Modul-11_SECURITY__Tgs Bsr_.pdf
description
Transcript of Modul-11_SECURITY__Tgs Bsr_.pdf
TTuuggaass BBeessaarr
KKeeaammaannaann SSiisstteemm LLaannjjuutt ((EECC 66003300))
SSIISSTTEEMM KKEEAAMMAANNAANN PPAADDAA
NNEEXXTT GGEENNEERRAATTIIOONN NNEETTWWOORRKK ((NNGGNN))
Oleh
AAsseepp MMuullyyaannaa 23205016
SSeekkoollaahh TTeekknniikk EElleekkttrroo ddaann IInnffoorrmmaattiikkaa IInnssttiittuutt TTeekknnoollooggii BBaanndduunngg
22000066
2
AAbbssttrraakk
Next Generation Network (NGN) merupakan jaringan berbasis paket dengan kemampuan layanan multiple broadband (voice, data dan video). Informasi/layanan yang ditransfer pada jaringan terutama berasal (migrasi) dari Telco baik Public Switch Telephone Network (PSTN)/ Integrated Service Digital Network (ISDN) maupun Public Land Mobile Network (PLMN). Ketika berada di lingkungan asalnya, hampir tidak ada permasalahan pengamanan (security) karena sifat dari jaringan circuit switch yang dedicated. Dalam NGN, informasi tsb ditransfer melalui jaringan paket publik yang terbuka, maka akan timbul potensi permasalahan pengamanan. Bagaimana sistem pengamanan informasi tsb dalam lingkungannya yang baru (NGN) kelak. Tulisan ini merupakan studi literatur yang membahas sistem pengamanan pada NGN berdasarkan rekomendasi ITU-T. Pembahasan mencakup kerangka sistem pengamanan dalam NGN (model arsitektur sistem pengamanan pada NGN), vulnerability, ancaman dan resiko serta sistem kriptografi Diharapkan tulisan ini dapat menambah khasanah/perbendaharaan wacana untuk pengembangan lebih lanjut.
3
BBAABB II
PPEENNDDAAHHUULLUUAANN
11..11.. LLaattaarr BBeellaakkaanngg
Jaringan Telco (PSTN/ISDN dan PLMN) yang berbasis circuit switched dengan
elemen utamanya sentral telepon, memiliki keterbatasan baik dari segi arsitektur
maupun efisiensi pemakaian resources (bandwidth). Dari segi arsitekturnya
elemen kontrol, elemen media dan aplikasinya bersifat propietary (vendor
dependent) sehingga disamping relatif mahal, juga sulit dikembangkan. Dari segi
pemakaian kanal bandwidth, karena koneksinya bersifat dedicated atau TDM
(Time Division Multiplexing), utilitas kanal rendah yang berarti kurang efisien. Di
sisi lain jaringan IP, protokolnya yang bersifat open system dan mode packet
switch yang lebih efisien, membuatnya jaringan IP mampu berkembang lebih
pesat, semakin mendominasi, bahkan mulai mengambil alih peran PSTN/ISDN
bahkan PLMN atau selular
11..22 TTuujjuuaann
Tujuan dari penulisan makalah ini adalah :
a. Mengetahui perkembangan jaringan saat ini.
b. Mengetahui aspek-aspek sistem pengamanan pada NGN
11..33 RRuummuussaann MMaassaallaahh
Berdasarkan tujuan tersebut, maka permasalahan yang dibahas adalah :
a. Konvergensi jaringan voice & data
b. Aspek pengamanan pada NGN :
1. Kerangka/konsep sistem pengamanan
2. Kelemahan sistem terhadap serangan
3. Jenis ancaman
c. Standar pengamanan
d. Sistem Kriptografi
4
11..44 PPeemmbbaattaassaann MMaassaallaahh
Pembahasan sistem pengamanan pada NGN ini hanya bersifat deskriptif
berdasarkan studi literatur. Adapun aspek-aspek pengamanan yang dibahas
meliputi :
a. Sifat mudah terhadap serangan (Vulnerability):
b. Jenis ancaman (Threat)
c. Resiko (Risk)
d. Dimensi pengamanan :
1. Access Control
2. Authentication
3. No-repudiation)
4. Data Confidentiality
5. Communication Security
6. Data Integrity
7. Availability
8. Privacy
e. Persyaratan dalam sistem pengamanan (Requirement)
f. Sistem Kriptografi
5
BBAABB IIII
KKOONNVVEERRGGEENNSSII JJAARRIINNGGAANN VVOOIICCEE && DDAATTAA 22..11.. LLaattaarr BBeellaakkaanngg
Semenjak keberhasilan transfer informasi real-time (voice) melalui jaringan
atau lebih dikenal dengan Voice over IP (VoIP) dengan kualitas yang cukup
memadai (acceptable), mulai timbul adanya kecenderungan transfer
informasi voice secara besar-besaran melalui jaringan paket (IP), dan juga
informasi-informasi lainnya (video, messaging dll).
