1
Keamanan Informasi, Kriptogragfi, dan Steganografi
Oleh: Dr. Rinaldi Munir
Kelompok Keilmuan InformatikaSekolah Teknik Elektro dan Informatika ITB
Kuliah Umum di Universitas Islam Negeri Sultan Syarif Qasim,
Kamis, 2 Juni 2016
2
Sekolah Teknik Informatika dan Elektro ITB
UIN Susqa
Prolog3
4
Pernah terima surel (e-mail) dari orang
tak dikenal dan mengandung file attachmet
berupa gambar seperti di bawah ini?
HATI-HATI!!!!!!!!!
5HATI-HATI! Jangan langsung klik jika anda tidak yakin!
6
http://thehackernews.com/2015/06/Stegosploit-malware.html
Stegosploit
aplikasi
steganografi
Just look at the image and you are HACKED!
Salah satu tenik di dalam
information security
Keamanan Informasi
7
Apakah keamanan informasi itu?
The U.S. Government’s National Information Assurance
Glossary defines INFOSEC as:
“Protection of information systems against
unauthorized access to or modification of
information, whether in storage, processing or
transit, and against the denial of service to
authorized users or the provision of service to
unauthorized users, including those measures
necessary to detect, document, and counter such
threats.”
8
Sumber: Mark Zimmerman, Information Security
Intinya, Keamanan Informasi menggambarkan
usaha untuk melindungi:
- sistem komputer (HW/SW)
- peralatan non-komputer
- fasilitas
- data dan informasi
dari penyalahgunaan oleh orang yang tidak
bertanggung jawab (unauthorized party)
9
10
Klasifikasi Keamanan
Informasi [menurut David Icove]
Fisik (physical security)
Manusia (people /
personel security)
Data, media, teknik
komunikasi
Kebijakan dan prosedur
(policy and procedures)
Biasanya orang
terfokus kepada
masalah data,
media, teknik
komunikasi.
Padahal kebijakan
(policy) sangat
penting!
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
11
Network security
fokus kepada saluran (media) pembawa
informasi
Application security
fokus kepada aplikasinya sendiri, termasuk di
dalamnya adalah database
Computer security
fokus kepada keamanan dari komputer (end
system), termasuk operating system (OS)
Klasifikasi Berdasarkan Elemen
Sistem
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
12
www.bank.co.id
Internet
Web SiteUsers
ISP
Network
sniffed, attacked
Network
sniffed,
attacked
Network
sniffed,
attacked
Trojan horse - Applications
(database,
Web server)
hacked
-OS hacked
1. System (OS)
2. Network
3. Applications (db)
Holes
Userid, Password,
PIN, credit card #
Letak potensi lubang keamanan
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Tujuan Keamanan Informasi *)
Menyediakan layanan:
Privacy / confidentiality
Integrity
Authentication
Availability
Non-repudiation
Access control
13
*) William Stallings, Cryptography and Security
14
Privacy / confidentiality
Melindungi informasi yang sensitif dan bersifat privat
Nama, tempat tanggal lahir, agama, hobby, riwayat
kesehatan, status perkawinan, nama anggota keluarga,
nama orang tua, dll
Nilai mata kuliah, IPK, dll
Data pelanggan
PIN, Password, catatan keuangan, pajak, dll
Foto pribadi, video, arsip, file, soal ujian, dll
Serangan: sniffer (penyadap), keylogger (penyadap
kunci), social engineering, kebijakan yang tidak jelas
Proteksi: firewall, kriptografi, steganografi, policy
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
15
Integrity
Memastikan informasi tetap utuh,
tidak diubah/tidak dimodifikasi
Serangan:
Penerobosan pembatas akses,
spoofing (pemalsuan), virus
(mengubah berkas), trojan horse
Proteksi:
message authentication code
(MAC), digital signature, digital
certificate, hash function
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
16
Authentication
Meyakinkan keaslian data,
sumber data, orang yang mengakses
data, server yang digunakan Bagaimana mengenali nasabah bank pada
servis Internet Banking? Lack of physical contact
Menggunakan: 1. what you have (identity card)
2. what you know (password, PIN)
3. what you are (biometric identity)
Serangan: identitas palsu, passwordpalsu, terminal palsu, situs web palsu
Proteksi: digital certificates
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
17
Availability
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server: dibuat hang, down, crash,
lambat
Serangan: Denial of Service (DoS) attack
Proteksi: backup, firewall untuk proteksi serangan
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
18
Non-repudiation
Tidak dapat menyangkal (telah melakukan
transaksi)
menggunakan digital signature / certificates
perlu pengaturan masalah hukum (bahwa digital
signature sama seperti tanda tangan
konvensional)
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
19
Access Control
Mekanisme untuk mengatur siapa boleh
melakukan apa
biasanya menggunakan password, token
adanya kelas / klasifikasi pengguna dan data,
misalnya:
Publik
Private
Confidential
Top Secret
Sumber: Budi Rahardjo, Prinsip Keamanan, INDOCISC
Malware, Adware, Spyware…
Malware: program berbahaya (malicious software) yang
tidak diinginkan, dapat merusak sistem komputer,
menghambat akses internet, bahkan mencuri informasi
rahasia seperti password dan PIN.
