INFORMATIKA, Vol.2 September 2016, pp. x~xx ISSN: 2355-6579
E-ISSN: 2528-2247 x
Diterima Agustus 5, 2016; Revisi Agustus 5, 2016; Disetujui Agustus 5, 2016
SSL Sebagai Sarana Pengamanan Jalur
Pertukaran Data Pada Protokol HTTP Mengunakan Algoritma Hybrid
Nandi supendi1, Ali Akbar Rismayadi2, Abdurahman Fauzi3
1Universitas BSI Bandung e-mail: [email protected]
2AMIK BSI Bandung e-mail: [email protected]
3AMIK BSI Bandung e-mail: [email protected]
ABSTRAK
Teknologi informasi tidak hanya memberikan sejumlah fasilitas yang canggih. Namun, teknologi informasi juga ternyata memiliki sejumlah masalah yang berhubungan dengan keamanan. Keamanan data pada komunikasi di jaringan merupakan hal yang bagitu penting.
Komunikasi data melalui jaringan selalu memiliki kemungkinan adanya kehilangan confidentiality, message integrity atau endpoint authentication. Hal tersebut dapat diatasi dengan penggunaan protokol HTTPS (Hypertext Transfer Protocol Secure) untuk pengamanan terhadap data yang lalu lalang di jalur komunikasi publik (Internet). HTTPS adalah protokol HTTP yang diaplikasikan diatas protokol SSL (Secure Sockets Layer) atau TLS (Transport Layer Security). Protokol SSL (Secure Sockets Layer) menggunakan kombinasi kunci publik dan enkripsi kunci simetris.
Enkripsi kunci simetrik jauh lebih cepat dari pada enkripsi kunci publik. Namun, enkripsi kunci publik memberikan teknik otentikasi yang lebih baik. Sesi SSL dimulai dengan pertukaran pesan yang disebut SSL Handshake. Self-Signed Certificate, model ini merupakan jenis certificate yang dibuat sendiri melalui berbagai jenis utility yang tersedia, Jenis ini umumnya tidak terverifikasi apabila dipakai untuk web server. Namun sangat ekonomis jika hanya digunakan untuk koneksi ke VPN atau server yang memang sudah kita percaya. Hasil dari penelitian ini, terbukti bahwa dengan penerapan protokol HTTPS dapat meminimalisir dari terjadinya tindakan yang merugikan baik dari sisi klien maupun server.
Kata Kunci : HTTP, HTTPS, SSL, Self Signed Certificate.
ABSTRACK
Information technology not only offers a number of advanced facilities. However, information technology also appears to have a number of security-related problems. Data security on communication on the network is the most important. Data communication over the network always has the possibility to lose confidentiality, message integrity or endpoint verification. This can be remedied by using the HTTPS protocol (Hypertext Transfer Protocol Secure) for securing data transfer in the public communication line (internet). HTTPS is the HTTP protocol that is applied via the SSL protocol (Secure Sockets Layer) or TLS (Transport Layer Security). Secure Sockets Layer (SSL) protocol uses a combination of public keys and symmetric key encryption.
Symmetric key encryption is much faster than encryption with public keys. However, encryption with public keys offers better authentication techniques. The SSL session starts with a message exchange called SSL handshake. Self-signed certificate, this model is a kind of certificate that is made in itself through various types of available tools. This type is usually not verified if it is used for a web server. But it is very economical if it is only used to connect to a VPN or server that we already believe. The results of this study have shown that the application of the HTTPS protocol can minimize the occurrence of unfavorable actions on both the client and the server side.
Key Words : HTTP, HTTPS, SSL, Self Signed Certificate.
1. Pendahuluan
Teknologi informasi (TI) tidak hanya memberikan sejumlah fasilitas yang canggih.
