Archive for Oktober 2018

IMPLEMENTASI KEGUNAAN ALGORITMA DES, RSA, PGP di BIDANG KEMANANAN DATA JARINGAN



MATA KULIAH : SISTEM KEAMANAN TEK.INFORMASI
AKHMAD DANU SATRIA
10115429 / 4KA06

DES (Data Encryption Standard)
Data Encryption Standard (DES) adalah suatu blok cipher (salah satu bentuk enkripsi rahasia bersama) yang dipilih oleh National Bureau of Standar sebagai seorang pejabat Federal Information Processing Standard (FIPS) untuk Amerika Serikat pada tahun 1976 dan yang kemudian dinikmati secara luas gunakan internasional. Hal ini didasarkan pada algoritma kunci simetris yang menggunakan 56-bit key. Algoritma awalnya diklasifikasikan kontroversial dengan elemen desain, kunci yang relatif pendek panjang, dan kecurigaan tentang National Security Agency (NSA) backdoor. DES akibatnya datang di bawah pengawasan intens akademis yang memotivasi pemahaman modern dan blok cipher kriptoanalisis mereka.
Algoritma DES
Skema global dari algoritma DES adalah sebagai berikut :

Pertama blok plainteks dipermutasi dengan matriks permutasi awal (initial permutation atau IP). Lalu, hasil permutasi awal kemudian di -enciphering-sebanyak 16 kali (16 putaran). Setiap putaran menggunakan kunci internal yang berbeda dan hasil enciphering kemudian dipermutasi dengan matriks permutasi balikan (invers initial permutation atau IP-1) menjadi blok cipherteks.
Implementasi DES
Untuk mengenkrip atau mendekripsi lebih dari 64 bit ada 4 model resmi yang telah ditetapkan oleh FIPS PUB 81. Salah satu model yang digunakan adalah untuk memeriksa proses deakripsi di atas untuk masing-masing blok secara berurutan. Model ini disebut model Electronic Code Book (ECB). Kelebihan dari metode ini adalah melakukan XOR masing-masing blok plaintext dengan blok ciphertext sebelumnya untuk proses enkripsi. Model ini dinamakan Cipher Block Chaining (CBC). Dua model yang lain adalah Output Feedback (OFB) dan Cipher Feedback (CFB).
Algoritma DES juga dapat digunakan untuk menghitung checksum sampai panjang 64 bit. Jika jumlah data dalam bit dikenai checksum bukan perkalian 64 bit, maka blok data yang terakhir diberi angka 0. Jika data itu berupa data ASCII, maka bit pertama dari beberapa bit yang lain diberi nilai 0.
RSA
RSA di bidang kriptografi adalah sebuah algoritme pada enkripsi public key. RSA merupakan algoritme pertama yang cocok untuk digital signature seperti halnya ekripsi, dan salah satu yang paling maju dalam bidang kriptografi public key. RSA masih digunakan secara luas dalam protokol electronic commerce, dan dipercaya dalam mengamnkan dengan menggunakan kunci yang cukup panjang.
Sejarah Singkat
Algortima RSA dijabarkan pada tahun 1977 oleh tiga orang : Ron RivestAdi Shamir dan Len Adleman dari Massachusetts Institute of Technology. Huruf RSA itu sendiri berasal dari inisial nama mereka (Rivest—Shamir—Adleman).
Clifford Cocks, seorang matematikawan Inggris yang bekerja untuk GCHQ, menjabarkan tentang sistem ekuivalen pada dokumen internal pada tahun 1973. Penemuan Clifford Cocks tidak terungkap hingga tahun 1997 karena alasan top-secret classification.
Algoritme tersebut dipatenkan oleh Massachusetts Institute of Technology pada tahun 1983 di Amerika Serikat sebagai U.S. Patent 4.405.829. Paten tersebut berlaku hingga 21 September 2000. Semenjak Algoritme RSA dipublikasikan sebagai aplikasi paten, regulasi di sebagian besar negara-negara lain tidak memungkinkan penggunaan paten. Hal ini menyebabkan hasil temuan Clifford Cocks di kenal secara umum, paten di Amerika Serikat tidak dapat mematenkannya.
Algoritma  dan Implementasi RSA
Skema RSA sendiri mengadopsi dari skema block cipher, dimana sebelum dilakukan enkripsi, plainteks yang ada dibagi – bagi menjadi blok – blok dengan panjang yang sama, dimana plainteks dan cipherteksnya berupa integer(bilangan bulat) antara 1 hingga n, dimana n berukuran biasanya sebesar 1024 bit, dan panjang bloknya sendiri berukuran lebih kecil atau sama dengan log(n) +1 dengan basis 2. Fungsi enkripsi dan dekripsinya dijabarkan dalam fungsi berikut :

