crypthography &laquo; WordPress.com Tag Feed http://en.wordpress.com/tag/crypthography/ Feed of posts on WordPress.com tagged "crypthography" Mon, 28 Dec 2009 08:27:15 +0000 http://en.wordpress.com/tags/ en <![CDATA[Wandering About Hybrid Cryptosystem]]> http://kanabies.wordpress.com/2008/04/03/wandering-about-hybrid-cryptosystem/ Thu, 03 Apr 2008 11:18:21 +0000 kernellicious http://kanabies.wordpress.com/2008/04/03/wandering-about-hybrid-cryptosystem/

[QUESTION:]

Ngga berapa lama, saat kernee sedang mendevelop (dengan susah payah ngoprek logaritma diskrit, karena kernee bukan seorang jenius) suatu sistem cryptography yang disebut Hybrid Cryptosystem. Kernee menyadari bahwa adanya kelemahan pada protokol autentikasi yang dipakai (apa hybrid cryptosystem pake otentikasi?? hheehehhehehhh.. lupa lagi!!).

Sistem yang kernee develop dalam rupa software ini masih sangat rawan terhadap serangan MITM (Man In The Middle). Kenapa??

Karena saat A ingin bertukar kunci dengan B, maka mereka haruslah saling mengotentikasi satu sama lain. Tetapi bisa saja terdapat oknum C yang telah menyadap komunikasi mereka dari awal, lalu saat mereka akan mulai otentikasi, maka C akan mengaku sebagai A terhadap B. Dan C juga akan mengaku sebagai B terhadap A. Lalu, C terus menerus menjadi seorang penyamar ulung di tengah-tengah mereka.

Nah, pertanyaan kernie bukanlah tentang kekuatan algoritma enkripsi simetri ataupun asimetri, dan bukan pula terhadap keintegritasan Hash yang dimiliki oleh server (walaupun sekarang telah ada cara untuk me-reverse hash MD5 menjadi plainteks semula).

[Terlepas dari pembahasan tentang software yang kernie develop]

Pertanyaan kernee lebih kepada yang terjadi pada protokol SSL, sesaat sebelum autentikasi tersebut dimulai.

1. Bagaimana cara server ‘yakin’ bahwa client adalah client yang asli, sedangkan semua data yang dikirim client adalah berupa plainteks (tak teramankan) dan melalui jaringan publik, yang intinya semua orang masih bisa menyadap, melihat dan memodifikasi data dari client.

2. (Yang ini adalah versi ekstrimnya) Dan bagaimana cara client ‘yakin’ bahwa server adalah server yang asli, dan bukan ’server’ palsu?? Sedangkan para penyadap dapat melakukan berbagai hal agar tanda tangan digital yang penyadap keluarkan adalah tanda tangan digital yang sama persis dengan yang dimiliki oleh server yang asli.

Inilah yang bikin kernee penasaran (tanpa punya cukup niat & usaha untuk mencari jawabannya).

Dan pada saat kernie membaca-baca di wikipedia, kernie nemu bahwa untuk meng-counter serangan ini adalah dengan cara membandingkan data DNS (yang biasanya terdapat di dalam sertifikat A.K.A tandatangan dgital) dengan hasil dari DNS resolve. Hal ini dapat dikatakan aman jika public key tidak dapat di-sub-versi dan DNS doi tidak sedang diracuni.

Tapi, jika pada sesaat sebelumnya sudah dilakukan DNS poisoning dan CA (Certificate Authority) telah di-sub-versi dengan sukses..??

Bagaimana solusinya??

*still searching for an answer(s)..*

——————————————-

(^-Q) #4

kernellicious.

]]>