RSS Feed
Twitter
05.04
ichsan private
PORTAL
& KEAMANAN
• Single Sign-on
Teknologi Single Sign on sangat penting bagi portal. Singkatnya, portal membutuhkannya untuk mengkoordinasikan informasi dari beberapa web site, penyimpanan data, XML, dan sistem transaksi lainnya. Kesemua ini mempunyai paradigma keamanan yang berbeda dimana solusi Single Sign-on akan diterapkan. Contoh dari vendor di arena ini adalah Netegrity, Oblix, IBM, dan Entrust.
• Pendelegasian Manajemen
Sebuah evolusi dari teknologi Single Sign-on. Ketika SSO mencoba utuk memfasilitasi aktivitas, Sistem Pendelegasian manajemen mencoba untuk bertindak sebagai titik tunggal bagi pengaturan semua aplikasi dan sistem operasi tingkat keamanan. Sistem Pendelegasian manajemen pada akhirnya akan menggantikan sistem SSO seiring pendewasaannya.
Contoh vendor di arena ini adalah : Netegrity dan IBM.
• Firewalls
Firewalls adalah komputer yang menjalankan software dimana menganalisis dan menyaring paket jaringan dan membuat keputusan sekuritas berdasar rekomendasinya.
• Pendeteksian Penyusup (Intrusion Detection)
Software ini menganalisis pola aktifitas dalam suatu jaringan untuk mengetahui jika dia “diserang”.
• Kriptografi
Ilmu pengetahuan ini menyediakan perhitungan matematis yang teliti dalam rangka otentifikasi, enkripsi, dan non repudiation. Keamanan portal yang tinggi menerapkan kriptografi untuk semua kemampuannya.
• Access controls
Sistem kontrol akses menyediakan aturan berdasar daftar identitas untuk menetapkan sebuah identitas, dimana bagian dari sebuah peranan/tugas atau group/kelompok, harus mempunyai level akses yang tepat untuk menjalankan operasi yang menggunakan sumber daya. Ilmu pengetahuan keamanan komputer adalah kombinasi kontrol akses dan teknologi kriptografi. Semua portal menggunakan kontrol akses.
• Otentifikasi
Otentifikasi mempunyai dua macam format, yaitu format kriptografi dan format kontrol akses. Format kriptografi dalam otentifikasi menggunakan skema dasar sertifikasi untuk memastikan identitas. Format kontrol akses lebih sederhana, dimana biasanya menggunakan mandate seperti user-id (identitas pengguna) dan password.
• Non Repudiation (Kunci yang sangat kuat dan susah dirusak)
Tindakan mempercayakan data pada suatu sistem kunci yang susah dirusak disebut non repudiation yang menggunakan teknologi public key dan fungsi-fungsi lama dari kriptografi. Portal Finansial, Portal Perawatan Kesehatan akan memperoleh manfaat lebih dari teknologi ini.
Otorisasi
Sebuah fungsi kontrol akses yang sangat penting. Penting sekali, dimana portal akan memelihara daftar otorisasi, (a.k.a, daftar kontrol akses) untuk menetapkan level akses yang tepat pada setiap identitas yang bisa mengakses sumber daya. Seperti sebuah sistem akan menetapkan jika user diotorisasi terhadap tindakan yang dilakukan terhadap sumber daya.
• Policy (Kebijakan)
Sebuah persetujuan awal untuk mengimplementasikan paradigma keamanan, sebuah kebijakan keamanan perlu ditetapkan untuk organisasi. Outline kebijakan keamanan dalam bisnis dibutuhkan untuk keamanan dan prosedur organisasi untuk mempertemukan kebutuhankebutuhan bisnis. Seperti sebuah kebijakan yang digunakan untuk mendefinisikan kontrol akses dan kebijakan sertifikasi.
• Groups
Groups adalah koleksi identitas yang diorganisasikan. Groups diatur atau dikonfigurasikan oleh personil administratif dan diatur di atas basis harian (hari per hari). Portal selalu butuh untuk mengatur group sebagai alat ekonomi untuk mengatur privasi, integritas, dan aksesibilitas yang tepat dari data.
• Roles (Peranan-peranan)
Roles mengorganisasikan koleksi kemampuan. Koleksi dari kemampuan ini cenderung dipelihara oleh developer. Roles dapat berupa group dan atau user sebagai anggota yang mempunyai akses untuk kemampuan yang didefinisikan oleh developer. Keanggotaan roles cenderung diatur oleh administrator.
• LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) adalah protokol perangkat lunak untuk memungkinkan semua orang mencari resource organisasi, perorangan dan lainnya, seperti file atau printer di dalam jaringan baik di internet atau intranet. Protokol LDAP membentuk sebuah direktori yang berisi hirarki pohon yang memiliki cabang, mulai dari negara (countries), organisasi, departemen sampai dengan perorangan. Dengan menggunakan LDAP, seseorang dapat mencari informasi mengenai orang lain tanpa mengetahui lokasi orang yang akan dicari itu
Sebuah struktur direktori umum yang diterima oleh sebagian besar industri. Portal menggunakan ini untuk mengatur informasi pengguna, informasi organisasi, sebagai kontrol akses dan informasi sertifikasi kriptografi.
LDAP (Lightweight Directory Access Protocol) dapat diartikan sebagai directory services dan object oriented database. Apa saja yang LDAP dapat lakukan? LDAP menyediakan berbagai layanan seperti menyediakan data untuk client contohnya data karyawan, addressbook, email, account login dan banyak data lainnya. Dengan LDAP kita juga dapat melakukan searching informasi dengan berbagai filtering atau melakukan akses terhadap informasi khusus sebuah object. Penggunaan LDAP umumnya :
a. Pusat management data
b. Otentikasi
c. Email
d. Address Book
e. Accounting
f. dll
Implementasi LDAP yang sudah banyak digunakan oleh perusahaan-perusahaan adalah
sebagai berikut :
_ Open Source Software (OSS) menggunakan OpenLDAP, tinyLDAP, Fedora
Directory Services (FDS)
_ Sun (Bagian dari SunOne)
_ Netscape (NDS)
_ Microsoft (Bagian dari Active Directory)
_ Novell (Bagian dari eDirectory)
• Otoritas Sertifikasi (Certificates Authorities atau CA)
Otoritas sertifikasi adalah penentu keputusan dalam pembuktian, identitas digital, meskipun pada kenyataannya cenderung tidak dapat dipertanggung jawabkan atas hasil kerjanya. Berdasarkan hal ini, dan aksi tanda tangan digital, otoritas sertifikasi tidak dapat diadopsi secara luas. Otoritas sertifikasi dapat menghasilkan sertifikasi.
Ketika ada publik CA, seperti Valicert dan Verisign, perusahaan membuat sertikasinya sendiri. CA bermanfaat bagi portal yang menyediakan servis perdagangan dengan nilai tinggi atau jasa pelayanan kesehatan, bagaimanapun juga, mereka menyediakan mekanisme third party (pihak ketiga) untuk memvalidasi identitas. Aplikasi portal yang lebih kecil akan membuat sertifikasinya sendiri. Tanda tangan digital memungkinkan sertifikasi-diri sendiri. Sertifikasi diri sendiri (self certified) ini legal dan valid untuk bertransaksi.
• Otoritas validasi (Validation Authorities atau VA)
Standar X509 meragukan dan tidak semua sertifikat yang dibuat dari semua vendor sama. Dalam hal ini, ketika perusahaan-perusahaan saling bertukar sertifikat sebelum melakukan e-Business, perusahaan “sumber“ membuat sertifikat dan akan mengontrol pemeliharaan sertifikat. Dengan kata lain, jika sumber pengguna “menjadi jahat“ sumber perusahaan pengguna akan meninjau kembali sertifikat tersebut. Otoritas validasi memungkinkan perusahan tujuan melakukan “penerbitan sertifikasi lokal“, hal ini mengurangi kebutuhan komunikasi organisasi yang kuat diantara dua perusahaan yang menerapkan sertifikasi transaksi secara kriptografi.
Dalam hal ini, VA mempunyai kemampuan validasi secara “real time“, membuatnya nyaman untuk high end yang ekstrem, lingkungan keamanan yang tinggi. VA akan sangat bermanfaat bagi portal yang berharap menyediakan proteksi kriptografi untuk pelanggannya, sekalipun dibutuhkan pemeliharaan tingkat keamanan yang tertinggi pada interoperabilitas dan kontrol terhadap sertifikasi.
• Infrastruktur Kunci Publik (Public Key Infrastructur)
Kriptografi kunci publik menyediakan implementasi elegan (elok) dari implementasi enkripsi, non repudiation, dan otentifikasi yang membutuhkan aktifitas manajemen kunci yang minimum. Ini membuat infrastruktur kunci publik lebih efisien untuk mengatur bila dibandingkan dengan infrastruktur kunci simetrik yang tradisional. Portal yang membutuhkan kriptogafi akan menggunakan PKI (Public Key Infrastructure).
