Zainal Adnan

Sebagai media komunikasi umum, Internet sangat rawan terhadap penyadapan, pencurian, dan pemalsuan informasi. Karena itu eksploitasi Internet oleh sektor-sektor strategis seperti bisnis, perbankan, atau pemerintahan sangat memerlukan teknologi penyandian Informasi. Ilmu menyandi (kriptografi) sebetulnya adalah ilmu yang sudah dikenal bahkan semenjak jaman Julius Caesar (sebelum masehi). Ilmu ini tidak hanya mencakup teknik-teknik menyandikan informasi, tetapi juga teknik untuk membongkar sandi. Contoh, salah satu faktor penentu kemenangan Sekutu di PD II adalah keberhasilan ilmuwan Inggris membongkar sistem sandi Jerman yang disebut Enigma.

Tidak banyak yang tahu bahwa kriptografi adalah cabang dari matematika. Cuma, berbeda dengan pendapat umum tentang jurusan matematika, kriptografi adalah jurusan yang sama sekali tidak 'kering'. Dulunya peranan dari ilmu sandi memang hanyalah untuk mengamankan komunikasi militer. Tetapi ini berubah ketika perang dingin berakhir di tahun 80-an.

Didorong meningkatnya peran komputer dan globalisasi ekonomi, para kriptograf melihat sektor bisnis dan industri sebagai lahan baru. Lahan ini ternyata memang berkembang pesat dan berhasil membuat pionir-pionir kriptografi modern seperti Rivest, Shamir, atau Hellman menjadi orang-orang kaya baru di AS. Saat ini Anda bisa melihat jejak-jejak para kriptograf di setiap sudut dunia TI. Contoh, kartu chip yang dikeluarkan beberapa bank belakangan ini menggunakan teknik penyandian DES untuk menjaga keamanan data nasabah yang disimpan di dalam chip. Contoh lain, kemampuan sekuriti dari browser Internet seperti MS Internet Explorer dan Netscape menggunakan teknik penyandian lain yang disebut RSA.

Di samping DES dan RSA, masih ada banyak sandi lain seperti MD2 (dipakai GSM), IDEA, RC2, dll. Akan tetapi, DES dan RSA adalah yang paling populer dan paling banyak dipakai. DES (Data Encryption Standard) adalah hasil inovasi IBM di tahun 1972 yang kemudian diangkat menjadi standar oleh dewan standar AS (ANSI).

RSA adalah singkatan dari nama para penemunya, yaitu Ron Rivest, Adi Shamir, dan Leonard Adleman yang membuatnya di tahun 1978. Kedua sandi ini (DES dan RSA) juga yang paling banyak mengundang kontroversi. Sejauh ini belum seorang pun yang berhasil menemukan lubang sekuriti pada DES dan RSA, tetapi tak seorang pun juga berhasil memberikan pembuktian ilmiah yang memuaskan dari keamanan kedua teknik sandi ini. Padahal, pemakaiannya sudah sangat meluas dan mencakup sektor-sektor strategis seperti perbankan dan pemerintahan.

Teknologi Enkripsi

Untuk menyandi informasi dan untuk menterjemahkan pesan tersandi sebuah algoritma penyandian memerlukan sebuah data binar yang disebut kunci. (Gambar 1). Tanpa kunci yang cocok orang tidak bisa mendapatkan kembali pesan asli dari pesan tersandi. Pada DES digunakan kunci yang sama untuk menyandi (enkripsi) maupun untuk menterjemahan (dekripsi), sedangkan RSA menggunakan dua kunci yang berbeda. Isitilahnya, DES disebut sistem sandi simetris sementara RSA disebut sistem sandi asimetris.

Kedua sistem ini memiliki keuntungan dan kerugiannya sendiri. Sistem sandi simetris cenderung jauh lebih cepat sehingga lebih disukai oleh sementara kalangan industri. Kejelekannya, pihak-pihak yang ingin berkomunikasi secara privat harus punya akses ke sebuah kunci DES bersama. Walaupun biasanya pihak-pihak yang terkait sudah saling percaya, skema ini memungkinkan satu pihak untuk memalsukan pernyataan dari pihak lainnya.

