Seandainya Dedy Corbuzier memakai Digital Signature

0 views
Skip to first unread message

Alfian GM

unread,
Jul 2, 2008, 5:04:12 AM7/2/08
to stm...@googlegroups.com
Saya kutip tulisan menarik saudara Rizki Wicaksono yang di posting dari milist komunitas pencinta security terbesar di Indonesia, menarik sekali untuk disimak, berikut tulisannya.

Tulisan ini tidak ada hubungannya dengan perseteruan DC dan RS. Saya hanya tertarik memandangnya dari sisi security IT, terutama berkaitan dengan pertukaran dokumen. Seperti yang diberitakan, Dedy Corbuzier (DC) baru saja membuat ilusi prediksi hasil euro 2008. Sebelumnya diberitakan bahwa DC telah menuliskan isi prediksinya pada tanggal 6
juni, lalu menyimpannya di sebuah kotak yang dijaga 24 jam non-stop. Kemudian tanggal 30 juni isi prediksi itu dibuka dan dibacakan ke publik. Dan isinya adalah hasil euro yang sangat akurat bahkan sampai skor dan penjebol gawangnya.

Namanya juga ilusi, tentu ada celah (vulnerability) yang di-exploit oleh DC sehingga menciptakan ilusi (seolah-olah) dia benar-benar
melakukan prediksi. Seandainya ada seseorang yang menunjukkan kepada anda suatu dokumen, kemudian dia mengklaim bahwa dokumen itu dibuat
oleh si X 1 bulan yang lalu. Apa reaksi anda? Saya yakin beragam pertanyaan akan muncul, a.l :
1. Bagaimana anda bisa yakin bahwa dokumen itu benar-benar dibuat 1 bulan yang lalu, bukan baru kemarin?
2. Bagaimana anda bisa yakin bahwa si X lah yang menulis dokumen itu?
3. Bagaimana anda bisa yakin bahwa apa yang anda lihat adalah apa yang ditulis X 1 bulan yang lalu? Mungkin saja yang anda lihat sekarang sudah diubah dan berbeda 180 derajat dengan yang ditulis X 1 bulan yang lalu.

Pertanyaan-pertanya an itu lah yang menjadi vulnerability yang di-exploit DC sehingga ilusinya bisa dilakukan.

Kriptografi kini sudah sangat maju sehingga pertanyaan-pertanya an itu bisa dijawab dengan meyakinkan. Teknologi yang saya maksud adalah digital signature, yang merupakan gabungan dari kriptografi asimetris dengan fungsi hash. Proses signing dokumen adalah menghitung fingerprint dokumen dengan fungsi hash, lalu meng-enkripnya dengan kunci private si pembuat dokumen. Jadi yang dimaksud digital signature dokumen tidak lain adalah fingerprint dokumen yang ter-enkripsi.

Penerima dokumen bisa melakukan verifikasi dengan cara:
1. Melakukan dekripsi signature dengan kunci publik pembuat dokumen sehingga kembali menjadi fingerprint.
2. Menghitung fingerprint dokumen yang diterima.
3. Membandingkan nilai fingerprint dari langkah 1 dan langkah 2, jika tidak sama maka dokumen compromised dan tidak bisa dipercaya lagi.

Dokumen yang memiliki digital signature yang valid membuktikan bahwa:
a. Dokumen itu benar-benar dibuat oleh pembuatnya,
b. Dokumen itu tidak pernah berubah sejak ditanda tangani. Lalu bagaimana dengan umur? Sebenarnya kita tidak bisa mengukur umur sebuah file. File
hanyalah untaian bit yang tidak lain hanyalah konsep yang mewakili  keadaan ada atau tidak ada. Sesuatu yang tidak memiliki wujud fisik tidak bisa diukur umurnya. Umur adalah ilusi dari meta-data tanggal create yang mudah dimanipulasi.

Maka untuk menyiasatinya, tanggal pembuatan file harus dimasukkan dalam dokumen (sebagai bagian dari data, bukan meta-data) yang telah
di-sign. Sehingga apabila ada perubahan pada tanggal pembuatan maka signature akan menjadi tidak valid lagi.

Kembali ke ilusi DC tadi, seandainya ilusi itu dilakukan dengan digital signature maka skenarionya kurang lebih begini:
1. DC mempublikasikan public keynya ke repository public key di internet.
2. Pada tanggal 6 juni, prediksi ditulis dalam sebuah file "prediksi.txt" .
3. File prediksi.txt itu di-sign secara digital oleh DC.
4. Signature prediksi.txt dipublikasikan lewat internet sehingga orang lain bisa mengkopi dan mencatatnya di komputer masing-masing.

File prediksi.txt sendiri tidak dipublikasikan, karena memang dirahasiakan hingga dibuka pada tanggal 30 juni. Bila telah tiba waktu pembukaan isi file, maka isi file prediksi.txt dibacakan dan dipublikasikan (boleh didownload bebas dari internet).

Kini siapapun bisa melakukan verifikasi dengan cara:
1. Isi file prediksi.txt yang didownload dari internet dihitung fingerprintnya dengan fungsi hash.
2. Signature yang telah dipublikasikan sebelumnya di-dekrip dengan public-key DC, hasilnya adalah fingerprint.
3. Fingerprint di langkah 1 dibandingkan dengan fingerprint dari langkah 2. Bila match, berarti file prediksi.txt yang didownload 30 juni sama
dengan file prediksi.txt yang dibuat pada tanggal 6 juni, dengan kata lain kita yakin bahwa file yang didownload pada tanggal 30 juni dibuat pada tanggal 6 juni.

Dengan digital signature kita bisa yakin akan integritas dan ke-otentik-an suatu dokumen, dan bila disebutkan juga tanggal pembuatannya dalam dokumen kita juga bisa yakin akan umur sebuah file.
--
Wassalam
Rizki Wicaksono
http://www.halalgui de.info
Reply all
Reply to author
Forward
0 new messages