• Secure Socket Layer (SSL)
Standar bagi transaksi-transaksi yang butuh keamanan dengan menggunakan kriptografi public key dan X509. Ini dikhususkan bagi otentifikasi (dua arah) dan enkripsi informasi yang dikirim melalui socket TCP/IP. Portal yang membutuhkan transaksi financial atau data perawatan kesehatan akan menggunakan SSL.
Secure Access Markup Languange
Terinspirasi oleh Netegrity, bahasa ini dibangun untuk memfasilitas Strategi Manajemen Pendelegasian. Berisi transaksi-transaksi yang tak bereputasi untuk mengatur kontrol aksesnya. Dengan ini diharapkan vendor-vendor software akan merangkul SAML untuk memfasilitasi strategi SSO miliknya (segera akan dikenal Manajemen Pendelegasian). Portal akan mengurangi biayanya dalam jangka menengah dengan mengadopsi SAML, sebagai sebuah integrasi dengan paradigma keamanan lainnya yang akan semakin sederhana.
• Tanda tangan Digital (Digital Signature)
Tanda tangan digital memanfaatkan kemampuan kunci (non repudiation) yang susah ditembus dari public key infrastructure untuk menyediakan kriptografi yang memastikan data dikelola sebagai integritas.
Seperti apa sih tandatangan digital itu? Apakah konsepnya sama dengan “user” atau “password”, atau gabungan keduanya plus dengan image? Bagaimana mengadministrasikan perbedaan antara tandatangan digital Si A dengan Si B?
Sepintas lalu memang demikian, seperti password tapi teknologi yang dipakai berbeda dan tidak ada imagenya. Jadi , tanda tangan digital berbasis pada teknologi PKI (public key infrastructure). Teknologi ini sudah lama dikenal di luar negeri, yang sudah menggunakan contohnya adalah verysign atau e-trust. Di Indonesia baru dikembangkan oleh indosat dan telkom, tapi kabarnya BCA juga menggunakan teknologi ini.
Dalam PKI tersebut, ada yang dinamakan kunci publik (public key) dengan kunci privat (privat key), keduanya berbentuk bilangan biner (binary). Kunci-kunci tersebut dikeluarkan oleh sebuah badan yang dinamakan CA (certification authority). Kunci public tersebut disimpan di RA (repisitory authority) seperti bank kunci yang dimiliki oleh sistem tersebut dan orang dapat mengetahui kunci publik yang ada di RA. Badan tersebut bisa terpisah atau bersamaan. Sedangkan kunci privatnya tidak disebar ke publik, jadi hanya pihak yang mendaftarkan dirinya pada CA dan lawan (pihak) bertindak sebagai subjek hukum yang melakukan transaksi, yang mengetahui kunci privat tersebut. Transaksi disini tidak harus diartikan dengan uang, tapi juga pertukaran data.
Orang yang tidak melakukan suatu pertukaran data tidak akan mengetahui kunci privat tersebut. Karena hanya dengan kunci privat si pengirim maka si penerima baru bisa membuka/membaca pesan yang dikirim. Hanya para pihak saja yang mengetahui kunci-kunci tersebut (terutama kunci privatnya). Tidak mungkin ada tanda tangan yang sama antara A dengan B, karena sistemnya sudah demikian dibuat sedemikian. Satu angka saja berubah maka pesan tidak akan terbaca, karena ada proses yang namanya otentikasi, benar apa tidak bahwa yang mengirim pesan adalah si A, baru kemudian pesan yang di enkripsi (disandikan) bisa dibuka dengan kunci privat yang ada.
teknologi PKI cukup aman. Mengenai administrasi kunci tersebut, tidak perlu ragu karena sistem yang dibangun sedemikian rupa sehingga tidak mungkin ada satu kunci yang sama persis. Dan kemudahannya lagi, si pengirim pesan dapat mengganti kunci privatnya (seperti PIN).
PKI adalah arsitektur keamanan yang telah diperkenalkan untuk memberikan peningkatan tingkat kepercayaan untuk bertukar informasi melalui Internet semakin tidak aman. Panduan ini untuk PKI memberikan pembaca dengan pengenalan dasar istilah kunci dan konsep yang digunakan dalam PKI termasuk penggunaan enkripsi, tanda tangan digital, kunci publik, kunci privat, sertifikat digital, Otoritas Sertifikat, pencabutan sertifikat dan penyimpanan. Ia menyebutkan fitur dan layanan yang digunakan oleh PKI dan teknik yang terlibat dalam kriptografi kunci publik.
Public Key digunakan untuk Enkripsi
Orang lain menggunakan kunci enkripsi publik Anda ketika mereka ingin mengirimkan informasi rahasia. Informasi yang akan dikirim dienkripsi menggunakan kunci publik Anda *. Anda dapat memberikan kunci publik ke pengirim, atau dapat diambil dari direktori di mana ia dipublikasikan.
