Archive for Oktober 2018
IMPLEMENTASI KEGUNAAN ALGORITMA DES, RSA, PGP di BIDANG KEMANANAN DATA JARINGAN
MATA KULIAH : SISTEM KEAMANAN TEK.INFORMASI
AKHMAD DANU SATRIA
10115429 / 4KA06
DES (Data
Encryption Standard)
Data Encryption Standard (DES) adalah suatu blok cipher
(salah satu bentuk enkripsi rahasia bersama) yang dipilih oleh National Bureau
of Standar sebagai seorang pejabat Federal Information Processing Standard
(FIPS) untuk Amerika Serikat pada tahun 1976 dan yang kemudian dinikmati secara
luas gunakan internasional. Hal ini didasarkan pada algoritma kunci simetris
yang menggunakan 56-bit key. Algoritma awalnya diklasifikasikan kontroversial
dengan elemen desain, kunci yang relatif pendek panjang, dan kecurigaan tentang
National Security Agency (NSA) backdoor. DES akibatnya datang di bawah
pengawasan intens akademis yang memotivasi pemahaman modern dan blok cipher
kriptoanalisis mereka.
Algoritma
DES
Skema global dari algoritma DES adalah sebagai berikut :
Pertama blok plainteks dipermutasi dengan matriks permutasi
awal (initial permutation atau IP). Lalu, hasil permutasi awal kemudian di
-enciphering-sebanyak 16 kali (16 putaran). Setiap putaran menggunakan kunci
internal yang berbeda dan hasil enciphering kemudian dipermutasi dengan matriks
permutasi balikan (invers initial permutation atau IP-1) menjadi blok
cipherteks.
Implementasi
DES
Untuk mengenkrip atau mendekripsi lebih dari 64 bit ada 4
model resmi yang telah ditetapkan oleh FIPS PUB 81. Salah satu model yang
digunakan adalah untuk memeriksa proses deakripsi di atas untuk masing-masing
blok secara berurutan. Model ini disebut model Electronic Code Book (ECB).
Kelebihan dari metode ini adalah melakukan XOR masing-masing blok plaintext
dengan blok ciphertext sebelumnya untuk proses enkripsi. Model ini dinamakan
Cipher Block Chaining (CBC). Dua model yang lain adalah Output Feedback (OFB)
dan Cipher Feedback (CFB).
Algoritma DES juga dapat digunakan untuk menghitung checksum
sampai panjang 64 bit. Jika jumlah data dalam bit dikenai checksum bukan
perkalian 64 bit, maka blok data yang terakhir diberi angka 0. Jika data itu
berupa data ASCII, maka bit pertama dari beberapa bit yang lain diberi nilai 0.
RSA
RSA di bidang kriptografi adalah
sebuah algoritme pada enkripsi public key. RSA merupakan algoritme
pertama yang cocok untuk digital signature seperti
halnya ekripsi, dan salah satu yang paling maju dalam bidang kriptografi public
key. RSA masih digunakan secara luas dalam protokol electronic commerce, dan
dipercaya dalam mengamnkan dengan menggunakan kunci yang cukup panjang.
Sejarah
Singkat
Algortima RSA dijabarkan pada tahun 1977 oleh tiga
orang : Ron Rivest, Adi Shamir dan Len Adleman dari Massachusetts Institute of Technology.
Huruf RSA itu sendiri berasal dari inisial nama mereka (Rivest—Shamir—Adleman).
Clifford Cocks,
seorang matematikawan Inggris yang bekerja untuk GCHQ, menjabarkan tentang sistem ekuivalen
pada dokumen internal pada tahun 1973. Penemuan Clifford
Cocks tidak terungkap hingga tahun 1997 karena
alasan top-secret classification.
Algoritme tersebut dipatenkan oleh Massachusetts Institute of Technology pada tahun 1983 di Amerika
Serikat sebagai U.S. Patent 4.405.829.
Paten tersebut berlaku hingga 21 September 2000. Semenjak Algoritme
RSA dipublikasikan sebagai aplikasi paten, regulasi di sebagian besar
negara-negara lain tidak memungkinkan penggunaan paten. Hal ini menyebabkan
hasil temuan Clifford Cocks di kenal
secara umum, paten di Amerika Serikat tidak dapat mematenkannya.
