One Time Pad

One Time Pad adalah salah satu contoh metode kriptografi dengan algoritma jenis simetri. Ditemukan pada tahun 1917 oleh Major Yoseph Mouborgne dan Gilbert Vernam pada perang dunia ke dua. Metode ini telah diklaim sebagai satu-satunya algoritma kriptografi sempurna yang tidak dapat dipecahkan.

Suatu algoritma dikatakan aman, apabila tidak ada cara untuk menemukan plaintext-nya Sampai saat ini, hanya algoritma One Time Pad (OTP) yang dinyatakan tidak dapat dipecahkan meskipun diberikan sumber daya yang tidak terbatas. Algoritma One Time Pad adalah salah satu jenis algorima simetri (konvensional).


Jumlah kunci sama panjangnya dengan jumlah plaintext. Jika anda ingin agar ciphertext sulit untuk di pecahkan maka pemakaian kunci seharusnya :
* Jangan gunakan kunci yang berulang
* Pilihkan kunci yang random

Rumus melakukan One Time Pad ini yaitu :
Enkripsi : E(x) = (P(x) + K(x) ) Mod 26
Dekripsi : D(x) = (C(x) - K(x) ) Mod 26

CARA I
Pemakaian One Time Pad digunakan pada sederetan abjad A..Z dengan memberikan nilai urutan abjad yaitu A=0, B=1, C=2, D=3, E=4 ..sampai Z.
Contoh Enkripsi Pesan :

Pesan : ZENSHIFU
Kunci : OTIMEPAD

maka perhatikan langkahnya seperti di bawah ini :

Plaintext 25(Z) 4(E) 13(N) 18(S) 7(H) 8(I) 5(F) 20(U)
Kunci 14(O) 19(T) 8(I) 12(M) 4(E) 15(P) 0(A) 3(D)
-------------------------------------------- +
Hasil mod 26 13 23 21 4 11 23 5 23
Chipertext N X V E L X F X

Jadi Chipertext yang di hasilkan yaitu : NXVELXFX

Dekripsi pesan, perhatikan langkah di bawah ini

Chipertext 13(N) 23(X) 21(V) 4(E) 11(L) 23(X) 5(F) 23(X)
Kunci 14(O) 19(T) 8(I) 12(M) 4(E) 15(P) 0(A) 3(D)
------------------------------------------------ -
Hasil mod 26 25 4 13 18 7 8 5 20
Plaintext Z E N S H I F U

Jadi Plaintext yaitu : ZENSHIFU

Encrypt One Time Pad
Decrypt One Time Pad

Untuk mempermudah pemahaman dan melihat algoritmanya, maka saya menggunakan yang gampang-gampang aja, yaitu dengan memanfaatkan Ms. Excel. File One Time Pad on Excel tersebut bisa di download. Disitu bisa merubah plaintext, chipertext maupun kuncinya. Klik aja linknya :D Dengan algoritma ini, enkripsi dekripsi one time pad bisa diterapkan dalam bahasa pemrograman apapun, baik visual basic, php, delphi maupun java. Karena intinya adalah merubah character ke desimal kemudian melakukan perhitungan dan mod. Lalu hasilnya mengembalikannya lagi dari desimal ke character. Saya pernah membuat program one time pad menggunakan visual basic dengan algoritma yang sama.


CARA II
Cara yang ini lebih simple, karena urutan hurufnya merupakan bilangan desimal yang sesuai dengan standard internasional, yaitu sesuai dengan ASCII Table. Bisa dilihat di http://www.asciitable.com/. Namun prinsipnya sama saja yaitu melakukan penjumlahan kemudian mod 26 untuk encrypt, dan melakukan pengurangan kemudian mod 26 untuk decrypt. Semuanya ada di dalam File One Time Pad on Excel.