* Catatan: Dalam praktek normal, informasi aktual yang dikirim dienkripsi menggunakan algoritma kunci rahasia (simetrik kriptografi). Algoritma simetris lebih cepat daripada algoritma kunci publik / swasta (kriptografi asimetris). Kunci acak (session key) yang dihasilkan, dan digunakan dengan algoritma simetrik untuk mengenkripsi informasi. Kunci publik ini kemudian digunakan untuk mengenkripsi kunci yang baik dan dikirim ke penerima.
Kunci pribadi digunakan untuk Dekripsi
Sebuah kunci privat digunakan untuk mendekripsi informasi yang telah dienkripsi menggunakan kunci publik yang sesuai. Orang yang menggunakan kunci pribadi bisa memastikan bahwa informasi itu dapat mendekripsi harus telah dimaksudkan untuk mereka, tetapi mereka tidak bisa memastikan siapa informasi itu dari.
Catatan: Dalam praktek yang normal kunci pribadi digunakan untuk mendekripsi kunci sesi, dan kunci yang digunakan untuk mendekripsi informasi aktual daripada kunci privat mendekripsi semua informasi.
Kunci pribadi untuk Signature
Jika pengirim ingin membuktikan kepada penerima bahwa mereka adalah sumber informasi yang (mungkin mereka menerima tanggung jawab hukum untuk itu) mereka menggunakan kunci privat untuk menandatangani pesan digital (digital signature). Berbeda dengan tanda tangan tulisan tangan, tanda tangan digital ini berbeda setiap kali dibuat. Nilai matematika unik, ditentukan oleh isi pesan, dihitung menggunakan ‘hashing’ atau algoritma otentikasi pesan ‘, dan kemudian nilai ini dienkripsi dengan kunci pribadi – membuat tanda tangan digital untuk pesan tertentu. Nilai dienkripsi baik melekat pada akhir pesan atau dikirim sebagai file terpisah bersama dengan pesan. Kunci publik yang sesuai dengan kunci pribadi ini juga dapat dikirim dengan pesan, baik sendiri atau sebagai bagian dari sertifikat.
Catatan: Setiap orang menerima informasi dilindungi hanya dengan tanda tangan digital dapat memeriksa tanda tangan dan dapat membaca dan memproses informasi. Menambahkan tanda tangan digital ke informasi tidak memberikan kerahasiaan.
Kunci Publik untuk Signature
Penerima pesan digital ditandatangani menggunakan kunci publik yang tepat untuk memeriksa tanda tangan dengan melakukan langkah-langkah berikut. Sebuah contoh non-teknis diberikan setelah langkah-langkah.
1. Kunci publik yang tepat digunakan untuk mendekripsi nilai hash yang pengirim dihitung untuk informasi
2. Menggunakan algoritma hashing (di mana sertifikat digunakan akan tercantum dalam sertifikat kunci publik dikirim dengan pesan), hash dari informasi yang diterima dihitung
3. Nilai hash yang baru dihitung dibandingkan dengan nilai hash yang pengirim awalnya dihitung. Ini ditemukan pada langkah 1 di atas. Jika nilai cocok, penerima mengetahui bahwa orang yang mengendalikan kunci privatnya untuk kunci publik dikirim informasi. Mereka juga tahu bahwa informasi tersebut belum diubah sejak ditandatangani
4. Jika sertifikat kunci publik dikirim dengan informasi itu kemudian divalidasi dengan CA yang menerbitkan sertifikat untuk memastikan bahwa sertifikat tersebut belum dipalsukan dan karena itu identitas controller dari kunci pribadi adalah asli
5. Akhirnya, jika tersedia, daftar pencabutan untuk CA diperiksa untuk memastikan bahwa sertifikat tersebut belum dicabut, atau jika sudah dicabut, apa tanggal dan waktu pencabutan itu.
Sebagai contoh, misalkan Anda dikirimi dokumen Word dengan e-mail. Pengirim telah menandatanganinya dengan menghitung nilai hash untuk dokumen Word, kemudian dienkripsi dengan kunci yang nilai pribadi mereka. Anda menerima dokumen Word, dan menghitung nilai hash untuk itu. Anda mendekripsi lembah hash yang pengirim terenkripsi dan membandingkan keduanya. Jika mereka sama, dokumen tidak berubah dan Anda yakin yang mengirim dokumen. (Jika mereka tidak cocok Anda tahu bahwa dokumen tersebut telah diubah atau pengirim tidak yang mereka klaim.)