Namun, TI juga ternyata memiliki sejumlah masalah yang berhubungan dengan keamanan. Tidak seorang pun ingin mengirim data pribadi mereka melalui internet kecuali mereka memiliki jaminan bahwa hanya penerima dimaksud yang akan menerimanya. Keamanan data pada komunikasi di jaringan merupakan hal utama yang bagitu penting. Komunikasi data melalui jaringan selalu mengandung kemungkinan kehilangan confidentiality, message integrity atau endpoint authentication. Terdapat tiga aspek utama ketika berbicara tentang keamanan data: Pertama Privacy atau Confidentiality, mencakup kerahasiaan informasi. Inti aspek privacy adalah bagaimana menjaga informasi agar tidak dilihat atau diakses oleh orang yang tidak berhak, Kedua Message Integrity, atau integritas mencakup keutuhan informasi. Inti aspek integrity adalah bagaimana menjaga informasi agar tetap utuh atau dapat dikatakan apa yang diterima harus sama dengan apa yang dikirim, Ketiga Authentication, atau otentikasi berkaitan dengan keabsahan pemilik informasi. Harus ada cara untuk mengetahui informasi benar- benar asli, kemudian hanya yang berhak saja yang boleh memberikan informasi dapat dikatakan komunikasi harus dengan rekan yang tepat (Pranata, 2015).
Dengan semakin meningkatnya penggunaan layanan web di segala bidang, maka keamanan menjadi salah satu faktor penting yang perlu diperhatikan oleh pemilik informasi maupun penyedia layanan. Hal ini bisa diaplikasikan dalam bentuk penggunaan protokol HTTPS (Hypertext Transfer Protocol Secure) untuk pengamanan terhadap data yang lalu lalang di jalur komunikasi publik (Internet). HTTPS adalah protokol HTTP yang diaplikasikan diatas protokol SSL (Secure Sockets Layer) atau TLS (Transport Layer Security) sehingga semua fasilitas keamanan yang disediakan oleh protokol SSL/TLS juga akan dapat dinikmati oleh pengguna HTTPS. Protokol HTTPS secara default bekerja pada port 443 dan dapat dikonfigurasikan untuk menggunakan protokol SSL maupun TLS (Raharjo, 2016)
Protokol SSL (Secure Sockets Layer) menggunakan kombinasi kunci publik dan enkripsi kunci-simetris. Enkripsi kunci simetrik jauh lebih cepat dari pada enkripsi
kunci publik. Namun, enkripsi kunci publik memberikan teknik otentikasi yang lebih baik.
Sesi SSL dimulai dengan pertukaran pesan yang disebut SSL Handshake. Handshake memungkinkan server mengotentikasi sendiri klien dengan menggunakan teknik kunci publik, dan kemudian memungkinkan klien dan server untuk bekerja sama dalam pembuatan kunci simetrik yang digunakan untuk enkripsi, dekripsi, dan deteksi tamper selama sesi berlangsung. Secara opsional, handshake juga memungkinkan klien untuk mengotentikasi dirinya ke server (Singh, 2018)
Pada akhirnya diperlukan suatu metode pengamanan yang efektif dan efisien untuk menunjang hal tersebut. Ada banyak metode yang telah diteliti dan diimplementasikan dengan baik. Namun pada dasarnya terbagi atas dua jenis yaitu metode Simetris dan Metode Asimetris.
Kedua metode dengan berbagai varian ini banyak digunakan untuk mengamankan data, namun penggabungan kedua metode ini masih sangat jarang dilakukan. Dari hasil analisis kedua metode, sangat mungkin diterapkan penggabungan kelebihan kedua metode tersebut yang biasa disebut dengan metode hybrid (Basri, 2015).
Berdasarakan uraian latar belakang masalah diatas akan pentingnya pengamanan pertukaran data maka penulis mencoba menerapkan penggunaan SSL dengan algoritma hybrid yang mengkombinasikan algoritma simetik untuk pengamanan data serta algoritma asimetrik untuk enkripsi dan dekripsi kunci yang dituangkan dalam skripsi yang berjudul “SSL SEBAGAI SARANA PENGAMANAN JALUR PERTUKAKARAN DATA PADA PROTOKOL HTTP MENGGUNAKAN ALGORITMA HYBRID’’.
2. Landasan Teori
Berikut adalah dasar-dasar definisi dan juga teori-teori mengenai Socket Secure Layer (SSL) yang berasal dari beberapa sumber yang digunakan sebagai bahan acuan.