 C = Me mod n (fungsi enkripsi)

M = Cd mod n (fungsi dekripsi)

C = Cipherteks
M = Message / Plainteks
e = kunci publik
d= kunci privat
n = modulo pembagi
Kedua pihak harus mengetahui nilai e dan nilai n ini, dan salah satu pihak harus memilki d untuk melakukan dekripsi terhadap hasil enkripsi dengan menggunakan public key e. Penggunaan algoritma ini harus memenuhi kriteria berikut :
1. Memungkinkan untuk mencari nilai e, d, n sedemikian rupa sehingga Med mod n = M untuk semua M < n.
2. Relatif mudah untuk menghitung nilai Me mod n dan Cd mod n untuk semua nilai M < n.
3. Tidak memungkinkan mencari nilai d jika diberikan nilai n dan e.

Syarat nilai e dan d ini, gcd(d,e)=1

Sebelum memulai penggunaan RSA ini, terlebih dahulu kita harus memiliki bahan – bahan dasar sebagai berikut :
1. p, q = 2 bilangan prima yang dirahasiakan
2. n, dari hasil p.q
3. e, dengan ketentuan gcd (Φ(n), e) =1
4. d, e-1 (mod Φ(n))
Contoh:
1. Pilih 2 bilangan prima, misalnya p = 17 dan q = 11.
2. Hitung n = pq = 17 × 11 = 187.
3. Hitung Φ(n) = (p – 1)(q – 1) = 16 × 10 = 160.
4. Pilih nilai e sedemikian sehingga relatif prima terhadap Φ(n) = 160 dan kurang dari Φ(n); kita pilih e = 7.
5. Hitung d sedemikian sehingga de ≡ 1 (mod 160) dan d < 160.Nilai yang didapatkan d = 23,karena  23 × 7 = 161 = (1 × 160) + 1; d dapat dihitung dengan Extended Euclidean Algorithm.
Nah, nilai e dan d inilah yang kita sebut sebagai Public Key(e) dan Private Key(d).  Pasangan Kunci Publiknya ={7,187} dan Kunci Privatnya = {23, 187}
Sekarang kita aplikasikan dalam proses enkripsi.
Misalnya kita punya M 88. Untuk proses enkripsi, kita akan menghitung C = 887 mod 187.
= 887 mod 187.
=894,432 mod 187
=11
Nah, kita mendapatkan nilai C =11.
Selanjutnya, nilai C ini dikirimkan kepada penerima untuk didekripsi dengan kunci privat miliknya.
M = Cd mod n
= 1123 mod 187
=79,720,245 mod187
= 88
PGP
PGP adalah singkatan dari Pretty Good Privacy, dan merupakan program enkripsi yang memiliki tingkat keamanan cukup tinggi dengan menggunakan “private-public key” sebagai dasar autentifikasinya. PGP pertama diperkenalkan pada tahun 1991 oleh Philip Zimmermann untuk menyandikan data dalam pengiriman surat elektronik. Dalam proses penyandian data ini, PGP mengikuti standar RFC 4880.
PGP memiliki dua versi, yaitu USA version dan International version. PGP veris USA hanya dapat digunakan di wilayah Amerika dan hanya berlaku untuk warganegara Amerika saja. Versi USA ini menggunakan algoritma asimetrik, yaitu RSA algorithm dalam proses enkripsi dan dekripsinya. Sedangkan untuk versi internasional, PGP dapat digunakan oleh semua warganegara di seluruh penjuru dunia. Algoritma penyandian yang digunakan adalah algoritma MPILIB yang merupakan algoritma buatan Phill Zimmermann. Untuk membedakan antara versi USA dan internasional, dapat dengan cara melihat penulisannya.
PGP versi internasional menambahkan akhiran “i” pada nomor seri PGP. Contohnya, nomor versi PGP terakhir adalah 7.0.3 untuk versi USA dan 7.0.3i untuk versi internasional. Beberapa tahun belakangan ini, penggemar dan pengguna PGP semakin meningkat sehingga PGP telah menjadi standar de-facto program enkripsi untuk electronic mail. Versi International lebih banyak digunakan oleh masyarakat dunia karena kapabilitasnya . Layanan PGP versi ini dapat berlaku ke seluruh mancanegara. Jadi, ketika seseorang mengirim e-mail menggunakan PGP versi ini, maka penerima dapat mambaca e-mail tersebut karena versi yang digunakan bersifat universal.
Implementasi PGP
PGP (Pretty Good Privacy), seperti yang telah dijelaskan sebelumnya, menggunakan teknik yang disebut public-key encryption dengan dua kode. Kode-kode ini berhubungan secara intrinsik, namun tidak mungkin untuk memecahkan satu dan yang lainnya.