Contoh, Mikal dan Henny menggunakan DES untuk melindungi komunikasi privat mereka. Untuk itu mereka menyetujui sebuah kunci DES yang dipakai bersama. Suatu saat Mikal mengirim sebuah pesan tersandi untuk Henny bahwa ia akan menjamin semua hutang Henny. Seminggu kemudian Henny betul-betul membutuhkan jaminan Mikal. Akan tetapi Mikal mungkir dan bahkan menuduh Henny melakukan pemalsuan. Henny tidak bisa berbuat apa-apa karena tidak bisa membuktikan bahwa Mikal berbohong (dan sebaliknya Mikal juga tidak bisa membuktikan pemalsuan Henny, kalau itu yang terjadi). Ini terjadi karena Henny dan Mikal berbagi kunci yang sama. Jadi, keduanya sama-sama bisa 'merekayasa' surat jaminan Mikal tadi.

Kalau kita lihat dalam dunia non-elektronis, dokumen-dokumen sering ada tanda tangannya, atau cap organisasi. Tanda tangan dan cap tersebut ditujukan untuk meyakinkan penerima dokumen bahwa dokumen tersebut memang asli berasal dari individu atau organisasi yang tandatangan/capnya tertera di dokumen tersebut. Mekanisme serupa tentunya juga dibutuhkan oleh dokumen-dokumen elektronis (disebut sertifikat/tanda-tangan digital).

Dari cerita Henny dan Mikal diatas kita lihat bahwa yang dibutuhkan adalah mekanisme tanda tangan digital. Sekarang Henny hanya akan mempercayai pernyataan Mikal kalau pernyataan tersebut dilengkapi oleh tanda-tangan digital Mikal, karena dengan itu Mikal nantinya tidak bisa mungkir lagi.

Sistem sandi asimetris seperti RSA bisa juga digunakan sebagai tanda tangan digital (Gambar 2). Ini membuat aplikasi yang bisa dibuat menggunakan sistem sandi asimetris jauh lebih banyak. Sebagai contoh uang digital tidak bisa dibuat tanpa menggunakan sistem sandi asimetris. Protokol e-commerce seperti SET juga tidak bisa dibuat tanpa sistem sandi ini. Untuk mendapatkan keuntungan yang optimal orang pada prakteknya menggabungkan sistem sandi asimetris dengan yang simetris, seperti yang dilakukan Zimmermann dalam sandi public-domain-nya yaitu PGP (Prety Good Privacy).

Saat ini satu-satunya cara yang diketahui untuk mendobrak sandi DES dan RSA adalah dengan mencoba satu per satu berbagai kombinasi kunci (istilahnya: brute force attack). Karena itu keamanan dari DES dan RSA banyak bergantung dari ukuran kunci yang digunakan (dalam bit). Ukuran tersebut menentukan jumlah kombinasi kunci yang mungkin. DES menggunakan ukuran kunci 56 bit sehingga total banyaknya kombinasi kunci yang mungkin adalah 256. Jumlah ini sangat besar. Untuk membongkar sandi tersebut dengan menggunakan PC Pentium yang berkemampuan mengerjakan 200 juta operasi per detik kita masih membutuhkan 5 tahun. Dengan mesin yang lebih baik orang bisa melakukannya lebih cepat, tetapi biayanya juga menjadi mahal. Ini membuat usaha pembongkaran seperti itu menjadi tidak ekonomis.

Standar industri saat ini bahkan menggunakan Triple DES yang ukuran kuncinya 112 bit. Ini membuat usaha untuk mendobrak sandi ini dengan brute force menjadi 1016 kali lebih sulit! Untuk RSA, panjang kuncinya bisa diatur. Misalnya ukuran kunci RSA yang digunakan oleh modul sekuriti browser Netscape Anda ukurannya 48 bit. Ukuran ini sudah tidak aman lagi sekarang, tetapi pemerintah AS memang melarang ekspor produk-produk RSA yang menggunakan kunci lebih besar dari 48 bit. Standar saat ini merekomendasikan ukuran ³ 512 bit (walaupun hukum Termodinamika menunjukkan bahwa 256 bit saja sudah terlalu sulit untuk dibrute-force-attack oleh komputer apapun selama komputer itu terbuat dari materi).

Sebetulnya tak satu pun sandi yang aman dari brute force attack. Persoalannya lebih keseberapa ekonomisnya serangan tersebut bisa dilakukan. Perkecualiannya adalah sandi yang disebut One-time-pad (Mouborgne & Vernam, 1917). Sandi ini adalah sandi ideal yang tidak mungkin dicrack dengan cara apa pun. Sayangnya sandi ini tidak praktis karena membutuhkan kunci yang sama panjangnya dengan pesan yang disandi.