Jaringan VoIP terus berkembang ditandai dengan semakin banyaknya
dibangun gerbang-gerbang VoIP (VoIP gateway) sebagai interface antara
jaringan telekomunikasi yang berbasis TDM (Time Division Multiplexing)
dengan protokol SS7 ke jaringan data berbasis paket dengan protokol IP.
22..22.. KKonvergensi Jaringan Circuit Switched dan Packet Switched menuju
Jaringan Homogen (Seamless Network) Berbasis Packet Switched
Dengan keberhasilan VoIP tersebut, maka tidak hanya voice yang ditransfer
melalui jaringan IP, tapi juga layanan/aplikasi lainnya sepergti
videophone/conference, messaging, Video on Demand, TV broadcast dan lain-
lain baik dari PSTN/ISDN maupun PLMN sehingga terjadi migrasi dari jaringan
circuit switched ke packet switched [1] (Gambar 1) dan secara konvergen menuju
jaringan masadepan berbasis paket atau NGN. (Gambar 2)
Gambar 1. Konvergensi jaringan circuit ke packet switched [1]
6
Gambar 2 Jaringan menuju NGN [2]
7
BBAABB IIIIII
PPEENNGGAAMMAANNAANN PPAADDAA JJAARRIINNGGAANN NNGGNN
3.1. Model Arsitektur Sistem Pengamanan pada NGN [3]
Untuk memperoleh sistem pengamanan secara end-to-end dalam jaringan
terdistribusi seperti pada jaringan NGN, maka ITU-T merekomendasikan
arsitektur sistem pengamanan (Rekomendasi X.805) seperti Gambar 1 berikut :
Gambar 3. Elemen arsitektur sistem pengamanan pada NGN (ITU-T X.805) [3]
Prinsip dasar pendefinisian kerangka sistem pengamanan tersebut adalah
memberikan pengamanan untuk seluruh aplikasi berdasarkan jenis ancaman
serangan (threats) dan celah-celah/bagian-bagian yang potensial terhadap
serangan (vulnerabilities). Kerangka arsitektur sistem pengamanan dibangun
berdasarkan konsep lapisan (layering) dan bidang/bagian (plane). Konsep lapisan
dimaksudkan agar diperoleh pengamanan secara end-to-end pada setiap lapis yang
meliputi lapis-lapis : infrastructur layer, service layer, dan application layer.
• Infrastructur layer terdiri dari fasilitas transmisi beserta elemen-elemennya
seperti router, switch, server beserta link penghubung elemen-elemen
tersebut.
• Service layer merupakan pengamanan terhadap jaringan yang ditawarkan
kepada customer seperti leased line, value added service seperti instant
messaging dsb.
8
• Application layer merupakan persyaratan pengamanan untuk aplikasi baik
aplikasi-aplikasi yang sederhana seperti e-mail dsb, maupun aplikasi-
aplikasi yang lebih maju seperti transfer gambar video berkualitas tinggi
yang biasa dilakukan kerjasama dengan perusahaan perminyakan dsb.
Kerangka kedua adalah kerangka bidang/bagian atau plane, yakni yang berkaitan
dengan jenis aktivitas yang dilakukan terhadap jaringa. Kerangka ini terdiri dari
tiga bidang (security plane) : management plane, control plane dan end-user
plane.
• Management plane (security) merupakan pengamanan yang berkaitan
dengan aktivitas sistem Operation, Administration, Maintenance and
Provisioning (OAM&P) seperti provisioning jaringan atau user.
