1 / 12

SECURE WEB PROTOCOLS

SECURE WEB PROTOCOLS. KELOMPOK 14 FIRDAUS MARINGGA (118090040) HARUM AMBARWATI (118090042) I GUSTI BAGUS PRAMA ADITYA (118091010). Pendahuluan.

sook
Download Presentation

SECURE WEB PROTOCOLS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SECURE WEB PROTOCOLS KELOMPOK 14 FIRDAUS MARINGGA (118090040) HARUM AMBARWATI (118090042) I GUSTI BAGUS PRAMA ADITYA (118091010)

  2. Pendahuluan Pembayaranelektroniksekarangsudahmenjadisepertigayahidupdankebutuhanbagisebagianmasyarakat, terutamamasyarakatperkotaan yang menginginkanpolabertransaksi yang praktisdancepat. Denganberkembangnyateknologidibidangjaringan internet, suatuprosespembeliandanpembayaranmelalui internet sudahbukanhal yang asinglagi. Masalahterpentingdalamjaringankomputeradalahmasalahkeamanan data yang dikirimkan. Pelakukejahatanmemanfaatkancelahkeamanan yang adauntukdimasukidanmelakukanmanipulasi data. Pihakpenjahatitubisasajaberniatuntuksekedarmencaritahusaja, ataujugabisamencuriberbagaimacamhalsepertiuang, data rahasia, dll.

  3. MasalahKeamananProtokol Adabeberapamasalah yang terjadimelaluijaringan internet, yaitu: • Http adalahsebuahprotokol yang memintaataumenjawabantara client dan server.Terkadangpihakketigadapatmasukdanmengganggujalannyakomunikasiantara client dengan server, sehinggatidakadanyaprivasi. • Http adalahprotokol yang tidaksah: karenatidakmempunyaiinformasipenyimpanandaripemakai, daninitidakmemverifikasiidentitaspemakai. • Http menyediakantidakberartimenyembunyikankeaslian yang terus-menerus.

  4. JenisSeranganProtokol Serangan yang akandibahasdisiniialahseranganterhadappenggunaanbeberapaprotokolpadainfrasktrukturkuncipublik. Serangantersebutdapatdidefinisikansebagaiseranganterhadapprotokolotentifikasi yang menggunakanpesan yang dibangkitkandariprotokol yang terpisahuntukmenipusalahsatuuser yang akanmengirabahwaprotokoltelahselesaidilaksanakan. Serangan-serangantersebutadalah: • Seranganterhadapkerahasiaankuncipublik • Seranganterhadaptandatangankuncipublik

  5. Seranganterhadapkerahasiaankuncipublik ProtokolNedham Schroeder adalahprotokol yang bertujuanuntukmembangunhubungandanotentifikasikomunikasiantarapihak A danpihak B untukdapatbertukarnilairahasia. Namunterdapatcelahkeamanan yang menyatakanbahwapihak A sedangaktifdalamprotokol yang sedangberjalan. Celahkeamanantersebutmemungkinkankita(Intruder)untukmelakukanpenyamarandenganmenggunakantailored protocol. Dalamtailored protocol ini, pihak B mengirimkanpesankepada A berisikannilaiuntukmemberikanidentifikasiberupaidentitasmilikpihak B. pihak A akanmemberikantanggapanberupapesan yang telahditandatangani. Penggunaantailored protocol untukmelakukanseranganpenyamarandimungkinkankarenabentukpesan yang dihasilkanolehtailored protocol menyerupaibentukpesanpadaprotokolNedham Schroeder.

  6. Seranganterhadapkerahasiaankuncipublik SerangandenganTailored Protocol, dimanaIntruder menyamarsebagaipihak A, mengirimkanpesankepadapihak B denganmenggunakanbentukprotokol yang bersesuaian. Intruderkemudianakanmenerimapesanbalasandaripihak B. Intruder yang kemudianmenyamarmenjadipihak B, akanmelakukanforwarding pesantersebutkepadapihak A denganmenggunakantailored protocol. Pihak A akanmengirimkanbalasankepadaIntruderdenganbentuk yang dapatdibaca, termasukdidalamnyaidentitasdaripihak B. Intruder yang telahmendapatkanidentitasdaripihak B kemudianmengirimkanpesankepadapihak B denganmemvalidasidirinyasebagaipihak A. Seranganiniberhasil, karenaIntruder berhasilmemaksapihak A untukmelakukandekripsipesansehinggaIntruderberhasilmendapatkanpesandenganbentuk yang dapatiabaca. Denganmetodeini, mustahilpihak A dapatmengetahuiserangan, karenabentukpesan yang digunakansamadenganbentukpesan normal padaprotokolNedham Schroeder.