Jenis-jenis malware:
- virus komputer,
- trojan horse
- worm
- spyware
- adware20
Virus Komputer
Jenis malware yang menyerang file eksekusi (.exe atau
.com) yang akan menyerang dan menggandakan diri
ketika file exe/com yang terinfeksi dijalankan.
Menyebar dengan cara menyisipkan program dirinya
pada program atau dokumen yang ada dalam komputer.
21
Trojan Horse Program yang diam-diam masuk ke komputer kita
dengan cara melekat pada program lain. Tujuannya
untuk merusak sistem, memungkinkan orang lain
mencuri informasi seperti password atau PIN.
22
23
Worm Program komputer yang dapat menggandakan dirinya
secara sendiri di dalam sistem komputer.
Tidak seperti virus, sebuah worm dapat menggandakan
dirinya tanpa perlu mengaitkan dirinya dengan program
lain dengan memanfaatkan jaringan (LAN/WAN/Internet)
24
Spyware
Program yang bertindak sebagai mata-mata untuk
mengetahui kebiasaan pengguna komputer dan
mengirimkan informasi tersebut ke pihak lain.
Spyware biasanya digunakan oleh pihak pemasang iklan.
25
26
27
28
Adware
Iklan yang dimasukan secara tersembunyi oleh pembuat
program, biasanya pada program yang bersifat freeware
untuk tujuan promosi atau iklan.
29
Phising
Bentuk penipuan untuk memperoleh informasi
pribadi seperti userID, password, ATM, kartu
kredit dan sebagainya melalui e-mail atau
website palsu yang tampak asli.
Dilakukan dengan menggunakan teknik social
engineering.
30
31
Points to “bad” IP
Address!
32
Kasus pemalsuan situs Bank BCÄ:www.clickbca.comwww.klickbca.comwww.klik-bca.com
Keylogger
Program yang dapat memantau penekanan
tombol pada keyboard, sehingga orang lain
dapat mengetahui password dan informasi
apapun yang kita ketik.
Dapat tersedia dalam bentuk hardware dan
software
33
34
35
36
Kriptografi
Kriptografi
Merupakan kakas (tool) sangat penting di dalam
keamanan informasi
Kata cryptography berasal dari bahasa Yunani: krupto (hidden atau secret) dan grafh (writing)
Artinya “secret writing”
Kriptografi: ilmu dan seni untuk menjagakerahasian pesan.
37
38
EnkripsiPlainteks DekripsiCipherteks
Plainteks
Kunci Kunci
Kunci K Kunci K
Kirim senjata perang
P
Kirim senjata perang
P
Stype xouvatx kutreq
CEnkripsi
EK (P) = C
Dekripsi
DK (C) = P
cipherteks
plainteks plainteks
Kriptografi mengamankan komunikasi data
dan informasi tersimpan
39
40
41
Enkripsi di dalam WhatsApp
Kriptografi melindungi informasi dari kasus-kasus
seperti di bawah ini:
1. Wikileaks: mengungkapkan dokumen-dokumen
rahasia negara dan perusahaan kepada publik
melalui situs web.
42
Julian Assange, salah satu
pendiri situs WikiLeaks. Kantor dan tempat penyimpanan data WikiLeaks.
Dokumen yang dibocorkan:
1. Data Nasabah Bank Julius Baer
2. Surel Sarah Palin
3. Video Helikopter Apache
4. Perang Afganistan
5. Berkas Guantanamo
5. Dokumen Perang Irak
6. Kawat diplomatik Amerika Serikat
(Sumber: Wikipedia)
43
2. Kasus penyadapan percakapan ponsel antara
Artalyta Suryani (Ayin) dan Kemas Yahya Rahman
yang melibatkan Jaksa Urip Tri Gunawan tentang
“dugaan” suap Rp 6 Milyar lebih.