• Control plane (security) merupakan pengamanan pada aspek pensinyalan
(signaling) saat pembangunan koneksi (seting up/modifying) secara end-to-
end melalui jaringan.
• End-user plane (security) merupakan pengamanan saat akses maupun
pemakaian jaringan oleh customer yang berkaitan dengan aliran data (data
flow)
3.2. Dimensi Pengamanan dalam NGN, Persyaratan (requirement) dan
Tujuannya [3]
Untuk memberikan pengamanan secara komprehensip pada NGN, ITU-T
membagi ke dalam 8 dimensi pengamanan pada jaringan. Adapun kedelapan
dimensi tersebut, persyaratan serta tujuannya adalah sebagai berikut :
3.2.1. Access Control
Merupakan sistim pengamanan untuk memproteksi penggunaan sumber daya
(resources) terhadap pihak yang tidak diberi hak/otoritas. Sumber daya dapat
berupa elemen jaringan atau data (yang tersimpan maupun sedang ditransfer), atau
berupa layanan/aplikasi. Sedangkan pihak yang diberi otoritas dapat berupa orang
(person) atau suatu perangkat (device).
9
Beberapa ketentuan/persyaratan lebih lanjut yang berkaitan dengan access control
ini adalah sebagai berikut :
i) NGN provider harus membatasi bahwa hanya terminal pelanggan tertentu
yang dapat mengakses suatu sumber daya.
1. Otoritas dari penyedia jaringan lain masih dimungkinkan
2. Otoritas dapat dilakukan dengan cara harus memenuhi sejumlah
persyaratan
ii) Harus dimungkinkan bagi NGN untuk mencegah penyusup yang menyamar
yang seolah-oleh punya hak untuk memperoleh akses layanan
iii) Access control untuk aplikasi mobile harus disesuaikan dengan kebijakan
pengamanan yang diterapkan pada pelanggan mobile
Selengkapnya tentang Access Control terdapat dalam Rekomendasi ITU-T :
X.810 section 6.3, dan X.812
3.2.2. Authentication
Merupakan pembuktian keaslian identitas suatu enttity atas klaim suatu otoritas.
Selain berupa person, entity dapat berupa perangkat (devices), layanan (services)
dan aplikasi (application). Authentication juga harus dapat menjamin bahwa suatu
entity tidak dapat melakukan penyamaran dengan cara memanfaatkan reply dari
komunikasi yang dilakukan sebelumnya.
Terdapat dua macam authentication :
• Data origin authentication adalah otentikasi yang berasal dari sisitem
connection oriented
• Peer entity authentication adalah otentikasi yang berasal dari sistem
connectionless
Beberapa ketentuan/persyaratan lebih lanjut yang berkaitan dengan authentication
i) Harus dimungkinkan bagi NGN provider untuk melakukan proses otentikasi
terhadap pelanggan (subscriber) sejak awal hubungan/koneksi, selama
hubungan dan service delivery.
1. Untuk yang mengharuskan penggunaan Subscriber Identity Module
(SIM) dalam otentikasi, tidak berlaku untuk panggilan darurat
(emergency).
10
ii) Harus dimungkinkan bagi NGN user untuk melakukan proses otentikasi
terhadap jaringan (network) sejak awal hubungan/koneksi, selama hubungan
(dan service delivery)
Selengkapnya tentang Authentication terdapat dalam Rekomendasi ITU-T : F.500,
F.851, F.852, H.235, J.160, J.93, J.95, M.60, X.217, X.217-Bis, X.509, X.800,
X.805 dan X.811
3.2.3. Non-repudiation
Merupakan kemampuan untuk mencegah user dari penolakan akses atas apa yang
telah dilakukannya. Aspek non-repudiation ini termasuk pula untuk kreastivitas
content, origination, receipt & delivery seperti pengiriman atau penerimaan pesan
(message), pembangunan hubungan, penerimaan panggilan, partisipan dalam
audio dan video.
Selengkapnya tentang Non-repudiation terdapat dalam Rekomendasi ITU-T :
F.400, F.435, F.440, J.160, J.93, J.95, M.60, T.411, X.400, X.805 dan X.813 dan
X.813
3.2.4. Data Confidentiality
Merupakan pengamanan terhadap kerahasiaan data dari pihak yang tidak berhak
mengetahuinya atau menyalahgunakannya. Sebagai contoh lalulintas data saat
pembelanjaan online.
