Membandingkan keamanan/kekuatan algoritma sandi (kripto)

Ini adalah lanjutan dari tulisan sebelumnya: keamanan sistem kripto

Lagi-lagi, saya akan mulai dari definisi. Maklum…, masih bingung. Posting sebelumnya telah menjelaskan tiga definisi keamanan sistem kripto menurut Shannon. Di sini, saya akan menuliskan definisi yg lebih umum (merujuk ke Ritter’s Crypto Glossary):

Definisi_1 Keamanan atau kekuatan sistem kripto adalah: kemampuan sistem untuk menanggulangi berbagai serangan terhadapnya agar tujuan pengamanan (misalnya: menjaga kerahasiaan/secrecy/confidentiality) dapat tercapai.

Definisi_2 Ukuran keamanan/kekuatan sistem kripto adalah: upaya dan sumber daya minimum yang diperlukan untuk mematahkan keamanan sistem kripto tersebut.

Jadi, jika saya memiliki dua cipher, sebut saja A dan B, bagaimana saya menentukan cipher mana yg lebih aman/kuat? Dari definisi_2, kita harus menentukan cipher mana yg membutuhkan upaya atau sumber daya minimum yang paling besar untuk membongkarnya. Jika kita membutuhkan waktu 5 tahun untuk membongkar cipher A dan 3 tahun untuk membongkar cipher B dengan maka cipher A lebih kuat dari cipher B.

Selanjutnya, bagaimana cara kita menentukan sumber daya minimum yang dibutuhkan untuk membongkar cipher A?

Karena yg kita cari adalah sumber daya minimum, maka, sebelumnya kita harus menemukan teknik atau cara serangan yang paling efisien diantara seluruh serangan yg mungkin dilakukan. Kita sebut saja serangan paling efisien ini sebagai ult_attack (kependekan dari ultimate attack). Kemudian, kita hitung sumber daya yg dibutuhkan utk melakukan ult_attack tersebut dan hasilnya kita tetapkan sebagai ukuran kekuatan cipher A. Hal yg sama kita lakukan jg terhadap cipher B sehingga kita dapat membandingkan kekuatan dua cipher tersebut.

Bagaimana kita menemukan teknik atau cara serangan yg mungkin terhadap sebuah cipher?

Kegiatan membongkar keamanan cipher disebut sebagai cryptanalysis (kriptanalisis atau analisa sandi). Tekniknya bermacam-macam dan akan saya bahas dalam tulisan lain. Kita ambil contoh, bahwa sekelompok ahli kriptanalisis telah menemukan lima teknik serangan terhadap cipher A. Teknik serangan ini diberi nama attackA_1, attackA_2,…, attackA_5.

Apakah serangan paling efisien terhadap cipher A, yaitu ult_attackA, dapat kita tentukan dari lima macam serangan tersebut.

Namun, pertanyaan yg seharusnya diajukan sebelum pertanyaan di atas adalah:

Apakah tidak ada teknik serangan selain lima teknik serangan tersebut?

Disiplin ilmu kriptanalisis ternyata tidak dapat menjawab pertanyaan yg terakhir. Singkatnya, para ahli itu hanya mengatakan bahwa mereka telah menemukan 5 jenis serangan yg mungkin. Penemuan itu tidak dapat menafikan kemungkinan adanya serangan lain. Jadi, kita dapat saja menentukan ult_attack, namun metodologi kriptanalisis sama sekali tidak dapat menjamin ketiadaan jenis serangan lain yang lebih efisien daripada ult_attack.

Kembali lagi ke cipher A dan cipher B. Kekuatan dua cipher tersebut hanya dapat dibandingkan secara relatif berdasarkan beberapa teknik serangan yang telah diketahui. Kita akan mengulang kembali langkah-langkah analisis di atas:

Untuk cipher A. Pakar kriptanalisis telah menemukan 5 teknik serangan terhadap cipher A, yaitu: attackA_1,… ,attackA_5. Dari kelimanya, kita dapat menentukan teknik mana yg paling efisien, sebut saja sebagai ult_attackA.

Untuk cipher B. Pakar kriptanalisis telah menemukan 3 teknik serangan terhadap cipher B, yaitu: attackB_1, attackB_2, attackB_3. Dari ketiganya, kita dapat menentukan teknik mana yg paling efisien, sebut saja sebagai ult_attackB.

Perbandingan kekuatan cipher A dan B dapat dilakukan dengan membandingkan besarnya upaya atau sumber daya yg diperlukan untuk melakukan ult_attackA dan ult_attackB. Cipher yg lebih kuat adalah cipher yg membutuhkan sumber daya yg lebih besar.

Note:

cipher : merupakan sistem kripto yg dipergunakan untuk mengacak/menyandikan/mengenkripsi data.

16 pemikiran pada “Membandingkan keamanan/kekuatan algoritma sandi (kripto)

  1. ===
    Namun, pertanyaan yg seharusnya diajukan sebelum pertanyaan di atas adalah:

    Apakah tidak ada teknik serangan selain lima teknik serangan tersebut?