Transkrip percakapan:
A: Halo..
K: Halo.
A: Ya, siap.
K: Sudah dengar pernyataan saya (Soal penghentian
penyelidikan kasus BLBI)? He…he…he
A: Good, very good.
K: Jadi tugas saya sudah selesai.
A: Siap, tinggal…
K: Sudah jelas itu, gamblang. Tidak ada permasalahan lagi
Rinaldi Munir/IF4020 Kriptografi 44
A: Bagus itu
K: Tapi saya dicaci maki. Sudah baca Rakyat Merdeka (surat
kabar Rakyat Merdeka yang terbit di Jakarta)?
A: Aaah Rakyat Merdeka, mah nggak usah dibaca
K: Bukan, katanya saya mau dicopot ha..ha…ha. Jadi gitu ya…
A: Sama ini Bang, saya mau informasikan
K: Yang mana?
A: Masalah si Joker.
K: Ooooo nanti, nanti, nanti.
A: Nggak, itu kan saya perlu jelasin, Bang
K: Nanti, nanti, tenang saja.
A: Selasa saya ke situ ya…
K: Nggak usah, gampang itu, nanti, nanti. Saya sudah bicarakan
dan sudah ada pesan dari sana. Kita…
A: Iya sudah
K: Sudah sampai itu
A: Tapi begini Bang…
K: Jadi begini, ini sudah telanjur kita umumkan. Ada alasan lain,
nanti dalam perencanaanRinaldi Munir/IF4020 Kriptografi 45
Algoritma kriptografi
DES (Data Encyption Standard)
AES
Blowfish
IDEA
GOST
Serpent
RC2, RC4, RC5
RSA, ElGamal, ECC, DSA, dll
46
Steganografi
47
Prolog
Misalkan anda mempunyai data rahasia seperti
password.
Password: T3knolo911nf0rmas1
Anda ingin menyimpan password tersebut
dengan aman (tidak bisa diketahui orang lain).
Bagaimana caranya agar password tersebut
dapat disimpan dengan aman?
48
Cara I: Mengenkripsinya
Bidang KRIPTOGRAFI (cryptography)
49
T3knolo911nf0rmas1 %j>9*4$jd8)?hyt8Enkripsi
Dekripsi%j>9*4$jd8)?hyt8 T3knolo911nf0rmas1
(plaintext) (clphertext)
(clphertext) (plaintext)
50
T3knolo911nf0rmas1
Cara II: Menyembunyikannya
Bidang STEGANOGRAFI (steganography)
51
Apa Steganografi itu?
Dari Bahasa Yunani: steganos + graphien
“steganos” (στεγανός): tersembunyi
“graphien” (γραφία) : tulisan
steganografi: tulisan tersembunyi (covered writing)
Steganography: ilmu dan seni menyembunyikan
pesan rahasia dengan cara menyisipkannya di
dalam media lain.
Tujuan: pesan tidak terdeteksi keberadaannya
Perbedaan Kriptografi dan Steganografi
Kriptografi: menyembunyikan isi (content) pesan
Tujuan: agar pesan tidak dapat dibaca oleh pihak
ketiga (lawan)
Steganografi: menyembunyikan keberadaan
(existence) pesan
Tujuan: untuk menghindari kecurigaan
(conspicuous) dari pihak ketiga (lawan)
52
53
54
Sejarah Steganografi
Steganografi dengan media kepala budak (dikisahkan oleh Herodatus, sejarawan Yunani pada tahun 440 BC di dalam buku: Histories of Herodatus).
Kepala budak dibotaki, ditulisi pesan dengan cara tato, rambut budak dibiarkan tumbuh, budak dikirim. Di tempat penerima kepala budak digunduli agar pesan bisa dibaca.
55
Citra (image) atau Gambar
”Sebuah gambar bermakna lebih dari seribu kata”
(A picture is more than a thousand words)
56
Namun, di balik sebuah gambar dapat
tersembunyi informasi rahasia
S T E G A N O G R A F I
57
Steganografi pada Gambar
#inlcude <stdio.h>
int main()
{
printf(“Hello world”);
return 0;
}
Embedded Message Cover-image Stego-image
58
Cover image
Embedded image
59
Stego-image
Extracted image
60
GIF image
Cover image Stego-image
Embedded message
61
Cover image
Stego-image
Citra Digital
Citra terdiri dari sejumlah pixel. Citra 1200 x 1500 berarti
memiliki 1200 x 1500 pixel = 1.800.000 pixel
Setiap pixel panjangnya n-bit.