Beberapa ketentuan/persyaratan lebih lanjut yang berkaitan dengan Data
Confidentiality :
i) Harus dimungkinkan bagi NGN provider untuk memproteksi kerahasiaan
data trafik pelanggan dengan metoda kriptografi.
ii) Harus dimungkinkan bagi NGN provider untuk memproteksi kerahasiaan
pesan-pesan kontrol (control message) dengan metoda kriptografi.
Selengkapnya tentang Data Confidentiality terdapat dalam Rekomendasi ITU-T :
F.115, H.235, J.160, Q.1531, X.800, dan X.805
11
3.2.5. Communication Security
Adalah pengamanan terhadap aliran data/informasi bahwa data/informasi tersebut
benar-benar hanya mengalir (pada path) antara dua end-point yang
berkomunikasi. Pengamanan ini bertujuan mencegah terhadap pengalihan aliran
data/informasi (diversion) maupun pencegatan/penyadapan (interception)
pihakketiga.
Ketentuan/persyaratan lebih lanjut yang berkaitan dengan communication security
i) NGN harus menyediakan mekanisme untuk meyakinkan, bahwa informasi
tidak dialihkan maupun dicegat/disadap secara ilegal.
3.2.6. Data Integrity
Merupakan pengamanan terhadap upaya pengubahan data secara tidaksemestinya
(ilegal). Pengubahan disini termasukdi dalamnya : penambahan,pengurangan,
penghapusan dan penggandaan.
Beberapa ketentuan/persyaratan lebih lanjut yang berkaitan dengan Data Integrity
i) Harus dimungkinkan bagi NGN provider untuk memproteksi integritas data
trafik pelanggan dengan metoda enkripsi.
ii) Harus dimungkinkan bagi NGN provider untuk memproteksi integritas
pesan-pesan kontrol (control message) dengan metoda kriptografi jika
kebijakan pengamanan diminta.
Selengkapnya tentang Data Integrity terdapat dalam Rekomendasi ITU-T : H.235,
J.160, J.93, J.95, Q.1290, X.800, dan X.815
3.2.7. Availability
Merupakan dimensi sekuritas untuk meyakinkan bahwa tidak ada pencegahan
kepada pemilik otoritas terhadap pengaksesan : elemen jaringan, informasi yang
tersimpan, informasiyang mengalir, layanan dan aplikasi yang disebabkan
pemutusan jaringan. Perbaikan jaringan dan pemulihan pasca bencana termasuk
kategori ini.
12
Beberapa ketentuan/persyaratan lebih lanjut yang berkaitan dengan Data Integrity
i) Untuk meminimalisasi serangan Denial of Service (DoS), penyebaran virus
atau worm dan serangan lainnya, NGN harus menyediakan pengukuran
sekuritas untukmencegah atau menghentikan komunikasi yang
menggunakan perangkat user yang tidak sesuai ketentuan (non-compliant).
Pengukuran ini dapat ditunda (suspended) jika terjadi komunikasi darurat
ii) NGN harus dimungkinkan untuk menyediakan pengukuran sekuritas untuk
menolak paket-paket atau trafik yang dianggap membahayakan oleh
kebijakan pengelola sekuritas pada NGN
3.2.8. Privacy
Merupakan hak individu untuk menjaga kerahasiaan data/informasi yang bersifat
pribadi yang tersimpan dan hanya pihak-pihak yang dikehendakinya yang
diperbolehkan mengetahui.
Ketentuan/persyaratan lebih lanjut yang berkaitan dengan Privacy :
NGN harus melindungi data/informasi pribadi pelanggan di tempat
penyimpanannya (pada NGN) seperti identitas pribadi, nomor telepon, alamat
jaringan (network address), data tagihan pribadi (call accounting) dan data-
data/informasi lainnya yang dianggap bersifat pribadi.
3.3. Sifat mudah terserang (vulnerability), Ancaman (threats), dan Resiko
(risks). [3]
3.3.1. Vulnerability
Merupakan kelemahan, yaitu sifat mudah terkena serangan yang disebabkan oleh
kelemahan/kesalahan dalam rancangan sistem, implementasi atau pengoperasian.
