TESIS
ANONYMOUS AUTHENTICATION
DENGAN
SENTRALISASI
ACCESS CONTROL
PADA
PENYIMPANAN DATA DI
CLOUD
I GEDE TOTOK SURYAWAN
PROGRAM PASCA SARJANA
UNIVERSITAS UDAYANA
SENTRALISASI
ACCESS CONTROL
PADA
PENYIMPANAN DATA DI
CLOUD
I GEDE TOTOK SURYAWAN NIM 1491761014
PROGRAM MAGISTER
PROGRAM STUDI TEKNIK ELEKTRO
PROGRAM PASCA SARJANA
UNIVERSITAS UDAYANA
DENPASAR
ANONYMOUS AUTHENTICATION
DENGAN
SENTRALISASI
ACCESS CONTROL
PADA
PENYIMPANAN DATA DI
CLOUD
PERSYARATAN GELAR
Tesis untuk Memperoleh Gelar Magister
pada Program Magister, Program Studi Teknik Elektro, Program Pasca Sarjana Universitas Udayana
I GEDE TOTOK SURYAWAN NIM 1491761014
PROGRAM MAGISTER
PROGRAM STUDI TEKNIK ELEKTRO
PROGRAM PASCA SARJANA
UNIVERSITAS UDAYANA
DENPASAR
PENETAPAN PANITIA PENGUJI
Tesis Ini Telah Diuji pada Tanggal 9 Juni 2016
Panitia Penguji Tesis Berdasrkan SK Rektor Universitas Udayana, Nomor: 2562/UN.14.4/HK/2016, Tanggal 7 Juni 2016
Ketua : Ir. Linawati, MengSc, PhD
Anggota:
1. Dr. Ir. Made Sudarma, M.A.Sc
2. Prof. Ir. Ida Ayu Dwi Giriantari, M.Eng.Sc. Ph.D 3. Nyoman Pramaita, ST., MT., PhD
UCAPAN TERIMA KASIH
Pertama-tama perkenankanlah penulis memanjatkan puji syukur kehadapan Ida Sang Hyang Widhi Wasa/ Tuhan Yang Maha Esa, karena hanya atas asung wara nugraha-Nya tesis yang berjudul “Anonymous Authentication Dengan Sentralisasi Access Control Pada Penyimpanan Data Di Cloud”ini dapat diselesaikan.
Dalam penyusunan tesis ini, penulis banyak mendapatkan petunjuk dan bimbingan dari berbagai pihak. Sehubungan dengan hal tersebut pada kesempatan ini penulis ingin mengucapkan terima kasih dan penghargaan yang sebesar-besarnya kepada Ir. Linawati, M.Eng.Sc. PhD, selaku dosen pembimbing I yang telah banyak membantu dalam memberikan saran, motivasi, bimbingan selama mengikuti program magister, khususnya dalam penyelesaian tesis ini. Terimakasih sebesar-besarnya juga penulis sampaikan kepada Dr. Ir. Made Sudarma, M.A.Sc, selaku dosen pembimbing II yang telah banyak membantu dalam memberikan ide, saran, motivasi, bimbingan selama mengikuti program magister dan penyelesaian tesis ini.
Udayana. Tidak lupa pula penulis sampaikan terimakasih kepada Prof. Dr. Made Budiarsa, M.A., sebagai Asisten Direktur I Program Pasca Sarjana Universitas Udayana atas ijin yang diberikan kepada penulis untuk mengikuti pendidikan program magister.
Pada kesempatan ini, penulis juga menyampaikan rasa terima kasih kepada Prof. Ir. Ida Ayu Dwi Giriantari, M.Eng.Sc. Ph.D, sebagai Ketua Program Magister Program Studi Teknik Elektro Universitas Udayana sekaligus menjadi penguji dan memberikan masukan untuk perbaikan tesis ini. Ucapan terimakasih penulis sampaikan pula kepada para penguji tesis, yaitu Nyoman Pramaita, ST., MT., PhD, dan Dr. Nyoman Gunantara, ST., MT., yang telah memberikan masukan, saran, sanggahan, dan koreksi sehingga tesis ini dapat terwujud seperti ini. Penulis juga mengucapkan terima kasih sebesar-besarnya kepada Pemerintah Republik Indonesia c.q, Mentri Riset Teknologi dan Pendidikan Tinggi yang telah memberikan bantuan finansial dalam bentuk BPP-DN sehingga meringankan beban penulis dalam menyelesaikan studi ini.
Nanda tersayang, yang dengan penuh pengorbanan telah memberikan kesempatan kepada penulis untuk lebih berkonsentrasi menyelesaikan tesis ini.
Penulis menyadari bawa dalam penulisan tesis ini masih banyak kekurangan mengingat keterbatasan pengetahuan dan sumber yang penulis pakai. Untuk itu saran dari pembaca sangat penulis harapkan guna menyempurnakan tesis ini. Semoga Ida Sang Hyang Widhi Wasa/ Tuhan Yang Maha Esa selalu melimpahkan rahmat-Nya kepada semua pihak yang telah membantu pelaksanaan dan penyelesaian tesis ini, serta kepada penulis sekeluarga.
Denpasar, Juni 2016
ABSTRAK
ANONYMOUS AUTHENTICATION DENGAN SENTRALISASI ACCESS CONTROL PADA PENYIMPANAN DATA DI CLOUD
Penelitian ini membahas tentang metode kontrol akses sentralisasi baru pada penyimpanan data di cloud dengan menerapkan Anonymous Authentication. Penelitian ini bertujuan untuk mengetahui unjuk kerja anonymous authentication dengan sentralisasi access control pada penyimpanan data di cloud. Data - data yang disimpan di cloud merupakan data-data yang sensitif seperti catatan medis, data penelitian, data hasil studi, dan data user dalam media sosial yang disimpan dalam sistem cloud. Memastikan privasi dan keamanan data tersebut penting bagi pengguna untuk mempercayai penyedia layanan. Untuk mencapai itu, harus digunakan teknik otentikasi dan kontrol akses yang memadai.
Pada penelitian ini kontrol akses akan menggunakan metode Attribute-Based Access Control (ABAC), dimana kontrol akses akan diterapkan secara sentralisasi tetapi mendukung otentikasi anonim. Dalam skema yang diusulkan, cloud memverifikasi keaslian seri tanpa mengetahui identitas pengguna sebelum menyimpan data. Skema ini juga memiliki fitur tambahan kontrol akses di mana hanya pengguna sah dapat mendekripsi informasi yang tersimpan. Tujuanya adalah untuk mencegah serangan dan mendukung penciptaan, modifikasi, dan membaca data yang tersimpan di cloud. Prosses otentikasi akan menggunakan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signatur (ABS) dengan Key Distribution Center (KDC) sebagai manajemen user dan distribusi kunci.
Database dibuat menggunakan MySQL dengan tool phpMyAdmin versi 4.5.5.1 sebagai Database Management System. Aplikasi KDC Server dan Cloud Server dibuat menggunakan PHP Framework Laravel versi 5.2. Uji coba dilakukan menggunakan data hasil studi mahasiswa program studi Teknik Informatika STMIK STIKOM Indonesia tahun akademik 2013/2014. Pengujian dilakukan pada proses Anonymous Authentication user dengan KDC sebagai manajemen user dan distribusi kunci, proses enkripsi dan deskripsi file menggunakan algoritma ABE dan ABS, proses upload dan download file, serta proses perpindahan direktori file. Hasil penelitian menunjukan bahwa proses enkripsi dan deskripsi file dengan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signature (ABS) di Cloud Sever bisa dilakukan dengan cepat dengan rata-rata waktu enkripsi 4.2 detik untuk text file dengan ukuran 197byte-8116byte, sedangkan proses dekripsi menghabiskan waktu rata-rata 3.9 detik untuk file yang sama. Perbandingan ukuran file sebelum enkripsi dan setelah deskripsi memiliki ukuran yang sama. Key Distributtion Center(KDC) Server juga menunjukan unjuk kerja yang baik, hal ini dibuktikan dengan hasil percobaan yang dilakukan KDC server bisa mendistribusikan kunci ke user dalam waktu 4.6 detik.
ABSTRACT
ANONYMOUS AUTHENTICATION WITH CENTRALIZE ACCESS CONTROL OF DATA STORAGE IN CLOUD
Anonymous authentication will be very useful in some matters that require the protection of the privacy of users, as for example in the field of education to report incidents of plagiarism research, in the field of business to maintain and protect the rights of consumers, in government as a place of public complaints about the phenomenon-the phenomena of social as well as a complaint of corruption. This paper investigates the use Anonymous Authentication with centralized access control on data storage in the cloud.