Bila suatu ketika kita membuat suatu kunci, maka secara otomatis akan dihasilkan sepasang kunci yaitu public key and secret key. Kita dapat memberikan public key ke manapun tujuan yang kita inginkan, melalui telephone, internet, keyserver, dsb. Secret key yang disimpan pada mesin kita dan menggunakan messager decipher akan dikirimkan ke kita. Jadi orang yang akan menggunakan public key kita (yang hanya dapat didekripsi oleh oleh secret key kita), mengirimkan messages kepada kita , dan kita akan menggunakan secret key untuk membacanya.


Sumber :











Sabtu, 20 Oktober 2018
Posted by satria

AUDIT TEKNOLOGI INFORMASI


AUDIT TEKNOLOGI INFORMASI

DEFINISI.
Pengertian Audit Menurut Para Ahli.
1.  Pengertian Auditing Menurut (Sukrisno Agoes , 2004), auditing adalah
“Suatu pemeriksaan yang dilakukan secara kritis dan sistematis oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut.”
2.   Pengertian Auditing menurut (Arens dan Loebbecke, 2003), auditing sebagai:
“Suatu proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan. Auditing seharusnya dilakukan oleh seorang yang independen dan kompeten.”
3.   Pengertian Auditing Menurut (Mulyadi , 2002), auditing merupakan:
“Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.”.

Audit teknologi informasi (Inggrisinformation technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasisecara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Secara umum Audit TI adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit TI lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit TI bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.

SEJARAH AUDIT, AUDIT IT.

Audit sudah dikenal dahulu pada zaman Mesopotamia dengan ditemukannya simbol-simbol pada angka-angka transaksi keuangan seperti titik, cek list, dan lain-lain. Di Mesir audit terlihat dari beberapa transaksi keuangan yang diperiksa oleh auditor. Di Yunani menerapkan audit namun untuk posisi ini kerajaan menempatkan para budak agar jika ada penyimpangan mudah untuk mencari informasi dengan cara menyiksa para budak tersebut. Dan di Romawi, audit menggunakan sistem "dengar transaksi keuangan", jadi setiap transaksi disaksikan oleh auditor.
Konsep audit TI dibentuk pada pertengahan 1960-an. Pada saatu itu, audit TI telah mengalami banyak perubahan dan penggabungan dari teknologi yang lainnya. Saat ini, opini tentang audit TI terus meningkat, karena peran audit TI yang sangat besar. Salah satunya mengaudit sistem penting untuk mendukung audit keuangan atau mendukung peraturan khusus, semisal SOX.

TUJUAN.