Terdapat empat jenis (tipe) vulnerabilites, yaitu :
1) Threat Model vulnerabilities
Adalah vulnerabilities karena kesulitan untuk memprediksi (foresee) adanya
ancaman. Sebagai contoh pada Signaling System No.7
2) Design & Specification vulnerabilities.
13
Adalah vulnerabilities karena kesalahan (errors) atau kelalaian (oversights)
dalam perancangan protokol dimana vulnerabilities ini sudah melekat secara
inheren di dalamnya. Sebagaicontoh adalah WEP dalam IEEE 802.11b atau
WiFi).
3) Implementation vulnerabilities.
Adalah vulnerabilities karena kesalahan implementasi protokol (Catatan :
dalam hal ini, sumber pustaka tidak memberikan contoh kasus)
4) Operation & Configuration vulnerabilities
Adalah vulnerabilities karena ketidaktepatan (improper) dalam pemilihan
opsi pada implementasi atau karena kesalahan dalam kebijakan (policy)
dalam pengembangan (delployment), misalnya tidak menerapkan kebijakan
keharusan penggunaan enkripsi dalam jaringan WiFi, atau misalnya karena
kelemahan dalam penyandian (ciphering) oleh administratur jaringan.
3.3.2. Threat
Menurut Rekomentasi ITU-T, X.800, security threat merupakan ancaman atau
potensi pelanggaran terhadap pengamanan yang dapat bersifat aktif atau pasif.
• Bersifat aktif jika keadaan (state) sistem dapat diubah oleh si pelaku
pelanggaran sehingga muncul potensi ancaman.
Contoh : penyamaran oleh suatu entitas seolah entitas tsb memiliki otoritas
dan pencegahan akses layanan (denial of service (DoS))
• Bersifat pasif jika potensi ancaman dapat muncul tanpa harus melakukan
perubahan kondisi (state) dari sistem.
Contoh : penyadapan (eavesdropping).
Agen ancaman dapat berupa hackers, teroris, vandalis, organisasi kejahatan, atau
disponsori oleh negara (state sponsored) dan yang paling signifikan adalah yang
berasal dari lingkungan internal organisasi ybs.
3.3.3. Risk
Resiko (risk) akan terjadi jika didapatkan adanya dua kombinasi yaitu
vulnerabilities dan threat. Sebagai contoh misalnya limpahan kutu-kutu pada
aplikasi sistemoperasi (overflow bug in operating system application).
14
Dalamhalini vulnerabilities-nya adalah berupa kemampuan/pengetahuan hackers,
dan threat-nya berupa ketepatan penggunaan tools dan akses yang dapat
mengembangkan risk pada penyerangan web server. Konsekuensi dari risks
adalah : kehilangan data (data loss), perubahan data (data corruption), kehilangan
privasi (privacy loss), penipuan (fraud), sistem mati total (downtime), dan
kehilangan kepercayaan publik (loss of public confidence).
Karena threat terus berubah, jika vulnerabilities masih ada dalam protokol, jika
protokol tsb merupakan protokol standar, maka resiko (risk) berbasis protokol ini
dapat menjadi berskala global. Oleh karena itu, maka sangat penting untuk
mengidentifikasi adanya vulnerabilities dalam protokol.
3.4. Persyaratan Kerangka Pengamanan [3]
Persyaratan kerangka pengamanan pada jaringan umum (general) dapat dibedakan
berdasarkan sumber (sources) sebagai berikut.
• Pelanggan (subscriber/customer) memerlukan kepercayaan dalam jaringan
maupun layanan (service offered) termasuk availability layanan (khususnya
layanan darurat) dalam hal terjadi bencana alam (termasuk aksi-aksi teroris)
• Otoritas publik dalam menentukan arah kebijakan sistem pengamanan dan
legislasi (aturanmain) sebagai payung untuk menjamin ketersediaan
(availability) layanan, kompetisi yang sehat/adil (fair) dan proteksi terhadap
hak privasi.
• Penyedia jaringan dan layanan (network provider and service provider)
sendiri memerlukan perlindungan/proteksi pengamanan dalam
pengoperasian dan aspek bisnisnya dan juga aspek kewajiban provider
terhadap customer dan publik.