This study was conducted to produce the design Anonymous Authentication on data storage in the cloud, to produce applications Anonymous Authentication on data storage in the cloud, and to know the performance Anonymous Authentication on data storage in the cloud.
In this research, the access control will use the method of Attribute-Based Access Control (ABAC), which would apply access control centralization but supports anonymous authentication. The authentication process will use an algorithm Attribute-Based Encryption (ABE) and Attribute-Based Signature (ABS) with the Key Distribution Center (KDC) as user management and key distribution.
Testing was conducted using academic data in a college. Tests carried out on the Anonymous Authentication user to the KDC as user management and key distribution, encryption and description files using algorithms ABE and ABS, the process of uploading and downloading files, as well as the process of moving the file directory.
The results showed that the encryption process and a description file with the algorithm Attribute-Based Encryption (ABE) and Attribute-Based Signature (ABS) in the Cloud Sever can be done quickly with the average time of encryption 4.2 seconds for a text file with a size 197byte-8116byte, while the decryption process spent an average of 3.9 seconds for the same file. Comparison of the size of the files before encrypting and after a description of the same size. Key Distribution Center (KDC) Server also showed a good performance, this is evidenced by the results of experiments conducted KDC server to distribute keys to the user in 4.6 seconds.
DAFTAR ISI
SAMPUL DALAM ... i
PERSYARATAN GELAR ... ii
PERSETUJUAN PEMBIMBING ... Error! Bookmark not defined. PENETAPAN PANITIA PENGUJI ... iv
PERNYATAAN KEASLIAN KARYA ILMIAH MAHASISWA ... Error! Bookmark not defined. BAB I PENDAHULUAN ... Error! Bookmark not defined.
1.1 Latar Belakang ... Error! Bookmark not defined.
1.2 Rumusan Masalah ... Error! Bookmark not defined.
1.3 Batasan Penelitian ... Error! Bookmark not defined.
1.4 Tujuan Penelitian ... Error! Bookmark not defined.
1.5 Keaslian Penelitian ... Error! Bookmark not defined.
BAB II KAJIAN PUSTAKA DAN LANDASAN TEORI . Error! Bookmark not defined.
2.1 Kajian Pustaka ... Error! Bookmark not defined.
2.2 Cloud Computing (Komputasi Awan) ... Error! Bookmark not defined.
2.3 Karateristik Cloud Computing ... Error! Bookmark not defined.
2.4 Model Layanan Cloud Computing ... Error! Bookmark not defined.
2.5 Model Penyebaran Cloud Computing ... Error! Bookmark not defined.
2.6 Aspek Keamanan Cloud Computing ... Error! Bookmark not defined.
2.7 Atributte Based Encryption (ABE) ... Error! Bookmark not defined.
2.8 Atributt Based Signature (ABS) ... Error! Bookmark not defined.
2.10 Kontrol Akses ... Error! Bookmark not defined.
BAB III METODE PENELITIAN ... Error! Bookmark not defined.
3.1 Rancangan Penelitian ... Error! Bookmark not defined.
3.1.1 Studi Awal ... Error! Bookmark not defined.
3.1.2 Desain Anonymous Authentication pada penyimpanan data di Cloud ... Error! Bookmark not defined.
3.1.3 Desain Anonymouse Authentication pada penyimpanan data di Cloud STMIK STIKOM Indonesia ... Error! Bookmark not defined.
3.2 Tempat dan waktu Penelitian ... Error! Bookmark not defined.
3.3 Sumber Data ... Error! Bookmark not defined.
3.4 Instrumen Penelitian ... Error! Bookmark not defined.
3.5 Skenario Pengujian ... Error! Bookmark not defined.
3.6 Jadwal Penelitian ... Error! Bookmark not defined.
BAB IV HASIL DAN PEMBAHASAN ... Error! Bookmark not defined.
4.1 Implementasi Anonymous Authentication .... Error! Bookmark not defined.
4.1.1 Pendaftaran dan aktivasi user ... Error! Bookmark not defined.
4.2 Implementasi Proses Enkripsi dan Deksripsi File ... Error! Bookmark not defined.
4.2.1 Create dan Enkripsi File ... Error! Bookmark not defined.
4.2.2 Share dan Deskripsi File ... Error! Bookmark not defined.
4.2.3 Upload, Share dan Download File ... Error! Bookmark not defined.
4.2.4 Membuat, Merubah dan Menghapus Direktori ... Error! Bookmark not defined.
4.2 Pengujian ... Error! Bookmark not defined.
4.3.1 Pengujian Fungsional... Error! Bookmark not defined.
4.3.2 Pengujian Unjuk Kerja Algoritma ABE, ABS dan KDC ... Error! Bookmark not defined.
BAB V KESIMPULAN DAN SARAN ... Error! Bookmark not defined.
5.1 Kesimpulan ... Error! Bookmark not defined.
5.2 Saran ... Error! Bookmark not defined.
DAFTAR GAMBAR
Gambar 1.1 Diagram Fishbone ... Error! Bookmark not defined.
Gambar 2.1 Authentication Service ... Error! Bookmark not defined.
Gambar 2.2 Ticket Granting Service ... Error! Bookmark not defined.
Gambar 3.1 Tahapan Penelitian ... Error! Bookmark not defined.
Gambar 3.2 Rancangan metode enkripsi dengan ABE ... Error! Bookmark not defined.
Gambar 3.3 Rancangan metode Penandatanganan dengan ABS Error! Bookmark not defined.
Gambar 3.4 Use Case Diagram KDC Server STMIK STIKOM Indonesia .. Error! Bookmark not defined.
Gambar 3.5 User Case DiagramCloud Server STMIK STIKOM Indonesia Error! Bookmark not defined.
Gambar 3.6 Activity Diagram Proses Registrasi dan Validasi User ... Error! Bookmark not defined.
Gambar 3.7 Activity Diagram Proses Membuat dan Enkripsi Text File ... Error! Bookmark not defined.
Gambar 3.8 Activity Diagram Proses Sharing dan Dekripsi File Error! Bookmark not defined.
Gambar 3.9 Activity Diagram Proses Upload dan Download File ... Error! Bookmark not defined.
Gambar 4.1 Halaman Utama KDC Server ... Error! Bookmark not defined.
Gambar 4.2 Halaman Utama Cloud Server ... Error! Bookmark not defined.
Gambar 4.3 Form Pendaftaran User di KDC Server ... Error! Bookmark not defined.
Gambar 4.4 User dengan Status Belum Diaktivasi Error! Bookmark not defined.
Gambar 4.5 Form untuk Membuat Textfile ... Error! Bookmark not defined.
Gambar 4.6 Daftar User Lain dan Ability File ... Error! Bookmark not defined.
Gambar 4.7. Kunci untuk Deskripsi File ... Error! Bookmark not defined.
Gambar 4.9. File Plaintext ... Error! Bookmark not defined.
Gambar 4.10 Menu Upload File ... Error! Bookmark not defined.
Gambar 4.11 Daftar File ... Error! Bookmark not defined.
Gambar 4.12 Private Directory File di Cloud Server ... Error! Bookmark not defined.
Gambar 4.13 Public Direktori File di Cloud Server ... Error! Bookmark not defined.
Gambar 4.14 Daftar User Lain dan Ability File (read only) Error! Bookmark not defined.
Gambar 4.15 Kunci untuk Deskripsi File ... Error! Bookmark not defined.
Gambar 4.16 DownloadFile ... Error! Bookmark not defined.
Gambar 4.17 Menu untuk Membuat Direktori ... Error! Bookmark not defined.
Gambar 4.18 Folder ... Error! Bookmark not defined.
Gambar 4. 19 Move file... Error! Bookmark not defined.
Gambar 4.20 Unjuk kerja KDC Server dalam melakukan distribusi kunci ... Error! Bookmark not defined.
Gambar 4.21 Unjuk kerja ABE dalam melakukan enkripsi file . Error! Bookmark not defined.
Gambar 4.22 Unjuk kerja ABS dalam melakukan deskripsi file Error! Bookmark not defined.
Gambar 4.23 Unjuk kerja Cloud Server dalam melakukan share file ... Error! Bookmark not defined.
Gambar 4.24 Hasil percobaan proses enkripi berupa Ciphertext File ... Error! Bookmark not defined.