Algoritma One Time Pad nya adalah :
1. Merubah huruf-huruf (Character) tersebut menjadi bilangan desimal.
Function yang digunakan : CODE(Character)
2. Melakukan penjumlahan jika Enkripsi, dan melakukan pengurangan jika dekripsi
3. Hasil pengurangan atau penjumlahan di mod 26
Function yang digunakan : MOD(Bilangan;26)
4. Hasilnya dikembalikan lagi menjadi Huruf / Character
Function yang digunakan : CHAR(Bilangan)

Enkripsi One Time Pad




Dekripsi One Time Pad



SNI-27001 Untuk Toko Online dan Perbankan

Kementrian Komunikasi dan Informatika bakal memberlakukan sertifikasi Standar Nasional Indonesia (SNI-27001) bagi unit kerja penyelenggara informasi dan transaksi elektonik (ITE) di tanah air. Sertifikasi ini diterapkan untuk mengurangi terjadinya tindak pidana cyber crime.Kepala Sub Direktorat Kasubdin Tata Kelola Keamanan Informasi, Kemenkominfo, Hasyim Gautama dikonfirmasi JPNN, Jumat (1/3) menjelaskan, pemberlakuan sertifikasi SNI-27001 salah satunya untuk menjamin tingkat keamanan pada unit kerja penyelenggara ITE."SNI 27001 tidak terkait dengan website, tapi terkait proses yang ada dalam unit kerjanya," kata Hasyim. Dia menyebutkan, meski sertifikasi ini baru efektif diterapkan setelah terbitkannya Peraturan Menteri (Permen) Kominfo yang sedang dalam proses penyusunan, kini sudah ada unit kerja yang tingkat keamanannya sudah tersertifikasi SNI-27001.

"Yang sudah tersertifikasi SNI 27001 saat ini yakni, layanan pengadaan secara elektronik (LPSE) Kemkominfo, Biro Kepegawaian Kominfo dan LPSE Pemkot Surabaya," ujar Hasyim.

Ke depan, unit kerja pemerintah dan swasta yang menyelenggarakan sistem ITE ini akan diberikan deadline menerapkan sertifikasi SNI-27001. Yang paling urgent adalah bagi penyelenggara sistem ITE yang melakukan transaksi keuangan. Misalnya toko online hingga perbankan.

Nah, saat pendaftaran unit kerja penyelenggara ITE yang harus dituntaskan tahun ini, Kemkominfo akan mendata siapa pemilik, pengelola, dan seperti apa penggunaan sistem ITE yang dijalankannya. Hal itu juga untuk menyesuaikan dengan poin-poin yang harus terpenuhi dalam SNI-27001.

"Deadlinenya beda. Kalau menyangkut transaksional keuangan, penyesuaian dengan SNI-27001 selama 3 tahun. Misal ada orang buka bisnis online, dalam tiga tahun itu harus memenuhi sertifikasi SNI ini," kata Hasyim.

Di antara poin-poin yang mesti dipenuhi itu seperti sumber daya manusia (SDM) unit kerja, tata kelola, manajemen, hingga aspek keamanannya. Sementara itu untuk penyelenggara ITE yang tidak bersifat transaksional diberi waktu menyesuaikan lima tahun.

Sumber: fat - jpnn - 01/03/2013 [Toko Online dan Perbankan harus Ber-SNI-27001]

Perencanaan SMKI / ISMS (PLAN)

Yang dimaksud dalam perencanaan SMKI (Sistem Manajemen Keamanan Informasi) / ISMS (Information Security Management System) dalam ISO 27001 adalah menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran. Hal ini dalam ISO 27001 terdapat pada klausul 4.2.1.

Menetapkan SMKI ini masih berada di tahap PLAN dalam rangkain PDCA (Plan - Do - Check - Act). Pada proses penetapan SMKI ini perusahaan / Organisasi harus melakukan tahapan-tahapan sebagai berikut:

Tahap 1 : Menentukan ruang lingkup ISMS
Tahap 2 : Menentukan kebijakan (tujuan dan sasaran)
Tahap 3 : Menentukan cara penilaian risiko
Tahap 4 : Identifikasi risiko
Tahap 5 : Analisa dan evaluasi risiko
Tahap 6 : Identifikasi dan evaluasi pilihan penanganan risiko
Tahap 7 : Memilih objektif kontrol dan kontrol

TAHAP 1
Menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup.

