Perbandingan Kinerja Eap-Tls, Eap-Ttls Dan Eap-Peap Sebagai Protokol Autentikasi Pada Jaringan Nirkabel
ABSTRACT
AZHARI HARAHAP. Performance Comparison of EAP-TLS, EAP-TTLS, and EAP-PEAP as
Authentication Protocol in Wireless Networks. Supervised by SRI WAHJUNI.
Security is one of the most important issue in wireless networks (IEEE 802.11) and WPA (Wi-Fi)
Protected Access) is the current standard security protocol. WPA security process is divided into two
sections, authentication and encryption. The authentication process is crucial because it is the first
process executed before user can access the networks. Therefore, it must not only safe, the
authentication process must also be done quickly. WPA has two modes of authentication namely
Personal (Pre-Shared Key) and Enterprise (802.1x). EAP (Extensible Authentication Protocol) is a
standard authentication protocol that is used in WPA Enterprise. EAP-TLS (EAP-Transport Layer
Security), EAP-TTLS (EAP-Tunneled TLS) and EAP-PEAP (Protected EAP) are the three most
widely used EAP methods today and has been certified by the Wi-Fi Alliance. All three EAP methods
are equally implement TLS protocol for securing data during the authentication process. This study
will compare the performance of the three EAP methods with the three criteria for comparison of
speed/ time, the amount of packet size, and number of steps required during the authentication
process. The results show that EAP-TTLS has better performance than those of EAP-PEAP and EAPTLS.
Keywords : authentication, EAP, WPA enterprise, IEEE 802.1x, wireless networks.
PENDAHULUAN
EAP-TLS, EAP-TTLS, dan EAP-PEAP, pada
jaringan nirkabel.
Latar Belakang
Ruang Lingkup
Di era komunikasi, informasi dan mobilisasi
seperti sekarang ini, penggunaan perangkat
portable/ mobile telah menjadi sarana yang
banyak diterapkan dan digunakan. Perilaku
pengguna yang sering berpindah-pindah dari
satu tempat ke tempat lain dapat ditangani oleh
perangkat seperti notebook, netbook, dan
smartphone yang menggunakan media nirkabel.
Namun dengan segala kemudahan tersebut,
salah satu isu utama yang muncul adalah
masalah keamanan, karena data yang melewati
jaringan nirkabel dapat dengan mudah dicuri
dan dibaca oleh pihak-pihak yang tidak
bertanggung jawab.
Adapun ruang lingkup penelitian ini adalah
sebagai berikut :
Wired Equivalent Privacy (WEP) yang
diperkenalkan pada tahun 1999, merupakan
protokol keamanan jaringan nirkabel yang
pertama dan merupakan bagian dari standar
IEEE (Institute of Electrical and Electronics
Engineers) 802.11. WEP kemudian dinyatakan
tidak aman dan digantikan oleh WPA (Wi-Fi
Protected Access) dan disempurnakan oleh
WPA2 pada tahun 2004 yang diatur dalam
standar IEEE 802.11i. Perbedaan mendasar dari
WPA dan WPA2 adalah dari protokol enkripsi
yang digunakan, WPA menggunakan TKIP
(Temporal Key Integrity Protocol), sedangkan
WPA2 menggunakan CCMP (Counter Mode
with CBC-MAC Protocol) yang dinyatakan
lebih aman dibandingkan TKIP (Strand 2004).
Secara umum protokol keamanan WPA
terdiri atas dua proses, yaitu autentikasi dan
enkripsi. Dalam jaringan dengan skala besar dan
trafik yang tinggi, seperti perusahaan,
universitas, dan ISP (Internet Service Provider),
proses autentikasi merupakan proses yang
krusial karena merupakan proses yang pertama
kali dijalankan sebelum pengguna dapat
mengakses suatu jaringan. Oleh karena itu,
tidak hanya aman, proses autentikasi juga harus
bisa dilakukan secara cepat. EAP (Extensible
Authentication Protocol) adalah standar
protokol autentikasi yang digunakan pada WPA,
beberapa diantaranya yang saat ini banyak
digunakan adalah EAP-TLS (EAP-Transport
Layer Security), EAP-TTLS (EAP-Tunneled
TLS), dan EAP-PEAP (Protected EAP).
Tujuan
Penelitian
ini
bertujuan
untuk
membandingkan kinerja protokol autentikasi
1 Protokol autentikasi yang akan dibandingkan
kinerjanya adalah EAP-TLS, EAP-TTLSv0
dengan
MSCHAPv2
sebagai
inner
authentication, dan EAP-PEAPv0 dengan
EAP-MSCHAPv2
sebagai
inner
authentication.
2 Menggunakan RADIUS sebagai server
AAA, lebih spesifik kepada proses
autentikasi saja.
3 Kinerja yang akan dibandingkan adalah
kinerja
kecepatan/
waktu
protokol
autentikasi, besar ukuran paket dan jumlah
langkah yang dibutuhkan saat proses
autentikasi itu sendiri. Perbandingan tidak
akan mendetil sampai pada level keamanan.
4 Pada tahap implementasi, kondisi simulasi
jaringan yang digunakan adalah jaringan
yang terisolir, artinya tidak ada gangguan
dari trafik lain, hanya trafik dari proses
autentikasi.
5 Data autentikasi (username dan password)
disimpan dalam sebuah filetext, bukan dalam
sistem eksternal seperti database atau active
directory.
6 Jaringan nirkabel yang dimaksud dalam
penelitian ini adalah Wireless Local Area
Network (WLAN) sebagaimana diatur dalam
standar IEEE 802.11 (perangkat jaringan
komputer yang bekerja pada frekuensi 2.4,
3.6 and 5 GHz). Lebih spesifik penelitian ini
akan diujicoba pada frekuensi 2.4 GHz
karena frekuensi ini bebas digunakan
menurut aturan regulasi di Indonesia.
Manfaat
Penelitian ini diharapkan bisa menjadi acuan
untuk pemilihan protokol autentikasi yang akan
digunakan dalam suatu jaringan nirkabel.
TINJAUAN PUSTAKA
Jaringan Nirkabel
Jaringan nirkabel adalah jaringan yang
beroperasi melalui media nirkabel/ wireless
dengan memanfaatkan gelombang radio.
Jaringan nirkabel dikenal dengan kemudahan
dalam instalasi dan menawarkan mobilitas yang
tinggi bagi pengguna. Saat ini WPA adalah
1
PENDAHULUAN
EAP-TLS, EAP-TTLS, dan EAP-PEAP, pada
jaringan nirkabel.
Latar Belakang
Ruang Lingkup
Di era komunikasi, informasi dan mobilisasi
seperti sekarang ini, penggunaan perangkat
portable/ mobile telah menjadi sarana yang
banyak diterapkan dan digunakan. Perilaku
pengguna yang sering berpindah-pindah dari
satu tempat ke tempat lain dapat ditangani oleh
perangkat seperti notebook, netbook, dan
smartphone yang menggunakan media nirkabel.
Namun dengan segala kemudahan tersebut,
salah satu isu utama yang muncul adalah
masalah keamanan, karena data yang melewati
jaringan nirkabel dapat dengan mudah dicuri
dan dibaca oleh pihak-pihak yang tidak
bertanggung jawab.
Adapun ruang lingkup penelitian ini adalah
sebagai berikut :
Wired Equivalent Privacy (WEP) yang
diperkenalkan pada tahun 1999, merupakan
protokol keamanan jaringan nirkabel yang
pertama dan merupakan bagian dari standar
IEEE (Institute of Electrical and Electronics
Engineers) 802.11. WEP kemudian dinyatakan
tidak aman dan digantikan oleh WPA (Wi-Fi
Protected Access) dan disempurnakan oleh
WPA2 pada tahun 2004 yang diatur dalam
standar IEEE 802.11i. Perbedaan mendasar dari
WPA dan WPA2 adalah dari protokol enkripsi
yang digunakan, WPA menggunakan TKIP
(Temporal Key Integrity Protocol), sedangkan
WPA2 menggunakan CCMP (Counter Mode
with CBC-MAC Protocol) yang dinyatakan
lebih aman dibandingkan TKIP (Strand 2004).
Secara umum protokol keamanan WPA
terdiri atas dua proses, yaitu autentikasi dan
enkripsi. Dalam jaringan dengan skala besar dan
trafik yang tinggi, seperti perusahaan,
universitas, dan ISP (Internet Service Provider),
proses autentikasi merupakan proses yang
krusial karena merupakan proses yang pertama
kali dijalankan sebelum pengguna dapat
mengakses suatu jaringan. Oleh karena itu,
tidak hanya aman, proses autentikasi juga harus
bisa dilakukan secara cepat. EAP (Extensible
Authentication Protocol) adalah standar
protokol autentikasi yang digunakan pada WPA,
beberapa diantaranya yang saat ini banyak
digunakan adalah EAP-TLS (EAP-Transport
Layer Security), EAP-TTLS (EAP-Tunneled
TLS), dan EAP-PEAP (Protected EAP).
Tujuan
Penelitian
ini
bertujuan
untuk
membandingkan kinerja protokol autentikasi
1 Protokol autentikasi yang akan dibandingkan
kinerjanya adalah EAP-TLS, EAP-TTLSv0
dengan
MSCHAPv2
sebagai
inner
authentication, dan EAP-PEAPv0 dengan
EAP-MSCHAPv2
sebagai
inner
authentication.
2 Menggunakan RADIUS sebagai server
AAA, lebih spesifik kepada proses
autentikasi saja.
3 Kinerja yang akan dibandingkan adalah
kinerja
kecepatan/
waktu
protokol
autentikasi, besar ukuran paket dan jumlah
langkah yang dibutuhkan saat proses
autentikasi itu sendiri. Perbandingan tidak
akan mendetil sampai pada level keamanan.
4 Pada tahap implementasi, kondisi simulasi
jaringan yang digunakan adalah jaringan
yang terisolir, artinya tidak ada gangguan
dari trafik lain, hanya trafik dari proses
autentikasi.
5 Data autentikasi (username dan password)
disimpan dalam sebuah filetext, bukan dalam
sistem eksternal seperti database atau active
directory.
