoft Auhenticode menggunakan teknologi tanda-tangan digital untuk menandatangani piranti lunak. Piranti lunak yang ditandatangani dan sertifikat digital penerbit memberikan bukti bahwa piranti lunak tersebut aman dan tidak mengalami perubahan
  • 43. Rinaldi M/IF5054 Kriptografi43 Bila pembeli mencoba men-downoad file, kotak dialog yang muncul di layar menampilkan sertifikat digital dan nama CA-nya. Link ke penerbit piranti lunak dan link ke CA juga disediakan sehingga pembeli dapat mempelajari lebih jauh mengenai penerbit dan CA sebelum ia menyetujui untuk men-download piranti lunak. Jika Microsoft Auhenticode menyatakan bahwa piranti lunak tersebut membahayakan, maka transaksi dihentikan