Persyaratan sistem pengamanan untuk jaringan telekomunikasi dan layanannya,
hendaknya mengacu kepada standar kesepakatan internasional seiring dengan
pengembangan interoperabilitas untuk menghindari standar ganda (duplication of
efforts and reinventing the wheel). Pemberian hak penggunaan layanan
pengamanan (provisioning and usage and security services) boleh jadi lebih
mahal dari pada biaya transaksi yang diamankannya. Adanya keseimbangan yang
15
harus diperhatikan antara biaya (cost) pengukuran/pengawasan pengamanan dan
potensi dampak finansial yang harus dibayar/ditebus atas pengamanan tsb. Maka
dari itu kiranya penting untuk memungkinkan pengamanan dengan pengaturan
oleh pengguna (customer) sendiri (customize the security) sesuai aplikasi.
Berhubung sangat banyaknya kemungkinan kombinasi fitur-fitur pengamanan,
maka seyogianya profil sistem pengamanan mencakup rentang yang lebih
luas/global pada layanan jaringan telekomunikasi.
Benefit terpenting dari standarisasi sistem pengamanan adalah bagi vendors dan
users. Bagi vendor tidak ragu dalam mengembangkan produknya karena dengan
interoperasional yang standar berarti segmen pasar tidak dibatasi oleh pengguna
produk tertentu akibat propietary. Di lain pihakbagi user tidak ada kekhawatiran
incompatibility karena beda produk.
Layanan sekuritas dan mekanismenya yang disediakan oleh penyedia jaringan dan
layanan ditujukan untuk memproteksi terhadap berbagai gangguan serangan
sepert :
• Pencegahan akses layanan (Denial of Services (DoS))
• Penyadapan (eavesdropping)
• Lelucon (spoofing)
• Merusak pesan (memodifikasi, menunda/delay, menghapus/deletion,
menyisipkan/insertion, menjawab/reply, mengalihkan tujuan/rerouting,
menyesatkan tujuan /misrouting, menyusun ulang/reordering of messages).
3.5. Privilege Key Infrastructure (PKI) Rec.X.509 [3]
Public Key Infrastructure (PKI) menurut Rekomendasi ITU-T X.509
menyediakan standar otentikasi yang kuat (strong authentication) berdasarkan
sertifikasi kunci umum (public key) dan otoritas sertifikasi. PKI menyediakan
metoda dengan berbagai skalabilitas otentikasi dari pesan-pesan (messages)
pengguna telekomunikasi. Teknologi dasar dari PKI adalah kriptografi kunci
umum. Selanjutnya dalam rekomendasi X.509 juga menyediakan Privilege
Management Infrastructure (PMI), yang mendefinisikan suatu standar untuk
otorisasi berdasarkan atribut sertifikat dan atribut otoritas. PMI digunakan untuk
16
memastikan hak istimewa pengguna. Komponen PKI dan PMI masing-masing
dapat dilihat pada Gambar 4a dan 4b.
Gambar 4a. Komponen PKI [3]
Gambar 4b. Komponen PMI [3]
3.6. Secret dan Public Key Cryptography
Sistem kriptografi symmetric (atau secret key) merupakan sistem kriptografi
dimana kunci enciphering dan deciphering sama (Gambar 5a)
17
Gambar 5a. (Symmetric) Secret Key Encryption [3]
Dalam sistem kriptografi simetrik diperlukan inisiasi awal untuk menentukan satu
kunci yang sama (yang disepakati) dan didistribusikan ke tiap individu melalui
jalur yang aman.
Sistem kriptografi asymmetric (atau public key) melibatkan sepasang kunci, yaitu
kunci publik dan kunci privat seperti diperlihatkan pada Gambar 5b.