Algoritma
dan Implementasi RSA
Skema RSA sendiri mengadopsi dari skema block cipher, dimana
sebelum dilakukan enkripsi, plainteks yang ada dibagi – bagi menjadi blok –
blok dengan panjang yang sama, dimana plainteks dan cipherteksnya berupa
integer(bilangan bulat) antara 1 hingga n, dimana n berukuran biasanya sebesar
1024 bit, dan panjang bloknya sendiri berukuran lebih kecil atau sama dengan
log(n) +1 dengan basis 2. Fungsi enkripsi dan dekripsinya dijabarkan dalam
fungsi berikut :
C = Me mod n
(fungsi enkripsi)
M = Cd mod n
(fungsi dekripsi)
C
= Cipherteks
M
= Message / Plainteks
e
= kunci publik
d=
kunci privat
n
= modulo pembagi
Kedua pihak harus mengetahui nilai e dan nilai n ini, dan salah
satu pihak harus memilki d untuk melakukan dekripsi terhadap hasil enkripsi
dengan menggunakan public key e. Penggunaan algoritma ini harus memenuhi
kriteria berikut :
1. Memungkinkan untuk mencari
nilai e, d, n sedemikian rupa sehingga Med mod n = M untuk semua M < n.
2. Relatif mudah untuk menghitung nilai Me mod n dan Cd mod n untuk semua nilai M < n.
3. Tidak memungkinkan mencari nilai d jika diberikan nilai n dan e.
2. Relatif mudah untuk menghitung nilai Me mod n dan Cd mod n untuk semua nilai M < n.
3. Tidak memungkinkan mencari nilai d jika diberikan nilai n dan e.
Syarat nilai e dan d ini, gcd(d,e)=1
Sebelum memulai penggunaan RSA ini, terlebih dahulu kita harus
memiliki bahan – bahan dasar sebagai berikut :
1.
p, q = 2 bilangan prima yang dirahasiakan
2.
n, dari hasil p.q
3.
e, dengan ketentuan gcd (Φ(n), e) =1
4. d, e-1 (mod
Φ(n))
Contoh:
1. Pilih 2 bilangan prima, misalnya p = 17 dan q = 11.
2. Hitung n = pq = 17 × 11 = 187.
3. Hitung Φ(n) = (p – 1)(q – 1) = 16 × 10 = 160.
4. Pilih nilai e sedemikian sehingga relatif prima terhadap Φ(n) = 160 dan kurang dari Φ(n); kita pilih e = 7.
5. Hitung d sedemikian sehingga de ≡ 1 (mod 160) dan d < 160.Nilai yang didapatkan d = 23,karena 23 × 7 = 161 = (1 × 160) + 1; d dapat dihitung dengan Extended Euclidean Algorithm.
2. Hitung n = pq = 17 × 11 = 187.
3. Hitung Φ(n) = (p – 1)(q – 1) = 16 × 10 = 160.
4. Pilih nilai e sedemikian sehingga relatif prima terhadap Φ(n) = 160 dan kurang dari Φ(n); kita pilih e = 7.
5. Hitung d sedemikian sehingga de ≡ 1 (mod 160) dan d < 160.Nilai yang didapatkan d = 23,karena 23 × 7 = 161 = (1 × 160) + 1; d dapat dihitung dengan Extended Euclidean Algorithm.
Nah,
nilai e dan d inilah yang kita sebut sebagai Public Key(e) dan Private
Key(d). Pasangan Kunci Publiknya ={7,187} dan Kunci Privatnya = {23, 187}
Sekarang
kita aplikasikan dalam proses enkripsi.
Misalnya kita punya M 88. Untuk
proses enkripsi, kita akan menghitung C = 887 mod 187.
= 887 mod 187.
=894,432
mod 187
=11
Nah,
kita mendapatkan nilai C =11.
Selanjutnya,
nilai C ini dikirimkan kepada penerima untuk didekripsi dengan kunci privat
miliknya.
M = Cd mod n
= 1123 mod 187
=79,720,245
mod187
=
88
PGP
PGP adalah
singkatan dari Pretty Good Privacy, dan merupakan program enkripsi yang
memiliki tingkat keamanan cukup tinggi dengan menggunakan “private-public key”
sebagai dasar autentifikasinya. PGP pertama diperkenalkan pada tahun 1991 oleh
Philip Zimmermann untuk menyandikan data dalam pengiriman surat elektronik.
Dalam proses penyandian data ini, PGP mengikuti standar RFC 4880.