Tujuan Audit Teknologi Informasi adalah untuk mengevaluasi desain pengendalian internal sistem dan efektivitas. Tidak terbatas pada pada efisiensi dan keamanan protokol, proses pengembangan, dan tata kelola TI. Instalasi kontrol sangat diperlukan, tetapi perlu adanya keamanan protokol yang memadai agar tidak ada pelanggaran keamanan. Dalam lingkungan Sistem Informasi (SI), audit adalah pemeriksaan sistem informasi, input, output, dan pengolahan.
Fungsi utama audit TI ini adalah mengevaluasi sistem untuk menjaga keamanan data organisasi. Audit TI bertujuan untuk mengevaluasi dan menilai resiko untuk menjaga aset berharga dan menetapkan metode untuk meminimalkan resiko tersebut.



JENIS-JENIS AUDIT TI.

Menurut Goodman and Lawles, ada tiga pendekatan yang sistematis untuk melakukan audit TI, yaitu :
Teknologi proses inovasi audit, menentukan sebuah resiko dalam membangun proyek-proyek baik baru maupun lama. Audit akan menilai seberapa besar pengalaman perusahaan dalam memasarkan produk dan menilai teknologi yang dipakai oleh perusahaan.

Perbandingan Audit inovatif, Kemampuan analisis tentang inovatis perusahaan yang di-audit, dibandingkan dengan pesaingnya. Hal ini melakukan pemeriksaan pada fasilitas penelitian dan pengembangan perusahaan.

Audit teknologi posisi, audit ini melakukan pemeriksaan tentang teknologi bisnis yang perlu dibenahi.
Pada umumnya audit TI terdiri dari lima spektrum, yaitu :

Sistem dan Aplikasi, untuk memverifikasi bahwa sistem dan aplikasi yang tepat dan cepat untuk untuk memastikan data valid, terpercaya dan aman dalam meng-input lalu output. Audit pada jenis ini membantu fokus auditor keuangan.

Informasi dan Fasilitas Pengolahan, memverifikasi fasilitas pengolahan untuk memastikan pengolahan yang tepat dan cepat dalam kondisi normal berpotensi tertekan.

Pengembangan Sistem, untuk memverifikasi bahwa sistem dalam keadaan sedang dikembangkan untuk memenuhi tujuan organisasi dan memenuhi syarat perkembangan sistem.

Manajemen TI dan Enterprise Architecture, untuk memverifikasi sistem dalam keadaan telah berkembang dan dalam lingkungan yang terkendali dan efisien untuk pengolahan informasi.

Client / Server, Telekomunikasi, Intranet, dan Ekstranet, memverifikasi telekomunikasi antara klien dan server telah terhubungkan.



PROSES AUDIT TI.
Berikut adalah langkah-langkah dalam melakukan Audit Teknologi Informasi.
  1. Melakukan perencanaan audit
  2. Mempelajari aset-aset teknologi informasi yang ada di organisasi dan Mengevaluasi Kontrol
  3. Melakukan pengujian dan evaluasi kontrol
  4. Melakukan pelaporan
  5. Mengikuti perkembangan evaluasi pelaporan
  6. Membuat Dokumen Laporan

PERSONALISASI.

The CISM dan CAP Kredensial adalah dua kredensial keamanan audit terbaru yang ditawarkan oleh ISACA dan ISC.
Sertifikat Professional

  •          Certified Information Systems Auditor (CISA)
  •          Certified Internal Auditor (CIA)
  •          Certified in Risk and Information Systems Control (CRISC)
  •          Certification and Accreditation Professional (CAP)
  •          Certified Computer Professional (CCP)
  •          Certified Information Privacy Professional (CIPP)
  •          Certified Information Systems Security Professional (CISSP)
  •          Certified Information Security Manager (CISM)
  •          Certified Public Accountant (CPA)
  •          Certified Internal Controls Auditor (CICA)
  •          Forensics Certified Public Accountant (FCPA)
  •          Certified Fraud Examiner (CFE)
  •          Certified Forensic Accountant (CrFA)
  •          Certified Commercial Professional Accountant (CCPA)
  •          Certified Accounts Executive (CEA)
  •          Certified Professional Internal Auditor (CPIA)
  •          Certified Professional Management Auditor (CPMA)
  •          Chartered Accountant (CA)
  •          Chartered Certified Accountant (ACCA/FCCA)
  •          GIAC Certified System & Network Auditor (GSNA)[11]
  •          Certified Information Technology Professional (CITP)
  •          Certified e-Forensic Accounting Professional] (CFAP)
  •          Certified ERP Audit Professional (CEAP)

PRINSIP-PRINSIP AUDIT TI.