6 Jaringan nirkabel yang dimaksud dalam
penelitian ini adalah Wireless Local Area
Network (WLAN) sebagaimana diatur dalam
standar IEEE 802.11 (perangkat jaringan
komputer yang bekerja pada frekuensi 2.4,
3.6 and 5 GHz). Lebih spesifik penelitian ini
akan diujicoba pada frekuensi 2.4 GHz
karena frekuensi ini bebas digunakan
menurut aturan regulasi di Indonesia.
Manfaat
Penelitian ini diharapkan bisa menjadi acuan
untuk pemilihan protokol autentikasi yang akan
digunakan dalam suatu jaringan nirkabel.
TINJAUAN PUSTAKA
Jaringan Nirkabel
Jaringan nirkabel adalah jaringan yang
beroperasi melalui media nirkabel/ wireless
dengan memanfaatkan gelombang radio.
Jaringan nirkabel dikenal dengan kemudahan
dalam instalasi dan menawarkan mobilitas yang
tinggi bagi pengguna. Saat ini WPA adalah
1
standar keamanan yang digunakan jaringan
nirkabel. Dalam penggunaannya WPA memiliki
dua mode autentikasi (Strand, 2004), yaitu :
1 Personal atau PSK (Pre-Shared Key), yang
dirancang untuk penggunaan jaringan dengan
skala kecil dan tidak membutuhkan server
autentikasi.
2 Enterprise atau 802.1x, yang dirancang
untuk jaringan dengan skala besar dan
membutuhkan server autentikasi serta
menggunakan EAP sebagai protokol
autentikasi, sesuai dengan standar IEEE
802.1x.
Salah satu kekurangan dari mode Personal/
PSK adalah kunci disimpan di dalam access
point, semakin banyak access point yang
digunakan maka akan semakin sulit dalam hal
manajemen karena harus mengkonfigurasi dan
menyimpan kunci ke semua access point, dan
belum tentu semua access point memiliki kunci
yang sama. Untuk mengatasi masalah tersebut,
mode Enterprise dapat digunakan sebagai
alternatif, dimana semua proses autentikasi
dilakukan secara terpusat sehingga manajemen
menjadi mudah.
Protokol Authentication, Authorization, and
Accounting
Authentication,
Authorization,
and
Accounting (AAA) adalah sebuah model
keamanan jaringan komputer yang berfungsi
memverifikasi, memeriksa, dan memantau
keabsahan suatu entitas. Dalam Hassell (2002),
dijelaskan bahwa AAA terdiri atas tiga fitur
utama, yaitu :
1 Autentikasi adalah proses dimana identitas
sebuah entitas/ pengguna diperiksa.
2 Autorisasi adalah proses yang berfungsi
untuk memeriksa apakah pengguna yang
telah diautentikasi berhak mengakses suatu
layanan atau tidak.
3 Akuntansi adalah proses pencatatan aktivitas
pengguna selama mengakses jaringan.
Remote Dial In User Service
Remote Dial In User Service (RADIUS)
adalah
protokol
jaringan
yang
mengimplementasikan manajemen AAA yang
terpusat bagi komputer atau pengguna yang
ingin terkoneksi dan menggunakan layanan
dalam suatu jaringan. RADIUS secara default
menggunakan port 1812 dan UDP (User
Datagram Protocol) sebagai protokol transport.
RADIUS merupakan AAA server yang tertua
sekaligus yang paling banyak digunakan sampai
saat ini. Dikatakan (Strand 2004), walaupun
802.1x tidak secara spesifik menyebutkan jenis
server autentikasi yang digunakan, namun
RADIUS secara “de facto” adalah server
autentikasi untuk 802.1x.
IEEE 802.1x
IEEE 802.1x adalah sebuah standar IEEE
untuk Port-based Network Access Control
(PNAC), yang menyediakan mekanisme
autentikasi bagi peralatan yang ingin
tersambung ke sebuah LAN atau WLAN. Port
dalam jaringan kabel dapat diartikan sebagai
port fisik di switch ethernet, sedangkan pada
jaringan nirkabel port diartikan sebagai sebuah
association dengan access point (Geier 2008).
Gambar 1 Arsitektur 802.1x (Strand 2004).
Komponen autentikasi pada 802.1x terdiri
atas tiga entitas, yaitu :
1 Supplicant
Supplicant, sering juga disebut peer, adalah
peralatan klien, seperti PC, notebook atau
smartphone, yang ingin tersambung ke LAN/
WLAN. Supplicant mengirim request berupa
autentikasi ke authenticator untuk bisa
mengakses jaringan melewati authenticator.
2 Authenticator
Authenticator, sering juga disebut Network
Access Server (NAS), berfungsi sebagai
filter antara supplicant dan jaringan yang
diproteksi. Supplicant tidak diperbolehkan
mengakses jaringan melewati authenticator
sebelum identitas supplicant telah diperiksa
dan
divalidasi.
Ketika
supplicant
mengirimkan
request
autentikasi
ke
authenticator, selanjutnya authenticator
meneruskannya ke authentication server
untuk menentukan apakah autentikasi
tersebut valid atau tidak. Authenticator
dalam jaringan nirkabel umumnya adalah
sebuah wireless access point.
3 Authentication Server
Authentication Server bertugas untuk
memeriksa identitas entitas yang dikirimkan
2
oleh supplicant melalui authenticator.
Authentication Server umumnya adalah
server yang mendukung protokol RADIUS
dan EAP.
EAP
EAP adalah sebuah framework autentikasi
hasil pengembangan IEEE yang berfungsi
secara fleksibel. EAP sendiri bukanlah
mekanisme autentikasi secara spesifik, EAP
hanya menyediakan fungsi transport untuk
membawa
informasi
autentikasi
yang
disediakan oleh EAP method. Dengan begitu,
jika ada mekanisme autentikasi (EAP method)
baru, tidak perlu melakukan upgrade pada
semua peralatan jaringan. Saat ini terdapat lebih
dari 40 EAP method, namun yang memenuhi
standar untuk bekerja di jaringan nirkabel
sebagaimana yang dijelaskan pada Request For
Comments (RFC) 4017 dan telah disertifikasi
oleh Wi-Fi Alliance hanya ada tujuh saja,
termasuk di antaranya adalah EAP-TLS, EAPTTLS, dan EAP-PEAP.
TLS/ SSL
TLS (Transport Security Layer) dan
pendahulunya SSL (Secure Socket Layer)
adalah protokol kriptografi yang menyediakan
keamanan dalam berkomunikasi melalui
jaringan. Dalam RFC 2246, dinyatakan bahwa
TLS menyediakan keamanan dalam tiga hal :
1 Mutual authentication antara klien dan
server dengan public key cryptography
berdasarkan digital signatures. Dengan ini
identitas klien/ server dapat dibuktikan dan
pemalsuan pesan dapat dihindari. Algoritme
kriptografi kunci publik yang sering
digunakan adalah RSA (Rivest, Shamir,
Adleman) dan DSA (Digital Signature
Algorithm).
2 Menjaga kerahasiaan data dengan fungsi
kriptografi simetrik untuk melakukan
enkripsi/ dekripsi data sehingga mencegah
pihak
ketiga
untuk
melakukan
eavesdropping. Algoritme kunci simetrik
yang sering digunakan adalah AES
(Advanced Encryption Standard) dan 3DES
(Triple DES).
3 Menghasilkan Message Authentication Code
(MAC) melalui fungsi hash untuk
mendeteksi adanya gangguan dan menjaga
integritas data. Algoritme hash yang sering
digunakan adalah MD5 (Message-Digest
Algorithm) dan SHA-1 (Secure Hash
Algorithm).
Langkah-langkah dalam protokol TLS
seperti ditunjukkan Gambar 2 adalah sebagai
berikut :
1 Client Hello
Klien mengirimkan ciphersuite yang
didukung dan versi protokol TLS yang
digunakan.
2 Server Hello
Server mengirimkan ciphersuite yang akan
digunakan.
Gambar 2 Skema Protokol TLS (Sankar et al 2004).
3
3 Server Certificate
Server mengirimkan sertifikat (public key)
server ke klien.
4 ServerKeyExchange
Informasi tambahan yang dikirim server agar
klien dapat mengirimkan kunci simetrik pada
langkah 8.
5 Server Request
Server meminta klien untuk mengirimkan
sertifikat (public key) klien ke server.
6 Server Hello Done
Server selesai dalam mengirimkan paket
hello/ handshake.
7 Client Certificate
Klien mengirimkan public key klien ke
server.
8 ClientKeyExchange
Klien menghasilkan kunci simetrik lalu
mengirimkan ke server. Pesan dienkripsi
dengan kunci publik server.
9 CertificateVerify
Klien
mengirimkan
pesan
yang
ditandatangani dengan private key klien ke
server, gunanya untuk membuktikan
identitas klien.
10 Client ChangeCipherSpec
Negosiasi penggantian ciphersuite oleh
klien.
11 Client Finished
Verifikasi proses autentikasi dan key
exchange telah berjalan sukses oleh klien.
12 Server ChangeCipherSpec
Negosiasi penggantian ciphersuite oleh
server.
13 Server Finished
Verifikasi proses autentikasi dan key
exchange telah berjalan sukses oleh server.
14 Application Data
Server dan klien mulai mengirim dan
menerima data aplikasi sebenarnya yang
sudah diproteksi.
Kriptografi Kunci Publik
Pada kriptografi kunci publik terdapat dua
buah kunci yaitu kunci publik dan kunci
private. Tiga fungsi utama dari kriptorafi kunci
publik adalah Digital Signature, Encryption/
Decryption, dan Key Exchange. Menurut
Elminaam et al (2009), kriptografi kunci publik
tidak disarankan untuk proses enkripsi/ dekripsi
karena membutuhkan proses komputasi yang
besar, lebih lanjut dikatakan bahwa proses
enkripsi/ dekripsi pada kriptografi kunci publik
lebih lambat 1000 kali lipat dibandingkan
dengan kriptografi kunci simetrik.