PGP memiliki
dua versi, yaitu USA version dan International version. PGP veris USA hanya
dapat digunakan di wilayah Amerika dan hanya berlaku untuk warganegara Amerika
saja. Versi USA ini menggunakan algoritma asimetrik, yaitu RSA algorithm dalam
proses enkripsi dan dekripsinya. Sedangkan untuk versi internasional, PGP dapat
digunakan oleh semua warganegara di seluruh penjuru dunia. Algoritma penyandian
yang digunakan adalah algoritma MPILIB yang merupakan algoritma buatan Phill
Zimmermann. Untuk membedakan antara versi USA dan internasional, dapat dengan
cara melihat penulisannya.
PGP versi
internasional menambahkan akhiran “i” pada nomor seri PGP. Contohnya, nomor
versi PGP terakhir adalah 7.0.3 untuk versi USA dan 7.0.3i untuk versi
internasional. Beberapa tahun belakangan ini, penggemar dan pengguna PGP
semakin meningkat sehingga PGP telah menjadi standar de-facto program enkripsi
untuk electronic mail. Versi International lebih banyak digunakan oleh
masyarakat dunia karena kapabilitasnya . Layanan PGP versi ini dapat berlaku ke
seluruh mancanegara. Jadi, ketika seseorang mengirim e-mail menggunakan PGP
versi ini, maka penerima dapat mambaca e-mail tersebut karena versi yang
digunakan bersifat universal.
Implementasi PGP
PGP (Pretty Good Privacy), seperti yang telah dijelaskan sebelumnya, menggunakan teknik yang disebut public-key encryption dengan dua kode. Kode-kode ini berhubungan secara intrinsik, namun tidak mungkin untuk memecahkan satu dan yang lainnya.
Bila suatu ketika kita membuat suatu kunci, maka secara otomatis
akan dihasilkan sepasang kunci yaitu public key and secret key. Kita dapat
memberikan public key ke manapun tujuan yang kita inginkan, melalui telephone,
internet, keyserver, dsb. Secret key yang disimpan pada mesin kita dan
menggunakan messager decipher akan dikirimkan ke kita. Jadi orang yang akan
menggunakan public key kita (yang hanya dapat didekripsi oleh oleh secret key
kita), mengirimkan messages kepada kita , dan kita akan menggunakan secret key
untuk membacanya.
Sumber :
AUDIT TEKNOLOGI INFORMASI
AUDIT TEKNOLOGI INFORMASI
DEFINISI.
Pengertian Audit Menurut Para Ahli.
1. Pengertian Auditing Menurut (Sukrisno
Agoes , 2004), auditing adalah
“Suatu pemeriksaan yang dilakukan secara
kritis dan sistematis oleh pihak yang independen, terhadap laporan keuangan
yang telah disusun oleh manajemen beserta catatan-catatan
pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan
pendapat mengenai kewajaran laporan keuangan tersebut.”
2. Pengertian Auditing menurut (Arens dan
Loebbecke, 2003), auditing sebagai:
“Suatu proses pengumpulan dan
pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu
entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat
menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang
telah ditetapkan. Auditing seharusnya dilakukan oleh seorang
yang independen dan kompeten.”
3. Pengertian Auditing Menurut (Mulyadi ,
2002), auditing merupakan:
“Suatu proses sistematik untuk memperoleh
dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang
kegiatan dan kejadian ekonomi dengan tujuan untuk menetapkan tingkat kesesuaian
antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan,
serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.”.
Audit
teknologi informasi (Inggris: information technology (IT) audit atau
information systems (IS) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur teknologi
informasisecara menyeluruh. Audit teknologi informasi ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan
kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini
dikenal dengan audit pemrosesan
data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi
dari semua kegiatan sistem informasi dalam
perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem
informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam
mencapai target organisasinya.
Secara umum Audit TI adalah suatu proses kontrol pengujian terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit
finansial dan audit internal. Audit TI lebih dikenal dengan istilah EDP Auditing
(Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis
aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah
tersebut adalah untuk menjelaskan proses penelahan dan evaluasi
pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut
sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk
menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa
pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini
disebut audit dengan komputer.
Audit TI sendiri
merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit,
Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan
Behavioral Science. Audit TI bertujuan untuk meninjau dan mengevaluasi
faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan
keutuhan (integrity) dari sistem informasi organisasi.
SEJARAH AUDIT, AUDIT IT.
Audit sudah
dikenal dahulu pada zaman Mesopotamia dengan ditemukannya simbol-simbol pada
angka-angka transaksi keuangan seperti titik, cek list, dan lain-lain. Di
Mesir audit terlihat dari beberapa transaksi keuangan yang diperiksa oleh
auditor. Di Yunani menerapkan audit namun untuk posisi ini kerajaan
menempatkan para budak agar jika ada penyimpangan mudah untuk mencari informasi
dengan cara menyiksa para budak tersebut. Dan di Romawi, audit menggunakan
sistem "dengar transaksi keuangan", jadi setiap transaksi disaksikan
oleh auditor.