Jika tidak ada kesalahan telah ditemukan, penerima dapat pastikan keaslian dan keakuratan informasi yang telah diterima.
Untuk mengenkripsi informasi yang akan disimpan untuk digunakan sendiri (yaitu, Anda akan menjadi orang yang hanya mampu membacanya), Anda harus menggunakan kunci publik Anda sendiri sebagai kunci penerima (Anda adalah penerima) agar dapat mendekripsi dan membaca informasi nanti. Jika Anda menggunakan orang lain kunci publik, maka hanya mereka akan dapat mendekripsi dan membaca informasi. (Untuk menghindari kesulitan berhubungan dengan tidak bisa membaca pesan terenkripsi jika Anda bukan salah satu penerima, beberapa sistem tidak menghapus pesan asli setelah enkripsi sementara yang lainnya menyimpan salinan dari kunci yang digunakan untuk enkripsi baik di bawah Public Key pengirim atau di bawah kunci Pemulihan Sistem Metode terakhir ini. juga disebut sebagai escrow kunci atau pemulihan kunci.)
Kriptografi Kunci Publik sebaiknya digunakan untuk enkripsi / dekripsi dan penandatanganan / verifikasi informasi. Enkripsi informasi memastikan privasi dengan mencegah pengungkapan yang tidak diinginkan, dan menandatangani pesan mengotentikasi pengirim pesan dan memastikan pesan belum diubah sejak dikirim. Harus diingat bahwa hanya informasi ditandatangani / dienkripsi telah dilindungi. Umumnya dalam e-mail sistem, alamat dan pesan tubuh mungkin memiliki perlindungan sama sekali dan tidak boleh dianggap aman atau bagian dari informasi yang dilindungi.
1.2.1 PKI sertifikat (Sertifikat Digital)
Pada bagian pada kunci publik dan swasta, referensi dibuat untuk sertifikat. Sertifikat adalah informasi mengacu pada kunci publik, yang telah ditandatangani secara digital oleh Otoritas Sertifikasi (CA). Informasi yang biasanya ditemukan di sertifikat sesuai dengan v3 (IETF) standar ITU X.509. Sertifikat sesuai dengan standar yang mencakup informasi tentang identitas diterbitkan dari pemilik kunci privatnya, panjang kunci, algoritma yang digunakan, dan algoritma hashing terkait, tanggal validitas sertifikat dan tindakan-tindakan utama yang dapat digunakan untuk.
Sertifikat adalah tidak penting untuk operasi PKI, namun, beberapa skema perlu untuk mencari informasi tentang controller sebuah kunci pribadi, dan sertifikat X.509 adalah skema yang paling sering dilaksanakan.
1.2.2 Penggunaan Kunci Pengendalian
Salah satu bidang dalam sertifikat kunci publik (sertifikat) adalah bidang penggunaan kunci. Hal ini digunakan oleh CA untuk menyatakan menggunakan CA telah disetujui. Ini tidak berarti bahwa kunci privat terkait tidak dapat digunakan dalam cara lain. Tidak ada sertifikat dengan kunci pribadi. Orang menerima informasi dilindungi menggunakan sistem kunci publik harus memeriksa, di mana sertifikat disediakan, bahwa penggunaan kunci dinyatakan dalam sertifikat sesuai dengan penggunaan aktual.
1.3.2 PKI metode untuk menyimpan Kunci Publik dan Kunci Pribadi
Sertifikat digital
Kunci publik disimpan di dalam sertifikat digital serta informasi terkait lainnya (pengguna informasi, tanggal kedaluwarsa, penggunaan, yang mengeluarkan sertifikat dll). CA memasuki informasi yang terkandung dalam sertifikat tersebut ketika ditempatkan dan informasi ini tidak dapat diubah. Karena sertifikat tersebut akan ditandatangani secara digital dan semua informasi di dalamnya dimaksudkan untuk tersedia untuk umum tidak perlu untuk mencegah akses ke membacanya, meskipun Anda harus mencegah pengguna lain merusak, menghapus atau menggantinya.
Perlindungan
Jika seseorang mengakses keuntungan ke komputer Anda, mereka dengan mudah bisa mendapatkan akses ke kunci pribadi Anda (s). Untuk alasan ini, akses ke kunci pribadi biasanya dilindungi dengan password pilihan Anda. Password kunci privat tidak boleh diberikan kepada orang lain dan harus cukup panjang sehingga mereka tidak mudah ditebak. Ini adalah sama dengan menjaga KARTU ATM dan PIN nya. Jika seseorang berhasil mendapatkan memegang kartu Anda maka satu-satunya hal yang mencegah dia menggunakan itu adalah PIN (password) melindunginya. Jika seseorang memiliki PIN maka mereka dapat mengambil uang Anda dan Anda tidak dapat menghentikan mereka.
