Arsitektur web yang masih mengadopsi teknologi awal tahun 90-an kini menghambat kinerja browser generasi baru dan lebih mudah diserang. Teknologi baru akhirnya muncul dan mampu membuat web lebih cepat dan lebih aman.Daniel Bernstein dan Jeff Hodges adalah penggerak revolusi. Yang mereka kerjakan sangat berarti bagi setiap orang yang ingin menggunakan Internet dengan aman dan cepat.Mereka meneliti jalur web yang lama, seperti protokol TCP dan HTTP.
alur alternatif temuan mereka akan menyingkirkan masalah terbesar dan membuat Internet siap untuk masa depan dengan web yang semakin interaktif.Protokol lama menghambat kinerja web modern layaknya lubang di tengah jalan tol. Selain itu, hacker amat mudah memata-matai password atau mengendalikan browser dengan serangan cyber yang semakin canggih.Bernstein, Hodges, dan rekan-rekannya kini berupaya mencapai tingkat keamanan yang lebih baik dan transfer data yang lebih cepat. Nama protokol yang baru adalah DNSCurve, CurveCP, HSTS, dan SPDY. Untuk hasil yang optimal, produsen browser dan pengelola web server harus mendukung teknologi baru tersebut.Untuk memahami mengapa setiap pengguna akan menikmati revolusi ini, kita harus meneropong masalah-masalah protokol data aktual. Transfer data di web – komunikasi antara pengguna dan website berlangsung dalam tahapan yang telah ditetapkan dengan segala kelemahannya.
Sebuah ‘TCP-Handshake’ membangun koneksi ke website dan di sini CurveCP akan melindungi dari serangan. Selanjutnya, konten web akan ditransfer, ini akan diubah dengan HSTS.Transfer melalui HTTP juga terbatas secara teknis. Di sini, Google ingin meningkatkan kecepatan dengan SPDY. Namun sebelum koneksi ke website terbangun, DNS harus menemukan alamat IP dari URL yang dimasukkan. DNSCurve bertugas mencegah hacker memanipulasi penerjemahan alamat ini.DNSCurve: Tidak ada lagi phishingSebuah URL terdiri atas tiga bagian, yaitu protokol yang digunakan (http://), nama domain (http://www.cyberprotes.com/), dan top-level-domain (.co.id). Jika URL dimasukkan ke dalam address bar di browser, browser akan menampilkan website yang dimaksud. Untuk itu, URL membutuhkan alamat IP website yang didapatkan dari server DNS.Biasanya, server DNS menyampaikan IP Address tanpa enkripsi. Metode ini sangat berbahaya.
Jika hacker mampu mengubah IP Address, Anda bisa diarahkan ke website phishing. Tujuannya adalah untuk mencuri data login Anda. Serangan yang disebut DNS-spoofing ini sangat berbahaya.Upaya pertama mengamankan permintaan DNS adalah melalui DNSSEC (Domain Name System Security Extension) yang mulai digunakan pada tahun 2005 dan mengenkripsi informasi domain di server-server DNS. Namun, jalur paket DNS antara PC pengguna dan server DNS tetap tidak terenkripsi. Bagi para pakar TI, kondisi ini menunjukkan bahwa DNSSEC telah gagal.Alternatif yang dikembangkan Daniel J. Bernstein dari University of Illinois adalah DNSCurve. Proses ini mengamankan transfer nama domain dan IP Address dengan mengenkripsi permintaan dan jawaban pada ujung-ujungnya, ya itu di dalam sistem operasi client DNS dan server DNS.Bila Anda mengetikkan URL www.website.com, client DNS mengirimkannya ke server sebagai www.123456789.website.com. Angka-angka tersebut adalah Public Key. Hanya server DNS yang dapat mendekripsi permintaan itu karena hanya server itulah yang memiliki kunci pribadi (Private Key) yang dibutuhkan.Pada jalur sebaliknya, server mengirimkan IP Address yang bersangkutan dengan metode enkripsi yang sama dan asal paket data juga diverifikasi. Hacker yang menyadap data yang ditransfer tidak dapat memanfaatkannya.Banyak server DNS telah mendukung teknologi baru ini. Selain keamanan, DNSCurve juga memiliki kelebihan, yaitu tidak membutuhkan revolusi server dan hanya perlu meng-install sebuah software untuk menggunakannya.