Gambar 5b. (Asymmetric) Public Key Encryption [3]
Kunci publik digunakan bersama, sementara kunci privat tetap merupakan kunci
rahasia perorangan. Kunci publik berbeda dengan kunci privat, sekalipun secara
matematis terdapat hubungan (korelasi) antara keduanya namun kunci privat tidak
dapat diturunkan dari kunci publik. Kunci publik terdistribusi secara luas misal
dalam smart card atau pada token. Di masa akan datang mungkin pada PDA.atau
mobile phone. Secara umum, jika akan mengirim data rahasia terenkripsi kepada
18
seseorang, maka data dienkripsi dengan public key kemudian didekripsi dengan
private key yang bersesuaian. Untuk mengirim data dengan otentikasi maka
pengirim mengekripsi data dengan private key, di sisi terima, penerima
mendekripsi data dengan public key yang bersesuaian. Namun metoda asimetrik
seperti ini terdapat kelemahan. Pertama enkripsi dengan public key adalah
pemborosan waktu komputasi, karenanya cara asimetrik ini kurang efisien untuk
mengenkripsi pesan (messages). Kedua, adalah tidak mungkin untuk merutekan
message yang terenkripsi karena intermediate node tidak dapat membaca alamat
penerima. Maka dari itu dalam praktek, enkripsi asimetrik hanya digunakan untuk
mengenkripsi bagian kecil dari message. Jika memang diperlikan konfidensial
pada message, maka gunakan enkripsi simetrik dan kunci simetrik terenkripsi
secara asimetrik dengan menggunakan kunci publik penerima. Jika diperlukan
otentikasi, maka message dicampur (hashed) dengan menggunakan fungsi hash
yang aman seperti SHA1 atau MD5, dan menghasilkan 160 atau 128 bit yang
terenkripsi secara asimetrik dengan menggunakan kunci privat pengirim yang
ditambahkan pada message (yang dikirimkan secara ) sebelum ditransfer.
Penambahan checksum kriptografi ini disebut digital signature yang kemudian
memegang peranan dalam electronic commerce. Kriptografi public key sangat
bergantung pada kebenaran private key yang dipegang pemilik dan yang
bersesuaian dengan public key. Jika Bob salah dalam public key yang dimilikinya
bersama dengan Alice, dan sebenarnya adalah merupakan public key dari private
key milik Jane, maka Bob akan punya keyakinan bahwa message merupakan tanda
tangan digital Jane yang datang dari Alice (yang memungkinkan Jane menyamar
sebagai Alice). Suatu saat jika Bob akan mengirim data rahasia kepada Alice, Jane
akan memungkinkan Jane meng-intercept (mencegat) message tsb dan melakukan
deciphering sementara Alice sendiri tidak dapat membaca message tsb. Karena itu
ini sangat penting seseorang untuk meyakinkan bahwa kunci publiknya adalah
benar merupakan kunci publiknya.
19
BBAABB IIVV
PPEENNUUTTUUPP
4.1. Kesimpulan
Dari pembahasan Bab III dapat disimpulkan bahwa :
1. Untuk antisipasi sistem pengamanan terhadap lalulintas informasi dalam
NGN, ITU-T telah melakukan antisipasi secara komprehensip yang
dituangkan dalambentuk rekomendasi-rekomendasi antara lain yang paling
penting adalah pada Rekomendasi X.805
2. Rekomendasi tersebut berupa kerangka acuan (model arsitektur dengan
konsep layering dan plane) dimaksudkan juga sebagai acuan (standarisasi)
khususnya bagi para vendor untuk menjaga interoperabilitas seperti halnya
konseplayering pada 7 lapis OSI
3. Poin-poin penting dalam rekomendasi X.805 tsb terkait dengan pengamanan
adalah :
a. Dimensi pengamanan
b. Titik kelemahan pengamanan pada NGN (vulnerability)
c. Jenis ancaman (threat)
d. Resiko (risk)
e. Persyaratan umum pengamanan (requirement)
4.2. Saran
Karena rekomendasi tersebut sifatnya universal dan masih dalam tahap-tahap
penyempurnaan maka perludilakukan penelitian-penelitian untuk
pengembangannya dalamimplementasi
20
Daftar Pustaka
[1]. Ji Li, Jie YuLin, Liyuan Fu, Tak Ching Sum, Cai yuhong, Bo Yang, Next
Generation Network Solution
[2]. Hasan Taufik, Berbagai Aspek dalam Implementasi NGN di Indonesia,
Seminar NGN, STT Telkom Bandung, 2004
[3]. ITU-T, Security in Telecommunications and Information Technology, 2003