Algoritme kriptografi kunci publik yang saat
ini banyak digunakan adalah RSA dan DSA.
Dari penelitian yang dilakukan oleh Wiener et
al (1998), seperti yang ditunjukkan pada Tabel
1, dapat diketahui bahwa RSA lebih cepat
dalam proses verification, sedangkan DSA lebih
cepat dalam proses signing dan key generation.
Tabel 1 Perbandingan kecepatan (millisecond)
RSA dan DSA (Wiener et al 1998).
RSA-1024
(e = 3)
DSA-1024
Sign
43
7
Verify
0.6
27
Key
generation
1100
7
Parameter
generation
none
6500
Kriptografi Kunci Simetrik
Pada kriptografi kunci simetrik hanya ada
satu buah kunci yang digunakan untuk
enkripsi dan dekripsi. Algoritme kriptografi
yang saat ini banyak digunakan adalah AES
dan 3DES. Dalam penelitian yang dilakukan
oleh Elminaam et al (2009), seperti
ditunjukkan pada Tabel 2 dan Tabel 3,
diketahui bahwa semakin besar ukuran paket
maka AES semakin cepat daripada 3DES,
baik dalam proses enkripsi maupun dalam
proses dekripsi.
Tabel 2 Perbandingan kecepatan (millisecond)
AES dan 3DES pada proses enkripsi
(Elminaam et al 2009)
Input size
(KBytes)
AES
3DES
49
56
54
59
38
48
100
90
81
247
112
111
321
164
167
694
210
226
899
258
299
963
208
283
5345.28
1237
1466
7310.336
1366
1786
4
Average Time
374
452
Throughput
(MB/s)
4.174
3.45
Tabel 3 Perbandingan kecepatan (millisecond)
AES dan 3DES pada proses dekripsi
(Elminaam et al 2009)
operasi seperti Linux dan Mac OS, namun
Microsoft Windows tidak memiliki dukungan
secara default, dibutuhkan aplikasi third party
agar EAP-TTLS bisa dijalankan. Pada EAPTTLS, sertifikat digital di sisi klien bersifat
optional, artinya tidak harus ada. Proses
autentikasi dalam EAP-TTLS terbagi dalam dua
langkah utama (Sankar et al, 2004) :
Input size
(KBytes)
AES
3DES
49
63
53
59
58
51
100
60
57
247
76
77
321
149
87
694
142
147
899
171
171
963
164
177
1 Pembentukan secure tunnel, melalui
sertifikat digital dari server, proses ini mirip
dengan EAP-TLS.
2 Proses autentikasi, yang sering disebut juga
inner
authentication.
Autentikasi
menggunakan metode autentikasi lain seperti
PAP (Password Authentication Protocol),
CHAP
(Challenge-Handshake
Authentication
Protocol),
MS-CHAP
(Microsoft-CHAP), atau bahkan EAP
method lain. Data yang dikirim akan di
enkripsi oleh secure tunnel yang dibentuk di
langkah
1.
EAP-TTLS
mendukung
penyembunyian identitas karena data
dilewatkan melalui secure tunnel.
5345.28
655
835
EAP-PEAP
7310.336
882
1101
Average Time
242
275.6
Throughput
(MB/s)
6.452
5.665
EAP-TLS
EAP-TLS merupakan standar EAP method
pertama yang digunakan dalam jaringan
nirkabel serta menyediakan banyak dukungan
dari vendor. Menurut Sankar et al (2004), pada
implementasinya EAP-TLS membutuhkan
sertifikat digital dari sisi klien dan juga server.
Perlunya sertifikat digital di sisi klien
merupakan kelebihan sekaligus kekurangan dari
EAP-TLS, karena setiap klien membutuhkan
sertifikat digital sehingga manajamen dan
distribusi dari sertifikat digital ke semua klien
membutuhkan sumber daya adaministrasi
tambahan. Di lain pihak, kelebihannya adalah
pada sisi keamanan dimana pihak ketiga tidak
akan bisa melakukan penyerangan tanpa adanya
sertifikat digital.
EAP-TTLS
Sama seperti EAP-TLS, EAP-TTLS (EAPTunneled TLS) juga menggunakan protokol
TLS. EAP-TTLS dikembangkan oleh Funk
Software dan Certicom. Walaupun memiliki
banyak dukungan di berbagai platform sistem
EAP-PEAP (Protected EAP) adalah EAP
method hasil pengembangan kolaborasi antara
Cisco Systems, Microsoft, dan RSA Security.
Dukungan yang disediakan oleh berbagai
platform sistem operasi, termasuk Microsoft
Windows. Dikatakan Sankar et al (2004), sama
seperti EAP-TTLS, PEAP membentuk secure
tunnel terlebih dahulu, lalu proses inner
authentication umumnya menggunakan EAPMSCHAPv2 (PEAPv0) dan EAP-GTC (EAPGeneric Token Card) (PEAPv1). Sertifikat
digital di sisi klien juga bersifat optional dan
juga mendukung penyembunyian identitas
seperti halnya EAP-TTLS.
METODE PENELITIAN
Analisis
Pada tahap analisis akan dilakukan
pencarian sumber literatur yang akan
mendukung penelitian, pada tahap ini juga
dilakukan analisis kebutuhan jaringan yang
akan digunakan. Dari hasil analisis diketahui
bahwa selain keamanan, proses autentikasi juga
merupakan hal yang krusial dan harus bisa
dilakukan secara cepat. Selain itu, juga
diketahui bahwa perbedaan utama EAP-TLS,
EAP-TTLS, dan EAP-PEAP adalah pada ada
atau tidaknya sertifikat digital di sisi klien.
5
Average Time
374
452
Throughput
(MB/s)
4.174
3.45
Tabel 3 Perbandingan kecepatan (millisecond)
AES dan 3DES pada proses dekripsi
(Elminaam et al 2009)
operasi seperti Linux dan Mac OS, namun
Microsoft Windows tidak memiliki dukungan
secara default, dibutuhkan aplikasi third party
agar EAP-TTLS bisa dijalankan. Pada EAPTTLS, sertifikat digital di sisi klien bersifat
optional, artinya tidak harus ada. Proses
autentikasi dalam EAP-TTLS terbagi dalam dua
langkah utama (Sankar et al, 2004) :
Input size
(KBytes)
AES
3DES
49
63
53
59
58
51
100
60
57
247
76
77
321
149
87
694
142
147
899
171
171
963
164
177
1 Pembentukan secure tunnel, melalui
sertifikat digital dari server, proses ini mirip
dengan EAP-TLS.
2 Proses autentikasi, yang sering disebut juga
inner
authentication.
Autentikasi
menggunakan metode autentikasi lain seperti
PAP (Password Authentication Protocol),
CHAP
(Challenge-Handshake
Authentication
Protocol),
MS-CHAP
(Microsoft-CHAP), atau bahkan EAP
method lain. Data yang dikirim akan di
enkripsi oleh secure tunnel yang dibentuk di
langkah
1.
EAP-TTLS
mendukung
penyembunyian identitas karena data
dilewatkan melalui secure tunnel.
5345.28
655
835
EAP-PEAP
7310.336
882
1101
Average Time
242
275.6
Throughput
(MB/s)
6.452
5.665
EAP-TLS
EAP-TLS merupakan standar EAP method
pertama yang digunakan dalam jaringan
nirkabel serta menyediakan banyak dukungan
dari vendor. Menurut Sankar et al (2004), pada
implementasinya EAP-TLS membutuhkan
sertifikat digital dari sisi klien dan juga server.
Perlunya sertifikat digital di sisi klien
merupakan kelebihan sekaligus kekurangan dari
EAP-TLS, karena setiap klien membutuhkan
sertifikat digital sehingga manajamen dan
distribusi dari sertifikat digital ke semua klien
membutuhkan sumber daya adaministrasi
tambahan. Di lain pihak, kelebihannya adalah
pada sisi keamanan dimana pihak ketiga tidak
akan bisa melakukan penyerangan tanpa adanya
sertifikat digital.
EAP-TTLS
Sama seperti EAP-TLS, EAP-TTLS (EAPTunneled TLS) juga menggunakan protokol
TLS. EAP-TTLS dikembangkan oleh Funk
Software dan Certicom. Walaupun memiliki
banyak dukungan di berbagai platform sistem
EAP-PEAP (Protected EAP) adalah EAP
method hasil pengembangan kolaborasi antara
Cisco Systems, Microsoft, dan RSA Security.
Dukungan yang disediakan oleh berbagai
platform sistem operasi, termasuk Microsoft
Windows. Dikatakan Sankar et al (2004), sama
seperti EAP-TTLS, PEAP membentuk secure
tunnel terlebih dahulu, lalu proses inner
authentication umumnya menggunakan EAPMSCHAPv2 (PEAPv0) dan EAP-GTC (EAPGeneric Token Card) (PEAPv1). Sertifikat
digital di sisi klien juga bersifat optional dan
juga mendukung penyembunyian identitas
seperti halnya EAP-TTLS.
METODE PENELITIAN
Analisis
Pada tahap analisis akan dilakukan
pencarian sumber literatur yang akan
mendukung penelitian, pada tahap ini juga
dilakukan analisis kebutuhan jaringan yang
akan digunakan. Dari hasil analisis diketahui
bahwa selain keamanan, proses autentikasi juga
merupakan hal yang krusial dan harus bisa
dilakukan secara cepat. Selain itu, juga
diketahui bahwa perbedaan utama EAP-TLS,
EAP-TTLS, dan EAP-PEAP adalah pada ada
atau tidaknya sertifikat digital di sisi klien.
5
Kriteria Perbandingan
Kriteria perbandingan yang digunakan untuk
membandingkan protokol autentikasi dalam
penelitian ini terbagi atas tiga, yaitu:
1 Kecepatan/ waktu autentikasi, adalah lama
waktu yang dibutuhkan oleh suatu protokol
autentikasi untuk menyelesaikan satu proses
autentikasi. Semakin cepat suatu protokol
autentikasi untuk menyelesaikan proses
autentikasi maka akan semakin baik.