Gambar 4.25 Hasil percobaan proses deskripsi berupa Plaintext File ... Error! Bookmark not defined.
DAFTAR TABEL
Tabel 2.1 Daftar Penelitian yang telah dilakukan .. Error! Bookmark not defined.
Tabel 3.1 Daftar Proses Pengujian Fungsional yang akan Dilakukan ... Error! Bookmark not defined.
Tabel 3.2 Daftar Pengujian Unjuk Kerja yang akan dilakukan .. Error! Bookmark not defined.
Tabel 3.3 Jadwal Penelitian ... Error! Bookmark not defined.
Tabel 4.1 Spesifikasi Web Hosting / Server ... Error! Bookmark not defined.
Tabel 4.2 Spesifikasi Client ... Error! Bookmark not defined.
Tabel 4.3 Skenario Test Case Pengujian Registrai User ... Error! Bookmark not defined.
Tabel 4.5 Skenario Test Case dengan data Pengujian Login KDC (Administrator) ... Error! Bookmark not defined.
Tabel 4.6 Skenario Test Case Pengujian Validasi User (Administrator) ... Error! Bookmark not defined.
Tabel 4.7 Skenario Test Case Pengujian Create Text File (User) ... Error! Bookmark not defined.
Tabel 4.8 Skenario Test Case Pengujian Enkripsi Text File (User) ... Error! Bookmark not defined.
Tabel 4.9 Skenario Test Case Pengujian Share File (User) . Error! Bookmark not defined.
Tabel 4.10 Skenario Test Case Pengujian Deskripsi Text File (User) ... Error! Bookmark not defined.
Tabel 4.11 Skenario Test Case Pengujian Upload File (User) ... Error! Bookmark not defined.
Tabel 4.12 Skenario Test Case Pengujian Download File (User) ... Error! Bookmark not defined.
Tabel 4.13 Skenario Test Case Pengujian Membuat Direktori (User) ... Error! Bookmark not defined.
Tabel 4.14 Skenario Test Case Pengujian Mengubah Nama Direktori (User) ... Error! Bookmark not defined.
Tabel 4.15 Skenario Test Case Pengujian Memindahkan File (User) ... Error! Bookmark not defined.
Tabel 4.16 Rekap Hasil Pengujian Pungsional ... Error! Bookmark not defined.
Tabel 4.17 Daftar percobaan enkripsi file di Cloud Server . Error! Bookmark not defined.
Tabel 4.18 Daftar hasil percobaan deskripsi file di Cloud Server ... Error! Bookmark not defined.
Tabel 4.19 Hasil percobaan Cloud Server dalam melakukan share file ... Error! Bookmark not defined.
DAFTAR SINGKATAN
SINGKATAN
ABE : Attribute Based Encryption,
ABS : Attribute Based Signature KDC : Key Distribution Center SOA : Service Oriented Architecture
KP-ABE : Key Police Attribute Based Encryption CP-ABE : Cipertext-Police-Attribute Based Encryption PKE : Public Key Encryption
DHT : Distributed Hash Table
IDS : Intrusion Detection System
MA-ABE : Multi Authority Attribute Based Encryption SaaS : Software as a Service
PaaS : Platform as a Service IaaS : Infrastructure as a Service MACs : Message Authentication Codes MD5 : Message Digest5
SHA : Scure Hash Algorithm
AS : Authentication Service
TGT : Ticket Granting Service
RADIUS : Remote Authentication Dial-in User Service
BAB I
PENDAHULUAN
1.1 Latar Belakang
Teknologi media penyimpanan data saat ini sudah memasuki era yang baru. Sebelumnya kita mengenal media penyimpanan data seperti hardisk dalam perangkat komputer atau flash disk yang fortable bisa dibawa kemana-mana, kini perkembangan teknologi telah menawarkan media penyimpanan data secara online yang dikenal dengan nama cloud storage. Cloude storage adalah sebuah teknologi media penyimpanan data digital yang memanfaatkan adanya server virtual sebagai media penyimpanan.
Teknologi cloude storage merupakan salah satu bagian layanan dari sistem komputasi awan atau yang lebih dikenal dengan cloud computing. Cloud computing merupakan konsep dasar adanya layanan cloud storage. Cloud computing adalah pemberian layanan host secara luas melalui internet. Secara prinsip, teknologi ini didasarkan pada kumpulan beberapa teknologi dari hasil riset sebelumnya seperti Service-Oriented Architecture (SOA), Distributed System, Grid Computing, dan virtualisasi yang kemudian dimodifikasi dan diperbaharui menjadi sebuah konsep baru serta dikemas sedemikian rupa menjadi sebuah model bisnis yang diberi nama
Meskipun keuntungan yang jelas, faktor penting dalam sistem cloud ini adalah penegakan mekanisme keamanan yang kuat untuk penyimpanan data, transfer dan pengolahanya di cloud. Terlebih data yang disimpan di cloud merupakan data-data yang sensitif seperti catatan medis dan data pengguna dalam sosial media yang disimpan dalam sistem cloud. Memastikan privasi dan keamanan data tersebut penting bagi pengguna untuk mempercayai penyedia layanan. Untuk mencapai itu, harus digunakan teknik otentikasi dan kontrol akses yang memadai. Sebagai contoh seorang mahasiswa hukum bernama Alice mau melaporkan kejadian malpraktek ke semua profesor di universitas x, unit penelitian di semua kampus di negaranya, dan mahasiswa hukum di provinsinya. Dia ingin tetap anonim dalam menyampaikan bukti malprakteknya, dan informasi dia simpan di cloud storage. Kontrol akses menjadi hal yang penting dalam kasus tersebut, sehingga hanya pengguna yang berhak yang bisa mengakses data. Penting juga untuk memastikan bahwa informasi berasal dari sumber yang terpercaya. Masalah kontrol akses, otentikasi, dan perlindungan privasi harus diselesaikan bersamaan (Suhmita Ruj dan Amiya Nayak 2014).
dibutuhkan, dan secara lengkap menghapus hak-hak ketika user berhenti dari perusahaan, atau dipindahkan ke bagian lain. Sedangkan decentralized & distributed access control memberikan kontrol akses pada orang-orang lebih dekat pada sumber daya. Maksudnya adalah siapa yang memahami lebih baik yang dapat dan tidak dapat mengakses ke file, data , dan sumber daya tertentu. Seringkali manajer fungsional yang memberikan hak kontrol akses pada bawahannya. Alasan organisasi menerapkan model desentralisasi ini adalah karena manajer biasanya memiliki penilaian yang lebih baik pada penentuan user yang dapat mengakses sumber daya berbeda, dan tidak diperlukan persyaratan bisnis yang mencantumkan kontrol ketat melalui lembaga terpusat.
yang unik ke cloud dimana identitas itu hanya dimiliki oleh satu pengguna saja dan tidak mungkin dimiliki oleh pengguna yang lain. Sedangkan data pengguna selengkapnya disimpan di server yang berbeda.
Salah satu penelitian tentang cloud computing yang menerapkan centralized access control dilakukan oleh Luchi Sulistyowati, Wiwin Sulistyo, Teguh Indara Bayu (2012). Dalam penelitianya menerapkan layanan infrastructure as a service cloud computing. Hasil penelitian menunjukan penerapan teknologi cloud computing dengan layanan infrastructure as a service dapat menopang kinerja penyediaan web server. Sedangan G.Gayathri Nikhila, A.Bhuvana Pramida,
P.Jyothsna3, K.Lavanya, (2014) dalam penelitianya yang berjudul “Anonymous
Authentication of data storage in cloud computing administration with
Decentralized Access”mengusulkan suatu teknik penyimpanan data di awan model desentralisasi menggunakan algoritma Key Police Attribute Based Encryption (KP-ABE). Hasil peneltian menunjukan bahwa metode yang diusulkan sangat produktif dan aman.
Algoritma ABE akan digunakan untuk proses otentikasi dengan memverfikasi keabsahan atribut unik (token) dari pengguna, sebelum pengguna menerima layanan dari cloud. Dimana cloud akan memberi layanan registrasi token, dan upload / download dokumen. Data pengguna secara detail akan disimpan di KDC, sehingga KDC memberikan fasilitas layanan kepada pengguna berupa registrasi data pengguna, dan pendistribusian kunci kepada pengguna. Dimana kunci yang distribusikan terdiri dari kunci untuk enkripsi/deskripsi dan kunci untuk penandatanganan dokumen. Dimana proses penandatanganan dokumen merupakan penerapan dari algoritma ABS. Dengan adanya KDC sebagai manajemen distribusi kunci makan anonymouse authentication pada cloud bisa diterapkan, dimana cloud bisa memverfikasi keabsahan pengguna tanpa mengetahui identitas penggunanya.
