1
Keamanan Informasi,
Kriptogragfi, dan Steganografi
Oleh: Dr. Rinaldi Munir
Kelompok Keilmuan Informatika
Sekolah Teknik Elektro dan Informatika ITB
Kuliah Umum di Universitas Islam Negeri Sultan Syarif Qasim, Kamis, 2 Juni 2016
Sekolah Teknik Informatika dan Elektro ITB
Prolog
Pernah terima surel (e-mail) dari orang
tak dikenal dan mengandung file attachmet berupa gambar seperti di bawah ini?
5
Stegosploit
aplikasi steganografi
Keamanan Informasi
Apakah keamanan informasi itu?
The U.S. Government’s National Information Assurance
Glossary defines INFOSEC as:
“Protection of information systems against unauthorized access to or modification of
information, whether in storage, processing or transit, and against the denial of service to
authorized users or the provision of service to unauthorized users, including those measures
Intinya, Keamanan Informasi menggambarkan
usaha untuk melindungi:
- sistem komputer (HW/SW)
- peralatan non-komputer
- fasilitas
- data dan informasi
dari penyalahgunaan oleh orang yang tidak
bertanggung jawab (unauthorized party)
Klasifikasi Keamanan
Informasi
[menurut David Icove]Fisik (physical security) Manusia (people /
personel security)
Data, media, teknik komunikasi
Kebijakan dan prosedur (policy and procedures)
Biasanya orang terfokus kepada masalah data, media, teknik komunikasi. Padahal kebijakan (policy) sangat penting!
11
Network security
fokus kepada saluran (media) pembawa
informasi
Application security
fokus kepada aplikasinya sendiri, termasuk di
dalamnya adalah database
Computer security
fokus kepada keamanan dari komputer (end
system), termasuk operating system (OS)
Klasifikasi Berdasarkan Elemen
Sistem
Internet Web Site Users ISP Network sniffed, attacked Network sniffed, attacked Network sniffed, attacked
Trojan horse - Applications
(database,
1. System (OS) 2. Network
3. Applications (db) Holes
Tujuan Keamanan Informasi *)
Menyediakan layanan:
Privacy / confidentiality
Integrity
Authentication
Availability
Non-repudiation
Access control
13Privacy / confidentiality
Melindungi informasi yang sensitif dan bersifat privat
Nama, tempat tanggal lahir, agama, hobby, riwayat
kesehatan, status perkawinan, nama anggota keluarga, nama orang tua, dll
Nilai mata kuliah, IPK, dll Data pelanggan
PIN, Password, catatan keuangan, pajak, dll Foto pribadi, video, arsip, file, soal ujian, dll
15
Integrity
Memastikan informasi tetap utuh,
tidak diubah/tidak dimodifikasi
Serangan:
Penerobosan pembatas akses,
spoofing (pemalsuan), virus
(mengubah berkas), trojan horse
Proteksi:
message authentication code
(MAC), digital signature, digital
certificate, hash function
Authentication
Meyakinkan keaslian data,
sumber data, orang yang mengakses
data, server yang digunakan
Bagaimana mengenali nasabah bank pada
servis Internet Banking? Lack of physical
contact
Menggunakan:
1. what you have (identity card) 2. what you know (password, PIN) 3. what you are (biometric identity)
17
Availability
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server: dibuat hang, down, crash,
lambat
Serangan: Denial of Service (DoS) attack
Proteksi: backup, firewall untuk proteksi serangan
Non-repudiation
Tidak dapat menyangkal (telah melakukan
transaksi)
menggunakan digital signature / certificates
perlu pengaturan masalah hukum (bahwa digital
signature sama seperti tanda tangan
19
Access Control
Mekanisme untuk mengatur siapa boleh
melakukan apa
biasanya menggunakan password, token
adanya kelas / klasifikasi pengguna dan data,
misalnya:
Publik Private
Confidential Top Secret
Malware, Adware, Spyware…
Malware: program berbahaya (malicious software) yang
tidak diinginkan, dapat merusak sistem komputer,
menghambat akses internet, bahkan mencuri informasi rahasia seperti password dan PIN.
Jenis-jenis malware:
- virus komputer, - trojan horse
Virus Komputer
Jenis malware yang menyerang file eksekusi (.exe atau
.com) yang akan menyerang dan menggandakan diri
ketika file exe/com yang terinfeksi dijalankan.