Vendor yang berbeda sering menggunakan berbeda dan kadang-kadang format penyimpanan proprietary untuk menyimpan kunci. Sebagai contoh, Entrust menggunakan format proprietary EPF., Sementara Verisign, GlobalSign, dan Baltimore, untuk beberapa nama, menggunakan standar p12. Format.
1,3 Komponen dari PKI
Sebuah PKI (infrastruktur kunci publik) dibuat dengan menggabungkan sejumlah layanan dan teknologi :
1) Sertifikasi otoritas (CA)
Sebuah isu CA dan memverifikasi sertifikat (lihat di atas). CA bertanggung jawab untuk mengidentifikasi (sampai batas lain) kebenaran dari identitas orang meminta sertifikat yang akan dikeluarkan, dan memastikan bahwa informasi yang terkandung dalam sertifikat tersebut adalah benar dan digital menandatanganinya.
Membangkitkan pasangan kunci
CA dapat membuat kunci publik dan kunci pribadi (pasangan kunci) atau orang yang mengajukan permohonan sertifikat mungkin harus menghasilkan pasangan kunci mereka sendiri dan mengirim permintaan ditandatangani berisi kunci publik mereka ke CA untuk validasi. Orang yang mengajukan permohonan sertifikat dapat memilih untuk menghasilkan pasangan sendiri kunci mereka sehingga untuk memastikan bahwa kunci pribadi tidak pernah meninggalkan kendali mereka dan sebagai hasilnya kurang cenderung menjadi tersedia untuk orang lain.
Penerbitan sertifikat digital
Kecuali Anda menghasilkan sertifikat Anda sendiri (beberapa perangkat lunak aplikasi akan memungkinkan Anda melakukan hal ini) biasanya Anda akan harus membeli satu dari CA. Sebelum CA mengeluarkan sertifikat Anda dengan mereka akan membuat pemeriksaan berbagai untuk membuktikan bahwa Anda adalah yang Anda katakan.
CA dapat dianggap sebagai setara PKI sebuah badan paspor – masalah Anda CA sertifikat setelah Anda memberikan mandat yang mereka perlukan untuk mengkonfirmasi identitas Anda, dan kemudian tanda-tanda CA (perangko) sertifikat untuk mencegah modifikasi dari informasi yang tercantum dalam sertifikat.
Sebuah CA juga mungkin menyatakan kualitas pemeriksaan yang dilakukan sebelum sertifikat diterbitkan. Kelas yang berbeda dari sertifikat dapat dibeli yang sesuai dengan tingkat pemeriksaan dibuat. Ada tiga atau empat kelas umum sertifikat: Kelas 1 sertifikat dapat dengan mudah diperoleh dengan memberikan alamat email, Kelas 2 sertifikat memerlukan informasi pribadi tambahan yang harus diberikan, dan Kelas 3 sertifikat hanya dapat dibeli setelah pemeriksaan telah dibuat mengenai pemohon identitas. Sebuah kelas 4 dapat digunakan oleh pemerintah dan organisasi yang membutuhkan tingkat yang sangat tinggi checking.
Menggunakan sertifikat
Seorang individu mungkin memiliki sejumlah sertifikat yang dikeluarkan oleh sejumlah CA. Aplikasi Web yang berbeda mungkin bersikeras bahwa Anda menggunakan sertifikat hanya dikeluarkan oleh CA tertentu. Sebagai contoh, sebuah bank mungkin bersikeras bahwa Anda menggunakan sertifikat yang dikeluarkan oleh mereka untuk menggunakan layanan mereka, sedangkan situs Web publik mungkin menerima sertifikat yang Anda tawarkan (sama seperti beberapa memungkinkan pilihan bebas ID dan password).
CA dapat menjadi unit dalam organisasi Anda, sebuah perusahaan (yaitu bank atau kantor pos), atau badan independen (VeriSign).
Memeriksa sertifikat
Sertifikat kunci publik ditandatangani oleh CA untuk mencegah modifikasi atau pemalsuan. Tanda tangan ini juga digunakan saat memeriksa bahwa kunci publik masih berlaku. Tanda tangan ini divalidasi terhadap daftar ‘root CA’ yang terkandung dalam berbagai aplikasi ‘PKI sadar’ (misalnya browser Anda). Beberapa sertifikat CA disebut ‘Sertifikat Akar’ sebagai mereka membentuk akar segala validasi sertifikat. Validasi sertifikat terjadi secara otomatis menggunakan sertifikat publik lain yang terkandung dalam daftar root CA.