Citra biner 1 bit/pixel
Citra grayscale 8 bit/pixel
Citra true color 24 bit/pixel62
pixel
63
True color image(24-bit)
Grayscale image(8-bit)
Bimary image(1-bit)
Citra Lenna
64
100100111001010010001010
Pada citra 24-bit (real image), 1 pixel = 24 bit, terdiri dari komponen RGB (Red-Green-Blue)
R G B
65
Metode Modifikasi LSB Memanfaatkan kelemahan indra visual manusia dalam
mengamati perubahan sedikit pada gambar
Caranya: Mengganti bit LSB pixel dengan bit data.
11010010
MSB LSB
Mengubah bit LSB hanya mengubah nilai byte satu lebih tinggi atau satu lebih rendah dari nilai sebelumnya tidak berpengaruh terhadap persepsi visual/auditori.
LSB = Least Significant BitMSB = Most Significant Bit
66
Misalkan semua bit LSB pada citra berwarna dibalikkanDari semula 0 menjadi 1; dari semula 1 menjadi 0
Sebelum Sesudah
Adakah perbedaaanya?
67
Sebelum Sesudah
Misalkan semua bit LSB pada citra grayscale dibalikkanDari semula 0 menjadi 1; dari semula 1 menjadi 0
Adakah perbedaaanya?
68
Metode Modifikasi LSB
Tinjau 1 buah pixel dari citra 24-bit (3 x 8 bit):
10000010 01111011 01110101
(130) (123) (117)
Bit bit-bit embedded message: 010
Embed: 00110010 10100011 11100010
Original: misalkan pixel [130, 123, 117] berwarna “ungu”Stego-image: pixel [131, 122, 117] tetap “ungu” tapi berubah sangat sedikit. Mata manusia tidak dapat membedakan perubahan warna yang sangat kecil.
Stego-image
69
PESAN RAHASIA :
KETEMUAN Di STASIUN KA
MALAM JAM 13.00
0
00110011
10100010
11100010
01101111
111
00110010
10100011
11100011
01101111
Sumber: TA Yulie Anneria Sinaga 13504085
Pergeseran warna sebesar 1 dari 256 warna tidak
dapat dilihat oleh manusia
70
Jika pesan = 10 bit, maka jumlah byte yang digunakan = 10 byte
Contoh susunan byte yang lebih panjang:
00110011 10100010 11100010 10101011 00100110
10010110 11001001 11111001 10001000 10100011
Pesan: 1110010111
Hasil penyisipan pada bit LSB:
00110011 10100011 11100011 10101010 00100110
10010111 11001000 11111001 10001001 10100011
Aplikasi Steganografi:
Digital Watermarking
71
72
Fakta
Jutaan gambar/citra digital bertebaran di internet via email, website, bluetooth, dsb
Siapapun bisa mengunduh citra, meng-copy-nya, menyunting, mengirim, memanipulasi, dsb.
Sekali citra diunduh/copy, referensi pemilik yang asli hilang sebab informasi kepemilikan tidak melekat di dalam citra.
Memungkinkan terjadi pelanggaran HAKI:
- mengklaim kepemilikan citra orang lain
- pemilik citra yang asli tidak mendapat royalti atas
penggandaan ilegal
73
Siapa pemilik citra ini?
74
Karakteristik Dokumen Digital Dokumen digital
- citra (JPEG/GIF/BMP/TIFF Images)
- audio (MP3/WAV audio)
- video (MPEG video)
- teks (Ms Word document)
Kelebihan dokumen digital (sekaligus kelemahannya):
Tepat sama kalau digandakan
Mudah didistribusikan (misal: via internet)
Mudah di-edit (diubah)
Tidak ada perlindungan terhadap kepemilikan, copyright, editing, dll.
Solusi: digital watermarking.
75
Digital Watermarking
Digital Watermarking: penyisipan informasi (watermark)
yang menyatakan kepemilikan data multimedia
Watermark: teks, logo, audio, data biner (+1/-1), barisan
bilangan riil
Watermarking merupakan aplikasi steganografi
Tujuan: memberikan perlindungan copyright
+
=
76
• Watermark melekat di dalam citra• Penyisipan watermark tidak merusak kualitas citra • Watermark dapat dideteksi/ekstraksi kembali sebagai
bukti kepemilikan/copyright
Image Watermarking
77
Cara Konvensional Memberi Label
Copyright
Label copyright ditempelkan pada gambar.