Menyebar dengan cara menyisipkan program dirinya
pada program atau dokumen yang ada dalam komputer.
Trojan Horse
Program yang diam-diam masuk ke komputer kita
dengan cara melekat pada program lain. Tujuannya untuk merusak sistem, memungkinkan orang lain mencuri informasi seperti password atau PIN.
Worm
Program komputer yang dapat menggandakan dirinya
secara sendiri di dalam sistem komputer.
Tidak seperti virus, sebuah worm dapat menggandakan
dirinya tanpa perlu mengaitkan dirinya dengan program lain dengan memanfaatkan jaringan (LAN/WAN/Internet)
Spyware
Program yang bertindak sebagai mata-mata untuk
mengetahui kebiasaan pengguna komputer dan mengirimkan informasi tersebut ke pihak lain.
Spyware biasanya digunakan oleh pihak pemasang iklan.
Adware
Iklan yang dimasukan secara tersembunyi oleh pembuat
program, biasanya pada program yang bersifat freeware untuk tujuan promosi atau iklan.
Phising
Bentuk penipuan untuk memperoleh informasi
pribadi seperti userID, password, ATM, kartu
kredit dan sebagainya melalui e-mail atau
website palsu yang tampak asli.
Dilakukan dengan menggunakan teknik social
31
Points to “bad” IP Address!
Kasus pemalsuan situs Bank BCÄ:
www.clickbca.com www.klickbca.com www.klik-bca.com
Keylogger
Program yang dapat memantau penekanan
tombol pada keyboard, sehingga orang lain
dapat mengetahui password dan informasi
apapun yang kita ketik.
Dapat tersedia dalam bentuk hardware dan
software
Kriptografi
Merupakan kakas (tool) sangat penting di dalam
keamanan informasi
Kata cryptography berasal dari bahasa Yunani:
krupto
(hidden atau secret) dan
grafh
(writing)
Artinya
“secret writing”
Kriptografi:
ilmu
dan
seni
untuk
menjaga
kerahasian pesan.
Enkripsi Plainteks Dekripsi Cipherteks Plainteks Kunci Kunci Kunci K Kunci K
Kirim senjata perang
P
Kirim senjata perang
P
Stype xouvatx kutreq
C
Enkripsi
E (P) = C
Dekripsi
Kriptografi mengamankan komunikasi data
dan informasi tersimpan
41
Kriptografi melindungi informasi dari kasus-kasus seperti di bawah ini:
1. Wikileaks: mengungkapkan dokumen-dokumen
rahasia negara dan perusahaan kepada publik melalui situs web
.
Dokumen yang dibocorkan:
1. Data Nasabah Bank Julius Baer
2. Surel Sarah Palin
3. Video Helikopter Apache
4. Perang Afganistan
5. Berkas Guantanamo
5. Dokumen Perang Irak
6. Kawat diplomatik Amerika Serikat
(Sumber: Wikipedia)
2.
Kasus penyadapan percakapan ponsel antaraArtalyta Suryani (Ayin) dan Kemas Yahya Rahman yang melibatkan Jaksa Urip Tri Gunawan tentang “dugaan” suap Rp 6 Milyar lebih.
Transkrip percakapan:
A: Halo.. K: Halo. A: Ya, siap.
K: Sudah dengar pernyataan saya (Soal penghentian penyelidikan kasus BLBI)? He…he…he
A: Bagus itu
K: Tapi saya dicaci maki. Sudah baca Rakyat Merdeka (surat kabar Rakyat Merdeka yang terbit di Jakarta)?
A: Aaah Rakyat Merdeka, mah nggak usah dibaca
K: Bukan, katanya saya mau dicopot ha..ha…ha. Jadi gitu ya… A: Sama ini Bang, saya mau informasikan
K: Yang mana?
A: Masalah si Joker.
K: Ooooo nanti, nanti, nanti.
A: Nggak, itu kan saya perlu jelasin, Bang K: Nanti, nanti, tenang saja.
