Ini adalah lanjutan dari tulisan sebelumnya: keamanan sistem kripto
Lagi-lagi, saya akan mulai dari definisi. Maklum…, masih bingung. Posting sebelumnya telah menjelaskan tiga definisi keamanan sistem kripto menurut Shannon. Di sini, saya akan menuliskan definisi yg lebih umum (merujuk ke Ritter’s Crypto Glossary):
Definisi_1 Keamanan atau kekuatan sistem kripto adalah: kemampuan sistem untuk menanggulangi berbagai serangan terhadapnya agar tujuan pengamanan (misalnya: menjaga kerahasiaan/secrecy/confidentiality) dapat tercapai.
Definisi_2 Ukuran keamanan/kekuatan sistem kripto adalah: upaya dan sumber daya minimum yang diperlukan untuk mematahkan keamanan sistem kripto tersebut.
Jadi, jika saya memiliki dua cipher, sebut saja A dan B, bagaimana saya menentukan cipher mana yg lebih aman/kuat? Dari definisi_2, kita harus menentukan cipher mana yg membutuhkan upaya atau sumber daya minimum yang paling besar untuk membongkarnya. Jika kita membutuhkan waktu 5 tahun untuk membongkar cipher A dan 3 tahun untuk membongkar cipher B dengan maka cipher A lebih kuat dari cipher B.
Selanjutnya, bagaimana cara kita menentukan sumber daya minimum yang dibutuhkan untuk membongkar cipher A?
Karena yg kita cari adalah sumber daya minimum, maka, sebelumnya kita harus menemukan teknik atau cara serangan yang paling efisien diantara seluruh serangan yg mungkin dilakukan. Kita sebut saja serangan paling efisien ini sebagai ult_attack (kependekan dari ultimate attack). Kemudian, kita hitung sumber daya yg dibutuhkan utk melakukan ult_attack tersebut dan hasilnya kita tetapkan sebagai ukuran kekuatan cipher A. Hal yg sama kita lakukan jg terhadap cipher B sehingga kita dapat membandingkan kekuatan dua cipher tersebut.
Bagaimana kita menemukan teknik atau cara serangan yg mungkin terhadap sebuah cipher?
Kegiatan membongkar keamanan cipher disebut sebagai cryptanalysis (kriptanalisis atau analisa sandi). Tekniknya bermacam-macam dan akan saya bahas dalam tulisan lain. Kita ambil contoh, bahwa sekelompok ahli kriptanalisis telah menemukan lima teknik serangan terhadap cipher A. Teknik serangan ini diberi nama attackA_1, attackA_2,…, attackA_5.
Apakah serangan paling efisien terhadap cipher A, yaitu ult_attackA, dapat kita tentukan dari lima macam serangan tersebut.
Namun, pertanyaan yg seharusnya diajukan sebelum pertanyaan di atas adalah:
Apakah tidak ada teknik serangan selain lima teknik serangan tersebut?
Disiplin ilmu kriptanalisis ternyata tidak dapat menjawab pertanyaan yg terakhir. Singkatnya, para ahli itu hanya mengatakan bahwa mereka telah menemukan 5 jenis serangan yg mungkin. Penemuan itu tidak dapat menafikan kemungkinan adanya serangan lain. Jadi, kita dapat saja menentukan ult_attack, namun metodologi kriptanalisis sama sekali tidak dapat menjamin ketiadaan jenis serangan lain yang lebih efisien daripada ult_attack.
Kembali lagi ke cipher A dan cipher B. Kekuatan dua cipher tersebut hanya dapat dibandingkan secara relatif berdasarkan beberapa teknik serangan yang telah diketahui. Kita akan mengulang kembali langkah-langkah analisis di atas:
Untuk cipher A. Pakar kriptanalisis telah menemukan 5 teknik serangan terhadap cipher A, yaitu: attackA_1,… ,attackA_5. Dari kelimanya, kita dapat menentukan teknik mana yg paling efisien, sebut saja sebagai ult_attackA.
Untuk cipher B. Pakar kriptanalisis telah menemukan 3 teknik serangan terhadap cipher B, yaitu: attackB_1, attackB_2, attackB_3. Dari ketiganya, kita dapat menentukan teknik mana yg paling efisien, sebut saja sebagai ult_attackB.
Perbandingan kekuatan cipher A dan B dapat dilakukan dengan membandingkan besarnya upaya atau sumber daya yg diperlukan untuk melakukan ult_attackA dan ult_attackB. Cipher yg lebih kuat adalah cipher yg membutuhkan sumber daya yg lebih besar.
Note:
cipher : merupakan sistem kripto yg dipergunakan untuk mengacak/menyandikan/mengenkripsi data.
Hidup ini indah 
ult_attackA itu apa ya ? Jenis serangan yang lain seperti apa mas, apa sudah pernah dibahas di post sebelumnya ?
ult_attackA itu adalah serangan paling efisien terhadap cipher A. Namanya sembarangan saya pilih, mas, hanya untuk contoh. Metode2 serangan yang real nanti akan saya tulis juga
Sudah dua kali baca masih belum mengerti juga saya … nanti balik lagi deh untuk baca, semoga mengerti, gak ada resume intinya ya mas?
===
Namun, pertanyaan yg seharusnya diajukan sebelum pertanyaan di atas adalah:
Apakah tidak ada teknik serangan selain lima teknik serangan tersebut?
