Pertemuan 10 ~ Sistem Informasi Bisnis | AUTENTIKASI

AUTENTIKASI

Metode untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Teknik autentikasi adalah prosedur yang digunakan untuk membuktikan:

1. Keaslian pesan (message integrity)
2. Keaslian identitas pengirim (user  authentication).  
3. Pengirim tidak dapat menyangkal isi pesan (non-repudiation)

Elemen Autentikasi

Yang di-autentikasi - Person / group / code / system. Tingkat perbedaan entitas yg di-autentikasi.

Distinguishing characteristic: Karakteristik yang membedakan penipuan komputer adalah bahwa pelaku mengakses atau menggunakan komputer dengan maksud untuk menjalankan skema penipuan.

penanggung jawab sistem - Operator/ system owner / administrator:

Authentication mechanism : hak akses - Access control mechanism

 

Basis/Faktor2 Autentikasi

• Something you know : Password, PIN ATM, nomor kunci
• Something you have : Peralatan fisik: kartu ATM, KTM, Smart card, kunci kamar
• Something you are : Biometric: mata, tulisan tangan ,sidik jari, suara,
• Something you do : Lokasi : GPS

 

Password

Metode otentikasi konvensional yang selama ini familiar di gunakan adalah menggunakan kombinasi “username” dan “password” atau biasa juga di sebut dengan metode “single factor authentication”. Username adalah sebuah penanda unik yang dapat digunakan untuk mengidentifikasi seorang user. Password adalah sebuah kombinasi rahasia yang terdiri dari kombinasi huruf, angka, dan karakter khusus-tersembunyi.

Penanganan password - Pada Sistem

Untuk setiap user, penyimpan sistem dilakukan enkripsi Password, dimana enkripsi adalah  fungsi konversi dari password ke ciphertext password (misal., RC6) dan disimpan dalam file Enkripsi(password) sebaiknya mudah dikomputasikan, Ciphertext password seharusnya sulit dikomputasikan / dihitung secara komputasi, Password tidak disimpan dalam sistem. Ketika user meng-input-kan password, sistem langsung meng-enkripsi-kan ke ciphertext.

 

Serangan pada Password

• Guessing attack / dictionary attack /
• Social Engineering
• Sniffing
• Trojan login

BIOMETRIC

Metode otentikasi teknologi dan ilmiah berdasarkan biologi dan digunakan dalam jaminan informasi (IA). Identifikasi biometrik mengotentikasi entri, data, atau akses yang aman melalui informasi biologis manusia seperti DNA atau sidik jari. 

Dapat secara fisik :

• Fingerprints / sidik jari
• Retinal / Iris scanning /pembacaan selaput mata
• Face recognition / Pengenalan wajah
• Hand geometry recognition / Pola garis tangan

Perilaku :

• Voice recognition / Pola suara
• Handwriting/signature recognition / Pola tanda tangan / tulisan tangan

Kelebihan: 

• Sulit dipalsukan atau dicuri, tidak seperti kata sandi.
• Kemudahan penggunaan dan kenyamanan.
• Ubah sedikit sepanjang hidup pengguna.
• Tidak dapat dipindahtangankan.
• Template membutuhkan lebih sedikit penyimpanan.

Kekurangan:

• Membutuhkan sistem biometrik berjalan dan mahal.
• Jika sistem gagal menangkap semua data biometrik, itu dapat menyebabkan kegagalan dalam mengidentifikasi pengguna.
• Membutuhkan database yang menyimpan data biometrik masih dapat diretas.
• Kesalahan seperti penolakan palsu dan penerimaan palsu masih bisa terjadi.
• Jika pengguna terluka, maka sistem otentikasi biometrik mungkin tidak berfungsi (misalnya pengguna membakar tangannya, maka pemindai sidik jari mungkin tidak dapat mengidentifikasi mereka).

Proses autentikasi biometric

Biasanya menggunakan pendekatan pattern recognition (pengenalan pola). Suatu “profile” dibuat untuk seseorang dgn benar. Pencocokan nilai dihitung pd setiap usaha autentikasi. 

Contoh biometrik :

 

Enkripsi Pesan dengan Kriptografi simetri 

Algoritma simetris (symmetric algorithm) , adalah suatu algoritma dimana kunci enkripsi yang digunakan sama dengan kunci dekripsi sehingga algoritma ini disebut juga sebagai single-key algorithm. Pesan yang dienkripsi dengan algoritma simetri sudah memberikan solusi untuk otentikasi pengirim dan keaslian pesan. Karena kunci simetri hanya diketahui oleh pengirim dan penerima. namun cara ini tidak menyediakan mekanisme untuk anti-penyangkalan - Arbitrase.

 

Arbitrase

Agar dapat mengatasi masalah penyangkalan, maka diperlukan pihak ketiga yang dipercaya oleh pengirim/penerima. Pihak ketiga ini disebut penengah (arbitrase). 

 

Enkripsi Pesan dengan Kriptografi Asimetri 

Algoritma asimetris (asymmetric algorithm) adalah suatu algoritma menggunakan dua kunci yakni kunci publik (public key) dan kunci privat (private key). Kunci publik disebarkan secara umum sedangkan kunci privat disimpan secara rahasia oleh si pengguna.

Pada umumnya kunci publik (public key) digunakan sebagai kunci enkripsi sementara kunci privat (private key) digunakan sebagai kunci dekripsi.

 

Enkripsi biasa (hanya untuk secrecy):

• pesan dienkripsi dengan kunci publik penerima.
• pesan didekripsi dengan kunci privat penerima.
• cara ini tidak memberikan sarana otentikasi karena kunci publik diketahui oleh banyak orang

Enkripsi sebagai tanda-tangan:

• pesan dienkripsi kunci privat pengirim.
• pesan didekripsi pesan dengan kunci publik pengirim.
• dengan cara ini, maka kerahasiaan pesan dan otentikasikeduanya dicapai sekaligus. 
• ide ini ditemukan oleh Diffie dan Hellman.

Proses menandatantangani pesan (oleh pengirim):

                        S = ESK(M)   

Proses membuktikan otentikasi pesan (oleh penerima):

                        M = DPK(S)  

 

Keterangan:

                        SK = secret key = kunci privat pengirim

                        PK = public key = kunci publik pengirim

                        E = fungsi enkripsi      D = fungsi dekripsi

                        M = pesan semula S = signature = hasil enkripsi pesan 

Dengan algoritma kunci-publik, penandatanganan pesan tidak membutuhkan lagi pihak penengah (arbitrase).

 

Algoritma yang sering digunakan untuk enkripsi ini antara lain :

• Fungsi Hash 
• Diffie dan Hellman, 
• RSA dan 
• ElGamal