Konsep audit TI dibentuk pada pertengahan 1960-an. Pada saatu itu,
audit TI telah mengalami banyak perubahan dan penggabungan dari teknologi yang
lainnya. Saat ini, opini tentang audit TI terus meningkat, karena peran audit TI
yang sangat besar. Salah satunya mengaudit sistem penting untuk mendukung audit
keuangan atau mendukung peraturan khusus, semisal SOX.
TUJUAN.
Tujuan Audit Teknologi Informasi adalah
untuk mengevaluasi desain pengendalian internal sistem dan efektivitas. Tidak
terbatas pada pada efisiensi dan keamanan protokol, proses pengembangan, dan
tata kelola TI. Instalasi kontrol sangat diperlukan, tetapi perlu adanya
keamanan protokol yang memadai agar tidak ada pelanggaran keamanan. Dalam
lingkungan Sistem Informasi (SI), audit adalah pemeriksaan sistem informasi,
input, output, dan pengolahan.
Fungsi utama audit TI ini adalah mengevaluasi
sistem untuk menjaga keamanan data organisasi. Audit TI bertujuan untuk
mengevaluasi dan menilai resiko untuk menjaga aset berharga dan menetapkan
metode untuk meminimalkan resiko tersebut.
JENIS-JENIS
AUDIT TI.
Menurut Goodman and Lawles,
ada tiga pendekatan yang sistematis untuk melakukan audit TI, yaitu :
Teknologi
proses inovasi audit, menentukan sebuah resiko
dalam membangun proyek-proyek baik baru maupun lama. Audit akan menilai
seberapa besar pengalaman perusahaan dalam memasarkan produk dan menilai
teknologi yang dipakai oleh perusahaan.
Perbandingan
Audit inovatif, Kemampuan analisis
tentang inovatis perusahaan yang di-audit, dibandingkan dengan pesaingnya. Hal
ini melakukan pemeriksaan pada fasilitas penelitian dan pengembangan
perusahaan.
Audit
teknologi posisi, audit ini melakukan
pemeriksaan tentang teknologi bisnis yang perlu dibenahi.
Pada umumnya audit TI
terdiri dari lima spektrum, yaitu :
Sistem
dan Aplikasi, untuk memverifikasi bahwa
sistem dan aplikasi yang tepat dan cepat untuk untuk memastikan data valid,
terpercaya dan aman dalam meng-input lalu output. Audit pada jenis ini membantu
fokus auditor keuangan.
Informasi
dan Fasilitas Pengolahan, memverifikasi fasilitas
pengolahan untuk memastikan pengolahan yang tepat dan cepat dalam kondisi
normal berpotensi tertekan.
Pengembangan
Sistem, untuk memverifikasi bahwa
sistem dalam keadaan sedang dikembangkan untuk memenuhi tujuan organisasi dan
memenuhi syarat perkembangan sistem.
Manajemen
TI dan Enterprise Architecture, untuk
memverifikasi sistem dalam keadaan telah berkembang dan dalam lingkungan yang
terkendali dan efisien untuk pengolahan informasi.
Client /
Server, Telekomunikasi, Intranet, dan Ekstranet, memverifikasi telekomunikasi antara klien dan server telah
terhubungkan.
PROSES AUDIT TI.
Berikut adalah
langkah-langkah dalam melakukan Audit Teknologi Informasi.
- Melakukan perencanaan
audit
- Mempelajari aset-aset
teknologi informasi yang ada di organisasi dan Mengevaluasi Kontrol
- Melakukan pengujian
dan evaluasi kontrol
- Melakukan pelaporan
- Mengikuti perkembangan
evaluasi pelaporan
- Membuat Dokumen
Laporan
PERSONALISASI.
The CISM dan CAP Kredensial
adalah dua kredensial keamanan audit terbaru yang ditawarkan oleh ISACA dan
ISC.