2 Ukuran paket, adalah besar ukuran paket
yang dikirimkan dan diterima melalui
jaringan oleh suatu protokol autentikasi
selama proses autentikasi berlangsung.
Semakin kecil ukuran paket yang dihasilkan
oleh suatu protokol autentikasi maka akan
semakin baik.
3 Jumlah langkah yang dibutuhkan oleh
protokol autentikasi mulai awal proses
autentikasi sampai selesai dimana semakin
sedikit jumlah langkah yang dibutuhkan
maka akan semakin baik.
Gambar 3 Skema Topologi-1.
Rancang Bangun Topologi-2
Topologi-2 dibangun dengan tiga komponen
sesuai dengan skema 802.1x yang ditunjukkan
oleh Gambar 1, yaitu Supplicant, Authenticator,
dan Authentication Server, seperti yang
ditunjukkan pada Gambar 4. Topologi ini
dibangun berdasarkan kondisi sebenarnya yang
ada di lapangan, dengan tujuan mendapatkan
hasil perhitungan yang mendekati kondisi
sebenarnya yang ada di lapangan. Supplicant
memiliki alamat IP 192.168.1.26, Authenticator
192.168.1.2, dan
Authentication Server
192.168.1.106.
Perancangan
Pada tahap perancangan akan ditentukan dua
tipe topologi jaringan yang akan digunakan.
Masing-masing topologi mempunyai fungsi dan
tujuan yang berbeda untuk mendukung hasil
penelitian. Alamat jaringan (Network Address)
yang digunakan adalah alamat lokal kelas C
192.168.1.0/24.
Rancang Bangun Topologi-1
Topologi-1 dibangun dengan dua komponen,
yaitu Authenticator dan Authentication Server,
seperti yang ditunjukkan pada Gambar 3.
Topologi ini dibangun dengan tujuan agar fokus
pada proses autentikasi saja, karena proses
autentikasi pada dasarnya hanya dilakukan pada
dua komponen ini saja, tanpa melibatkan
komponen Supplicant, dimana Supplicant dan
Authentication Server tidak bisa berkomunikasi
secara langsung, kedua komponen ini
berkomunikasi melalui Authenticator, dimana
Supplicant mengirimkan data autentikasi yang
nantinya akan diteruskan oleh Authenticator ke
Authentication Server, begitu juga sebaliknya.
Authenticator memiliki alamat IP (Internet
Protocol) 192.168.1.26 dan Authentication
Server diberi alamat IP 192.168.1.106.
Gambar 4 Skema Topologi-2.
Implementasi
Pada tahap implementasi akan dilakukan
pembangunan lingkungan simulasi atau testbed
yang telah dirancang pada proses sebelumnya.
Lingkungan simulasi adalah lingkungan yang
berdiri sendiri dan dipisahkan dari lingkungan
external, dengan tujuan agar tidak adanya
interfensi yang akan mempengaruhi proses
pengujian nantinya. Pada proses ini juga akan
dilakukan proses instalasi dan konfigurasi dari
semua peralatan yang dibutuhkan.
Lingkungan Pengembangan
Lingkungan
pengembangan
dalam
penelitian ini terbagi atas dua bagian, yaitu
perangkat keras dan perangkat lunak.
Spesifikasi perangkat keras yang digunakan
adalah spefikasi yang hampir sama atau
mendekati satu sama lain untuk menghindari
penurunan
kinerja
akibat
kemampuan
komputasi yang tidak seimbang. Sementara
untuk perangkat lunak yang digunakan
kebanyakan adalah perangkat lunak yang free
and open source untuk alasan kemudahan,
legalitas dan dukungan yang lebih luas.
6
Perangkat Keras
1 MacBook 2.1 GHz Intel Core 2 Duo, 1 GB
667 Mhz DDR2 SDRAM digunakan sebagai
Authenticator pada Topologi-1 dan sebagai
Supplicant pada Topologi-2.
2 Acer Aspire 4520 AMD Turion 1.9 GHz, 1
GB RAM digunakan sebagai Authentication
Server pada Topologi-1 dan Topologi-2.
3 Access Point Linksys WRT-54GL yang
digunakan sebagai Authenticator pada
Topologi-2. Access Point beroperasi pada
mode G dengan data rate 54Mbit/s dan
channel yang digunakan adalah channel 6
(2.437 GHz).
4 Kabel UTP (Unshielded Twisted Pair)
Category
5
digunakan
untuk
menghubungkan
Authenticator
dan
Authentication server. Data rate yang
digunakan adalah 100Mbit/s (Fast Ethernet).
Perangkat Lunak
1 Mac OS X 10.5.8 akan digunakan sebagai
Authenticator
pada
Topologi-1
dan
Supplicant pada Topologi-2, wpa_supplicant
0.7.3 akan digunakan ketika difungsikan
sebagai Authenticator, sedangkan driver
default dari Mac OS akan digunakan ketika
difungsikan sebagai Supplicant. OpenSSL
1.0.0d dan Wireshark 1.2.7 digunakan pada
kedua topologi.
2 Ubuntu Linux 10.10 Desktop, FreeRADIUS
2.1.8, OpenSSL 0.9.8 akan digunakan
sebagai Authentication Server pada kedua
topologi.
3 Firmware DD-WRT v23 SP1 Final
(05/16/06)
std
digunakan
sebagai
Authenticator pada Topologi-2.
Pengujian
Proses pengujian dilakukan sebanyak lima
kali perulangan untuk masing-masing EAP
method dan pasangan ciphersuite yang akan
digunakan adalah RSA-AES-SHA, RSA-3DESSHA, DSA-AES-SHA, dan DSA-3DES-SHA
yang diatur dalam protokol TLS versi 1.0.
Panjang kunci yang digunakan untuk sertifikat
digital (RSA dan DSA) adalah sama yaitu 1024
bit, sedangkan pada AES adalah 128 bit dan
3DES adalah 112 bit.
Teknik Pengambilan Data
Proses pengumpulan data dilakukan dengan
cara menangkap paket-paket autentikasi yang
melewati jaringan menggunakan aplikasi
Wireshark yang akan dijalankan di sisi klien.
Wireshark akan dijalankan untuk menangkap
paket-paket dengan jenis tertentu (RADIUS dan
EAPOL) yang sudah didefinisikan sebelumnya,
bukan semua jenis paket yang melewati
jaringan. Setelah proses penangkapan paket
selesai, maka akan dilakukan proses
penghitungan secara offline, seperti terlihat pada
Gambar 5, dari hasil penangkapan paket akan
didapatkan waktu autentikasi, ukuran paket, dan
jumlah langkah sesuai kriteria perbandingan
yang digunakan.
HASIL DAN PEMBAHASAN
Penelitian ini akan menggunakan dua tipe
topologi yaitu Topologi-1 dengan dua
komponen (Authenticator dan Authentication
Server) dan Topologi-2 dengan tiga komponen
(Supplicant, Authenticator dan Authentication
Server). Dalam masing-masing topologi
terdapat tiga EAP method yang digunakan yaitu
EAP-TLS, EAP-TTLS, dan EAP-PEAP, dimana
dalam masing-masing EAP method terdapat
empat tipe ciphersuite yang digunakan yaitu
RSA-AES-SHA, RSA-3DES-SHA, DSA-AESSHA, dan DSA-3DES-SHA. Dengan demikian,
diperoleh total percobaan yang akan dilakukan
Gambar 5 Contoh hasil penangkapan paket autentikasi menggunakan Wireshark
7
Perangkat Keras
1 MacBook 2.1 GHz Intel Core 2 Duo, 1 GB
667 Mhz DDR2 SDRAM digunakan sebagai
Authenticator pada Topologi-1 dan sebagai
Supplicant pada Topologi-2.
2 Acer Aspire 4520 AMD Turion 1.9 GHz, 1
GB RAM digunakan sebagai Authentication
Server pada Topologi-1 dan Topologi-2.
3 Access Point Linksys WRT-54GL yang
digunakan sebagai Authenticator pada
Topologi-2. Access Point beroperasi pada
mode G dengan data rate 54Mbit/s dan
channel yang digunakan adalah channel 6
(2.437 GHz).
4 Kabel UTP (Unshielded Twisted Pair)
Category
5
digunakan
untuk
menghubungkan
Authenticator
dan
Authentication server. Data rate yang
digunakan adalah 100Mbit/s (Fast Ethernet).
Perangkat Lunak
1 Mac OS X 10.5.8 akan digunakan sebagai
Authenticator
pada
Topologi-1
dan
Supplicant pada Topologi-2, wpa_supplicant
0.7.3 akan digunakan ketika difungsikan
sebagai Authenticator, sedangkan driver
default dari Mac OS akan digunakan ketika
difungsikan sebagai Supplicant. OpenSSL
1.0.0d dan Wireshark 1.2.7 digunakan pada
kedua topologi.
2 Ubuntu Linux 10.10 Desktop, FreeRADIUS
2.1.8, OpenSSL 0.9.8 akan digunakan
sebagai Authentication Server pada kedua
topologi.
3 Firmware DD-WRT v23 SP1 Final
(05/16/06)
std
digunakan
sebagai
Authenticator pada Topologi-2.
Pengujian
Proses pengujian dilakukan sebanyak lima
kali perulangan untuk masing-masing EAP
method dan pasangan ciphersuite yang akan
digunakan adalah RSA-AES-SHA, RSA-3DESSHA, DSA-AES-SHA, dan DSA-3DES-SHA
yang diatur dalam protokol TLS versi 1.0.
Panjang kunci yang digunakan untuk sertifikat
digital (RSA dan DSA) adalah sama yaitu 1024
bit, sedangkan pada AES adalah 128 bit dan
3DES adalah 112 bit.
Teknik Pengambilan Data
Proses pengumpulan data dilakukan dengan
cara menangkap paket-paket autentikasi yang
melewati jaringan menggunakan aplikasi
Wireshark yang akan dijalankan di sisi klien.