A: Selasa saya ke situ ya…
K: Nggak usah, gampang itu, nanti, nanti. Saya sudah bicarakan dan sudah ada pesan dari sana. Kita…
A: Iya sudah
K: Sudah sampai itu A: Tapi begini Bang…
K: Jadi begini, ini sudah telanjur kita umumkan. Ada alasan lain, nanti dalam perencanaan
Algoritma kriptografi
DES (Data Encyption Standard)
AES
Blowfish
IDEA
GOST
Serpent
Steganografi
Prolog
Misalkan anda mempunyai data rahasia seperti
password.
Password:
T3knolo911nf0rmas1
Anda ingin menyimpan password tersebut
Cara I: Mengenkripsinya
Bidang KRIPTOGRAFI (cryptography)
49
T3knolo911nf0rmas1 Enkripsi %j>9*4$jd8)?hyt8
Dekripsi
%j>9*4$jd8)?hyt8 T3knolo911nf0rmas1
(plaintext) (clphertext)
T3knolo911nf0rmas1
51
Apa Steganografi itu?
Dari Bahasa Yunani: steganos + graphien
“
steganos
” (
στεγανός
): tersembunyi
“
graphien
” (
γραφία)
: tulisan
steganografi: tulisan tersembunyi (covered writing)
Steganography: ilmu dan seni menyembunyikan
pesan rahasia dengan cara menyisipkannya di
dalam media lain.
Perbedaan Kriptografi dan Steganografi
Kriptografi
: menyembunyikan isi (content) pesan
Tujuan: agar pesan tidak dapat dibaca oleh pihak
ketiga (lawan)
Steganografi
: menyembunyikan keberadaan
Sejarah Steganografi
Steganografi dengan media kepala budak (dikisahkan
oleh Herodatus, sejarawan Yunani pada tahun 440 BC di dalam buku: Histories of Herodatus).
Kepala budak dibotaki, ditulisi pesan dengan cara tato, rambut budak dibiarkan tumbuh, budak dikirim. Di
tempat penerima kepala budak digunduli agar pesan bisa dibaca.
55
Citra (image) atau Gambar
”Sebuah gambar bermakna lebih dari seribu kata”
Namun, di balik sebuah gambar dapat
tersembunyi informasi rahasia
57
Steganografi pada Gambar
#inlcude <stdio.h> int main() { printf(“Hello world”); return 0; }
59
Stego-image
GIF image
61
Cover image
Citra Digital
Citra terdiri dari sejumlah pixel. Citra 1200 x 1500 berarti
memiliki 1200 x 1500 pixel = 1.800.000 pixel
63
True color image
(24-bit) Grayscale image(8-bit) Bimary image(1-bit)
100100111001010010001010
Pada citra 24-bit (real image), 1 pixel = 24 bit, terdiri dari komponen RGB (Red-Green-Blue)
65
Metode Modifikasi LSB
Memanfaatkan kelemahan indra visual manusia dalam mengamati perubahan sedikit pada gambar
Caranya: Mengganti bit LSB pixel dengan bit data.
11010010
MSB LSB
Mengubah bit LSB hanya mengubah nilai byte satu lebih tinggi atau satu lebih rendah dari nilai sebelumnya tidak berpengaruh terhadap persepsi visual/auditori.
LSB = Least Significant Bit MSB = Most Significant Bit
Misalkan semua bit LSB pada citra berwarna dibalikkan Dari semula 0 menjadi 1; dari semula 1 menjadi 0
67
Sebelum Sesudah
Misalkan semua bit LSB pada citra grayscale dibalikkan Dari semula 0 menjadi 1; dari semula 1 menjadi 0
Metode Modifikasi LSB
Tinjau 1 buah pixel dari citra 24-bit (3 x 8 bit):
10000010 01111011 01110101
(130) (123) (117)
Bit bit-bit embedded message: 010
69 PESAN RAHASIA : KETEMUAN Di STASIUN KA MALAM JAM 13.00 0 00110011 10100010 11100010 01101111 111 00110010 10100011 11100011 01101111
Sumber: TA Yulie Anneria Sinaga 13504085
Pergeseran warna sebesar 1 dari 256 warna tidak dapat dilihat oleh manusia
Jika pesan = 10 bit, maka jumlah byte yang digunakan = 10 byte
Contoh susunan byte yang lebih panjang:
00110011 10100010 11100010 10101011 00100110 10010110 11001001 11111001 10001000 10100011
Pesan: 1110010111
Aplikasi Steganografi:
Digital Watermarking
Fakta
Jutaan gambar/citra digital bertebaran di internet via
email, website, bluetooth, dsb
Siapapun bisa mengunduh citra, meng-copy-nya,
menyunting, mengirim, memanipulasi, dsb.
