- Karena sistem pengelola kata sandi sangat praktis, belakangan ini banyak orang menggunakan fitur bawaan OS atau browser
- Namun, apakah itu benar-benar aman? Pertanyaan seperti ini bisa muncul
- Definisi enkripsi
- Tujuan kriptografi adalah melindungi protokol dari pihak yang tidak bersahabat
- Proses menyampaikan informasi (yang merujuk pada plaintext) dengan menggunakan algoritma agar tidak dapat dibaca oleh siapa pun selain mereka yang memiliki pengetahuan khusus
- Apakah aman jika semua algoritma terbuka?
- Ada yang disebut prinsip Kerckhoffs
- “Sistem kriptografi tidak perlu dirahasiakan, dan tidak boleh menimbulkan masalah meskipun jatuh ke tangan musuh.”
- Alasan tetap aman meskipun algoritma dipublikasikan adalah karena adanya kunci rahasia
- Yang penting adalah membuat protokol aman, bukan algoritmanya
- Justru lebih baik algoritmanya dipublikasikan agar lebih banyak orang dapat memverifikasi dan memperbaikinya
- Mengapa kriptografi klasik berbahaya?
- Sebelum komputer muncul, metode ini cukup kompleks dan berguna, tetapi setelah komputer hadir, pemecahannya menjadi mungkin dalam waktu singkat
- Ada berbagai teknik serangan seperti brute force, frequency analysis, dan lainnya
- Apakah kriptografi modern aman?
- Kriptografi klasik berisiko karena ruang kuncinya terbatas dan mencerminkan karakteristik bahasa
- Sebaliknya, kriptografi modern menggunakan konsep confusion dan diffusion untuk menghasilkan jumlah kemungkinan yang sangat besar -> sehingga tidak mungkin dipecahkan selain lewat pencarian kunci menyeluruh yang kebetulan berhasil
- Confusion (Substitution) berarti, jika ada string seperti 'ABCA', string itu diganti menjadi '1231'
- Diffusion (Permutation) berarti, jika ada string seperti 'ABCA', urutannya diubah menjadi 'BCAA'
- Tiga metode enkripsi
- Ada enkripsi simetris, asimetris, dan satu arah
- Enkripsi simetris adalah algoritma yang menggunakan satu kunci rahasia (atau kunci simetris) untuk mengenkripsi dan mendekripsi
- Contoh paling umum adalah AES
- Enkripsi asimetris adalah algoritma yang menggunakan dua kunci untuk mengenkripsi dan mendekripsi
- Contoh paling umum adalah RSA
- Enkripsi simetris menimbulkan masalah ketika jumlah pesertanya banyak
- Enkripsi satu arah adalah mengubah data dengan panjang sembarang menjadi data dengan panjang tetap
- Contoh paling umum adalah SHA
- Digunakan untuk verifikasi integritas
- Implementasi vault rahasia pribadi
- Master password adalah kunci rahasia untuk mengautentikasi pemilik sistem pengelola kata sandi
- Nilai hash dari master password tidak boleh disimpan sama sekali karena dapat terkena serangan Pass-the-Hash
- Jika membuat master unlock key dengan menambahkan kunci acak yang terikat pada perangkat pengguna, kata sandi dapat disimpan dengan lebih aman
- Untuk Mac dapat menggunakan Keychain, dan untuk Windows dapat menggunakan Credential Manager
- Untuk implementasi nyata, lihat tautannya
4 komentar
Di Android tidak ada yang seperti keychain..? Apakah Samsung Wallet di Galaxy juga berisiko?
Halo. :) Saya tahu ada yang namanya Secret Manager. Saya kurang tahu soal Samsung Wallet, tetapi mungkin bukankah itu dibuat dengan cukup aman?
Karena tertulis kebingungan (substitution) dan difusi (permutation), saya sempat bertanya-tanya apa maksudnya, lalu melihat teks aslinya.
Ternyata tertulis bahwa kebingungan dicapai dengan menggunakan substitusi (substitution), dan difusi dicapai dengan menggunakan permutasi (permutation)...
Terlalu saya ringkas, maaf ^^;;