Wireshark akan dijalankan untuk menangkap
paket-paket dengan jenis tertentu (RADIUS dan
EAPOL) yang sudah didefinisikan sebelumnya,
bukan semua jenis paket yang melewati
jaringan. Setelah proses penangkapan paket
selesai, maka akan dilakukan proses
penghitungan secara offline, seperti terlihat pada
Gambar 5, dari hasil penangkapan paket akan
didapatkan waktu autentikasi, ukuran paket, dan
jumlah langkah sesuai kriteria perbandingan
yang digunakan.
HASIL DAN PEMBAHASAN
Penelitian ini akan menggunakan dua tipe
topologi yaitu Topologi-1 dengan dua
komponen (Authenticator dan Authentication
Server) dan Topologi-2 dengan tiga komponen
(Supplicant, Authenticator dan Authentication
Server). Dalam masing-masing topologi
terdapat tiga EAP method yang digunakan yaitu
EAP-TLS, EAP-TTLS, dan EAP-PEAP, dimana
dalam masing-masing EAP method terdapat
empat tipe ciphersuite yang digunakan yaitu
RSA-AES-SHA, RSA-3DES-SHA, DSA-AESSHA, dan DSA-3DES-SHA. Dengan demikian,
diperoleh total percobaan yang akan dilakukan
Gambar 5 Contoh hasil penangkapan paket autentikasi menggunakan Wireshark
7
adalah sebanyak 2 x 3 x 4 = 24 percobaan,
dimana masing-masing percobaan akan
dilakukan perulangan sebanyak lima kali dan
diambil rata-ratanya.
ciphersuite RSA-AES-SHA, 13.425 ms pada
RSA-3DES-SHA, 10.391 ms pada DSA-AESSHA, dan 5.262 ms pada DSA-3DES-SHA.
EAP-TLS
EAP-TTLS
EAP-PEAP
Hasil pengujian menggunakan Topologi-1
Hasil perbandingan berdasarkan waktu yang
dibutuhkan dari awal sampai proses autentikasi
selesai untuk masing-masing EAP method dapat
dilihat pada Tabel 4 dan ditampilkan dalam
bentuk grafik batang pada Gambar 6. Hasil
lengkap untuk semua perulangan dapat dilihat
pada Lampiran 1.
Tabel 4 Rata-rata waktu (millisecond) pada
Topologi-1
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AESSHA
62.642
48.609
74.601
RSA–3DESSHA
63.425
44.616
76.850
DSA-AESSHA
157.287 134.545
167.678
DSA-3DESSHA
157.625 135.277
162.887
Tabel 4 dan Gambar 6 menunjukkan bahwa
EAP-TTLS memerlukan waktu yang paling
sedikit di antara ketiga EAP method dalam
menyelesaikan proses autentikasi untuk semua
ciphersuite yang digunakan. EAP-TLS berada
di urutan kedua dengan selisih yang cukup
signifikan dari EAP-TTLS, yaitu 14.032 ms
pada ciphersuite RSA-AES-SHA, 18.809 ms
pada RSA-3DES-SHA, 22.743 ms pada DSAAES-SHA, dan 22.348 ms pada DSA-3DESSHA. Di lain pihak, EAP-PEAP berada di posisi
terakhir dengan selisih yang cukup dekat
dengan EAP-TLS, yaitu 11.959 ms pada
A
-S
H
ES
-3
D
DS
A
ES
-S
H
A
ES
-3
D
RS
A
D
SA
-A
-S
H
-S
H
ES
waktu
-A
berdasarkan
RS
A
Hasil perbandingan
(millisecond)
A
180
160
140
120
100
80
60
40
20
0
A
Perbandingan dilakukan menggunakan
Topologi-1 dengan dua komponen yaitu
authenticator dan authentication server. Dalam
topologi ini hanya fokus kepada proses
autentikasi saja, tanpa melibatkan komponen
supplicant, gunanya adalah untuk mengetahui
perbandingan secara murni, tanpa melibatkan
proses lain seperti pembentukan dan pertukaran
kunci enkripsi dari authenticator ke supplicant
dalam protokol WPA Enterprise.
Gambar 6 Grafik perbandingan berdasarkan
waktu pada Topologi-1.
Tabel 4 juga menunjukkan bahwa untuk
ketiga EAP method dengan kunci simetrik yang
sama pada ciphersuite, namun dengan sertifikat
digital yang berbeda akan menghasilkan selisih
waktu yang cukup tinggi, baik untuk RSA
(RSA-AES-SHA
dan
RSA-3DES-SHA)
maupun untuk DSA (DSA-AES-SHA dan DSA3DES-SHA). Di lain pihak, untuk penggunaan
kunci simetrik yang berbeda dengan sertifikat
digital yang sama, selisih waktu yang dihasilkan
hampir tidak ada (tidak signifikan), baik untuk
AES (RSA-AES-SHA dan DSA-AES-SHA)
maupun 3DES (RSA-3DES-SHA dan DSA3DES-SHA). Dari hasil percobaan ini dapat
diketahui bahwa pemilihan sertifikat digital
(RSA atau DSA) akan sangat berpengaruh
terhadap waktu, sedangkan pemilihan kunci
simetrik (AES atau 3DES) tidak berpengaruh
banyak.
Hasil perbandingan berdasarkan besar paket
(bytes)
Hasil perbandingan berdasarkan besar paket
(bytes) yang dikirimkan melalui jaringan selama
proses autentikasi berlangsung untuk masingmasing EAP method dapat dilihat pada Tabel 5
dan ditampilkan dalam bentuk grafik batang
pada Gambar 7. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 2.
8
Tabel 5 Rata-rata besar paket (bytes) pada
Topologi-1
Gambar 8. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 3.
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
Tabel 6 Rata-rata jumlah langkah pada
Topologi-1
RSA–AES-SHA
6742
4567
5698
Ciphersuite
RSA–3DES-SHA
6726
4543
5634
EAPTLS
EAPTTLS
EAPPEAP
DSA-AES-SHA
8520
5553
6682
RSA–AES-SHA
14
14
20
DSA-3DES-SHA
8504
5530
6616
RSA–3DES-SHA
14
14
20
DSA-AES-SHA
18
16
22
DSA-3DES-SHA
18
16
22
Tabel 5 dan Gambar 7 menunjukkan bahwa
EAP-TTLS memiliki ukuran paket yang paling
kecil di antara ketiga EAP method untuk semua
ciphersuite yang digunakan. Di lain pihak,
EAP-PEAP berada di urutan kedua dan EAPTLS memiliki ukuran paket yang paling besar.
Hal ini dikarenakan pada EAP-TLS, selain di
sisi server, sertifikat digital di sisi klien juga
dikirimkan melalui jaringan.
Pemilihan algoritme sertifikat digital (RSA
atau DSA) juga mempengaruhi besar ukuran
paket dimana jika menggunakan DSA maka
ukuran paket yang dihasilkan akan lebih besar
daripada RSA. Sementara pemilihan algoritme
kunci simetrik (AES atau 3DES) tidak memiliki
pengaruh signifikan.
Tabel 6 dan Gambar 8 menunjukkan bahwa
EAP-TLS dan EAP-TTLS sama-sama memiliki
jumlah langkah paling sedikit pada ciphersuite
RSA-AES-SHA dan RSA-3DES-SHA yaitu
dengan 14 langkah, sementara EAP-PEAP
membutuhkan 20 langkah. Pada ciphersuite
DSA-AES-SHA dan DSA-3DES-SHA, EAPTLS dan EAP-TTLS memiliki selisih 2 langkah
dimana EAP-TTLS merupakan yang terbaik
dengan 16 langkah, EAP-TLS dengan 18
langkah sementara EAP-PEAP dengan 22
langkah.
EAP-TLS
EAP-TTLS
EAP-PEAP
25
EAP-TLS
EAP-TTLS
EAP-PEAP
20
9000
8000
15
7000
6000
10
5000
4000
5
3000
2000
Hasil pengujian berdasarkan
langkah yang dibutuhkan
jumlah
Hasil perbandingan berdasarkan jumlah
langkah yang dibutuhkan selama proses
autentikasi berlangsung untuk masing-masing
EAP method dapat dilihat pada Tabel 6 dan
ditampilkan dalam bentuk grafik batang pada
A
ES
-S
H
D
SA
-3
D
ES
-S
H
A
SA
-A
SA
-A
D
A
ES
-S
H
Gambar 7 Grafik perbandingan berdasarkan
besar paket pada Topologi-1.
R
A
D
SA
-3
D
ES
-S
H
A
ES
-S
H
SA
-A
D
A
ES
-S
H
SA
-A
R
R
SA
-3
D
ES
-S
H
A
0
R
SA
-3
D
ES
-S
H
A
0
1000
Gambar 8 Grafik perbandingan berdasarkan
jumlah langkah pada Topologi-1.
Pemilihan algoritme sertifikat digital (RSA
atau DSA) juga mempengaruhi jumlah langkah
dimana jika menggunakan DSA maka jumlah
langkah yang dihasilkan akan sedikit lebih
banyak daripada RSA. Sementara pemilihan
algoritme kunci simetrik (AES atau 3DES)
tidak memiliki pengaruh signifikan.
Detail urutan paket untuk EAP-TLS
menggunakan RSA dapat dilihat pada Lampiran
4, sedangkan jika menggunakan DSA dapat
9
dilihat pada Lampiran 5. Terlihat bahwa jika
menggunakan RSA dibutuhkan dua kali
pengiriman sertifikat digital (server dan klien)
dimana pengiriman untuk masing-masing
sertifikat membutuhkan dua kali fragmentasi
(pemecahan) karena satu sertifikat tidak bisa
dikirimkan sekaligus karena ukuran yang lebih
besar
dari
ukuran
MTU
(Maximum
Transmission Unit). Sementara untuk DSA
dibutuhkan tiga kali pemecahan karena
memiliki ukuran yang lebih besar daripada RSA
dan MTU.