Pertanyaannya, kapan Windows mendukung teknologi ini dalam client DNS-nya?CurveCP: Mengenkripsi dengan CurveCurve CP mengenkripsi transfer data pada titik akhirnya. Dengan prinsip ini, Daniel Bernstein juga ingin merevolusi protokol transportasi. Protokol ini menghubungkan browser dengan website dan mengirimkan data dalam dalam bentuk paket. TCP yang selama ini digunakan telah berusia 19 tahun dan tidak terenkripsi, sehingga mudah dimanipulasi dengan malcode.Karena itu, CurveCP juga mengandalkan enkripsi asimetris antara browser dan webserver. Hanya penerima yang dapat mendekripsi dengan Private Key. Prinsip yang sama digunakan dalam enkripsi PGP untuk lalu-lintas e-mail.
Namun, metoda yang digunakan CurveCP berbeda. Kurva CurveCP menggunakan metode Eliptis Sistem Krypto Curve 25519.Di balik nama yang rumit, tersembunyi kalkulasi logaritma sebuah kurva eliptis. Dalam prakteknya, enkripsi ini menggunakan kunci yang jauh lebih singkat daripada metode enkripsi asimetris lainnya. Sebagai perbandingan, kunci Curve 25519 sepanjang 160 Bit sama amannya dengan kunci RSA sepanjang 1.024 Bit. Namun, kelebihan dalam sistem keamanan ini ada harganya dibandingkan transfer data tanpa enkripsi. Akan tetapi, menurut Bernstein, kecepatannya hanya 1,15 kali lebih lambat daripada protokol TCP. Selain itu, meski enkripsinya rumit, kinerja CPU juga tidak terbebani.CPU modern dapat dengan mudah memproses 10 juta kunci dalam waktu kurang dari 10 menit. Peselancar web tercepat pun tidak akan mampu membuka 16.600 website/detik.Google adalah penyedia browser pertama yang mengaplikasikan teknologi ini ke dalam versi pengembangan terbaru Chrome. Rencana ini pun menimbulkan perdebatan seputar pengganti protokol TCP yang sudah kuno. Karena CurveCP ingin menggantikan salah satu pilar dasar web, mau tidak mau, produsen browser lainnya juga harus mendukung.Namun ketika dikonfirmasi, Google tidak membeberkan rencana yang jelas. Sekarang ini hanya pengelola software-library NaCl (Networking and Cryptography Library) yang menguji metode ini. Bila pengujian yang dilakukan membuktikan kelebihan transfer data yang aman, CurveCP akan menghadapi tantangan berikutnya.
Pemaksaan ‘https’ berakar di dalam header protokol data situs web dengan baris ‘Strict-Transport-Security: max-age=123456789; include SubDomains’. Parameter ‘max-age’ menetapkan dalam detik berapa lama koneksi https berlangsung. Kemudian, ‘Include SubDomains’ berarti setiap sub-website juga dienkripsi.Kelebihan HSTS lainnya adalah mencegah hacker mencuri session-cookies yang berisi data login atau melakukan hal-hal lainnya atas nama pengguna. Jika halaman login yang terenkripsi langsung mengantar ke sub-halaman yang tidak terenkripsi, hal semacam itu dapat dengan mudah dilakukan.
Pemaksaan keamanan HSTS pada awalnya terkesan aneh. Akan tetapi, metode ini membantu memberi rasa aman pada pengguna. Sekarang, jaminan keamanan beralih kepada pengelola website. Pengguna tidak perlu lagi memeriksa kolom URL, apakah koneksinya aman atau tidak. Namun, tidak setiap website demikian.Setidaknya, banyak pengelola website seperti layanan pembayaran PayPal, pengelola password LastPass, atau Android market telah menggunakan HSTS. Produsen browser juga menyusul. Chrome dan Firefox (mulai versi 4) juga mendukung HSTS. Dalam Chrome website-website HSTS disimpan dalam sebuah daftar yang dapat Anda perluas.JIka Anda ingin berselancar dengan aman menggunakan Chrome, Anda bisa mencoba cara berikut ini. Masukkan ke dalam kolom URL ‘chrome://net-internals’ lalu pindah lah ke tab ‘HSTS’. Tambahkan sebuah URL di bawah ‘Add Domain’ dan tandai ‘Include SubDomains’. Dalam pengujian, upaya ini berhasil sangat baik. Di Facebook, kami berselancar di sana dengan koneksi terenkripsi.
0 comments:
Post a Comment