Untuk sistem sandi lain yang non-ideal, dengan membuat ukuran kunci cukup besar, kita bisa membuat brute force attack menjadi sangat tidak ekonomis sehingga para penjahat pun tidak mau/sanggup melakukannya. Yang agak tricky disini adalah bahwa definisi 'tidak ekonomis' sangat relatif. Apa yang tidak ekonomis bagi sebuah organisasi kriminal amatir bisa saja ekonomis untuk negara, misalnya.

Quisquater & Couvreur pernah melontarkan sebuah ide yang mereka sebut Lotre Cina untuk mengcrack sandi (1982). Idenya seperti ini. Orang bisa mengintegrasikan sebuah chip pengolah sandi berkecepatan sejuta pemrosesan per detik ke dalam setiap radio dan TV yang dijual ke rakyat Cina. Setiap chip bisa diprogram untuk mencoba set kunci yang berbeda. Dengan jumlah penduduk yang sekarang melebihi 1 milyar, Cina bisa secara kolektif menjebol sandi DES 56 bit (yang sekarang masih banyak dipakai, termasuk di sektor perbankan) hanya dalam waktu 72 detik! Tentunya pelaksanaannya tidak semudah itu, karena pemerintah Cina harus mengeluarkan peraturan bahwa orang Cina hanya boleh membeli radio/TV yang dilengkapi dengan chip pengolah sandi, dan bahwa semua orang Cina harus dalam waktu yang bersamaan menyalakan radio/TV-nya. Tetapi ini bukannya tidak mungkin dilakukan.

Kripto Analisis

Peranan para hacker sebetulnya tidak selalu negatif. Sejauh ini telah menjadi semacam kesepakatan profesi tak tertulis bahwa tugas para kriptograf adalah untuk menemukan sistem sandi yang kokoh sementara para hacker bertugas mencari kelemahannya. Bahkan seni mencari kelemahan sistem sandi telah berkembang menjadi cabang ilmu pengetahuan yang disebut kripto analisis. Ini adalah bidang yang sangat spekulatif. Orang tidak hanya membahas bagaimana caranya menjebol sandi dengan komputer konvensional, tetapi juga dengan mesin non-konvensional yang masih sulit dibuat sekarang, tetapi bisa jadi di masa depan teknologi yang dibutuhkan berhasil dikembangkan.

Contohnya adalah varian dari ide Lotre Cina-nya Quisquater & Couvreur. Varian ini menghipotetiskan adanya algae yang direkayasa secara genetik untuk mampu melakukan pengolahan sandi secara bio-kimiawi didalam selnya. Kalau algae seperti itu bisa dibuat, maka 1M3 koloni algae bisa memecahkan sandi DES 56 bit hanya dalam tempo beberapa puluh detik saja.

Ide lain dilontarkan oleh Shor (1994) yang menghipotetiskan adanya komputer kuantum. Menurut teori kuantum, eksistensi materi di ruang dan waktu sebetulnya tidak eksak, tetapi berupa semacam awan ketidakpastian. Untuk masa yang besar seperti meja atau kursi, awan tersebut kecil ukurannya sehingga kita tidak merasakannya. Tetapi untuk partikel sub-atomis ukuran awan tersebut relatif besar.

Menurut teori kuantum, sekelompok partikel bisa saja secara serentak berubah keadaannya karena itu konsisten dengan prinsip ketidakpastian, sementara komputer dengan CPU tunggal hanya mampu melakukan satu perpindahan keadaan setiap satuan waktu. Oleh karena itu komputer kuantum secara teoritis mampu memecahkan sistem sandi apapun hanya dalam waktu beberapa detik saja. Apakah komputer bio-kimia dan komputer kuantum seperti diatas bisa dibuat, belum bisa dijawab sekarang.

RSA dan Kontroversinya
RSA adalah sistem sandi yang barangkali paling mudah dimengerti cara kerjanya, tetapi juga sangat kokoh. Baik untuk menyandi maupun menterjemahkan sandi, RSA hanya menggunakan operasi pemangkatan. Para pembuat RSA melihat bahwa operasi mk mod n menghasilkan nilai yang relatif acak hubungan terhadap m. Coba saja lihat tabel di bawah ini. Terlihat bahwa sulit untuk menemukan hubungan yang sistematis antara angka-angka di kolom abu-abu (kolom 1 dan 3) dengan yang di kolom putih(kolom 2 dan 4). Padahal, angka di kolom putih diperoleh dari operasi m7 mod 77 terhadap angka pasangannya di kolom abu-abu.