Tabel 7 Rata-rata waktu (millisecond) pada
Topologi-2
Untuk EAP-TTLS, detail urutan paket jika
menggunakan RSA dapat dilihat pada Lampiran
6, sementara untuk DSA dapat dilihat pada
Lampiran 7. Sementara detail urutan paket
EAP-PEAP dapat dilihat pada Lampiran 8 untuk
RSA dan Lampiran 9 untuk DSA. Pada EAPTTLS dan EAP-PEAP pengiriman sertifikat
hanya dilakukan oleh server, dimana jika
menggunakan RSA dibutuhkan dua kali
pemecahan, sementara DSA butuh tiga kali
pemecahan. EAP-TTLS dan EAP-PEAP
memiliki langkah yang identik sampai pada
fase-1,
namun
di
fase-2
EAP-PEAP
membutuhkan langkah yang lebih banyak
daripada EAP-TTLS. Hal ini dikarenakan pada
EAP-PEAP fase-2 yang menggunakan EAPMSCHAPv2 kembali dilakukan proses mutual
authentication yang meliputi proses challengeresponse sehingga membutuhkan langkah
tambahan, sementara pada EAP-TTLS proses
mutual authentication tidak dilakukan kembali
karena
sudah
dilakukan
pada
fase-1
menggunakan sertifikat digital.
135.224
159.704
RSA–3DES- 181.808
SHA
132.537
166.988
DSA-AESSHA
366.959
329.809
353.222
DSA-3DES- 375.730
SHA
313.682
360.241
Tabel 7 dan Gambar 9 menunjukkan bahwa
EAP-TTLS memerlukan waktu yang paling
sedikit untuk semua ciphersuite yang
digunakan. EAP-PEAP berada di urutan kedua
dengan selisih yang cukup signifikan dari EAPTTLS, yaitu 24.480 ms pada ciphersuite RSAAES-SHA, 34.451 ms pada RSA-3DES-SHA,
0.023413 ms pada DSA-AES-SHA, 46.559 ms
pada DSA-3DES-SHA. Di lain pihak, EAP-TLS
berada di posisi terakhir dengan selisih yang
cukup dekat dengan EAP-PEAP, yaitu 19.986
ms pada ciphersuite RSA-AES-SHA, 14.820 ms
pada RSA-3DES-SHA. Hasil perbandingan
berdasarkan waktu pada Topologi-1 dan
Topologi-2 memiliki perubahan urutan pada
EAP-TLS dan EAP-PEAP, namun dengan
selisih yang cukup dekat. Hal ini disebabkan
adanya tambahan perangkat (Access Point)
menambah delay tambahan dimana paket yang
dihasilkan EAP-TLS lebih besar daripada EAPPEAP.
EAP-TLS
EAP-TTLS
EAP-PEAP
400
350
300
250
200
150
100
50
DS
A
-S
HA
-A
ES
DS
A
-3
D
ES
-S
H
A
0
-S
H
A
Hasil perbandingan berdasarkan waktu yang
dibutuhkan dari awal sampai proses autentikasi
selesai untuk masing-masing EAP method dapat
dilihat pada Tabel 7 dan ditampilkan dalam
bentuk grafik batang pada Gambar 9. Hasil
lengkap untuk semua perulangan dapat dilihat
pada Lampiran 10.
179.690
-3
D
ES
waktu
RSA–AESSHA
RS
A
berdasarkan
EAPPEAP
ES
-S
H
A
Hasil perbandingan
(millisecond)
EAPTTLS
-A
Perbandingan dilakukan menggunakan tiga
komponen sesuai skema WPA Enterprise
dengan protokol 802.1x. Proses penghitungan
meliputi semua proses dari supplicant ke
authenticator dan dari authenticator ke
authentication server namun tidak termasuk
proses pembangkitan dan pertukaran kunci
untuk enkripsi pada WPA Enterprise.
EAPTLS
RS
A
Hasil pengujian menggunakan Topologi-2
Ciphersuite
Gambar 9 Grafik perbandingan berdasarkan
waktu pada Topologi-2.
10
Tabel 8 Rata-rata besar paket (bytes) pada
Topologi-2
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AES-SHA
9990
6917
8198
RSA–3DES-SHA
9958
6825
8134
DSA-AES-SHA
14715
8538
9933
DSA-3DES-SHA
14721
8566
9867
Tabel 8 dan Gambar 10 menunjukkan bahwa
EAP-TTLS memiliki ukuran paket yang paling
kecil di antara ketiga EAP method untuk semua
ciphersuite yang digunakan. Di lain pihak,
EAP-PEAP berada di urutan kedua dan EAPTLS memiliki ukuran paket yang paling besar.
Hal ini dikarenakan pada EAP-TLS, selain di
sisi server, sertifikat digital di sisi klien juga
dikirimkan
melalui
jaringan.
Hasil
perbandingan berdasarkan besar paket pada
Topologi-2 memiliki urutan yang sama seperti
pada Topologi-1.
Sama seperti Topologi-1, pemilihan
algoritme sertifikat digital (RSA atau DSA) juga
mempengaruhi besar ukuran paket dimana jika
menggunakan DSA maka ukuran paket yang
dihasilkan akan lebih besar daripada RSA.
Sementara pemilihan algoritme kunci simetrik
(AES atau 3DES) tidak memiliki pengaruh
signifikan.
EAP-PEAP
14000
12000
10000
8000
6000
4000
2000
A
D
SA
-3
D
ES
-S
H
A
ES
-S
H
SA
-A
D
A
R
SA
-3
D
ES
-S
H
A
0
ES
-S
H
Hasil perbandingan berdasarkan besar paket
(bytes) yang dikirimkan melalui jaringan selama
proses autentikasi berlangsung untuk masingmasing EAP method dapat dilihat pada Tabel 8
dan ditampilan dalam bentuk grafik batang pada
Gambar 10. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 11.
EAP-TTLS
16000
SA
-A
Hasil perbandingan berdasarkan besar paket
(bytes)
EAP-TLS
R
Sama seperti Topologi-1, hasil perbandingan
pada Topologi-2 juga menunjukkan bahwa
pemilihan algoritme sertifikat digital (RSA atau
DSA) mempengaruhi kecepatan/ waktu
autentikasi dimana jika menggunakan RSA
maka waktu autentikasi yang dibutuhkan lebih
cepat daripada DSA. Sementara pemilihan
algoritme kunci simetrik (AES atau 3DES)
tidak memiliki pengaruh signifikan.
Gambar 10 Grafik perbandingan berdasarkan
besar paket pada Topologi-2.
Hasil pengujian berdasarkan
langkah yang dibutuhkan
jumlah
Hasil perbandingan berdasarkan jumlah
langkah yang dibutuhkan selama proses
autentikasi berlangsung untuk masing-masing
EAP method dapat dilihat pada Tabel 9 dan
ditampilkan dalam bentuk grafik batang pada
Gambat 11. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 12.
Tabel 9 Rata-rata jumlah langkah pada
Topologi-2
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AES-SHA
29
29
41
RSA–3DES-SHA
29
29
41
DSA-AES-SHA
37
33
45
DSA-3DES-SHA
37
33
45
Tabel 9 dan Gambar 11 menunjukkan bahwa
EAP-TLS dan EAP-TTLS memiliki jumlah
langkah paling sedikit pada ciphersuite RSAAES-SHA dan RSA-3DES-SHA yaitu dengan
29
langkah,
sementara
EAP-PEAP
membutuhkan 41 langkah. Pada ciphersuite
DSA-AES-SHA dan DSA-3DES-SHA, EAPTLS dan EAP-TTLS memiliki selisih 4 langkah
dimana EAP-TTLS merupakan yang terbaik
dengan 33 langkah, EAP-TLS dengan 37
langkah sementara EAP-PEAP berada di urutan
terakhir dengan 45 langkah. Hasil perbandingan
berdasarkan jumlah langkah pada Topologi-1
dan Topologi-2 memiliki urutan yang sama.
11
Sama seperti Topologi-1, pemilihan
algoritme sertifikat digital (RSA atau DSA) juga
mempengaruhi jumlah langkah dimana jika
menggunakan DSA maka jumlah langkah yang
dihasilkan akan sedikit lebih banyak daripada
RSA. Sementara pemilihan algoritme kunci
simetrik (AES atau 3DES) tidak memiliki
pengaruh signifikan.
Detail urutan paket untuk EAP-TLS
menggunakan RSA dapat dilihat pada Lampiran
13, sedangkan jika menggunakan DSA dapat
dilihat pada Lampiran 14. Untuk EAP-TTLS,
detail urutan paket jika menggunakan RSA
dapat dilihat pada Lampiran 15, sementara
untuk DSA dapat dilihat pada Lampiran 16.
Lampiran 17 menunjukkan detail urutan paket
EAP-PEAP jika menggunakan RSA dan
Lampiran 18 untuk DSA. Terlihat bahwa jumlah
langkah pada Topologi-2 adalah dua kali lipat
jumlah langkah pada Topologi-1 ditambah satu
langkah awal yaitu EAP-Request/Identity.
EAP-TLS
EAP-TTLS
EAP-PEAP
A
D
SA
-3
D
ES
-S
H
A
ES
-S
H
SA
-A
D
A
ES
-S
H
SA
-A
R
R
SA
-3
D
ES
-S
H
A
50
45
40
35
30
25
20
15
10
5
0
Gambar 11 Grafik perbandingan berdasarkan
jumlah langkah pada Topologi-2.
KESIMPULAN DAN SARAN
setelah EAP-TTLS, walaupun EAP-PEAP
merupakan yang terburuk pada kriteria jumlah
langkah yang harus diselesaikan dalam proses
autentikasi, namun sama seperti EAP-TTLS,
penggunaannya yang sederhana menjadi nilai
lebih dari EAP-PEAP. Selain itu, adanya
dukungan default di hampir semua sistem
operasi termasuk Microsoft Windows yang
masih memiliki pengguna terbanyak di dunia
menjadi faktor penentu penggunaan EAP
method ini.
EAP-TLS merupakan EAP method yang
terburuk di antara ketiganya, selain terburuk
pada kriteria ukuran paket (untuk kedua
topologi) karena adanya kebutuhan sertifikat
digital di sisi klien menambah besar ukuran
paket yang akan dikirimkan selama proses
autentikasi. Walaupun memiliki selisih waktu
yang cukup dekat dengan EAP-PEAP, namun
kebutuhan akan PKI (Public Key Infrastructure)
menjadi
pertimbangan
tersendiri
untuk
penggunaan EAP method ini, selain manajemen
dan distribusi yang lebih rumit, juga karena
pengguna awam lebih terbiasa untuk
menggunakan username dan password daripada
harus menggunakan sertifikat digital. Walaupun
begitu, EAP-TLS sangat cocok diterapkan pada
jaringan existing yang sudah memiliki
infrastruktur PKI dimana faktor keamanan yang
tinggi menjadi nilai plus pada EAP-TLS.