Disiplin ilmu kriptanalisis ternyata tidak dapat menjawab pertanyaan yg terakhir. Singkatnya, para ahli itu hanya mengatakan bahwa mereka telah menemukan 5 jenis serangan yg mungkin. Penemuan itu tidak dapat menafikan kemungkinan adanya serangan lain.
====
Itu yang mestinya jadi pegangan Bud. Keamanan adalah sesuatu yang relatif terhadap waktu.
Teknik serangan juga mestinya ada dua hal : algoritma dan resources. Mungkin saja dengan resources yang sama, tetapi suatu saat ada orang yang menemukan algoritma yang tidak bisa ditemukan oleh orang lain.
kalau nggak salah dulu sempet ditemukan ada teknologi CD yang tidak bisa di-copy. Tapi ternyata jebol hanya dengan memencet shift sambil gimana.. gitu. Aku lupa, pokoknya sederhana banget lah. Akhirnya teknologi itu batal di-release.
Saat ini pun kartu kredit berpindah dari magnetic card ke arah smart card. Dikatakan itu teknologi paling aman. Tapi perhitunganku itu adalah aman untuk saat ini. Untuk beberapa tahun ke depan (5? 10?) mungkin akan mulai jebol juga..
@ Tara
Keamanan relatif ini justru jadi asumsi dalam teori keamanan kriptografi yg dirintis oleh Shannon. Selain dari sisi teori, sejarah juga berulang-ulang telah membuktikan hal yg sama. Misalnya cerita tentang DES. DES relatif aman sampai tahun 90an, kemudian sekitar tahun 93 mulai ada beberapa ahli (Matsui, Biham dll) yg menemukan kelemahan algoritma DES. Kemudian pada tahun 97, ada perusahaan yg membuat chip khusus utk membongkar DES dengan brute force attack (kalau gak salah hanya diperlukan kurang lebih 12 jam utk memperoleh kunci DES) . Jadi secara praktis DES sdh tidak aman lagi. Seiring dgn itu muncul cipher2 yg baru: Rijndael (AES), twofish, serpent dll yg lebih aman
Buat Mbak Rindu, saya kira mas Budi akan dengan senang hati menjelaskan secara khusus kalau Mbak tertarik untuk mengerti. Memang tidak mudah memahaminya, saya pun ngga ngerti-ngerti belajar ilmunya mas Budi ini. Memang hebat mas Budi Sulistyo ini ….
Buat mas Budi, ini suatu tantangan, bagaimana menjelaskan sesuatu yang sulit menjadi mudah, ya…., itung-itung latihan Sidang Terbuka S3.
@ P Ari
Siap! 😀
Kriptografi dan kriptanalisis ibaratnya seperti dua sisi dalam sekeping mata uang, saling berpacu dan melengkapi satu sama lain. Karenanya ketika kriptografi maju selangkah, kriptanalisis pun maju 1-2 langkah. Karenanya pula, dalam praktiknya suatu sistim sandi tidak dipergunakan lama. Kalaupun dipergunakan untuk kurun waktu tertentu, penggunaan kuncinya hanya sekali pakai saja (guna mengurangi resiko dikriptanalisis).
Wah komen saya kok jadi panjang begini yah, padahal cuma mengingat-ingat kenangan lama saja.
Setuju.. (sama yang mana?)
Sejauh yang saya tau nih, bener kata Pak Aris, justru untuk menjaga keamanan yang sifatnya relatif itu (karena masalah teknologi dan pengetahuan yang terus berkembang) makanya ada yang namanya manajemen kunci (suatu sistem juga termasuk kuncinya kan) dan lain-lain, plus never ending learning and improvement..
Huahahahaha,, gaya saya, baru aja ujian soalnya..
Yups, bener banget…
Akhirnya ujung2nya masalah manajemen kunci menjadi tolok ukur dari keamanan dari suatu sistem persandian…
Manajemen kunci…spertinya ini solusi yang paling tepat….
Tapi menurut saya ngga juga….solusi paling tepat adalah membangun awareness dan selalu mengupdate informasi….
Komputer untuk nge-krek boleh super, tapi klo man behind the gun-nya disiplin dan mengerti apa yang ia lakukan dan butuhkan maka dunia kriptologi masih miliknya kriptografer bukan kripanalizer
mas,, saya lagi cari tema buat TA nih mas.. saya kepengen buat aplikasi di mobile, khususnya pengamanan di sms. tapi bingung mas.. saya mau bikin apa? mungkin mas bisa memberi sedikit pencerahan buat saya mas. terima kasih banyak mas..
Mas, nanya nih, ada berapa macam crypto data di dunia komputer? Saya cuma tau sistem geser doank…itu aja dapat dibongkar hanya dalam beberapa menit…Gak tahunan kayak artikel ini…Saya ingin buat sistem pengacakan untuk username dan password dengan cara sendiri.
ThanxU…
AKU SUKA SANDI ==> enc ==> DANI KAKU ASU
I would like to thank you for the efforts you’ve put in penning this blog. I really hope to view the same high-grade blog posts by you in the future as well. In truth, your creative writing abilities has inspired me to get my own blog now 😉
Very good information. Lucky me I discovered your website by accident (stumbleupon).
I’ve book-marked it for later!
makasih gan infonya
sangat menarik dan informatif dengan kata” nya