Categories
Orba Resurrection Apocalypse

Teknologi murah mengamankan diri (sekaligus merepotkan lawan bag. 1)

Kemarau panjang ini akan berakhir dengan menguatnya gelagat negara dalam mengatur cara-cara rakyat bicara. Keterbukaan sipol (sipil politik) yang dimulai sejak 1999 akan segera berakhir. Pesta bicara lewat social-media akan jadi keran air yang mengucur kecil. Kebebasan dan rasa rileks untuk berpendapat mungkin segera berakhir. Kebanggaan sebagai warga Indonesia yang bebas berpendapat dibandingkan dengan kawan-kawan Malaysia, Thailand, Burma akan jadi bagian masa lalu. Dengan hadirnya peraturan-peraturan yang mengendalikan hak bicara, maka kritik warga yang paling membangun sekalipun justru paling rentan dikategorikan sebagai perbuatan kriminal. Dengan sedih, saya kembali buka-buka kenangan lama ketika internet masih jadi barang langka di tahun 1998. Orba berhasil menciptakan takut massal sehingga kita selalu merasa diintip dan didengar. Ketika itu saya hidup dalam rasa khawatir yang mengharuskan untuk berbuat pintar dalam berkomunikasi elektronik dengan menggunakan teknologi enkripsi PGP untuk e-mail. Saat itu enkripsi dilakukan bahkan untuk komunikasi dalam keluarga yang tinggal di kota-kota berbeda. Iya, entah bagaimana saya berhasil meyakinkan keluarga untuk menggunakan PGP dan mereka dapat melakukan dengan baik.  Padahal jika dibuka, pesan-pesannya sama sekali tidak bahaya dibandingkan “standar sekarang”. Kira-kira cuma laporan perkembangan kehidupan kampus untuk orangtua di rumah misalnya “, tadi siang ada intel polres yang ketangkep waktu konser musik, pakaiannya mahasiswa tapi di kantongnya ada buku laporan isinya blah-blah blah — aneh ya pertunjukkan musik kok ada intelnya?”  Atau seperti: “bagaimana kondisi teman-teman ITB, sudah pada siap belum?” Of course this was so romantic and was felt heroic, despite that government might had no clue at all how to tap e-mail communication that time”

Dari mana saya tahu hal itu? Coba-coba sendiri. Milis Apakabar@clark.net yang jadi kewajiban tiap warganegara kelas menengah yang punya internet supaya dapat tahu perkembangan “Indonesia di belakang layar” menawarkan teknologi PGP (Pretty Good Privacy) bagi para kontributor. Maka dengan demikian, isi email dan attachment tidak dapat dibuka oleh orang lain yang tidak berhak. Kita semua melakukannya sebagai kontributor. Ketakutan membuat orang belajar jadi cerdas teknologi keamanan dan privasi. Ketakutan dapat membuat kita terampil menggunakan senjata untuk bertahan hidup. Tidak terbayangkan dan malas rasanya masuk ke udara Orde Baru di tahun 2015. Tapi apa boleh buat.

Dan mungkin saya, Anda, atau ayah dan ibu kita harus melakukannya lagi sebagai warga sipil yang bertahan pada kebenaran dan percaya demokrasi. Oh, don’t underestimate my mom. She has three functional laptops!  Gue cuma satu.

Oke mari mulai dengan teknologi enkripsi. Teknik ini akan mengubah wujud teks atau file yang telanjang (plaintext) menjadi tidak dapat terbaca kecuali jika dibuka oleh kunci (key). Ide enkripsi adalah terpenuhnya 3 kondisi yaitu: menjaga kerahasiaan file sekaligus menjamin bahwa file itu sampai ke tangan yang tepat dan tidak berubah isinya.

Umumnya kita sudah tahu bahwa file dapat dilindungi dengan satu password, misalnya yang sering kita lakukan dengan dokumen Microsoft Office. Dalam dunia kriptografi teknik satu kunci ini disebut teknik simetris. Satu password itu mengandung satu kunci enkripsi. Artinya kondisi pertama (kerahasiaan file) terjamin. Tapi kondisi kedua dan ketiga tidak. Ketika password digunakan oleh orang yang tak berhak, maka dia dapat mengubah isi file dan melindungi kembali file malang tersebut dengan password yang sama dan mengirimkannya pada penerima yang terkecoh. Perlindungan satu password (satu kunci) memiliki kelemahan dalam implementasi misalnya ketidakdisiplinan, kecerobohan.