Sebagai pembuka “Web Security and Enhancement Using SSL”, Keamanan cyber adalah upaya berkelanjutan untuk melindungi data elektronik dan sistem komputer dari gangguan yang tidak diinginkan. Transmisi data melalui jaringan menyiratkan adanya kemungkinan hilangnya kerahasiaan, integritas pesan atau otentikasi
ISSN: 2355-6579
INFORMATIKA Vol. 2, September 2016: x – xx
x
endpoint. Protokol HTTP (Hypertext Transfer Protocol) digunakan untuk membuat koneksi tetapi tidak benar-benar aman, kita membutuhkan sebuah protokol baru yang tidak terikat dengan IP dimana algoritma umum yang biasa digunakan dan para peretas mengetahui tentang algoritma ini sehingga dapat dengan mudah meretas semua informasi itu menggunakan metode enkripsi untuk menjalin hubungan antara klien dan server. HTTPS (Hypertext Transfer Protocol Secure) adalah sebuah protokol yang dapat membuat koneksi aman antara klien dan server dengan menggunakan sertifikat SSL.
Protokol Secure Sockets Layer (SSL) menggunakan kombinasi kunci publik dan enkripsi kunci simetris. Enkripsi kunci simetris jauh lebih cepat dari pada enkripsi kunci publik, namun enkripsi kunci publik memberikan otentifikasi yang lebih baik.
Sebuah sesi SSL dimulai dengan pertukaran pesan yang disebut handshake. Handshake memungkinkan server melakukan otentifikasi ke klien menggunakan kunci publik, kemudian server dan klien melakukan pembuatan kunci simetrik yang digunakan untuk enkripsi, dekripsi, dan tamper deteksi selama sesi berlangsung begitu juga sebaliknya dari sisi klien ke server.
Algoritma RSA memiliki beberapa kerentanan yang dapat dimanfaatkan untuk peretasan algoritma. Maka dibutuhkan sebuah perancangan mekanisme keamanan untuk mencegah peretasan algoritma.
Memodifikasi algoritma RSA adalah mengabungkan pengunaan isian bit, cara ini akan meningkatkan keamanan karena angka yang dihasilkan oleh proses enkripsi tidak terulang. Sehingga para penyusup tidak dapat mengetahui pesan yang kita kirimkan.
RSA dengan kunci 1024-bit cenderung menjadi crackable dan tidak aman maka NIST (National Institute of Standards and Technology) merekomendasikan kunci minimal untuk RSA sepanjang 2048-bit (Singh et al., 2018).
Penelitian diatas merupakan upaya pengaman HTTP menggunakan protokol SSL, dimana dalam protokol SSL terjadi proses otentifikasi melalui Handshake antara server dan klien serta penggunaan algoritma RSA dalam proses enkripsi yang di modifikasi yang disebut bit stuffing yang memungkinkan tidak terjadinya perulangan angka pada proses enkripsi yang dihasilkan.
Berangkat dari hal itu maka penulis memutuskan untuk melakukan penelitian ini.
“Advantage of using Elliptic curve cryptography in SSL / TLS”, perangkat selular dan nirkabel mengalami pertumbuhan yang sangat pesat. Perangkat ini memiliki daya yang tinggi, daya CPU, memori, bandwidth, dan kendala latensi, yang membuatnya penting memiliki cryptosystem yang efisien.
Secara umum hal tersebut juga penting untuk kinerja web. RSA adalah salah satu cryptosystem kunci publik yang banyak digunakan, namun RSA memiliki masalah karena membutuhkan ukuran kunci publik yang sangat besar dan dapat menyebabkan penurunan bandwidth dan pengunaan daya CPU yang lebih tinggi. Elliptic Curve Cryptography (ECC) muncul sebagai cryptosystem kunci publik yang menarik.
ECC memberikan keamanan yang setara RSA dengan ukuran kunci publik yang lebih kecil, dampaknya adalah pada saat komputasi menjadi lebih cepat dan penggunaan daya yang lebih kecil. SSL / TLS adalah protokol keamanan yang paling banyak digunakan di web, semakin efisien SSL / TLS akan memberikan dampak yang signifikan pada kinerja web (Sebastian et al., 2015).
Penelitian diatas merupakan perbandingan antara dua cryptosystem untuk melihat apakah ECC memberikan keuntungan yang signifikan pada kinerja web dibandingkan RSA saat diimplementasikan dalam protokol SSL / TLS. Dari analisis di atas, dapat dilihat bahwa ECC cipher suite memberikan manfaat kinerja yang signifikan dibandingkan RSA yang digunakan di SSL dengan desktop sebagai klien. Tetapi dengan klien seluler, ECC cipher suite memberikan waktu respon yang lebih buruk dibandingkan dengan RSA. Namun hal tersebut tidak akan menjadi masalah besar karena perangkat keras pada perangkat mobile sekarang sudah lebih baik. Berdasarkan penelitian diatas, penulis mencoba menerapkan ECC chipper suite pada SSL, meskipun waktu respon yang dibutuhkan pada perangkat mobile lebih lambat dibanding RSA.