2...51... 7... 28
3...31... 8... 57
4...60... 9... 37
5...47...10... 10
6...41...11... 11

Karena hubungan yang acak tersebut, sangat sulit untuk menerka m walaupun kita tahu k, n, dan hasil operasi mk mod n. Untuk itu kita butuh 'pasangan' dari k. Dalam contoh di atas, pasangan dari k=7 adalah h=43. Tepatnya, jika kita melakukan m7 mod 77, lalu hasilnya dipangkatkan 43 dan di-mod-kan dengan 77 kita akan mendapatkan m kembali. Nah itulah cara RSA bekerja. k dan h adalah pasangan kunci privat dan publik. n (77) adalah parameter sekuriti yang dipublikasikan. Untuk menyandi pesan m kita melakukan mk mod n, dan untuk menterjemahkan pesan tersandi w kita melakukan wh mod n.

Tentunya dalam memilih k, h dan parameter sekuriti ada syaratnya. Misalnya parameter sekuriti n besarnya harus paling tidak 48 bit dan harus merupakan hasil kali dua bilangan prima p dan q.

Para pembuat RSA telah mempatenkan sistem sandi ini di AS, kemudian mendirikan perusahaan yang juga bernama RSA Data Security Inc (1982). Paten ini dinilai banyak pihak di luar AS keterlaluan karena sistem sandi RSA pada dasarnya hanya melakukan operasi pemangkatan dan operasi mod yang sudah dikenal orang bahkan semenjak jaman Yunani kuno (walaupun harus diakui bahwa para pembuat RSA-lah yang pertama kali menerapkan operasi tersebut untuk penyandian).

Negara lain memang tidak harus menghormati paten-paten yang dibuat di AS, tetapi sebagai sebuah negara adikuasa AS tentunya bisa menekan negara lain untuk melindungi paten-patennya. Tetapi yang jelas, paten RSA ini akan habis pada tanggal 20 September 2000 sehingga orang bisa menggunakannya dengan bebas tanpa takut dikejar-kejar oleh tuntutan ganti rugi dari RSA Data Security.

Yang juga merupakan sumber kontroversi adalah pembatasan ekspor dari produk-produk kriptografi. Pembatasan ini berbeda dari negara ke negara, tetapi yang paling ekstrim adalah AS. Negara ini melarang semua ekspor dari produk maupun informasi mengenai sistem sandi. Pada prakteknya, produk-produk kriptografi tetap bisa diekspor keluar AS, selama AS menilai itu memberikan 'keuntungan' tertentu untuk AS. Misalnya produk-produk yang berkaintan dengan sekuriti perbankan boleh diekspor karena dipandang memperbesar peluang bisnis perusahaan-perusahaan AS di pasar global. Kemudian Netscape juga diperbolehkan menggunakan RSA untuk sistem sekuritinya.

Yang berwenang mengatur ijin ekspor ini adalah badan AS yang bernama National Security Agency (NSA). NSA ini mirip dengan KGB-nya di dunia kriptografi. Badan ini didirikan oleh Presiden Truman di tahun 1952 merupakan organisasi yang bahkan lebih tertutup dari CIA. Mereka konon mempekerjakan matematisi dalam jumlah terbanyak didunia dan memiliki anggaran tahunan US$ 13 milyar (jumlah ini bahkan melebihi total anggaran APBN kita dalam kurs sekarang ini).

Sebagai aturan umum, NSA tidak akan mengijinkan ekspor dari sistem/alat sandi yang mereka sendiri tidak mampu untuk menjebolnya. Lewat satu atau lain cara, produk-produk kriptografi berkualitas tinggi toh bisa lolos ke luar AS. Ini banyak dibantu oleh kalangan akademis yang menganggap larangan ekspor tersebut bertentangan dengan kebebasan akademis. Karena larangan tersebut adalah larangan ekspor, yang ilegal adalah membawa produk terkait ke luar AS. Sekali berada di luar AS menggunakannya adalah legal-legal saja.

Kalau melihat anggaran NSA di atas, tidak heran kalau pada saat ini AS adalah negara yang paling maju di bidang kriptografi. Sayangnya mengakses larangan ekspor cukup menyulitkan akses ke hasil-hasil temuan mereka, padahal bidang ini adalah bidang yang sangat strategis dan juga besar potensial bisnisnya. Pembaca yang tertarik untuk mengetahui temuan-temuan canggih di bidang ini dianjurkan membaca buku "Applied Cryptography" karangan Bruce Schneier. Buku ini termasuk yang dilarang diekspor ke luar AS, tapi toh bocor juga (dan penulisnya memperoleh cukup banyak problem di AS). Buku ini bisa dijumpai di beberapa toko buku di Indonesia, termasuk di Glodok.