1.2 Rumusan Masalah
Berdasarkan latar belakang masalah yang telah diuraikan sebelumnya, rumusan masalah yang menjadi inti dari penelitian ini adalah “Bagaimana unjuk kerja algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signature (ABS) dengan Key Distributtion Center (KDC) sebagai manajemen distribusi kunci dalam menerapkan Anonymous Authentication pada penyimpanan data di cloud”?.
1.3 Batasan Penelitian
1. Walaupun proses otentikasi anonim akan diterapkan pada penyimpanan data di cloud, namun dalam penelitian ini tidak akan melakukan kajian tentang prosses pembangunan penyimpanan data di cloud.
2. Proses otentikasi dengan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signature (ABS) akan diterapkan pada data yang sama.
1.4 Tujuan Penelitian
Tujuan dari penelitian ini adalah mengetahui unjuk kerja anonymous authentication dengan sentralisasi akses control pada penyimpanan data di cloud.
1.5 Keaslian Penelitian
Penelitian yang sejenis sebelumnya telah dilakukan oleh G.Gayathri Nikhila, A.Bhuvana Pramida, P.Jyothsna3, K.Lavanya, (2014) dalam penelitianya
yang berjudul “Anonymous Authentication of data storage in cloud computing
administration with Decentralized Access”mengusulkan suatu teknik penyimpanan data di cloud model desentralisasi menggunakan algoritma Key Police Attribute Based Encryption (KP-ABE). Hasil peneltian menunjukan bahwa metode yang diusulkan sangat produktif dan aman.
(CP-ABE), dan Public Key Encryption (PKE). Dalam satu jurnal disebutkan bahwa performance analisis dari ABE mampu mengurangi biaya criptograpy sebesar 98% dari model sebelumnya.
Dr. Rama Sushil dan Jyoti Chaudhary (2015) dalam penelitianya yang
berjudul “Cloud Forensics: Need for an Enhancement in Intrusion Detection
System”. Menyajikan dan mengevaluasi tantangan yang ditimbulkan oleh dunia forensik dan peluang di dalamnya. Juga menyajikan berbagai implementasi Distributed Hash Table (DHT) Routing yang digunakan dalam Intrusion Detection System pada Cloud Forensics. Implementasi DHT Routing seperti CORD dan Pastry memiliki banyak ruang untuk perbaikan di masa depan dan banyak pekerjaan yang harus dilakukan dalam bidang ini untuk membuat dasar IDS kuat.
Dari uraian tersebut belum ada penelitian tentang cloud yang menerapkan konsep sentralisasi dan otentikasi anonim, menggunakan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signatur (ABS) dengan Key Distributtion Center (KDC) sebagai manajemen distribusi kunci yang diterapkan pada sekolah tinggi. Penelitian lain tentang komputasi cloud yang menerapkan konsep anonim akan dipaparkan pada kajian ustaka. Berikut (Gambar 1.1) adalah diagram Fishbone dari penelitian ini.
BAB II
KAJIAN PUSTAKA DAN LANDASAN TEORI
2.1 Kajian Pustaka
Penelitian tentang cloud computing khususnya dengan anonymous authentication telah beberapa kali dilakukan sebelumnya. Sushmita (2014) dalam penelitianya menerapkan desentralisasi akses kontrol dengan Anonymous Authentication menggunakan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signatur (ABS) pada penyimpanan data di awan, dimana manajemen kunci dengan menerapkan beberapa Key Distribution Center (KDC). Dengan menerapkan ABE, ABS dan KDC sebagai manajemen kunci memungkinan untuk melakukan otentikasi anonim dimana cloud akan memverifikasi pengguna tanpa mengetahui identitasnya.
G.Gayathri Nikhila, A.Bhuvana Pramida, P.Jyothsna3, K.Lavanya, (2014) dalam penelitianya yang berjudul “Anonymous Authentication of data storage in
cloud computing administration with Decentralized Access” mengusulkan suatu teknik penyimpanan data di awan model desentralisasi menggunakan algoritma Key Police Attribute Based Encryption (KP-ABE). Hasil peneltian menunjukan bahwa metode yang diusulkan sangat produktif dan aman.
beberapa jurnal meliputi : Key Police Attribute Based Encryption (KP-ABE), Attribute-Based Encryption (ABE), Cipertext-Police-Attribute Based Encryption (CP-ABE), dan Public Key Encryption (PKE). Dalam satu jurnal disebutkan bahwa performance analisis dari ABE mampu mengurangi biaya criptograpy sebesar 98% dari model sebelumnya.
Sowmiya Murthy (2014) dalam penelitianya melakukan analisis terhadap algoritma Paillier Public Key Cryptosystem dan 3DES dalam komputasi awan dengan Anonymous Authentication dan Automatic File Recover. Analisis performance dilakukan dengan membandingkan kecepatan proses enkripsi dan deskripsi dari algoritma Paillier Public Key Cryptosystem dan 3DES. Pengujian dilakukan dengan menggunakan enam buah data sebagai input yang
masing-masing berukuran 3kb, 5kb, 7kb, 11kb, 16kb, dan 21kb. Hasil pengujian menunjukan bahwa Algoritma Paillier memiliki performa yang lebih tinggi daripada algoritma 3DES.
V.R.Mani Megalai, R.Mekala M.E.Ph.D (2014) dalam penelitianya yang berjudul“A Literature Survey on Decentralized Access Control with Anonymouse Authentication of Data Stored in Cloud Using KDC” Melakukan survei terhadap
beberapa jurnal yang menerapkan desentralisasi akses kontrol dengan otentikasi anonim pada penyimpanan data di awan. Algoritma yang digunakan meliputi : Fuzzy Identity-Based Encryption, Attribute-Based Encryption (ABE), Cipertext-Police-Attribute Based Encryption (CP-ABE), Multi-Authority Attribute Based Encryption, Decentralizing-ABE, Outsourcing the Decryption of ABE Ciphertexts.
memungkinkan hanya menggunakan satu KDC. Skema ini rentan terhadap replay attack, sehingga diusulkan skema baru dengan menerapkan beberapa KDC yang tersebar di beberapa negara.
Priyanka Palekar, Abhijeet Bharate, dan Nisar Anjum (2014) mengusulkan desentralisasi akses kontrol untuk penyimpanan data di awan menggunakan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signature (ABS). Cloud tidak mengetahui informasi pengguna, cloud hanya melakukan verfikasi terhadap pengguna melalui user credentials. Manajemen distribusi kunci dilakukan dengan desentralisasi.
Shubhangi Thorat, Pratibha Ingle, Deepali Musale (2015) dalam penelitianya yang berjudul “Cloud Based Intra-College Information
Communication With Bluetooth Attendance System Using Mobile Clients”
mengajukan metode perancangan sistem jaringan chatting intra kampus berbasis teknologi Cloud Computing. Dengan mengimplementasikan layanan Software as a Service (SaaS) untuk komunikasi intra kampus.
Dr. Rama Sushil dan Jyoti Chaudhary (2015) dalam penelitianya yang berjudul “Cloud Forensics: Need for an Enhancement in Intrusion Detection
System”. Menyajikan dan mengevaluasi tantangan yang ditimbulkan oleh dunia
forensik dan peluang di dalamnya. Juga menyajikan berbagai implementasi DHT routing yang digunakan dalam Intrusion Detection System pada cloud forensics. Implementasi DHT Routing seperti CORD dan Pastry memiliki banyak ruang untuk perbaikan di masa depan dan banyak pekerjaan yang harus dilakukan dalam bidang ini untuk membuat dasar IDS kuat.
Luchi Sulistyowati, Wiwin Sulistyo, Teguh Indara Bayu (2012) menerapkan layanan Infrastructure as a Service (IaaS) cloud computing untuk menopang kinerja penyediaan web service. Telah dilakukan uji coba lima instance dapat berjalan dengan sempurna dan dapat diimplementasikan test site oleh masing-masing client. Untuk menjalankan instance membutuhkan waktu masing-masing lima menit untuk segala macam tipe VM. Untuk penggunaan memori hanya meningkat tajam saat server dua tidak ada instance hingga ada satu instance yang berjalan dari 496 MB s.d 3086 MB, tetapi untuk pemakaian berikutnya tidak ada peningkatan pemakaian memori. Terjadi peningkatan pada pemakaian disk storage rata-rata 2,1GB pada setiap instance dengan tipe VM yang berbeda. Kemampuan untuk menanggung beban pada setiap tipe instance mencapai 5000 client secara bersama.