Sertifikat
Professional
- Certified Information Systems Auditor (CISA)
- Certified Internal Auditor (CIA)
- Certified in Risk and Information Systems Control (CRISC)
- Certification and Accreditation Professional (CAP)
- Certified Computer Professional (CCP)
- Certified Information Privacy Professional (CIPP)
- Certified Information Systems Security Professional (CISSP)
- Certified Information Security Manager (CISM)
- Certified Public Accountant (CPA)
- Certified Internal Controls Auditor (CICA)
- Forensics Certified Public Accountant (FCPA)
- Certified Fraud Examiner (CFE)
- Certified Forensic Accountant (CrFA)
- Certified Commercial Professional Accountant (CCPA)
- Certified Accounts Executive (CEA)
- Certified Professional Internal Auditor (CPIA)
- Certified Professional Management Auditor (CPMA)
- Chartered Accountant (CA)
- Chartered Certified Accountant (ACCA/FCCA)
- GIAC Certified System & Network Auditor (GSNA)[11]
- Certified Information Technology Professional (CITP)
- Certified e-Forensic Accounting Professional] (CFAP)
- Certified ERP Audit Professional (CEAP)
PRINSIP-PRINSIP AUDIT TI.
Prinsip-prinsip
audit ialah,
Ketepatan
waktu, Proses dan
pemrograman akan terus menerus diperiksa untuk mengurangi resiko, kesalahan dan
kelemahan, tetapi masih sejalan dengan analisis kekuatan dan fungsional dengan
aplikasi serupa.
Sumber
Keterbukaan,
Membutuhkan referensi tentang audit program yang telah dienskripsi, seperti
penanganan open source.
Elaborateness, Proses Audit harus berorientasi ke standar
minimum. Kebutuhan pengetahuan khusus di satu sisi untuk dapat membaca kode
pemrograman tentang prosedur yang telah di enskripsi. Komitmen seseorang
sebagai auditor adalah kualitas, skala dan efektivitas.
Konteks
Keuangan, transparansi
berkelanjutan membutuhan klarifikasi apakah perangkat lunak telah dikembangkan
secara komersial dan didanai.
Referensi
Ilmiah Perspektif Belajar, setiap
audit harus menjelaskan temuan secara rinci. Seorang auditor berperan sebagai mentor,
dan auditor dianggap sebagai bagian dari PDCA = Plan-Do-Check-Act).
Sastra-Inklusi, Seorang pembaca tidak boleh hanya
mengandalkan hasil dari satu review, tetapi juga menilai menurut loop dari
sistem manajemen. Maka dalam manajemen membutuhkan reviewer untuk menganalisa
masalah lebih lanjut.
Pencantuman
buku petunjuk dan dokumentasi, langkah selanjutnya adalah melakukan hal tersebut, baik secara manual
dan dokumentasi teknis.
Mengidentifikasi
referensi untuk inovasi,
Aplikasi yang memungkinkan pesan offline dan kontak online, sehingga
membutuhkan lebih dari 2 fungsi dalam satu aplikasi.
EMERGING ISSUES.
Saat ini telah dikenalkan
audit baru yang bergantung pada organisasi yang akan di-audit. Audit tersebut
akan mempengaruhi TI dan melakukan fungsi dan kontrol tepat pada tempatnya.
Kehadiran
Web Audit
Kehadiran perusahaan IT akan meningkatkan peran kehadiran web audit ke IT / IS
audit. Tujuan dari audit ini adalah mengambil langkah seperti :
·
Mengendalikan penggunaan
alat yang tidak sah ( seperti, bayangan IT)
·
Meminimalkan kerusakan
reputasi
·
Menjaga kepatuhan terhadap
peraturan
·
Mencegah kebocoran
informasi
·
Memitigasi resiko pihak
ketiga
·
Meminimalkan resiko tat
kelola
Enterprise
Komunikasi Audit
Munculnya jaringan VOIP dan isu seperti BYOD yang menyebabkan mis-konfigurasi,
penipuan komunikasi atau stabilitas sistem berkurang. Bank dan lembaga keuangan
lainnya biasanya menyiapkan kebijakan yang akan diberlakukan pada sistem
informasi mereka. Tugas audit adalah menempatkan sistem komunikasi sesuai pada
tempatnya, seperti
·
Mematuhi kebijakan
·
Mengikuti kebijakan yang
dirancang dan disetujui
·
Menjaga peraturan
·
Meminimalkan penipuan
·
Meminimalkan resiko tata
kelola
Audit jenis ini juga dapat
disebut audit suara, karena audit jenis ini memiliki infrastruktur komunikasi
dari berorientasi data dan data dependent. Salah satu masalah utama audit ini
adalah kurangnya standar industri yang ditetapkan oleh pemerintah sehingga
audit ini dianggap sebagai standar internal organisasi daripada audit
berstandar industri.
REFERENSI.