Catatan: PGP (Pretty Good Privacy) pengguna biasanya bertindak sebagai otoritas mereka sendiri yang mengeluarkannya, sehingga Anda menerima sertifikat mereka atas dasar bahwa mereka adalah yang mereka katakan tanpa verifikasi lebih lanjut. Metode ini disebut ‘Web kepercayaan’ karena didasarkan pada orang yang Anda percaya bukan kewajiban dalam kontrak.
2) Pencabutan
Dimana sistem bergantung pada penerbitan sertifikat sehingga orang dapat berkomunikasi satu sama lain, harus ada sistem untuk membiarkan orang tahu kapan sertifikat tidak lagi berlaku. Hal ini dapat dilakukan dalam satu dari dua cara. Sertifikat dapat dihapus dari Direktori atau database di mana mereka harus ditemukan. Akibatnya, setiap upaya untuk menemukan mereka untuk memeriksa bahwa mereka masih ada akan gagal dan orang yang mencari mereka akan tahu bahwa mereka telah dicabut.
Ada dua masalah dengan pendekatan ini. Yang pertama adalah bahwa serangan penolakan layanan pada Direktori atau database dapat membuat penampilan sertifikat gagal. Yang kedua adalah bahwa Direktori ini dirancang untuk mengoptimalkan waktu untuk membaca informasi, sehingga menghapus informasi yang biasanya dihindari, seperti yang update. Juga, menghapus catatan tidak memberitahu orang meminta informasi mengapa tidak ada, yang mungkin mereka butuhkan untuk mengetahui mengapa dan kapan itu dihapus.
Akibatnya, sistem daftar pencabutan telah dikembangkan yang ada di luar Direktori atau database. Ini adalah daftar sertifikat yang tidak berlaku lagi (karena alasan apapun), setara dengan daftar ATM hilang atau dicuri kartu. Saat ini ada dua metode yang berbeda untuk memeriksa pencabutan sertifikat – ‘CRL’ atau ‘OCSP. Daftar pencabutan mungkin publik bahkan ketika Direktori cocok atau database tidak. Hal ini karena sertifikat mungkin telah didistribusikan untuk digunakan di luar jaringan pribadi dari organisasi yang terlibat.
3) Registration Authority (RA)
Sebuah CA mungkin menggunakan pihak ketiga Registration Authority (RA) untuk melakukan pemeriksaan yang diperlukan pada orang atau perusahaan meminta sertifikat untuk memastikan bahwa mereka adalah yang mereka katakan. Bahwa RA dapat muncul ke pemohon sertifikat sebagai CA, tetapi mereka tidak benar-benar menandatangani sertifikat yang diterbitkan.
Penerbitan Sertifikat metode 4)
Salah satu dasar-dasar sistem PKI adalah kebutuhan untuk menerbitkan sertifikat sehingga pengguna dapat menemukan mereka. (Anda harus bisa mendapatkan pegangan dari kunci enkripsi publik untuk penerima informasi yang terenkripsi.) Ada dua cara untuk mencapai ini. Salah satunya adalah untuk menerbitkan sertifikat di setara dengan sebuah buku telepon elektronik. Yang lain adalah dengan mengirimkan sertifikat Anda kepada orang-orang Anda berpikir mungkin membutuhkannya dengan satu cara atau yang lain. Pendekatan yang paling umum tercantum di bawah ini.
Direktori
Direktori adalah database yang X.500/LDAP-compliant. Ini berarti bahwa mereka berisi sertifikat dalam format X.509, dan bahwa mereka menyediakan fasilitas pencarian yang spesifik seperti yang ditetapkan dalam standar LDAP diterbitkan oleh IETF. Direktori dapat dibuat tersedia untuk umum atau mereka mungkin tertutup menjadi organisasi tertentu – yaitu perusahaan mungkin memiliki direktori sendiri di mana ia memegang sertifikat bagi penggunanya dan hanya para penggunanya dapat mengakses direktori ini. Direktori Sebuah bersifat rahasia ketika berisi informasi bahwa pemilik tidak ingin tersedia untuk umum. Direktori publik di sisi lain dapat dibaca oleh siapapun yang memiliki akses kepada mereka.
Database
Sebuah database dapat dikonfigurasi untuk menerima sertifikat X.509 format. Hal ini dapat dilakukan untuk sistem pribadi di mana metode pencarian untuk mencari sertifikat tidak mengikuti struktur LDAP. Karena pada dasarnya eksklusif, metode ini tidak digunakan untuk sistem publik.