Mengingat akan perkembangan teknologi pada perangkat mobile yang semakin menigkat hal itu bukan suatu masalah besar karena pengguna internet sekarang sangat membutuhkan suatu pengamanan yang lebih kuat dan efisien.
“Analisis keamanan Protokol Secure Socket Layer (SSL) Terhadap Proses Sniffing di Jaringan”, jurnal tersebut memaparkan tentang analisis pengunaan Secure Socket Layer (SSL) sebagai
pengamanan paket data terhadap serangan penyadapan (sniffing) menggunakan beberapa tools sniffing diantaranya Whireshark, SoftPerfect Network Analyzer dan Capsa. Berdasarkan hasil ujicoba dengan melakukan analisis terhadap penyadapan (sniffing) pada komunikasi data antara klien dan server, maka dapat disimpulkan bahwa protokol SSL merupakan protokol yang aman dari tindakan sniffing, serta penggunaan protokol SSL pada jaringan juga sangat penting guna mengamankan data (Pranata et al., 2015).
Penelitian diatas menggunakan protokol SSL yang berjalan sebagai sub layer dari HTTP (Hypertext Transfer Protocol) yang digunakan sebagai pengamanan pada pertukaran paket data, selain dari itu penelitian tersebut juga melakukan pengujian terhadap serangan sniffing dengan menggunakan beberapa tools, tujuan dari penggunaan SSL itu sendiri adalah untuk meminimalisir ancaman yang bisa saja terjadi dan membahayakan. Berdasarkan hasil dari penelitian yang dilakukan di atas maka penulis mencoba untuk menerapkan penggunaan SSL pada HTTP karena sudah bisa dibuktikan bahwa protokol SSL adalah protokol yang aman dari tindakan sniffing.
“Analisa Implementasi Protokol HTTPS pada Situs Web Perguruan Tinggi di Pulau Jawa”, protokol HTTPS (Hypertext Transfer Protocol Secure) menawarkan perlindungan yang lebih baik pada data dari protokol HTTP biasa karena menggunakan kriptografi, terutama enkripsi dan mekanisme otentikasi untuk menyediakan kerahasiaan dan keaslian paket yang dikirim ke dan dari server. Namun, tidak semua institusi telah menerapkan protokol HTTPS dengan benar untuk situs web mereka. Makalah ini menganalisa implementasi protokol HTTPS untuk semua situs web pendidikan tinggi di pulau Jawa. Kita menemukan bahwa hanya 28 dari 1505 (1,86%) dari semua institusi pendidikan tinggi yang memiliki nama domain telah menggunakan protokol HTTPS untuk domain utama mereka. Selanjutnya, tidak semuanya menerapkan protokol HTTPS dengan benar. Kita menganalisis ke semua 28 domain tersebut dan kami menemukan 8 domain dari 28 (28,57%) institusi masih menggunakan SSLv3 protokol yang tidak lagi direkomendasikan untuk digunakan karena rentan terhadap serangan POODLE, 9 dari 28 (32,14%) institusi masih menggunakan RC4 algoritma lama yang terbukti tidak aman, 4 dari 28 (14,28%) institusi hanya
mendukung ke TLS 1.0, dan 6 dari 28 (21.42%) institusi masih menggunakan SSLv2 atau menggunakan kembali kunci RSA yang sama sehingga rentan terhadap serangan DROWN. Banyak dari praktik terbaik untuk menerapkan protokol HTTPS juga diabaikan. HTTP Strict Transport Security (HSTS) digunakan oleh 5 dari 28 (17,8%) lembaga dan tidak satupun dari mereka telah menggunakan Penandaan HTTP public key pinning (HPKP) (Raharjo et al., 2016).
Penelitian di atas bertujuan untuk menganalisa penerapan protokol HTTPS pada beberapa perguruan tinggi yang ada di pulau jawa, penelitian tersebut menemukan hanya sedikit perguruan tinggi yang menerapakan protokol dan tidak semuanya menerapkannya dengan benar. Terutama pada penggunaan algoritma dan versi SSL.