Prinsip-prinsip audit ialah,

Ketepatan waktu, Proses dan pemrograman akan terus menerus diperiksa untuk mengurangi resiko, kesalahan dan kelemahan, tetapi masih sejalan dengan analisis kekuatan dan fungsional dengan aplikasi serupa.

Sumber Keterbukaan, Membutuhkan referensi tentang audit program yang telah dienskripsi, seperti penanganan open source.

Elaborateness, Proses Audit harus berorientasi ke standar minimum. Kebutuhan pengetahuan khusus di satu sisi untuk dapat membaca kode pemrograman tentang prosedur yang telah di enskripsi. Komitmen seseorang sebagai auditor adalah kualitas, skala dan efektivitas.

Konteks Keuangan, transparansi berkelanjutan membutuhan klarifikasi apakah perangkat lunak telah dikembangkan secara komersial dan didanai.

Referensi Ilmiah Perspektif Belajar, setiap audit harus menjelaskan temuan secara rinci. Seorang auditor berperan sebagai mentor, dan auditor dianggap sebagai bagian dari PDCA = Plan-Do-Check-Act).

Sastra-Inklusi, Seorang pembaca tidak boleh hanya mengandalkan hasil dari satu review, tetapi juga menilai menurut loop dari sistem manajemen. Maka dalam manajemen membutuhkan reviewer untuk menganalisa masalah lebih lanjut.

Pencantuman buku petunjuk dan dokumentasi, langkah selanjutnya adalah melakukan hal tersebut, baik secara manual dan dokumentasi teknis.

Mengidentifikasi referensi untuk inovasi, Aplikasi yang memungkinkan pesan offline dan kontak online, sehingga membutuhkan lebih dari 2 fungsi dalam satu aplikasi.

EMERGING ISSUES.

Saat ini telah dikenalkan audit baru yang bergantung pada organisasi yang akan di-audit. Audit tersebut akan mempengaruhi TI dan melakukan fungsi dan kontrol tepat pada tempatnya.

Kehadiran Web Audit


Kehadiran perusahaan IT akan meningkatkan peran kehadiran web audit ke IT / IS audit. Tujuan dari audit ini adalah mengambil langkah seperti :
·         Mengendalikan penggunaan alat yang tidak sah ( seperti, bayangan IT)
·         Meminimalkan kerusakan reputasi
·         Menjaga kepatuhan terhadap peraturan
·         Mencegah kebocoran informasi
·         Memitigasi resiko pihak ketiga
·         Meminimalkan resiko tat kelola


Enterprise Komunikasi Audit


Munculnya jaringan VOIP dan isu seperti BYOD yang menyebabkan mis-konfigurasi, penipuan komunikasi atau stabilitas sistem berkurang. Bank dan lembaga keuangan lainnya biasanya menyiapkan kebijakan yang akan diberlakukan pada sistem informasi mereka. Tugas audit adalah menempatkan sistem komunikasi sesuai pada tempatnya, seperti
·         Mematuhi kebijakan
·         Mengikuti kebijakan yang dirancang dan disetujui
·         Menjaga peraturan
·         Meminimalkan penipuan
·         Meminimalkan resiko tata kelola
Audit jenis ini juga dapat disebut audit suara, karena audit jenis ini memiliki infrastruktur komunikasi dari berorientasi data dan data dependent. Salah satu masalah utama audit ini adalah kurangnya standar industri yang ditetapkan oleh pemerintah sehingga audit ini dianggap sebagai standar internal organisasi daripada audit berstandar industri.



REFERENSI.

Selasa, 16 Oktober 2018
Posted by satria

Visitors

Labels

Music

- Copyright © 2013 Danu Satria -Metrominimalist- Powered by Danu Satria - Designed by Johanes Djogan -