Kelemahan: tidak efektif melindungi copyright
sebab label bisa dipotong atau dibuang dengan
program pengolahan citra komersil (ex: Adobe
Photoshop).
78
Original image + label copyright
Cropped image
79Label kepemilikan
80
Teknik watermarking
Watermark disisipkan ke dalam data multimedia.
Watermark terintegrasi di dalam data
multimedia.
Kelebihan:
1. Setiap penggandaan (copy) data multimedia
akan membawa watermark di dalamnya.
2. Watermark tidak bisa dihapus atau dibuang.
81
82
Jenis-jenis Watermarking
Fragile watermarking
Tujuan: untuk menjaga integritas/orisinilitas
media digital.
Robust watermarking
Tujuan: untuk menyisipkan label kepemilikan
media digital.
Rinaldi Munir/IF4020 Kriptografi
Fragile Watermarking Watermark rusak atau berubah terhadap manipulasi
(common digital processing) yang dilakukan pada media.
Tujuan: pembuktian keaslian dan tamper proofing
83
(a)
(b)
(c)
(d)
Watermark rusakPenambahan noise
84Contoh fragile watermarking lainnya (Wong, 1997)
Robust Watermarking Watermark tetap kokoh (robust) terhadap manipulasi
(common digital processing) yang dilakukan pada media.
Contoh: kompresi, cropping, editing, resizing, dll
Tujuan: perlindungan copyright
85
Original image
watermark
Watermarked image JPEG compression
Extracted watermark
Extracted watermark
Cropped image
Noisy image
Extracted watermark
Extracted watermark
Resized image
+ =
86
Robustness
Citra asli Citra ber-watermark
Citra ber-watermark
dikompresi 75%
Citra ber-watermark di-crop
87
Data apa saja yang bisa di-
watermark?
Citra Image Watermarking
Video Video Watermarking
Audio Audio Watermarking
Teks Text Watermarking
Perangkat lunak Software watermarking
88
Watermarking pada Citra
Visible Watermarking
Invisible Watermarking
89
Visible Watermarking
90
Visible Watermarking
91
Invisible Watermarking
92
Aplikasi watermark: Owner identification
Originalwork
Distributedcopy
Watermarkdetector
Alice isowner!
Watermarkembedder
Alice
93
Aplikasi watermark: Proof of ownership
Originalwork
Distributedcopy
Watermarkdetector
Alice isowner!
Watermarkembedder
Alice
Bob
94
Aplikasi watermark: Transaction tracking
Originalwork
HonestBob
Watermarkdetector
B:Evil Bobdid it!
Watermark A
EvilBob
Unauthorizedusage
Watermark B
Alice
95
Aplikasi watermark: Content authentication
Watermark embedder
Watermark detector
96
Aplikasi watermark: Content authentication
Original Hasil pengubahan
97
Foto mana yang asli?
98
Compliantrecorder
CompliantplayerLegal copy
Illegal copy
Playback control
Record control
Non-compliantrecorder
Aplikasi watermark: Copy control/Piracy Control
Watermark digunakan untuk mendeteksi apakah media digital
dapat digandakan (copy) atau dimainkan oleh perangkat keras.
99
Watermarkembedder
Watermarkdetector
Broadcasting system
Content wasbroadcast!
Originalcontent
Aplikasi watermark: Broadcast monitoring
Watermark digunakan untuk memantau kapan konten digital
ditransmisikan melalui saluran penyiaran seperti TV dan radio.
Referensi
1. Mark Zimmerman, Information Security
2. Budi Rahardjo, Prinsip Keamanan, INDOCISC.
3. Rinaldi Munir, Bahan Kuliah Kriptografi
4. Raymond McLeod, Jr. and George P. Schell,
Information Security
5. http://www.catatanteknisi.com/2011/12/pengertian-jenis-
jenis-malware.html
100
Perihal
Nama: Dr. Rinaldi Munir
Kelompok Keilmuan Informatika
Sekolah Teknik Elektro dan Informatika (STEI) - ITB
Komunikasi
E-mail: [email protected]
Web: http://informatika.stei.itb.ac.id/~rinaldi.munir
Blog: http://rinaldimunir.wordpress.com
http://catatankriptografi.wordpress.com
Facebook: http://www.facebook.com/rinaldi.munir
Kantor: Lab Ilmu dan Rekayasa Komputasi (IRK)
LabTek V (Lantai 4), Jl. Ganesha 10 Bdg