Pada penulisan ini penulis mencoba untuk menerapkan penggunaan versi SSL yang bebas dari beberapa serangan yang tadi disebutkan beserta penggunaan algoritmanya, yaitu dengan menerapkan penggunaan algoritma ECC.
“Pendekatan Kriptografi Hybrid pada Keamanan Dokumen Elektronik dan Hypertext Transfer Protocol Secure (HTTPS) (Analisis Potensi Implementasi Pada Sistem Keamanan)”, Masalah keamanan selalu menjadi tantangan bagi perkembangan teknologi informasi. Seperti aspek keamanan sistem informasi, data elektronik dan dokumen dalam komunikasi data hypertext, harus dapat memenuhi standar keamanan.
Implementasi dari sistem keamanan dibedakan menjadi dua yaitu, Symmetric dan Asymmetric. Implementasi metode-metode ini tentunya memiliki kelebihannya dan kerugian masing-masing, sehingga perlu menerapkan metode untuk menggabungkan beberapa jenis metode. Proyek ini dianalisis menggunakan pendekatan hibrida metode kriptografi yang diimplementasikan pada keamanan dokumen elektronik dan Hypertext Transfer Protokol Secure (HTTPS). Dalam pelaksanaan dokumen elektronik digunakan tanda tangan biometrik dan DSA (Digital Signature Algoritma) dan implementasi pada HTTPS menggunakan kombinasi kriptografi asimetris dan kriptografi simetrik. Analisis dari penelitian ini diterjemahkan ke dalam implementasi metode hybrid pada dokumen elektronik dan HTTPS. Dari hasil analisis menunjukkan bahwa metode hybrid mampu menggabungkan kelebihan dari metode simetris dan asimetris, meskipun kendala
ISSN: 2355-6579
INFORMATIKA Vol. 2, September 2016: x – xx
x
dalam implementasi kompleksitas sistem akan semakin besar (Basri, 2015).
Penelitian di atas merupakan pengamanan pada dokumen elektronik dan HTTPS dengan metode hybrid cryptosystem yaitu menggabungkan dua algoritma enkripsi simetris dan asimetris yang mampu menggabungkan kelebihan dari masing- masing algoritma enkripsi meskipun
penggunaan dari metode ini masih terdapat beberapa kendala dalam implementasi karena kompleksitas sistem yang semakin besar. Berdasarkan uraian diatas penulis mencoba untuk menerapkan hybrid cryptosystem dengan menggabungkan algoritma ECC dan RSA pada protokol SSL sebagai pengamanan jalur komunikasi antara klien dan server.
3. Hasil dan Pembahasan
Untuk dapat membandingkan keamanan pada pertukaran data antara protokol HTTP dengan protokol HTTPS, maka penulis melakukan perancangan jaringan keamanan menggunakan sotfware virtual box dengan menjalankan sistem operasi linux dengan melakukan beberapa pemasangan package-package yang menunjang didalam pembuatan certificate pada jalur pertukaran data antara web server dengan client, dengan melakukan instalasi dan konfigurasi pada LEMP yang terdiri atas, Linux ubuntu 16.04 sebagai sistem operasi pendukung, Nginx (dibaca engine x) sebagai web server, mysql/mariadb sebagai pengolah database dan php sebagai pengolah web dinamis, serta penggunaan Openssl sebagai sarana penunjang untuk penggunaan seritifikat keamanan pada protokol HTTPS.
Setelah melakukan instalasi LEMP, kemudian lakukan beberapa konfigurasi dengan memasukan perintah pada terminal Linux, untuk penjelasan lebih lanjut penulis akan mencoba menguraikan hal-hal yang wajib dilakukan, diantaranya ;
1. sudo systemctl enable nginx perintah diatas adalah perintah untuk menjalankan autostart Nginx ketika Ubuntu melakukan booting.
2. sudo systemctl start nginx
perintah diatas adalah perintah untuk mulai menjalankan Nginx.
3. systemctl status nginx
perintah diatas adalah perintah untuk melakukan pengecekan service pada Nginx.
Sumber : Data diolah
Gambar III.1 Pengecekan Nginx Gambar III.1 Menunjukan bahwa Nginx telah berjalan pada sistem operasi yang kita gunakan. Dengan memasukkan alamat ip address server kita pada browser.