Email, floppy disk dll
Sertifikat dapat dikirim dalam e-mail sehingga penerima dapat menambahkannya ke koleksi mereka sendiri pada server mereka atau desktop, tergantung pada cara sistem keamanan mereka telah dikonfigurasi. Mereka mungkin juga akan dimasukkan ke floppy disk, atau media lainnya.
5) Sertifikat Sistem Manajemen
Istilah ini mengacu pada sistem manajemen melalui sertifikat yang diterbitkan, sementara atau permanen ditangguhkan, diperbaharui atau dicabut. Sertifikat sistem manajemen biasanya tidak menghapus sertifikat karena mungkin diperlukan untuk membuktikan status mereka di suatu titik waktu, mungkin untuk alasan hukum. Sebuah CA (dan mungkin RA) akan menjalankan sistem manajemen sertifikat untuk dapat melacak tanggung jawab mereka dan kewajiban.
6) ‘PKI sadar’ aplikasi
Istilah ini biasanya mengacu pada aplikasi yang memiliki toolkit CA tertentu perangkat lunak pemasok ditambahkan kepada mereka sehingga mereka dapat menggunakan pemasok CA dan sertifikat untuk mengimplementasikan fungsi PKI. Istilah ini tidak berarti bahwa aplikasi memiliki ‘pengetahuan’ yang dibangun ke dalam mereka tentang apa persyaratan keamanan sebenarnya, atau yang PKI layanan yang relevan untuk memberikan mereka. Isu-isu ini cukup terpisah dari memiliki PKI layanan yang tersedia.
Di dunia yang serba online seperti sekarang ini, keamanan informasi menjadi suatu hal yang sangat penting. Jika di dunia nyata kita bisa mengetahui identitas orang menggunakan KTP, maka di dunia maya kita mengenal orang/institusi/dokumen/dsb menggunakan kredensial elektronik. Salah satu bentuk kredensial elektronik ini adalah PKI (Public Key Infrastructure).
PKI memastikan kebenaran identitas seseorang, atau keaslian dari suatu dokumen.
PKI bekerja menggunakan sepasang kunci : kunci pribadi, dan kunci publik. Kunci pribadi dipergunakan untuk kita sendiri, dan hanya si pemilik kunci yang mengetahui nomor kunci ini. Sedangkan kunci publik merupakan kunci yang bisa digunakan oleh siapapun juga. Kunci ini hanya bisa dipergunakan untuk membuka suatu dokumen jika digunakan secara berpasangan.
Untuk memastikan bahwa dokumen rahasia tidak pernah mengalami perubahan, maka dokumen asli disandi menggunakan suatu teknik penyandian dan menghasilkan suatu angka yang disebut hash. Di dunia nyata, hash serupa dengan sidik jari yang mewakili dokumen asli dalam bentuk yang sangat kompak. Hash digunakan untuk membuktikan keaslian dari suatu dokumen, karena perubahan sedikit saja dari dokumen asli akan mengubah sidik jari (hash).
Tanda tangan digital memanfaatkan teknik hash dan kunci pribadi untuk menandatangani suatu dokumen digital. Dokuman yang akan ditandatangani harus disandi, kemudian hashnya disandi kembali menggunakan kunci pribadi. Dan orang lain bisa menerima dan membaca dokumen tadi tapi tidak bisa mengubahkan (untuk mengubah membutuhkan kunci pribadi)
lembaga yang berwenang untuk membuat dan mengawasi jalannya prosedur pemakaian public key :
1. CA (Certification Authority) adalah sebuah badan hukum yang berfungsi sebagai pihak ketiga terpercaya yang menerbitkan SD (Sertifikat Digital) dan menyediakan keamanan yang dapat dipercaya oleh para pengguna dalam menjalankan pertukaran informasi secara elektronik, sehingga memenuhi empat aspek keamanan (privacy/confidentiality, authentication, integrity, non repudiation).
2. RA (Registration Authority) adalah sebuah lembaga yang bertanggungjawab memverifikasi data identitas pemegang sertifikat dan memvalidasi kebenarannya.
PKI merupakan pengaturan yang mengikat kunci publik dengan identitas masing-masing pengguna menggunakan Certification Authority (CA). Dengan kalimat singkat PKI adalah infrastruktur sekuriti yang diimplementasikan menggunakan konsep dan teknik kriptografi kunci public.
Menurut Internet X.509 Public Key Infrastructure Certificate Management Protocols, dalam sebuah model public key infrastructure terdapat beberapa entitas:
1.Subject atau subscriber
2.Certification Authority (CA)
3.Registration Authority (RA)
4.Certificate Repository
5.Relying Party
Postingan