Berikut ini Tabel 2.1 menunjukan daftar penelitian mengenai Cloud Computing khususnya yang menerapkan ontentikasi anonim.
Tabel 2.1 Daftar Penelitian yang telah dilakukan
No. Judul, Peneliti, Tahun Penelitian Katagori Otentikasi Metode Deskripsi / Hasil / Kesimpulan
1 Decentralized Access Control with Anonymous
Authentication of Data Stored in Clouds. Sushmita Ruj (2014)
Desentralisasi Anonim Attribute-Based Encryption (ABE) dan Attribute-Based Signatur (ABS)
Mengusulkan teknik desentralisasi dalam penyimpanan data di awan, proses enkripsi menggunakan ABE & ABS, distribusi kunci dilakukan dengan cara desentralisasi menggunakan KDC.
2 Anonymous Authentication of data storage in cloud computing administration with
Decentralized Access. G.Gayathri Nikhila, A.Bhuvana Pramida, P.Jyothsna3, K.Lavanya, (2014)
Desentralisasi Anonim Key Police Attribute Based
Encryption (KP-ABE) Mengusulkan penyimpanan data di awan model desentralisasi, prosses enkripsi menggunakan KP-ABE. Hasil penelitian menunjukan bahwa metode yang diusulkan sangat produktif dan aman.
3 Design and Implementation of User Anonymity and Authentication Scheme for Decentralized Access Control in Clouds: Review. Pooja R. Vyawhare, Namrata D. Ghuse (2014)
Desentralisasi Anonim KP-AB, ABE, Cipertext-Police-Attribute Based Encryption (CP-ABE), Public Key Encryption (PKE)
Meriview beberapa jurnal yang
No. Judul, Peneliti, Tahun Penelitian Katagori Otentikasi Metode Deskripsi / Hasil / Kesimpulan
4 Criyptographic Secure Cloude Storage Model with Anonymous Authentication and Automatic File Recover.Sowmiya Murthy (2014)
Desentralisasi Anonim Homomorphic Encription Achema, Paillier Public Key Cryptosystem
Mengusulkan metode keamanan dan
penyimpanan data pada komputasi awan, dengan otentikasi anonim menggunakan Digital Signature Based Authentication Schema (Paillier Public Key Cryptosystem). Hasil penelitian menunjukan bahwa Algoritma Paillier menunjukan performa yang lebih tinggi daripada algoritma 3DES
5 A Literature Survey on Decentralized Access Control with Anonymouse Authentication of Data Stored in Cloud Using KDC. V.R.Mani Megalai, R.Mekala M.E.Ph.D (2014)
Desentralisasi Anonim Fuzzy Identity-Based Encryption, ABE, CP-ABE,
Mensurvey beberapa jurnal tentang komputasi awan. Hasil survey menunjukan beberapa jurnal menggunakan pendekatan terpusat dan memungkinkan hanya menggunakan satu KDC. Schema ini rentan terhadap replay attack, sehingga diusulkan schema baru dengan menerapkan beberapa KDC yang tersebar di
Desentralisasi Anonim Attribute-Based Encryption (ABE) dan Attribute-Based Signatur (ABS)
Mengusulkan skema akses kontrol
desentralisasi untuk penyimpanan data di awan
7 Cloud Based Intra-College
Information Communication With Bluetooth Attendance System Using Mobile Clients. Shubhangi Thorat, Pratibha Ingle, Deepali Musale (2015)
Sentralisasi Tidak
Anonim Message Authentication Codes (MACs), SHA and SHA-
No. Judul, Peneliti, Tahun Penelitian Katagori Otentikasi Metode Deskripsi / Hasil / Kesimpulan
8 Securing Personal Health Records in Cloud using Attribute Based Encryption. Priyanka Korde, Vijay Panwar, Sneha Kalse (2013)
Sentralisasi Tidak
Anonim Advanced Encryption Standard (AES), dan Message Digest5 (MD5)
Mengusulkan teknik keamanan data Personal Health Records pada cloud menggunakan AES untuk enkripsi data MD5 untuk enkripsi password.
9 Cloud Forensics: Need for an Enhancement in Intrusion Detection System. Dr. Rama Sushil dan Jyoti Chaudhary (2015)
Menyajikan dan mengevaluasi tantangan yang ditimbulkan oleh dunia forensik dan peluang di dalamnya. Juga menyajikan berbagai implementasi DHT routing yang digunakan dalam Intrusion Detection System pada cloud forensics
10 Implementasi Cloud Computing sebagai Infrastructure as a Service untuk penyediaan Web Server. Luchi Sulistyowati, Wiwin Sulistyo, Teguh Indara Bayu (2012)
Sentralisasi Tidak
Anonim PPDIOO (Prepare, Plan, Design, Implement, Operate, Optimize)
Penerapan layanan Infrastructure as a Service cloud computing untuk menopang kinerja penyediaan web server.
11 Implementasi Cloud Computing dalam Mendukung Riset di Lingkup Puslitbang
Sumberdaya Laut dan Pesisir
Kementerian Kelautan dan
Perikanan. Eva Mustika Sari (2011)
Sentralisasi Tidak
Tabel 2.2 Matrik Kebaharuan
Decentralized Access Control with Anonymous Authentication of Data Stored in Clouds. Sushmita Ruj (2014)
√ √
Anonymous Authentication of data storage in cloud computing administration with Decentralized Access. G.Gayathri Nikhila, A.Bhuvana Pramida, P.Jyothsna3, K.Lavanya, (2014)
√ √
Design and Implementation of User Anonymity and Authentication Scheme for Decentralized Access Control in Clouds: Review. Pooja R. Vyawhare, Namrata D. Ghuse (2014)
√ √
A Literature Survey on Decentralized Access Control with Anonymouse Authentication of Data Stored in Cloud Using KDC. V.R.Mani Megalai, R.Mekala M.E.Ph.D (2014)
√ √
A Secure Decentralized Access Control Scheme for Data stored in Clouds. Priyanka Palekar, Abhijeet Bharate, Nisar Anjum. (2014)
√ √
A Secure Decentralized Access Control Scheme for Data stored in Clouds. Priyanka Palekar, Abhijeet Bharate, Nisar Anjum. (2014)
√ √
Cloud Based Intra-College Information Communication With Bluetooth Attendance System Using Mobile Clients. Shubhangi Thorat, Pratibha Ingle, Deepali Musale (2015)
Tabel 2.2 Matrik Kebaharuan (Lanjutan) Judul Jurnal Ilmiah, Peneliti, Tahun
Penelitian
Securing Personal Health Records in Cloud using Attribute Based Encryption. Priyanka Korde, Vijay Panwar, Sneha Kalse (2013)
√ √
Implementasi Cloud Computing sebagai Infrastructure as a Service untuk penyediaan Web Server. Luchi Sulistyowati, Wiwin Sulistyo, Teguh Indara Bayu (2012)
√ √
Implementasi Cloud Computing dalam Mendukung Riset di Lingkup Puslitbang
Sumberdaya Laut dan Pesisir
Kementerian Kelautan dan
Perikanan. Eva Mustika Sari (2011)
√ √
Anonymous Authentication dengan Sentralisasi Access Control pada Penyimpanan Data di Cloud. IG. Totok Suryawan (2015)
√ √ √ √
Dari kajian pustaka yang dilakukan belum ada penelitian tentang komputasi awan yang menerapkan konsep sentralisasi dan otentikasi anonim, menggunakan algoritma Attribute-Based Encryption (ABE) dan Attribute-Based Signatur (ABS) dengan Key Distributtion Center (KDC) sebagai manajemen distribusi kunci yang diterapkan pada sekolah tinggi.
2.2 Cloud Computing (Komputasi Awan)
komputasi yang memberikan layanan kepada pengguna dengan "hanya membayar untuk penggunaan". Teknologi semacam ini membantu pengguna dalam menangani sumber daya secara efektif di tempat. Pengguna tidak perlu investasi inprastruktur yang menghabiskan biaya yang tinggi. Pengguna cukup dengan membeli layanan yang disediakan cloud computing sesuai dengan kebutuhan.