Sumber : Data diolah
Gambar III.2 Setting server block Gambar III.2 Menjelaskan mengenai cara agar client dapat mengakses web server menggunakan ip address dari web server.
Untuk penggunaan ip address dapat disesuaikan dengan ip address komputer atau laptop masing-masing.
Sumber : Data diolah
Gambar III.3 Setting ufw
Gambar III.3 Menjelaskan tentang penggunaan firewall pada Nginx untuk pemberian akses malalui protokol HTTP
maupun HTTPS. Hal tersebut dilakukan agar client dapat mengakses web server melalui protokol tersebut.
Sumber : Data diolah
Gambar III.4 Proses pembuatan kunci RSA Gambar III.4 Merupakan proses pembuatan sertifikat pengamanan untuk mendapatkan kunci private dan kunci publik, berikut adalah penjelasan dari perintah diatas;
Openssl ini adalah perintah dasar untuk membuat dan mengelola sertifikat, kunci,dan file openssl lainnya.
Req perintah ini menetapkan bahwa kita ingin menggunakan manajemen penadatangan sertifikat x509 (CSR).
X509 adalah standar infrastruktur kunci publik yang ditetapkan SSL dan TLS untuk pengelolaan kunci dan sertifikatnya.
-node perintah ini memberitahu openssl untuk melewati pilihan pengamanan pada sertifikat kita dengan passphrase. Kita membutuhkan nginx untuk dapat membaca file tanpa campur tangan dari pengguna ketika server dijalankan.
-days 365 opsi ini menetapkan lamanya waktu penggunaan sertifikat
-newkey perintah ini untuk menetapkan bahwa kta ingin membuat sertifikat baru dan kuci baru secara bersamaan.
-keyout baris ini memberitahu openssl tempat dimana kita
menyimpan file kunci pribadi yang dibuat.
-out memberitahu openssl tempat sertifkat yang telah dibuat.
Sumber : Data diolah
Gambar III.5 Proses pembuatan kunci DHparam
Untuk menambah pengamanan maka kita juga masukan dhparam yang digunakan pada saat negosiasi dengan klien untuk menjaga kerahasian.
Untuk mengimplementasikan otentikasi klien dan server menggunakan HTTP dan SSL dengan sertifikat yang ditandatangi sendiri, ada beberapa konfigurasi dasar yang harus dilakukan.
1. Membuat self signed certificate.
2. Melakukan konfigurasi pada server block.
3. Melakukan konfigurasi pada UFW.
3.1
Pengujian JaringanDalam pengujian jaringan komputer, secara detail menggambarkan tentang rancangan yang diuji dengan melakukan komparasi atau perbandingan pada perangkat keras maupun perangkat lunak yang digunakan sebelum dan setelah implementasi. Pada skripsi yang dibuat oleh penulis ini pengujian jaringan dibagi menjadi dua tahap, yaitu pengujian awal dan pengujian akhir.
3.1.1 Pengujian Jaringan Awal
Pengujian jaringan awal adalah pengujian jaringan dimana pengujian tersebut dilakukan sebelum adanya perubahan konfigurasi atau rancangan pada simulasi. Pengujian dilakukan dengan menggunakan browser, dengan cara memasukan IP address atau dns (domain name server).
ISSN: 2355-6579
INFORMATIKA Vol. 2, September 2016: x – xx
x
Sumber : Data diolah
Gambar III.6 Situs yang menggunakan protokol HTTP
Pada gambar III.6 diatas pada kolom url dapat dilihat bahwa protokol yang digunakan masih menggunakan protokol HTTP yang dapat ditunjukan dengan dicoretnya ikon gembok pada kolom url tersebut.
Sumber : Data diolah
Gambar III.7 Page Info
Gambar III.7 menunjukan tentang page info yang berisi informasi tentang situs yang sedang kita akses, penggunaan sertifikat keamanan yang dipakai dalam situs tersebut dan pengamanan koneksi yang digunakan. Pada gambar diatas menunjukan bahwa akses menuju situs tersebut belum menggunakan pengamanan sama sekali.
Sumber : Data diolah
Gambar III.8 Pengujian dengan Wireshark Gambar diatas menunjukan pengujian dengan menggunakan tools
sniffing wireshark, dapat dilihat bahwa pada protokol HTTP pada saat kita mengirimkan paket data yang isinya merupakan data-data penting seperti username dan password dapat dilihat oleh pihak lain.