Pretty Good Privacy (PGP). Cara ini digunakan untuk enkripsi dan dekripsi teks-teks dalam badan e-mail dan enkripsi-dekripsi file-file antara dua pihak atau lebih. Enkripsi dan dekripsi terjadi dengan dua kunci yang berbeda yaitu private key dan public key.

  1. PGP tidak menggunakan password:  “kesepakatan satu password untuk semua” tidak aman secara implementatif. Cara satu password memang lebih gampang, tetapi tidak aman karena tiap orang harus tahu password yang sama. Ketika pertukaran informasi terjadi untuk banyak orang, maka mudah sekali password tersebut untuk bocor karena tekanan atau interogasi. Sistem kunci ganda public-private key memungkinkan penyebaran kode enkripsi secara terbuka oleh karena public key dapat disebar kemana-mana. Jadi silakan dicantumkan di e-mail, blog, atau dikirim via flashdisk. Jika tokh sampai ke tangan yang tidak berhak, public key tersebut tidak dapat dipakai. Karena public-key tersebut baru bekerja membuka e-mail yang disandikan dengan private-key penerima e-mail. Maka private-key yang harus dijaga baik-baik. Private key memiliki “password” atau yang disebut “paraphrase” yang hanya diketahui pengguna. Dalam keadaan darurat, private-key dapat dihancurkan dan tidak dapat dibuat ulang.
  2. Ada pertukaran kunci. Dua kunci ini harus ditukarkan secara “silang” untuk dapat melakukan proses enkripsi dan dekripsi. Maksudnya gini. Ketika si A ingin mengirim kepada si B, maka si A menggabungkan private keynya dan public key kepunyaan si B. Maka pesan hanya dapat dibuka oleh si B yang menggabungkan private-key miliknya dan public key milik si A sebagai pengirim. Si A dan si B hanya perlu bertukar public-key masing-masing saja. Ketika si B mengirimkan balasan, maka si B menggabungkan private key-nya dengan public key milik si A.  Cara yang sama berlaku jika ingin berkomunikasi dengan banyak orang misalnya group e-mail dengan persyaratan mereka saling membagi public-key masing-masing. Tapi bagaimana kita yakin bahwa public-key yang diterima adalah milik orang yang kita maksud? Kita tidak pernah benar-benar yakin sampai bertemu muka untuk sama-sama melakukan verifikasi. Maka, PGP biasa dilakukan oleh orang-orang yang pernah bertemu muka atau sengaja bertemu muka untuk saling memvalidasi.
  3. Seberapa aman? Public key bentuknya adalah barisan-barisan kombinasi huruf dan angka random yang merupakan kode. Kode tersebut dapat dibuat panjang, dapat pula pendek sesuai dengan rumus matematika yang digunakan. Gampangnya, panjangnya kunci ditentukan oleh besaran yang disebut “bit”. Makin besar angka “bit” maka artinya kunci makin panjang dan sukar dibongkar.  Misal sebuah kunci 56 bit artinya memiliki panjang karakter sebesar 2 pangkat 56 atau 72,057,594,037,927,936 digit yang terlalu kompleks kombinasinya. Besaran 56 bit digunakan oleh Departemen Pertahanan Amerika Serikat sampai tahun 2000-an. Sementara PGP menggunakan  minimum 768 bit (RSA) dan belum pernah dibobol (kecuali di film Holywood).  Menurut pakar kriptografi enkripsi model begini terlalu mahal untuk dibongkar sementara data Anda terlalu murah untuk jadi target intelijen.  Biaya untuk  beli ratusan komputer serta waktu puluhan tahun untuk menunggu hasil bongkar paksa tentu tidak sebanding dengan pentingnya data yang ingin dicari. Lagipula ketika berhasil, semua orang yang terkait dengan data itu termasuk para operator komputer yang kerja siang-malam sudah pada meninggal.  Pada intinya, walau secara teoretis pembobolan itu mungkin, itu hanya dapat dilakukan oleh organisasi, perangkat, dan dana sangat besar. Phillip Zimmerman pencipta PGP menggunakan RSA 1024 bit yang dijamin sudah aman untuk urusan homo sapiens dari hari ini sampai mereka punah kelak. Walau PGP memperbolehkan kita menggunakan 2048,3072,4096, 8192 bit untuk orang-orang yang susah tidur, pilihan default adalah RSA 1024.  Update: Standar baru untuk RSA keys saat ini adalah 3072 bit sebagai tindakan preventif terhadap serangan organisasi terbesar misalnya NSA.