TAHAP 2
Menetapkan kebijakan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasinya, asset dan teknologi yang:
1) Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi;
2) Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak;
3) Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan;
4) Menetapkan kriteria terhadap risiko yang akan dievaluasi (lihat Tahap 3); dan
5) Telah disetujui oleh manajemen.

TAHAP 3
Menetapkan pendekatan asesmen risiko pada organisasi
1) Mengidentifikasi suatu metodologi asesmen risiko yang sesuai dengan SMKI, dan keamanan informasi bisnis yang teridentifikasi,dan persyaratan hukum dan perundang-undangan.
2) Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima.
Metodologi asesmen risiko yang dipilih harus memastikan bahwa asesmen risiko memberikan hasil yang dapat dibandingkan dan direproduksi.

TAHAP 4
Mengidentifikasi risiko
1) Mengidentifikasi aset dalam ruang lingkup SMKI dan pemilik-pemilik aset.
2) Mengidentifikasi ancaman-ancaman terhadap aset
3) Mengidentifikasi kelemahan yang mungkin dieksploitasi oleh ancaman
4) Mengidentifikasi dampak hilangnya kerahasiaan, integritas dan ketersediaan dari aset.

TAHAP 5
Menganalisis dan mengevaluasi risiko.
1) Mengases dampak bisnis bagi organisasi yang mungkin berasal dari kegagalan keamanan, yang mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan aset
2) Mengases kemungkinan terjadinya kegagalan keamanan yang realistik, berkenaan dengan ancaman dan kelemahan, dan dampak yang terkait dengan aset serta pengendalian yang diterapkan saat ini.
3) Memperkirakan tingkat risiko.
4) Menetapkan apakah risiko dapat diterima atau memerlukan perlakuan dengan menggunakan kriteria untuk risiko yang dapat diterima sebagaiman ditetapkan dalam Tahap 3 point 2.

TAHAP 6
Mengidentifikasi dan mengevaluasi pilihan perlakuan risiko
Tindakan yang mungkin mencakup:
1) penerapan pengendalian yang tepat;
2) penerimaan risiko secara sadar dan objektif, jika risiko tersebut memenuhi kebijakan organisasi dan kriteria risiko yang dapat diterima(lihat Tahap 3 point 2);
3) pencegahan risiko; dan
4) pengalihan risiko bisnis terkait kepada pihak lainnya seperti pihak asuransi, pemasok.

TAHAP 7
Memilih sasaran pengendalian dan pengendalian untuk perlakuan risiko.
Sasaran pengendalian dan pengendalian harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi melalui proses asesmen risiko dan proses perlakuan risiko. Pemilihan ini harus mempertimbangkan kriteria risiko yang dapat diterima (lihat Tahap 3 point 2) dan juga persyaratan hukum, perundang-undangan dan persyaratan kontrak.
a. Memperoleh persetujuan manajemen terhadap risiko residu yang diajukan.
b. Memperoleh kewenangan manajemen untuk menerapkan dan mengoperasikan SMKI.
c. Menyiapkan pernyataan pemberlakuan. Pernyataan pemberlakuan harus disiapkan yang mencakup sebagai berikut:
1) Sasaran pengendalian dan pengendalian yang dipilih dalam Tahap 7) dan alasan-alasan pemilihannya;
2) Sasaran pengendalian dan pengendalian yang diterapkan saat ini (lihat tahap 5 point 2); dan
3) Pengecualian setiap sasaran pengendalian dan pengendalian dalam Lampiran A dan dasar justifikasi untuk pengecualiannya.