3.1.2 Pengujian Jaringan Akhir
Pengujian jaringan akhir adalah pengujian jaringan dimana pengujian tersebut dilakukan setelah adanya perubahan rancangan pada simulasi jaringan yang sudah di terapkan pengamanan SSL pada protokol HTTP dengan menggunakan kombinasi algoritma simetrik dan asimetrik (hybrid). Berikut adalah hasil dari pengujian yang penulis lakukan;
Sumber : Data diolah
Gambar III.9 Page Info setelah mendapatkan sertfikat
Gambar III.9 menjelaskan tentang identitas privasi dan detail tentang teknik pengamanan pada website tersebut, 192.168.43.131 merupakan nama dari website tersebut yang diverifikasi oleh USAHADULU dan penggunaan sertifkat berakhir pada tanggal yang telah dicantumkan sedangkan untuk teknik pengamanan digunakan adalah TLS_ECDHE_RSA_WITH_AES_256_GCM_
SHA384, yang merupakan kombinasi dari algoritma simetrik dan asimetrik dengan panjang 256 bit dan menggunakan TLS (Transport Layer Security) versi 1.2.
Sumber : Data diolah
Gambar III.10 Detail sertifikat Gambar III.10 menjelaskan tentang penggunaan SHA-256 sebagai fungsi hash yang berfungsi sebagai massage integrity (keaslian pesan), sebagai massage fingerprint (tanda tangan pesan) dan yang paling penting adalah untuk menyimpan password.
Sumber : Data diolah
Gambar III.11 Packet capture menggunakan Xerospolit
Gambar III.11 menunjukan pengambilan packet capture menggunakan tools Xerospolit, alat ini memungkinkan penggunanya melakukan serangan melalui ip address.
Sumber : Data diolah
Gambar IV.14 Proses analisa paket Pada gambar IV.14 Pada saat pengujian menggunakan Xerosploit, paket data yang di capture disimpan dalam suatu
file, analisa paket file dilakukan dengan menggunakan wireshark untuk melihat apakah terdapat username dan password yang terdapat dalam pengiriman paket tersebut.
Setelah dilakukan analisa tidak ditemukan paket yang berisi username maupun password, paket sudah dienkripsi sehingga data-data penting yang tersimpan didalamnya tidak dapat dilihat oleh seorang sniffer. Penggunaan algoritma ECDHE dan RSA dengan ditambah dengan penggunaan algoritma AES memungkinkan pengamanan yang cukup terhadap serangan sniffer, TLS sebagai pengamanan pada jalur data untuk pengiriman paket data dari server menuju klien begitu juga sebaliknya dari klien menuju server.
4. Kesimpulan
Dari hasil penelitian yang telah dilakukan oleh penulis terhadap penggunaann SSL (Secure Socket Layer) sebagai sarana untuk keamanan jalur data pada protokol HTTP, dapat diambil beberapa kesimpulan sebagai berikut;
1. Penggunaan SSL (Secure Socket Layer) pada protokol HTTP dapat mencegah tindakan sniffing karena paket-paket yang dikirimkan dari server maupun klien terlebih dahulu dienkripsi.
2. Penerapan protokol HTTPS memungkinkan server dan klien untuk melakukan otentikasi satu sama lain yang disebut proses Handshake untuk memastikan bahwa itu adalah pengguna yang benar.
3. Penggunaan algoritma hybrid memungkinkan pengamanan yang lebih terutama pada keamanan data yang penting seperti kata sandi, no kartu kredit dan hal_hal penting lainnya.
Sebagai pengguna internet, seharusnya kita menyadari bahwa keamanan data privasi saat ini sangatlah penting, karena penggunaannya mencakup banyak hal.
Maka dari itu penggunaan protokol HTTP sudah tidak disarankan.
Referensi
Basri. (2015). Pendekatan Kriptografi Hybrid pada Keamanan Dokumen Elektronik dan HypertextTransfer Protocol Secure ( HTTPS ) ( Analisis Potensi Implementasi Pada Sistem Keamanan ), 1(1996).
Muktafi, S.(2014).Konsep Dasar Jaringan
ISSN: 2355-6579
INFORMATIKA Vol. 2, September 2016: x – xx
x