Sekali citra diunduh/copy, referensi pemilik yang asli
hilang sebab informasi kepemilikan tidak melekat di dalam citra.
73
Karakteristik Dokumen Digital
Dokumen digital- citra (JPEG/GIF/BMP/TIFF Images) - audio (MP3/WAV audio)
- video (MPEG video)
- teks (Ms Word document)
Kelebihan dokumen digital (sekaligus kelemahannya):
Tepat sama kalau digandakan
75
Digital Watermarking
Digital Watermarking: penyisipan informasi (watermark)
yang menyatakan kepemilikan data multimedia
Watermark: teks, logo, audio, data biner (+1/-1), barisan
bilangan riil
Watermarking merupakan aplikasi steganografi Tujuan: memberikan perlindungan copyright
77
Cara Konvensional Memberi Label
Copyright
Label copyright ditempelkan pada gambar.
Kelemahan: tidak efektif melindungi copyright
sebab label bisa dipotong atau dibuang dengan
program pengolahan citra komersil (ex: Adobe
79
Teknik watermarking
Watermark disisipkan ke dalam data multimedia.
Watermark terintegrasi di dalam data
multimedia.
Kelebihan:
Jenis-jenis Watermarking
Fragile watermarking
Tujuan: untuk menjaga integritas/orisinilitas
media digital.
Robust watermarking
Fragile Watermarking
Watermark rusak atau berubah terhadap manipulasi
(common digital processing) yang dilakukan pada media.
Tujuan: pembuktian keaslian dan tamper proofing
83
(a) (b)
(c) (d)
Watermark rusak
Robust Watermarking
Watermark tetap kokoh (robust) terhadap manipulasi
(common digital processing) yang dilakukan pada media. Contoh: kompresi, cropping, editing, resizing, dll
Tujuan: perlindungan copyright
85
Original image
watermark
Watermarked image JPEG compression
Extracted watermark Extracted watermark Cropped image Noisy image Extracted watermark Extracted watermark Resized image + =
Robustness
Citra asli Citra ber-watermark
Citra ber-watermark dikompresi 75%
87
Data apa saja yang bisa
di-watermark?
Citra
Image Watermarking
Video
Video Watermarking
Audio
Audio Watermarking
Teks
Text Watermarking
Watermarking pada Citra
Visible Watermarking
89
91
Aplikasi watermark: Owner identification
Original work
Distributed
copy Watermarkdetector
Alice is owner!
Watermark
93
Aplikasi watermark: Proof of ownership
Original work Distributed copy Watermark detector Alice is owner! Watermark embedder Alice Bob
Aplikasi watermark: Transaction tracking
Original work Honest Bob Watermark B:Evil Bob did it! Watermark A Evil Bob Watermark B Alice95
Aplikasi watermark: Content authentication
Watermark
97
Compliant recorder Compliant player Legal copy Playback
control Record control
Aplikasi watermark: Copy control/Piracy Control
Watermark digunakan untuk mendeteksi apakah media digital dapat digandakan (copy) atau dimainkan oleh perangkat keras.
99
Watermark
embedder Watermarkdetector Broadcasting system Content was broadcast! Original content
Aplikasi watermark: Broadcast monitoring
Watermark digunakan untuk memantau kapan konten digital ditransmisikan melalui saluran penyiaran seperti TV dan radio.
Referensi
1. Mark Zimmerman, Information Security
2. Budi Rahardjo, Prinsip Keamanan, INDOCISC. 3. Rinaldi Munir, Bahan Kuliah Kriptografi
4. Raymond McLeod, Jr. and George P. Schell,
Information Security
5.
Komunikasi
E-mail:
rinaldi.munir@itb.ac.id
rinaldi-m@stei.itb.ac.id
Web:
http://informatika.stei.itb.ac.id/~rinaldi.munir
Blog:
http://rinaldimunir.wordpress.com
http://catatankriptografi.wordpress.com
Facebook:
http://www.facebook.com/rinaldi.munir