PUBLIC KEY INFRASTRUCTURE (PKI)

Definisi PKI
PKI didefinisikan sebagai infrastruktur sekuriti yang diimplementasikan menggunakan konsep dan teknik kriptografi kunci publik.


Tujuan PKI :
agar informasi yang dipertukarkan hanya bisa dibaca oleh penerima yang berhak dan tidak dapat difahami oleh pihak yang tidak berhak Privacy/Confidentiality).
identitas pihak yang terkait dapat diketahui atau dijamin otentisitasnya (Authentification).
informasi yang dikirim dan diterima tidak berubah (Integrity)
pihak yang terkait tidak dapat menyangkal telah melakukan transaksi (Non Repudiation).


Entitas PKI
• Certificate Authority
• Subscriber
• Registration Authority
• Repository
• Relying Party (selain subscriber)


Certificate Authority
• Yakni entitas yang namanya tertera sebagai “issuer” pada sebuah sertifikat digital
• Tidak harus pihak ketiga diluar organisasi sang subscriber. Misal: CA di sebuah perusahaan yang mengeluarkan digital ID buat pegawainya


Subscriber
• Entitas yang menggunakan sertifikat digital (diluar RA dan CA) sebagai “jati dirinya”
• Bisa juga berupa software, downloadable application atau mobile agent • Memegang private key: harus dijaga baikbaik!
• PSE: personal security environment.
– Smartcard
– hard disk / disket (PKCS #5)


Registration Authority
• Menjalankan beberapa tugas RA,
misalnya:
–registrasi / physical authentication
–key generation
–key recovery
–revocation reporting
• Sifatnya optional, dan skenario CA-RA bisa berbeda-beda tergantung situasi kondisi


Repository
• Repository ini juga berguna untuk menyimpan daftar sertifikat yang dibatalkan/CRL (yang tidak berlaku sebelum masa berlakunya habis).
• Jadi yang disimpan dalam repository bukan hanya sertifikat digital saja, namun informasiinformasi penting yang berkaitan dengan operasi sebuah PKI.
• Beberapa contoh yang masuk kategori
repository mencakup : LDAP, X500, OCSP
responder, database, dsb


Relying Party
• Relying party adalah pihak yang mempercayai kebeadaan dan keabsahan suatu sertifikat digital.


Tingkat kepercayaan & keabsahan sertifikat
• Ada sertifikat yang gratisan. Hanya bisa dipakai untuk menunjukkan bahwa X adalah X. (Class 1)
• Ada sertifikat yang mahal sekali (ribuan dollar). Harus menunjukkan akta perusahaan dan harus diaudit. Secara fisik, harus hadir di CA utk mendaftar. (Class 4)
• Kesimpulan: level sertifikat menunjukkan “trustworthiness” dari suatu entitas


PKI Management Requirement
• Mengikuti standar ISO 9594-8 (kemudian menjadi ITU X.509, lalu RFC 2459 dkk)
• Ada teknik untuk mengupdate key-pair
• PKI bukan tirai besi: faktor kerahasiaan dalam PKI diminimalisir
• Bisa pakai banyak jenis algoritma: RSA, DSA, El-Gamal, Schnoor, MD5, SHA1, DES, RC4…
• Key generation oleh subscriber diperkenankan
• Ketiga entitas PKI, bisa mempublish sertifikat mereka
• CRL harus ada Bisa menggunakan berbagai macam protokol: mail, HTTP, TCP/IP

• CA adalah “Maha Dewa” yang menentukan diisukannya sebuah sertifikat. Jadi bisa seorang subscriber   minta sertifikat dengan “hak” tinggi, tapi hanya diberi “hak” rendah, karena sebenarnya sang subscriber memang tidak berhak setinggi itu.
• Harus ada mekanisme untuk pergantian kunci, kalau CA dibobol.
• Fungsi RA boleh dikerjakan oleh CA, tetapi dari sudut pandang subscriber, tetap saja harus nampak sama.


Certificate Revocation List
• Misalnya kalau seorang credit cardholder (dgn sertifikat digital), ternyata tidak pernah membayar tagihan bulanan, maka issuer bisa memasukkan sertifikat cardholder itu ke dalam daftar CRL
• CRL dikeluarkan oleh CA secara periodik
• Kalau verifikasi off-line, bisa saja, tapi data tidak yang terbaru. Jadi pakai kalkulasi riskmanagement.
• Jika sudah melewati batas validitas, maka bisa dicoret dari CRL

Comments :

1
Amber Salm mengatakan... on 

nice

Poskan Komentar

Daily Categories