  7. Seranganterhadaptandatangankuncipublik SeranganpadaProtokol SSL-3. Protokol SSL-3 yangdimaksudadalah server B yang memiliki RSA–based signature certificate untukmengotentifikasidirinyakepadapihak A danuntukbertukar data secaraamandenganmembuatkuncienkripsiuntukkomunikasi. Server mengirimkankuncipubliksementaradantandatangandarikuncitersebut. Selanjutnya, client akanmenggunakankuncitersebutuntukmelakukanenkripsipadapesan yang dikirimkankepadaserver. Mengingatkeamananalgoritma RSA, client dapatmenyimpulkanbahwahanyapihakserver saja yang dapatmembacapesanrahasiatersebut. Meskipundemikian, protokolinimasihdapatdiserangdenganmenggunakantailored protocol. Dalamprotokolini, pihak A mengirimkannilairahasiakepada server B. Server akanmengirimkanbalasanberupanilai Hash daripesantsbuntukmelakukanotentifikasiterhadappenerimapesan. Satuhal yang didapatkanialahprotokolinidapatmemaksa server untukmelakukan hash padapesan yang tidakiabuat.

  8. Seranganterhadaptandatangankuncipublik SeranganpadaProtokol SSL-3, dimana Intruder mengirimkankuncipublikbuatannyasendirikepada server. Server tentunyaakanmemberikanbalasanberupanilai hash darikuncitersebut. Intruder kemudianakanmembuatsitus yang menyamarkandirinyasebagai server. Saatpihak A menghubungisituspalsutersebut, Intruder akanmengirimkannilai hash yang telahiadapatkandari server kepadapihak A. pihak A tertipu, danmengirapesan yang iadapatkanadalahdari server yang sebenarnya. Pihak A akanmengirimkanpesan yang telahdienkripsidengankunci yang dikirimkanolehintruder. Intruder akanterusdapatmembacaseluruh data yang dikirimkanolehpihak A. karenapihak A telahmenganggap server B sebagai server yang sah.

  9. Secure Sockets Layer (SSL) Secure Socket Layer (SSL) merupakansuatuprotokol yang telahdikembangkandandipergunakanuntukmengatasipermasalahankeamanan yang mengancamprosestransaksimenggunakanjaringan internet. SSL didukung pula denganpenyediaanfasilitasenkripsi yang cukupmemadaidandilengkapidengansebuahproses handshaking danpengiriman data yang cukupamanuntukmengatasiberbagaikejahatanjaringan internet yang ada. Secure Socket Layer (SSL), merupakanprotokolkriptografi yang menyediakankomunikasi yang amandi Internet. Protokolinimenyediakanauthentikasiakhirdanprivasikomunikasidi Internet menggunakan cryptography. Dalampenggunaanumumnya, hanya server yang diauthentikasi (dalamhalini, memilikiidentitas yang jelas) selamadarisisi client tetaptidakterauthentikasi. Authentikasidarikeduasisi (mutual authentikasi) memerlukanpenyebaran PKI pada client-nya. Protokolinimengizinkanaplikasidari client atau server untukberkomunikasidengandidesainuntukmencegaheavesdropping, [[tampering]] danmessage forgery.

  10. Sejarah Secure Sockets Layer (SSL) Sejarahdanpengembangan: Dikembangkanoleh Netscape, SSL versi 3.0 dirilispadatahun 1996, yang padaakhirnyamenjadidasarpengembangan Transport Layer Security, sebagai protocol standart IETF. Definisiawaldari TLS munculpada RFC,2246 : “The TLS Protocol Version 1.0″. Visa, MaterCard, American Express danbanyaklagiinstitusifinansialterkemuka yang memanfaatkan TLS untukdukungan commerce melalui internet. Seprtihalnya SSL, protocol TLS beroperasidalamtata-cara modular. TLS didesainuntukberkembang, denganmendukungkemampuanmeningkatdankembalikekondisisemuladannegosiasiantarujung.

  11. Cara MengatasiSerangan Adabeberapahal yang mungkindapatdiusulkanuntukmengatasipermasalahanseranganini: • Membatasipenggunaanprotokoluntukkuncipublik. Hal inimemperkecilresikoserangan, namunmasihtidakmenutupcelahkeamanansecaratotal. • Melakukanverifikasiterhadapprotokol yang digunakansetiapaplikasibaikberupaversiprotokol, maupunlangkah-langkahprotokol. Secarateoritis, carainimungkinefektifdigunakan, tetapiimplementasidarikonsepinirasanyamasihsulit. • Menggunakanhardware level encryption untukbertukarpesan. Hardware Encryption bisamenghasilkan level enkripsi yang lebihkuatdantentunyamenjadikansetiapkomputermemilikiidentitasunik yang akanmempersulitterjadinyaseranganterhadapinfrastrukturkuncipublik.

  12. Kesimpulan Infrastrukturkuncipublikdigunakanuntukmenyimpandanmendistribuksikankuncipublikmilikuser untukdigunakanpadaprosesotentifikasimaupunsaluranamanpadajaringan internet. Serangandapatterjadiapabilainfrastrukturkuncipublikdalampelaksanaannyamenggunakanlebihdarisatuprotokoluntukberkomunikasi. Seranganhanyadapatterwujudapabilakondisinyaterpenuhi, namunjikakondisinyatidakterpenuhibesarkemungkinanservice yang ditawarkanjugatidakakanberjalan.

More Related