2.3 Karateristik Cloud Computing
Lima karakteristik penting dari cloud computing (K. Padmini 2015) yaitu :
1. On-demand self-service.
Konsumen dapat menentukan kemampuan komputasi secara sepihak, seperti server time dan network storage, secara otomatis sesuai kebutuhan tanpa memerlukan interaksi manusia dengan masing-masing penyedia layanan.
2. Broad network access.
Kemampuan yang tersedia melalui jaringan dan diakses melalui mekanisme standar yang mengenalkan penggunaan berbagai platform (misalnya, telepon selular, tablets, laptops, dan workstations).
3. Resource pooling.
Contoh sumberdaya termasuk penyimpanan, pemrosesan, memori, bandwidth jaringan, dan mesin virtual.
4. Rapid elasticity.
Kemampuan dapat ditetapkan dan dirilis secara elastis, dalam beberapa kasus dilakukan secara otomatis untuk menghitung keluar dan masuk dengan cepat sesuai dengan permintaan. Untuk konsumen, kemampuan yang tersedia yang sering kali tidak terbatas dan kuantitasnya dapat disesuaikan setiap saat.
5. Measured Service.
Sistem cloud computing secara otomatis mengawasi dan mengoptimalkan penggunaan sumber daya dengan memanfaatkan kemampuan pengukuran (metering) pada beberapa tingkat yang sesuai dengan jenis layanan (misalnya, penyimpanan, pemrosesan, bandwidth, dan account pengguna aktif). Penggunaan sumber daya dapat dipantau, dikendalikan, dan dilaporkan sebagai upaya memberikan transparansi bagi penyedia dan konsumen dari layanan yang digunakan.
2.4 Model Layanan Cloud Computing
Secara umum ada tiga jenis layanan yag diberikan oleh cloud computing (Dr. Rama Sushil dan Jyoti Chaudhary 2015) diantaranya;
1. Software as a Service (SaaS)
email publik (Gmail, YahooMail, Hotmail, dsb), social network (Facebook, Twitter, dsb) instant messaging (YahooMessenger, Skype, GTalk, dsb).
2. Platform as a Service (PaaS)
Adalah layanan dari Cloud Computing dimana kita menyewa “rumah” berikut lingkungan-nya (sistem operasi, network, databbase engine, framework aplikasi, dll), untuk menjalankan aplikasi yang kita buat. Kita tidak perlu pusing untuk menyiapkan “rumah” dan memelihara “rumah” tersebut. Yang penting aplikasi yang kita buat bisa berjalan dengan baik di “rumah” tersebut. Untuk
pemeliharaan “rumah” ini menjadi tanggung jawab dari penyedia layanan. Contoh
penyedia layanan PaaS ini adalah: Amazon Web Service, Windows Azure, bahkan tradisional hosting-pun merupakan contoh dari PaaS.
3. Infrastructure as a Service (IaaS)
2.5 Model Penyebaran Cloud Computing
Empat model penyebaran cloud computing (K.Padmi 2015 ), yaitu:
Infrastruktur cloud yang semata-mata dioperasikan bagi suatu organisasi. Ini mungkin dimiliki,dikelola dan dijalankan oleh suatu organisasi, pihak ketiga atau kombinasi dari beberapa pihak dan mungkin ada pada on premis atau off premis.
1. Community cloud.
Infrastruktur cloud digunakan secara bersama oleh beberapa organisasi dan mendukung komunitas tertentu yang telah berbagi concerns (misalnya; misi, persyaratan keamanan, kebijakan, dan pertimbangan kepatuhan). Ini mungkin dikelola oleh organisasi atau pihak ketiga dan mungkin ada pada on premis atau off premis.
2. Public cloud.
Infrastuktur cloud yang disediakan untuk umum atau kelompok industri besar dan dimiliki oleh sebuah organisasi yang menjual layanan cloud.
3. Hybrid cloud.
Infrastruktur cloud merupakan komposisi dari dua atau lebih cloud (swasta, komunitas, atau publik) yang masih entitas unik namun terikat bersama oleh standar atau kepemilikan teknologi yang menggunakan data dan portabilitas aplikasi (e.g., cloud bursting for load-balancing between clouds).
2.6 Aspek Keamanan Cloud Computing
Beberapa aspek yang berkaitan dengan keamanan dan privasi di yang harus diperhatikan adalah sebagai berikut :
Organisasi yang mulai mengadopsi cloud tetap harus bertanggung jawab untuk aspek manajemen keamanan, resiko, dan ketaatan terhadap aturan yang berlaku di industri terkait. Manajemen resiko dan ketaatan ini membutuhkan tim internal yang kuat dan transparansi proses dari penyedia jasa cloud.
Rekomendasi : Penyedia jasa cloud harus menggunakan beberapa framework atau best practice seperti MOF, atau ITIL, dan memiliki sertifikasi seperti ISO/IEC 27001:2005, dan mempublikasikan laporan audit ke SAS 70 type II. Selain itu juga disesuaikan dengan ketentuan dan kebijakan suatu negara. 2. Manajemen Akses dan Identitas
Identitas bisa didapat melalui beberapa penyedia jasa cloud, dan harus bersifat interoperabelitas antar organisasi yang berbeda, penyedia cloud yang berbeda, dan berlandaskan proses yang kuat.
Rekomendasi : Autentikasi yang disarankan adalah menggunakan beberapa faktor sekaligus, seperti biometric, one time password token (seperti token BCA), kartu ID dengan chip, dan password.
3. Inntegritas Layanan
manajemen keamanan dan auditing harus selaras antara penyedia cloud dan pelanggan.
Rekomendasi : Gunakan sertifikasi semacam EAL4+ (untuk evaluasi keamanan), SDL (untuk pengembangan aplikasi), ISO/IEC 18044 (untuk incident response).
4. Integritas Klien
Layanan cloud yang digunakan di sisi klien harus memperhatikan aspek keamanan, ketaatan, dan integritas di sisi klien. Integritas klien bisa ditingkatkan dengan menggunakan paduan praktek terbaik.
Rekomendasi : Perkuat sistem desktop, pastikan kesehatan sistem desktop, terapkan IT policy yang tepat, federasi identitas, Network Access Protection dan sebagainya.
5. Proteksi Informasi
Layanan cloud membutuhkan proses yang andal untuk melindungi informasi sebelum, selama, dan setelah transaksi. Manfaatkan Klasifikasi Data untuk meningkatkan kontrol terhadap data yang siap dilepas ke cloud.
Rekomendasi : Gunakan teknologi enkripsi dan manajemen hak informasi (IRM) sebelum data dilepas ke cloud.
2.7 Atributte Based Encryption (ABE)
Distribution by KDC, Encryption by Sender, dan Descryption by Receiver. Berikut adalah detail prosesnya :
2.7.1 System Initialization
Pilih sebuah prime q, bangkitkan g dari G0, kelompokan G0 dan GT dari permintaan q, petakan sebuah e: G0 x G0 GT, dan gabungan fungsi H: {0,1} * G0 dimana pemetaan itu mengidentifikasi user untuk G0. Fungsi yang digunakan disini adalah SHA-1. Setiap KDC Aj ϵ A memiliki sebuah set atribut Lj. Atribut menguraikan (Li ∩ Lj = ø for i ≠ j). Setiap KDC juga memilih dua exponen acak αi, yi ϵ ʑq. Private Key dari KDC Aj adalah
SK[j] = {αi, yi, i ϵ Lj}. Public Key dari KDC Aj diterbitkan
PK[j] = {e(g,g) αi, gyi, i ϵ Lj}.
2.7.2 Key Generation and Distribution by KDC
User Uu menerima sebuat set atribut I[j,u] dari KDC Aj, dan sesuai dengan Private Key ski,u untuk setiap i ϵ I[j,u]
ski,u = g αi H(u)yi,
dimana αi , yi ϵ SK[j]. Perhatikan bahwa semua key yang dikirimkan ke user aman menggunakan Public Key dari user, sehingga hanya user tersebut yang bisa melakukan deskripsi menggunakan Private Key.
2.7.3 Encryption by Sender
1. Pilih sebarangan sumber s ϵ ʑq sebuah random vektor ⱴ ϵ ʑhq, dengan s sebagai masukan pertama; h adalah jumlah leaves di access tree (sama dengan jumlah baris pada koresponden matrik matrix R).