  4. Kalau mau tahu detail silakan buka keylength.com. Public-key pun dapat diatur agar kadaluwarsa dalam waktu tertentu. Pemakai juga dapat menandai public-key dengan tingkat kepercayaan (trust-level) tertentu dalam address-book. Intinya, sebagaimana dalam hidup, ngga pernah ada kepastian dalam dunia keamanan elektronik. Resiko selalu ada.
  5. Digital Signing. Salah satu feature penting dari teknologi PGP adalah ‘tanda-tangan digital’.  Terkadang keperluan kita bukan untuk menyembunyikan data, tetapi untuk menjamin apakah data (teks email, ataupun file lain) tidak berubah ketika diterima (tidak diubah pihak lain). Ketika e-mail atau file “ditandatangani” dengan sistem PGP oleh si pengirim, maka modifikasi sedikit saja akan diketahui oleh penerima.
  6. Bagaimana caranya dan kapan harus mulai? PGP sudah lebih mudah pengoperasiannya dibanding tahun 1996. Lisensi PGP sebagai open-source  (GnuPG) memungkinkan kita pakai versi gratisan atau versi bayaran dengan keampuhan yang sama. Untuk pengguna gmail yang bekerja dengan browser Chorme dapat pakai ekstensi Mailvelope (cari sendiri ya). Untuk pengguna yang pakai software email non-web dapat pakai GPG4Win atau GPGTools (iOS) (cari sendiri yah), atau untuk pemakai Mozilla ThunderBird bisa gunakan Enigma. Tentu untuk yang techie akan senang dengan GnuPG yang berjalan dari command-prompt (terminal). Untuk pengguna Linux, enkripsi sudah bagian dari software-software email, jadi tinggal mengunduh modul-modul PGP saja.
  7. Siapa aja sih yang pakai? Orang-orang biasa yang berhati-hati. Ibaratnya, jika kita selalu mengirim surat menggunakan amplop tertutup, mengapa dalam email kita tidak menggunakan amplop tertutup juga?  PGP lazim digunakan oleh jurnalis dan aktivis di negara-negara anti-demokratis. Organiasi-organisasi yang giat memperjuangkan demokratisasi pun mempergunakan layanan ini untuk menjamin keselamatan kontributor.
  8. Harap diperhatikan bahwa PGP hanya melakukan enkripsi dan tidak terkait dengan usaha-usaha menyamarkan identitas pengirim termasuk IP-address dan alamat e-mail. Untuk keperluan anonimitas dan persembunyian, tunggulah bagian kedua.

PGP Public Key Saya. (RSA 1024 bit).

Silakan dipergunakan. Caranya adalah salin (copy) dan tempel (paste) di software edit teks apa saja misalnya Notepad. Lalu disimpan dengan nama file apa saja (misal iwan.asc). Setelah itu di-import dari software PGP yang disukai dan selamat menggunakan.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: Encryption Desktop 10.3.1 (Build 13100)
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=ayZ/
-----END PGP PUBLIC KEY BLOCK-----

By meulia

Anthropologist.

3 replies on “Teknologi murah mengamankan diri (sekaligus merepotkan lawan bag. 1)”

Open PGP freeware terpisah. Hanya mengurus proses enkripsi dan deskripsi tapi beredar di bundle dengan software beberapa email kompatibel sesuai selera.

Leave a Reply

Your email address will not be published. Required fields are marked *