RSA
RSA adalah sistem sandi yang saat ini praktis menjadi standar de facto dunia di samping DES. Sandi ini adalah hasil inovasi Ron Rivest, Adi Shamir, dan Leonard Adleman di tahun 1978. Mereka kemudian mendirikan perusahaan RSA Data Security Inc, yang memiliki paten atas sandi RSA. Paten itu akan berakhir tanggal 20 September 2000. Berikut adalah cara kerja RSA.

Membuat Kunci Privat dan Kunci Publik


Pilih dua bilangan prima p dan q secara acak. Bilangan ini harus cukup besar (minimal 100 digit).


Hitung n = pq. Bilangan n disebut parameter sekuriti.


Pilih bilangan k secara acak tapi k tidak boleh punya faktor pembagi yang sama (selain bilangan 1) dengan (p-1)(q-1). Bilangan k ini kemudian kita jadikan kunci privat kita.


Hitung h sedemikian sehingga kh mod (p-1)(q-1) = 1. Ada algoritma yang disebut algoritme Euclid untuk menghitung h dengan efesien.


Bilangan n dan h kita sebar ke publik. h adalah yang menjadi kunci publik. Sementara itu bilangan p dan q boleh dibuang, dan jangan pernah sampai bocor ke publik.

Menyandi dan menterjemahkan sandi

Untuk menyandi sebuah pesan m dengan kunci publik h kita melakukan operasi mh mod n, sementara untuk membuka pesan tersandi c dengan kunci privat kita lakukan ck mod n. Secara matematis sudah terbukti bahwa kunci-kunci RSA memenuhi sifat:

(mh mod n)k mod n = m dan (mk mod n)h mod n = m

Itulah sebabnya operasi penyandian dan penterjemahan diatas bisa berkerja.

Situs-situs Web tentang Kriptografi

Material Kriptografi

http://www.infokomputer.com/arsip/internet/0698/cakra/www.enter.net/~chronos/cryptolog.html

Situs dari Cryptolog, the Internet Guide to Cryptography. Situs ini berisi banyak sekali material tentang kriptografi: FAQ, software, ulasan, kelompok diskusi, politik, link, dll. Sangat komplit. Dianjurkan untuk peminat pemula maupun yang sudah lebih berpengalaman.

Belajar Kriptografi

www.cs.hut.fi/ssh/crypto/intro.html

Situs ini berisi Introduksi Tatu Ylonen. Sangat tepat untuk yang yang ingin tahu isi kriptografi (dan menemukan sendiri keajaibannya) dengan cepat dan tepat.

Pustaka Ilmiah
liinwww.ira.uka.de/bibliography/Theory/crypto.security.html

Situs ini berisi kompilasi dari 1500 lebih makalah ilmiah tentang kriptografi. Kompilasi ini dikelola oleh Ron Rivest, salah satu penemu sistem sandi RSA dan pemilik RSA Data Security Inc.

Software

www.rsa.com

Situs dari RSA Data Security Inc, perusahaan pemilik sistem enkripsi tersukses di dunia, yaitu RSA.

www.systemics.com/software/

Systemics menyediakan sebuah library Java bernama Cryptix berisi fungsi-fungsi kriptografi yang sangat komplit. Library ini bisa dipakai untuk menggantikan library security Java yang standar dari Sun yang juga terkena larangan ekspor AS.

www.mantis.co.uk/pgp/pgp.html

PGP (Prety Good Privacy) adalah sistem sandi asimetris seperti RSA. Berbeda dengan RSA, sistem ini public domain. Versi PGP yang terbaru memiliki kekuatan industri/militer karena mampu menggunakan kunci yang ukurannya sampai 2000 bit! (Sebagai bandingan, standar ekspor AS hanya mengijinkan RSA dengan kunci 48 bit)

Indonesia

www.cs.ui.ac.id/staf/wishnu.html

Home dari I.S.W.B. Prasetya (penulis). Terdapat link ke koleksi makalah ilmiah mengenai topik-topik mutakhir dalam Kriptografi. Juga ada link ke deskripsi kurikulum pengajaran mata kuliah Sekuriti Digital di Fakultas Ilmu Komputer UI.

http://agorsiloku-sains.blogspot.com/2006/08/mengupas-rahasia-penyandian-informasi.html