2. Hitung λx = Rx . ⱴ, dimana Rx adalah baris dari R.
3. Pilih sebuah random vector w ϵʑhq dengan 0 sebagai masukan pertama. 4. Hitung wx = Rx . w.
5. Untuk setiap bari Rx dari R, pilih sembarang ρx ϵʑq. 6. Hitung parameter berikut:
C0 = MSGe(g,g)s,
C1,x = e(g,g)λx e(g,g) απ(x)ρx, Áχ; C2,x = gρÁχ;
C3,x = gyπ(x)ρx gwx Áχ,
dimana π(x) adalah pemetaan dari Rx untuk atribut i yang terletak pada koresponden leaves dari access tree.
7. Untuk ciphertext C dikirim oleh pengirim (dan juga termasuk access tree melalui matrik R):
C = ‹R, π, C0, {C1,x, C2,x, C3,x, Áχ }›
2.7.4 Descryption by Receiver
1. Uu menghitung kebutuhan sebagai input dari set atribut {π(x) : x ϵ X} ∩ Iu yang umum untuknya dan matrik akses. X adalah set baris dari R.
2. Untuk setiap atribut ini, cek jika ada Ẋ subset dari R, sehingga vector (1,0,...,0) merupakan kombinasi mereka. Jika tidak, deskripsi mustahil dilakukan. Jika ya, akan menghitung konstanta cx ϵ ʑq, seperti ∑xϵẊ cxRx = (1,0,...,0).
3. Hasil deskripsinya sebagai berikut:
a. Untuk setiap x ϵ Ẋ, dec(x) = � χe H u ,C ,x
� ��π x ,u,C ,x .
b. Uu hitung MSG = C0/IIx ϵẊdec(x).
2.8 Atributt Based Signature (ABS)
Untuk mencegah serangan replay (replay attacks), pengguna dapat melakukan perubahan data sewaktu-waktu. Sistem akan mencabut atribut pengguna yang tidak memiliki kebijakan akses yang sah, dan sistem akan meghapus pengguna yang bersangkutan sehingga tidak akan diijinkan untuk masuk ke sistem lagi.
Ada enam langkah yang dilakukan dalam algoritma ABS (Priyanka Palekaru, Abhijeet Bharate, dan Nisar Anjum 2014), diantaranya : System Initialization, User Registration, KDC Setup, Atributte Generation, Sign, dan Verify. Berikut adalah detai proses dalam algoritma ABS :
2.8.1 System Initialization
Pilih sebuah prime q, dan kelompok G1 and G2, berdasarkan q. Kita mendefinisikan pemetaan ě : G1 x G1 G2. Biarkan g1, g2 menjadi generator dari G1 dan hj menjadi generator dari G2, untu j ϵ [tmax], untuk kewenangan tmax. Biarkan H menjadi sebuah fungsi. Biarkan A0 = ha
(Tsig, TV er) berarti TSig adalah private key untuk mendeskripsikan pesan dan TV adalah public key yang digunakan untuk melakukan versifikasi. Private key untuk trustee adalah TSK = (a0,Tsig) public key adalah TPK = (G1, G2, H, g1, A0, h0, h1,..., htmax, g2, TV er).
2.8.2 User Registration
Untuk user dengan identitas Uu KDC menarik secara acak Kbase ϵ G. Let K0 = K
base1/a0. Berikut adalah keluaran dari token-nya ᵧ = (u, Kbase, K0, ρ),
dimana penandatanganan pada u||Kbase menggunakan kunci penandatanganan TSig.
2.8.3 KDC Setup
Pilih a, b ϵ ʑq acak dan hitung: Aij = haj , Bij = hbj, for Ai ϵ AA, j ϵ [tmax]. Private key dari ith KDC adalah ASK[i] = (a,b) dan public key APK[i] = (Aij, Bij|j ϵ [tmax].
2.8.4 Atributte Generation
Algoritma verrifikasi Token dan verifikasi penandatanganan terkandung dalam ᵧ menggunakan signature verification key TV er di TPK. Algoritma ini mengekstrak Kbase dari ᵧ menggunakan (a,b) dari ASK[i] dan menghitung Kx = Kbase1/(a,bx), x ϵ J[i,u]. kunci Kx dapat dicek untuk konsistensi penggunaan algoritma ABS.KeyCheck(TPK, APK[i], ᵧ, Kx), dimana checks
2.8.5 Sign
Algoritma
ABS.Sign(TPK, {APK[i] : i ϵ AT[u]}, ᵧ, {Kx : x ϵ Ju}, MSG, У),
Memiliki masukan public key dari trustee, private key untuk penandatanganan, pesan yang akan ditandatangani dan klaim kebijakan У. Klaim kebijakan pertama diubah menjadi program jangka M ϵ ʑlxtq, dengan baris berlebel dengan atribut. Mx menunjukan baris x dari M. π^ menunjukan pemetaan dari baris atriut. So, π^(x) berasal dari pemetaan Mx menjadi atribut x. A vektor ѵ dihitung untuk memenuhi {x : x ϵ J[i,u]}. Hitung µ = H(MSG||Y). Pilih r0 ϵ ʑ*q dan ri ϵ ʑ q, i ϵ Ju, dan hitung:
Y = Kr0base , Si = (Kvii)r0. (g2 g1µ) ri (Á ϵ Ju),
W = K0r0, Pj = Hi ϵ AT[u] (AijBπ^ij(i))Mijri (Áj ϵ [t]). Perhitungan untuk penandatanganan adalah
σ = (Y, W, S1, S2,...,St, P1, P2,...,Pt).
2.8.6 Verify
Algoritma
ABS.Verify (TPK, σ = (Y, W, S1, S2,...,St, P1, P2,...,Pt), MSG, Y),
Mengkonversi Y untuk coresponden program monoton M ϵ ʑlxtq, dengan baris berlebel atribut. Hitung µ = H(MSG||Y). Jika Y = 1, ABS.Verify = 0 berarti palsu.
e^(W,A0) =e^(Y , h0),
IIiϵ1e^ (Si, Ai^jBπ^(i)i^j)Mij) = {�^ �, ℎ �^ � , �µ , � , � = , �^ � , �µ , �� , � > ,
dimana i^ = AT[i].
2.9 Key Distributtion Center (KDC)
Protokol Kerberos digunakan untuk mengotentikasi principal, dimana principal adalah pihak yang identitasnya diverifikasi. Sebuah principal dapatlah merupakan user biasa, sebuah aplikasi server atau sebuah entitas jaringan lainnya yang perlu diotentikasi.
Kerberos adalah protokol jaringan yang menangani masalah otentikasi. Kerberos memungkinkan client dan server untuk saling mengotentikasi sebelum melakukan koneksi.
Pihak yang terlibat dalam proses otentikasi adalah: 1. Client yang biasanya merupakan principal 2. Server yang biasanya merupakan verifier 3. Server Kerberos (KDC)
KDC adalah server Kerberos yang bertugas mendistribusikan session key kepada server dan client agar dapat melakukan koneksi, mengotentikasi server dan client, serta memudahkan client untuk melakukan koneksi kepada lebih dari satu
server (Wildan Fakhri, Achmad Rony Fauzan, dan Imam Ahmadi). Tugas untuk
memudahkan client melakukan koneksi dengan satu atau lebih server aplikasi dilakukan melalui Ticket Granting Service (TGS).
2.9.1 Authentication Service (AS)
Proses authentication service yang dilakukan oleh KDC adalah sebagai berikut:
1. Pada awalnya, principal (client) meminta sebuah ticket pada KDC dengan mengirimkan namanya, jangka waktu berlakunya permintaan ini, layanan yang diperlukan (tgs), dan beberapa informasi lainnya.
2. KDC kemudian menemukan bahwa principal itu ada dalam database-nya dan mengirimkan balasan berupa:
a. Sebuah client ticket yang berisi session key SA, KDC, waktu berlakunya ticket ini, dan nama layanan tgs. Semua dienkripsi dengan menggunakan kunci rahasia principal (password). Waktu berlakunya tiket ini biasanya selama delapan jam.
b. Sebuah granting ticket yang berisi session key SA, KDC, waktu berlakunya ticket ini, dan nama client. Semua dienkripsi dengan kunci rahasia KDC (KKDC). Ini disebut sebagai Ticket Granting Ticket (TGT). Principal tidak dapat mendekripsi TGT karena dienkripsi dengan menggunakan kunci rahasia KDC. TGT akan digunakan saat meminta ticket pada layanan lain.
mengenkripsi ticket dan digunakan secara local oleh principal untuk mendekripsi ticket. Session key (SA, KDC) digunakan pada saat berkomunikasi untuk menjamin kerahasiaan. Principal dapat membuktikan kebenaran identitasnya kepada KDC karena hanya ia yang dapat mendekripsi client ticket tersebut.
