• Secure Sockets Layer (SSL) / Transport Layer
Security (TLS)
• IPv4 dan IPv6 Keamanan
• S / MIME (Secure / Multipurpose Internet Mail
Perpanjangan)
Secure Sockets Layer (SSL)
• transportasi lapisan layanan keamanan
- Awalnya dikembangkan oleh Netscape
- Versi 3 dirancang dengan masukan dari masyarakat
• kemudian menjadi Internet standar RFC 2246: Transport Layer Security (TLS)
• menggunakan TCP untuk menyediakan layanan end-to-end yang handal
• dapat diberikan dalam mendasari protokol
• atau tertanam dalam paket tertentu
SSL Protokol Stack
SSL Rekam Protokol Layanan
• integritas pesan
- Menggunakan MAC dengan kunci rahasia bersama
- Mirip dengan HMAC tetapi dengan bantalan yang berbeda
• kerahasiaan
- Menggunakan enkripsi simetris dengan kunci rahasia bersama didefinisikan oleh
Protokol Handshake
- AES, IDEA, RC2-40, HARI-40, DES, 3DES, Fortezza, RC4-40, RC4-128
- Pesan dikompresi sebelum enkripsi
SSL Rekam Protokol Operasi
Protocol SSL Change Cipher Spec
• salah satu dari 3 SSL protokol khusus yang menggunakan
Protokol SSL Rekam
• satu pesan
• menyebabkan tertunda negara menjadi saat
• maka memperbarui suite cipher digunakan
SSL Siaga Protokol
• menyampaikan peringatan-SSL yang berkaitan dengan rekan entitas
• kerasnya
• peringatan atau fatal
• peringatan khusus
• berakibat fatal: pesan tak terduga, buruk catatan mac, kegagalan dekompresi,
kegagalan jabat tangan, parameter ilegal
• Peringatan: dekat memberitahukan, tidak ada sertifikat, sertifikat buruk,
sertifikat tidak didukung, sertifikat dicabut, kedaluwarsa sertifikat, sertifikat
tidak diketahui
• dikompresi & terenkripsi seperti semua data SSL
Protokol SSL Handshake
• memungkinkan Server & klien untuk:
- Mengotentikasi satu sama lain
- Untuk bernegosiasi enkripsi & MAC algoritma
- Untuk bernegosiasi kunci kriptografi yang akan digunakan
• terdiri dari serangkaian pesan di fase
1. Membangun Kemampuan Keamanan
2. Server Authentication and Exchange Key
3. Otentikasi Client dan Bursa Key
4. Selesai
SSL Handshake
Protokol
IP Security
• berbagai mekanisme keamanan aplikasi
- misalnya. S / MIME, PGP, Kerberos, SSL / HTTPS
• masalah keamanan lintas lapisan protokol
• maka ingin keamanan dilaksanakan oleh jaringan untuk semua aplikasi
• otentikasi & keamanan enkripsi fitur yang disertakan dalam IPv6 generasi
• juga dapat digunakan dalam IPv4 yang ada
IPSec
• umum mekanisme IP Security
• menyediakan
- otentikasi
- kerahasiaan
- Manajemen kunci
• berlaku untuk menggunakan lebih dari LAN, di masyarakat &
swasta WAN, & untuk Internet
Penggunaan IPSec
Manfaat IPSec
• di firewall / router menyediakan keamanan yang kuat untuk semua lalu lintas yang
melintasi perimeter
• di firewall / router tahan untuk memotong
• bawah lapisan transport, maka transparan untuk aplikasi
• dapat transparan kepada pengguna akhir
• dapat memberikan keamanan bagi pengguna individu
• mengamankan arsitektur routing yang
IP Arsitektur Keamanan
• wajib di IPv6, opsional di IPv4
• memiliki dua ekstensi kepala keamanan:
- Authentication Header (AH)
- Encapsulating Security Payload (ESP)
- Fungsi Key Exchange
• VPN ingin kedua otentikasi / enkripsi
- Maka biasanya menggunakan ESP
• spesifikasi cukup kompleks
- Banyak RFC 2401/2402/2406/2408
Asosiasi keamanan
• hubungan satu arah antara pengirim &
receiver yang memberi keamanan bagi arus lalu lintas
• didefinisikan oleh 3 parameter:
- Keamanan Indeks Parameter (SPI)
- Alamat IP tujuan
- Keamanan Protokol Identifier
• memiliki sejumlah parameter lainnya
- Seq ada, AH & EH info, seumur hidup dll
• memiliki database Asosiasi Keamanan
Authentication Header (AH)
• memberikan dukungan untuk integritas data &
otentikasi paket IP
- End system / router dapat mengotentikasi pengguna / app
- Mencegah serangan alamat spoofing dengan melacak nomor urut
• berdasarkan penggunaan MAC
- HMAC-MD5-96 vs HMAC-SHA1-96
• pihak harus berbagi kunci rahasia
Authentication Header
Encapsulating Payload Keamanan (ESP)
Manajemen kunci
• menangani pembangkitan kunci & distribusi
• biasanya perlu 2 pasang kunci
- 2 per arah untuk AH & ESP
• manajemen kunci pengguna
- Sysadmin manual mengkonfigurasi setiap sistem
• manajemen kunci otomatis
- Sistem otomatis untuk penciptaan permintaan kunci untuk SA di sistem besar
- Memiliki Oakley & ISAKMP elemen
S / MIME (Secure / Multipurpose Internet
Mail Extensions)
• Peningkatan keamanan untuk email MIME
- Original email RFC822 Internet adalah teks saja
- MIME disediakan untuk mendukung berbagai jenis konten dan pesan multi-bagian
- Dengan pengkodean data biner ke bentuk tekstual
- S / MIME menambahkan peningkatan keamanan
• memiliki S / MIME dukungan di banyak agen email
- Misalnya MS Outlook, Mozilla, Mac Mail dll
S / MIME Fungsi
• Data menyelimuti
- Konten dienkripsi dan kunci terkait
• Data ditandatangani
- Dikodekan pesan + ditandatangani digest
• data yang jelas-ditandatangani
- Pesan teks-jelas + dikodekan ditandatangani digest
• Data ditandatangani & menyelimuti
- Bersarang entitas ditandatangani & terenkripsi
S / MIME Proses
S / MIME Kriptografi Algoritma
• tanda tangan digital: DSS & RSA
• fungsi hash: SHA-1 & MD5
• enkripsi kunci sesi: ElGamal vs RSA
• enkripsi pesan: AES, 3DES, dll
• MAC: HMAC dengan SHA-1
• harus memetakan nilai biner ke ASCII printable
- Penggunaan radix-64 atau pemetaan base64
S / MIME Umum Sertifikat Key
• S / MIME memiliki enkripsi dan tanda tangan pelayanan yang efektif
• tetapi juga perlu untuk mengelola publik-kunci
• S / MIME menggunakan sertifikat X.509 v3
• setiap klien memiliki daftar sertifikat CA yang terpercaya
• dan publik / pasangan kunci pribadi sendiri & sertifikat
• sertifikat harus ditandatangani oleh dipercaya CA
Ringkasan
• Secure Sockets Layer (SSL) / Transport Layer
Security (TLS)
• IPv4 dan IPv6 Keamanan
• S / MIME (Secure / Multipurpose Internet Mail
Perpanjangan)
No comments:
Post a Comment