    Disiplin ilmu kriptanalisis ternyata tidak dapat menjawab pertanyaan yg terakhir. Singkatnya, para ahli itu hanya mengatakan bahwa mereka telah menemukan 5 jenis serangan yg mungkin. Penemuan itu tidak dapat menafikan kemungkinan adanya serangan lain.
    ====
    Itu yang mestinya jadi pegangan Bud. Keamanan adalah sesuatu yang relatif terhadap waktu.
    Teknik serangan juga mestinya ada dua hal : algoritma dan resources. Mungkin saja dengan resources yang sama, tetapi suatu saat ada orang yang menemukan algoritma yang tidak bisa ditemukan oleh orang lain.
    kalau nggak salah dulu sempet ditemukan ada teknologi CD yang tidak bisa di-copy. Tapi ternyata jebol hanya dengan memencet shift sambil gimana.. gitu. Aku lupa, pokoknya sederhana banget lah. Akhirnya teknologi itu batal di-release.
    Saat ini pun kartu kredit berpindah dari magnetic card ke arah smart card. Dikatakan itu teknologi paling aman. Tapi perhitunganku itu adalah aman untuk saat ini. Untuk beberapa tahun ke depan (5? 10?) mungkin akan mulai jebol juga..

  2. @ Tara
    Keamanan relatif ini justru jadi asumsi dalam teori keamanan kriptografi yg dirintis oleh Shannon. Selain dari sisi teori, sejarah juga berulang-ulang telah membuktikan hal yg sama. Misalnya cerita tentang DES. DES relatif aman sampai tahun 90an, kemudian sekitar tahun 93 mulai ada beberapa ahli (Matsui, Biham dll) yg menemukan kelemahan algoritma DES. Kemudian pada tahun 97, ada perusahaan yg membuat chip khusus utk membongkar DES dengan brute force attack (kalau gak salah hanya diperlukan kurang lebih 12 jam utk memperoleh kunci DES) . Jadi secara praktis DES sdh tidak aman lagi. Seiring dgn itu muncul cipher2 yg baru: Rijndael (AES), twofish, serpent dll yg lebih aman

  3. Buat Mbak Rindu, saya kira mas Budi akan dengan senang hati menjelaskan secara khusus kalau Mbak tertarik untuk mengerti. Memang tidak mudah memahaminya, saya pun ngga ngerti-ngerti belajar ilmunya mas Budi ini. Memang hebat mas Budi Sulistyo ini ….

    Buat mas Budi, ini suatu tantangan, bagaimana menjelaskan sesuatu yang sulit menjadi mudah, ya…., itung-itung latihan Sidang Terbuka S3.

  4. Kriptografi dan kriptanalisis ibaratnya seperti dua sisi dalam sekeping mata uang, saling berpacu dan melengkapi satu sama lain. Karenanya ketika kriptografi maju selangkah, kriptanalisis pun maju 1-2 langkah. Karenanya pula, dalam praktiknya suatu sistim sandi tidak dipergunakan lama. Kalaupun dipergunakan untuk kurun waktu tertentu, penggunaan kuncinya hanya sekali pakai saja (guna mengurangi resiko dikriptanalisis).

    Wah komen saya kok jadi panjang begini yah, padahal cuma mengingat-ingat kenangan lama saja.

  5. Setuju.. (sama yang mana?):mrgreen:
    Sejauh yang saya tau nih, bener kata Pak Aris, justru untuk menjaga keamanan yang sifatnya relatif itu (karena masalah teknologi dan pengetahuan yang terus berkembang) makanya ada yang namanya manajemen kunci (suatu sistem juga termasuk kuncinya kan) dan lain-lain, plus never ending learning and improvement..
    Huahahahaha,, gaya saya, baru aja ujian soalnya..:mrgreen:

  6. Manajemen kunci…spertinya ini solusi yang paling tepat….
    Tapi menurut saya ngga juga….solusi paling tepat adalah membangun awareness dan selalu mengupdate informasi….

    Komputer untuk nge-krek boleh super, tapi klo man behind the gun-nya disiplin dan mengerti apa yang ia lakukan dan butuhkan maka dunia kriptologi masih miliknya kriptografer bukan kripanalizer

  7. mas,, saya lagi cari tema buat TA nih mas.. saya kepengen buat aplikasi di mobile, khususnya pengamanan di sms. tapi bingung mas.. saya mau bikin apa? mungkin mas bisa memberi sedikit pencerahan buat saya mas. terima kasih banyak mas..

  8. Mas, nanya nih, ada berapa macam crypto data di dunia komputer? Saya cuma tau sistem geser doank…itu aja dapat dibongkar hanya dalam beberapa menit…Gak tahunan kayak artikel ini…Saya ingin buat sistem pengacakan untuk username dan password dengan cara sendiri.

    ThanxU…

    AKU SUKA SANDI ==> enc ==> DANI KAKU ASU

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s