Gambar 2.1 Authentication Service
Dimana :
1. AS_REQ – {client name, expiration time, tgs service name, …}
2. AS_REP –{SA, KDC , expiration time, tgs service name, ….}KA + { SA, KDC , expiration time, client name, ….}KKDC
2.9.2 Ticket Granting Service (TGT)
Sekali client atau principal terotentikasi pada Kerberos maka client tersebut tidak dapat langsung melakukan hubungan dengan layanan (server) yang ia butuhkan, tetapi ia harus melakukan permintaan kepada KDC terlebih dahulu. Permintaan (request) ini mengandung:
pesan mengalami perubahan atau tidak pada saat pengiriman berlangsung. Timestamp berguna untuk melihat masa berlakunya pesan, yaitu apakah pesan tersebut masih baru untuk menghindari adanya replyattack. Oleh karena itu perlu adanya sinkronisasi waktu.
b. Ticket Granting Ticket (TGT) yang telah diterima pada saat authentication service. TGT ini digunakan untuk mengecek nama client dan session key (SA, KDC). Apabila session key-nya salah maka KDC tidak dapat mendekripsi authenticator. TGT juga digunakan untuk mengecek masa berlakunya otentikasi
c. Nama layanan dari aplikasi yang dibutuhkan oleh client. d. Lama waktu berlakunya TGT.
KDC membalas kepada client dengan mengirimkan:
a. Client Ticket yang berisi session key (SA,B) yang akan digunakan oleh client dan server untuk berkomunikasi, waktu berlakunya client ticket yang baru ini, dan nama layanan aplikasi. Semua ini dienkripsi dengan menggunakan session key (SA, KDC) yang hanya diketahui client dan KDC.
b. Server Ticket yang berisi session key (SA,B), nama client, dan waktu berlakunya ticket ini. Semua ini dienkripsi dengan menggunakan kunci rahasia server (KB) yang hanya diketahui oleh server dan KDC.
timestamp dan checksum. Client lalu mengirim authenticator dan server ticket tersebut kepada server.
Setelah itu server menerima authenticator dan server ticket dari client. Server dapat mendekripsi server ticket dengan menggunakan kunci rahasianya (KB) dan memperoleh session key SA,B yang diperlukan untuk mendekripsi authenticator dari client. Dengan memperoleh session key SA,B yang benar dari client maka berarti juga identitas client telah diverifikasi. Lalu sebagai pilihan, server akan membalas kepada client berupa timestamp yang dienkripsi dengan menggunakan session key SA,B. Dengan ini, client dapat memverifikasi server dan mengetahui bahwa pesan yang diterima adalah baru dengan melihat timestamp tersebut.
Gambar 2.2 Ticket Granting Service
Dimana :
3. TGS_REQ – {timestamp, checksum, …} SA,KDC + {SA, KDC , expiration name, client name, …} KKDC + application service name + expiration name
5. AP_REQ – {timestamp, checksum, …} SA,B+ {SA,B , client name,
expiration name, …}KB
AP_REP – {timestamp}SA,B
2.10 Kontrol Akses
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi salah satu dari garis pertahanan pertama yang digunakan untuk menangkal akses yang tidak berhak ke dalam sistem dan sumber daya jaringan (Sandra Novianto).
Saat user diminta memasukan username dan password hal ini disebut dengan kontrol akses. Setelah user log in dan kemudian mencoba mengakses sebuah file, file ini dapat memiliki daftar user dan grup yang memiliki hak akses ke file tersebut. Jika user tidak termasuk dalam daftar maka akses akan ditolak. Hal itu sebagai bentuk lain dari kontrol akses. Hak dan ijin user adalah berdasarkan identitas, kejelasan, dan atau keanggotaan suatu grup. Kontrol akses memberikan organisasi kemampuan melakukan kontrol, pembatasan, monitor, dan melindungi ketersediaan, integritas, dan kerahasiaan sumber daya.
yang ada. Secara administratif ada dua tipe kontrol akses yaitu Centralized Access Control dan Decentralized & Distributed Access Control (Sandra Novianto). 2.10.1 Centralized Access Control
Pada metode ini, satu entitas (departemen atau individu) bertanggung jawab dalam pemberian hak akses seluruh user ke sumber daya. Manajemen menentukan bagaimana user dan sumber daya berinteraksi, dan entitas ini mengkonfigurasikan mekanisme yang menjalankan kontrol akses, memproses tiap perubahan yang diperlukan untuk profil kontrol akses user, mematikan akses ketika dibutuhkan, dan secara lengkap menghapus hak-hak ketika user berhenti dari perusahaan, atau dipindahkan ke bagian lain.
Tipe administrasi ini memberikan metode yang konsisten dan seragam dalam melakukan kotrol pada hak-hak akses user. Metode ini memberikan kontrol ketat pada data karena hanya satu entitas yang memiliki hak untuk merubah profil dan ijin kontrol akses. Meskipun menyediakan lingkungan yang lebih konsisten dan handal, namun menjadi lambat karena semua perubahan harus dilakukan oleh satu entitas.
2.10.2 Decentralized & Distributed Access Control
Metode ini memberikan kontrol akses pada orang-orang lebih dekat pada sumber daya. Maksudnya adalah siapa yang memahami lebih baik yang dapat dan tidak dapat mengakses ke file, data , dan sumber daya tertentu. Seringkali manajer fungsional yang memberikan hak kontrol akses pada bawahannya. Alasan organisasi menerapkan model desentralisasi ini adalah karena manajer biasanya memiliki penilaian yang lebih baik pada penentuan user yang dapat mengakses sumber daya berbeda, dan tidak diperlukan persyaratan bisnis yang mencantumkan kontrol ketat melalui lembaga terpusat.
Perubahan dapat terjadi lebih cepat melalui tipe administrasi ini karena tidak hanya satu entitas yang melakukan perubahan untuk keseluruhan organisasi. Bagaimanapun tetap terdapat kemungkinan bahwa konflik kepentingan meningkat yang bisa merugikan organisasi.
Karena bukan satu entitas yang melakukan kontrol akses secara keseluruhan, manajer dan departemen yang berbeda dapat menerapkan praktek-praktek keamanan dan kontrol akses dengan cara yang berbeda. Metode ini tidak menjamin keseragaman dan keadilan di antara bagian suatu organisasi.
Kelemahan metode ini yaitu tidak memberikan kontrol konsisten seperti pada metode sentralisasi. Selain itu sulit untuk menghapus account jika user tidak lagi berada pada organisasi atau pindah ke bagian lain karena kemungkinan account di bagian lain untuk user yang sama belum dihapus.
ini, atau wilayah kepercayaan, semua subjek dan objek berbagi kebijakan, prosedur, dan peran keamanan secara umum dan mereka dikelola oleh sistem manajemen yang sama.
Tiap domain keamanan berbeda karena perbedaan kebijakan dan manajemen yang mengelolanya. Suatu domain keamanan mencantumkan tindakan-tindakan yang program dapat lakukan, interaksi objek dan sumber daya, dan batasan untuk hubungan kerja dengan domain keamanan lain.
Domain keamanan mendefinisikan objek-objek yang subjek dapat akses. Misalnya sebuah program memiliki parameter kontrol akses yang membatasi untuk dapat bekerja dengan hanya segmen memory, file, dan proses tertentu. Mekanisme kontrol akses digunakan untuk mendefinisikan dan menjalankan pembatasan-pembatasan tersebut. Ini berarti bahwa subjek (program) memiliki domain keamanan (batasan untuk bekerja) pada objek spesifik. Prinsip pemisahan ini melindungi sumber daya dan mengkontrol bagaimana aktivitas-aktivitas akses diterapkan.
Domain keamanan dapat diimplementasikan dalam struktur dan hubungan hirarki. Subjek dengan hak lebih tinggi dapat mengakses domain tinggi hingga rendah, dimana subjek dengan hak lebih rendah hanya dapat mengakses domain yang lebih rendah juga. Ini adalah mekanisme pemisahan yang mengkontrol kemampuan dan aktivitas akses sumber daya.
mengakses segmen memory dan file-file konfigurasi yang dibatasi dari subjek dengan level lebih rendah. Subjek dengan level yang lebih rendah hanya memiliki akses ke sumber daya yang yang telah dipercaya dan dipakai secara tepat.