Hasil penelitian ini juga menunjukkan
bahwa pemilihan algoritme sertifikat digital
(RSA atau DSA) akan sangat berpengaruh
terhadap semua kriteria perbandingan, dari hasil
perbandingan dalam penelitian ini dapat
disimpulkan bahwa RSA lebih cepat daripada
DSA dalam proses autentikasi untuk ketiga EAP
method pada jaringan nirkabel. Selain itu, dapat
juga diketahui bahwa pemilihan algoritme kunci
simetrik (AES atau 3DES) tidak memiliki
pengaruh yang signifikan terhadap proses
autentikasi.
Kesimpulan
Saran
EAP-TTLS merupakan EAP method yang
terbaik di semua kriteria perbandingan, baik di
Topologi-1 maupun Topologi-2, namun tidak
adanya dukungan default di Windows menjadi
salah satu kekurangan tidak langsung dari EAP
method ini. Selain itu, penggunaannya yang
sederhana tanpa harus menggunakan sertifikat
digital di sisi klien juga menjadi nilai lebih dari
EAP-TTLS.
Penelitian ini dapat dikembangkan lebih
lanjut ke perbandingan :
1 Benchmarking seperti penggunaan CPU dan
RAM.
2 Concurrent/ simultaneous authentication,
yaitu perbandingan masing-masing EAP
method dalam menangani autentikasi secara
bersamaan/ serentak.
3 Penggunaan session resumption untuk
mengurangi waktu pada proses TLS.
EAP-PEAP merupakan yang kedua terbaik
12
Sama seperti Topologi-1, pemilihan
algoritme sertifikat digital (RSA atau DSA) juga
mempengaruhi jumlah langkah dimana jika
menggunakan DSA maka jumlah langkah yang
dihasilkan akan sedikit lebih banyak daripada
RSA. Sementara pemilihan algoritme kunci
simetrik (AES atau 3DES) tidak memiliki
pengaruh signifikan.
D
AZHARI HARAHAP. Performance Comparison of EAP-TLS, EAP-TTLS, and EAP-PEAP as
Authentication Protocol in Wireless Networks. Supervised by SRI WAHJUNI.
Security is one of the most important issue in wireless networks (IEEE 802.11) and WPA (Wi-Fi)
Protected Access) is the current standard security protocol. WPA security process is divided into two
sections, authentication and encryption. The authentication process is crucial because it is the first
process executed before user can access the networks. Therefore, it must not only safe, the
authentication process must also be done quickly. WPA has two modes of authentication namely
Personal (Pre-Shared Key) and Enterprise (802.1x). EAP (Extensible Authentication Protocol) is a
standard authentication protocol that is used in WPA Enterprise. EAP-TLS (EAP-Transport Layer
Security), EAP-TTLS (EAP-Tunneled TLS) and EAP-PEAP (Protected EAP) are the three most
widely used EAP methods today and has been certified by the Wi-Fi Alliance. All three EAP methods
are equally implement TLS protocol for securing data during the authentication process. This study
will compare the performance of the three EAP methods with the three criteria for comparison of
speed/ time, the amount of packet size, and number of steps required during the authentication
process. The results show that EAP-TTLS has better performance than those of EAP-PEAP and EAPTLS.
Keywords : authentication, EAP, WPA enterprise, IEEE 802.1x, wireless networks.
PENDAHULUAN
EAP-TLS, EAP-TTLS, dan EAP-PEAP, pada
jaringan nirkabel.
Latar Belakang
Ruang Lingkup
Di era komunikasi, informasi dan mobilisasi
seperti sekarang ini, penggunaan perangkat
portable/ mobile telah menjadi sarana yang
banyak diterapkan dan digunakan. Perilaku
pengguna yang sering berpindah-pindah dari
satu tempat ke tempat lain dapat ditangani oleh
perangkat seperti notebook, netbook, dan
smartphone yang menggunakan media nirkabel.
Namun dengan segala kemudahan tersebut,
salah satu isu utama yang muncul adalah
masalah keamanan, karena data yang melewati
jaringan nirkabel dapat dengan mudah dicuri
dan dibaca oleh pihak-pihak yang tidak
bertanggung jawab.
Adapun ruang lingkup penelitian ini adalah
sebagai berikut :
Wired Equivalent Privacy (WEP) yang
diperkenalkan pada tahun 1999, merupakan
protokol keamanan jaringan nirkabel yang
pertama dan merupakan bagian dari standar
IEEE (Institute of Electrical and Electronics
Engineers) 802.11. WEP kemudian dinyatakan
tidak aman dan digantikan oleh WPA (Wi-Fi
Protected Access) dan disempurnakan oleh
WPA2 pada tahun 2004 yang diatur dalam
standar IEEE 802.11i. Perbedaan mendasar dari
WPA dan WPA2 adalah dari protokol enkripsi
yang digunakan, WPA menggunakan TKIP
(Temporal Key Integrity Protocol), sedangkan
WPA2 menggunakan CCMP (Counter Mode
with CBC-MAC Protocol) yang dinyatakan
lebih aman dibandingkan TKIP (Strand 2004).
Secara umum protokol keamanan WPA
terdiri atas dua proses, yaitu autentikasi dan
enkripsi. Dalam jaringan dengan skala besar dan
trafik yang tinggi, seperti perusahaan,
universitas, dan ISP (Internet Service Provider),
proses autentikasi merupakan proses yang
krusial karena merupakan proses yang pertama
kali dijalankan sebelum pengguna dapat
mengakses suatu jaringan. Oleh karena itu,
tidak hanya aman, proses autentikasi juga harus
bisa dilakukan secara cepat. EAP (Extensible
Authentication Protocol) adalah standar
protokol autentikasi yang digunakan pada WPA,
beberapa diantaranya yang saat ini banyak
digunakan adalah EAP-TLS (EAP-Transport
Layer Security), EAP-TTLS (EAP-Tunneled
TLS), dan EAP-PEAP (Protected EAP).
Tujuan
Penelitian
ini
bertujuan
untuk
membandingkan kinerja protokol autentikasi
1 Protokol autentikasi yang akan dibandingkan
kinerjanya adalah EAP-TLS, EAP-TTLSv0
dengan
MSCHAPv2
sebagai
inner
authentication, dan EAP-PEAPv0 dengan
EAP-MSCHAPv2
sebagai
inner
authentication.
2 Menggunakan RADIUS sebagai server
AAA, lebih spesifik kepada proses
autentikasi saja.
3 Kinerja yang akan dibandingkan adalah
kinerja
kecepatan/
waktu
protokol
autentikasi, besar ukuran paket dan jumlah
langkah yang dibutuhkan saat proses
autentikasi itu sendiri. Perbandingan tidak
akan mendetil sampai pada level keamanan.
4 Pada tahap implementasi, kondisi simulasi
jaringan yang digunakan adalah jaringan
yang terisolir, artinya tidak ada gangguan
dari trafik lain, hanya trafik dari proses
autentikasi.
5 Data autentikasi (username dan password)
disimpan dalam sebuah filetext, bukan dalam
sistem eksternal seperti database atau active
directory.
6 Jaringan nirkabel yang dimaksud dalam
penelitian ini adalah Wireless Local Area
Network (WLAN) sebagaimana diatur dalam
standar IEEE 802.11 (perangkat jaringan
komputer yang bekerja pada frekuensi 2.4,
3.6 and 5 GHz). Lebih spesifik penelitian ini
akan diujicoba pada frekuensi 2.4 GHz
karena frekuensi ini bebas digunakan
menurut aturan regulasi di Indonesia.
Manfaat
Penelitian ini diharapkan bisa menjadi acuan
untuk pemilihan protokol autentikasi yang akan
digunakan dalam suatu jaringan nirkabel.
TINJAUAN PUSTAKA
Jaringan Nirkabel
Jaringan nirkabel adalah jaringan yang
beroperasi melalui media nirkabel/ wireless
dengan memanfaatkan gelombang radio.
Jaringan nirkabel dikenal dengan kemudahan
dalam instalasi dan menawarkan mobilitas yang
tinggi bagi pengguna. Saat ini WPA adalah
1
PENDAHULUAN
EAP-TLS, EAP-TTLS, dan EAP-PEAP, pada
jaringan nirkabel.
Latar Belakang
Ruang Lingkup
Di era komunikasi, informasi dan mobilisasi
seperti sekarang ini, penggunaan perangkat
portable/ mobile telah menjadi sarana yang
banyak diterapkan dan digunakan. Perilaku
pengguna yang sering berpindah-pindah dari
satu tempat ke tempat lain dapat ditangani oleh
perangkat seperti notebook, netbook, dan
smartphone yang menggunakan media nirkabel.
Namun dengan segala kemudahan tersebut,
salah satu isu utama yang muncul adalah
masalah keamanan, karena data yang melewati
jaringan nirkabel dapat dengan mudah dicuri
dan dibaca oleh pihak-pihak yang tidak
bertanggung jawab.
Adapun ruang lingkup penelitian ini adalah
sebagai berikut :
Wired Equivalent Privacy (WEP) yang
diperkenalkan pada tahun 1999, merupakan
protokol keamanan jaringan nirkabel yang
pertama dan merupakan bagian dari standar
IEEE (Institute of Electrical and Electronics
Engineers) 802.11. WEP kemudian dinyatakan
tidak aman dan digantikan oleh WPA (Wi-Fi
Protected Access) dan disempurnakan oleh
WPA2 pada tahun 2004 yang diatur dalam
standar IEEE 802.11i. Perbedaan mendasar dari
WPA dan WPA2 adalah dari protokol enkripsi
yang digunakan, WPA menggunakan TKIP
(Temporal Key Integrity Protocol), sedangkan
WPA2 menggunakan CCMP (Counter Mode
with CBC-MAC Protocol) yang dinyatakan
lebih aman dibandingkan TKIP (Strand 2004).
Secara umum protokol keamanan WPA
terdiri atas dua proses, yaitu autentikasi dan
enkripsi. Dalam jaringan dengan skala besar dan
trafik yang tinggi, seperti perusahaan,
universitas, dan ISP (Internet Service Provider),
proses autentikasi merupakan proses yang
krusial karena merupakan proses yang pertama
kali dijalankan sebelum pengguna dapat
mengakses suatu jaringan. Oleh karena itu,
tidak hanya aman, proses autentikasi juga harus
bisa dilakukan secara cepat. EAP (Extensible
Authentication Protocol) adalah standar
protokol autentikasi yang digunakan pada WPA,
beberapa diantaranya yang saat ini banyak
digunakan adalah EAP-TLS (EAP-Transport
Layer Security), EAP-TTLS (EAP-Tunneled
TLS), dan EAP-PEAP (Protected EAP).
Tujuan
Penelitian
ini
bertujuan
untuk
membandingkan kinerja protokol autentikasi
1 Protokol autentikasi yang akan dibandingkan
kinerjanya adalah EAP-TLS, EAP-TTLSv0
dengan
MSCHAPv2
sebagai
inner
authentication, dan EAP-PEAPv0 dengan
EAP-MSCHAPv2
sebagai
inner
authentication.
2 Menggunakan RADIUS sebagai server
AAA, lebih spesifik kepada proses
autentikasi saja.
3 Kinerja yang akan dibandingkan adalah
kinerja
kecepatan/
waktu
protokol
autentikasi, besar ukuran paket dan jumlah
langkah yang dibutuhkan saat proses
autentikasi itu sendiri. Perbandingan tidak
akan mendetil sampai pada level keamanan.
4 Pada tahap implementasi, kondisi simulasi
jaringan yang digunakan adalah jaringan
yang terisolir, artinya tidak ada gangguan
dari trafik lain, hanya trafik dari proses
autentikasi.
5 Data autentikasi (username dan password)
disimpan dalam sebuah filetext, bukan dalam
sistem eksternal seperti database atau active
directory.
6 Jaringan nirkabel yang dimaksud dalam
penelitian ini adalah Wireless Local Area
Network (WLAN) sebagaimana diatur dalam
standar IEEE 802.11 (perangkat jaringan
komputer yang bekerja pada frekuensi 2.4,
3.6 and 5 GHz). Lebih spesifik penelitian ini
akan diujicoba pada frekuensi 2.4 GHz
karena frekuensi ini bebas digunakan
menurut aturan regulasi di Indonesia.
Manfaat
Penelitian ini diharapkan bisa menjadi acuan
untuk pemilihan protokol autentikasi yang akan
digunakan dalam suatu jaringan nirkabel.
TINJAUAN PUSTAKA
Jaringan Nirkabel
Jaringan nirkabel adalah jaringan yang
beroperasi melalui media nirkabel/ wireless
dengan memanfaatkan gelombang radio.
Jaringan nirkabel dikenal dengan kemudahan
dalam instalasi dan menawarkan mobilitas yang
tinggi bagi pengguna. Saat ini WPA adalah
1
standar keamanan yang digunakan jaringan
nirkabel. Dalam penggunaannya WPA memiliki
dua mode autentikasi (Strand, 2004), yaitu :
1 Personal atau PSK (Pre-Shared Key), yang
dirancang untuk penggunaan jaringan dengan
skala kecil dan tidak membutuhkan server
autentikasi.
2 Enterprise atau 802.1x, yang dirancang
untuk jaringan dengan skala besar dan
membutuhkan server autentikasi serta
menggunakan EAP sebagai protokol
autentikasi, sesuai dengan standar IEEE
802.1x.
Salah satu kekurangan dari mode Personal/
PSK adalah kunci disimpan di dalam access
point, semakin banyak access point yang
digunakan maka akan semakin sulit dalam hal
manajemen karena harus mengkonfigurasi dan
menyimpan kunci ke semua access point, dan
belum tentu semua access point memiliki kunci
yang sama. Untuk mengatasi masalah tersebut,
mode Enterprise dapat digunakan sebagai
alternatif, dimana semua proses autentikasi
dilakukan secara terpusat sehingga manajemen
menjadi mudah.
Protokol Authentication, Authorization, and
Accounting
Authentication,
Authorization,
and
Accounting (AAA) adalah sebuah model
keamanan jaringan komputer yang berfungsi
memverifikasi, memeriksa, dan memantau
keabsahan suatu entitas. Dalam Hassell (2002),
dijelaskan bahwa AAA terdiri atas tiga fitur
utama, yaitu :
1 Autentikasi adalah proses dimana identitas
sebuah entitas/ pengguna diperiksa.
2 Autorisasi adalah proses yang berfungsi
untuk memeriksa apakah pengguna yang
telah diautentikasi berhak mengakses suatu
layanan atau tidak.
3 Akuntansi adalah proses pencatatan aktivitas
pengguna selama mengakses jaringan.
Remote Dial In User Service
Remote Dial In User Service (RADIUS)
adalah
protokol
jaringan
yang
mengimplementasikan manajemen AAA yang
terpusat bagi komputer atau pengguna yang
ingin terkoneksi dan menggunakan layanan
dalam suatu jaringan. RADIUS secara default
menggunakan port 1812 dan UDP (User
Datagram Protocol) sebagai protokol transport.
RADIUS merupakan AAA server yang tertua
sekaligus yang paling banyak digunakan sampai
saat ini. Dikatakan (Strand 2004), walaupun
802.1x tidak secara spesifik menyebutkan jenis
server autentikasi yang digunakan, namun
RADIUS secara “de facto” adalah server
autentikasi untuk 802.1x.
IEEE 802.1x
IEEE 802.1x adalah sebuah standar IEEE
untuk Port-based Network Access Control
(PNAC), yang menyediakan mekanisme
autentikasi bagi peralatan yang ingin
tersambung ke sebuah LAN atau WLAN. Port
dalam jaringan kabel dapat diartikan sebagai
port fisik di switch ethernet, sedangkan pada
jaringan nirkabel port diartikan sebagai sebuah
association dengan access point (Geier 2008).
Gambar 1 Arsitektur 802.1x (Strand 2004).
Komponen autentikasi pada 802.1x terdiri
atas tiga entitas, yaitu :
1 Supplicant
Supplicant, sering juga disebut peer, adalah
peralatan klien, seperti PC, notebook atau
smartphone, yang ingin tersambung ke LAN/
WLAN. Supplicant mengirim request berupa
autentikasi ke authenticator untuk bisa
mengakses jaringan melewati authenticator.
2 Authenticator
Authenticator, sering juga disebut Network
Access Server (NAS), berfungsi sebagai
filter antara supplicant dan jaringan yang
diproteksi. Supplicant tidak diperbolehkan
mengakses jaringan melewati authenticator
sebelum identitas supplicant telah diperiksa
dan
divalidasi.
Ketika
supplicant
mengirimkan
request
autentikasi
ke
authenticator, selanjutnya authenticator
meneruskannya ke authentication server
untuk menentukan apakah autentikasi
tersebut valid atau tidak. Authenticator
dalam jaringan nirkabel umumnya adalah
sebuah wireless access point.
3 Authentication Server
Authentication Server bertugas untuk
memeriksa identitas entitas yang dikirimkan
2
oleh supplicant melalui authenticator.
Authentication Server umumnya adalah
server yang mendukung protokol RADIUS
dan EAP.
EAP
EAP adalah sebuah framework autentikasi
hasil pengembangan IEEE yang berfungsi
secara fleksibel. EAP sendiri bukanlah
mekanisme autentikasi secara spesifik, EAP
hanya menyediakan fungsi transport untuk
membawa
informasi
autentikasi
yang
disediakan oleh EAP method. Dengan begitu,
jika ada mekanisme autentikasi (EAP method)
baru, tidak perlu melakukan upgrade pada
semua peralatan jaringan. Saat ini terdapat lebih
dari 40 EAP method, namun yang memenuhi
standar untuk bekerja di jaringan nirkabel
sebagaimana yang dijelaskan pada Request For
Comments (RFC) 4017 dan telah disertifikasi
oleh Wi-Fi Alliance hanya ada tujuh saja,
termasuk di antaranya adalah EAP-TLS, EAPTTLS, dan EAP-PEAP.
TLS/ SSL
TLS (Transport Security Layer) dan
pendahulunya SSL (Secure Socket Layer)
adalah protokol kriptografi yang menyediakan
keamanan dalam berkomunikasi melalui
jaringan. Dalam RFC 2246, dinyatakan bahwa
TLS menyediakan keamanan dalam tiga hal :
1 Mutual authentication antara klien dan
server dengan public key cryptography
berdasarkan digital signatures. Dengan ini
identitas klien/ server dapat dibuktikan dan
pemalsuan pesan dapat dihindari. Algoritme
kriptografi kunci publik yang sering
digunakan adalah RSA (Rivest, Shamir,
Adleman) dan DSA (Digital Signature
Algorithm).
2 Menjaga kerahasiaan data dengan fungsi
kriptografi simetrik untuk melakukan
enkripsi/ dekripsi data sehingga mencegah
pihak
ketiga
untuk
melakukan
eavesdropping. Algoritme kunci simetrik
yang sering digunakan adalah AES
(Advanced Encryption Standard) dan 3DES
(Triple DES).
3 Menghasilkan Message Authentication Code
(MAC) melalui fungsi hash untuk
mendeteksi adanya gangguan dan menjaga
integritas data. Algoritme hash yang sering
digunakan adalah MD5 (Message-Digest
Algorithm) dan SHA-1 (Secure Hash
Algorithm).
Langkah-langkah dalam protokol TLS
seperti ditunjukkan Gambar 2 adalah sebagai
berikut :
1 Client Hello
Klien mengirimkan ciphersuite yang
didukung dan versi protokol TLS yang
digunakan.
2 Server Hello
Server mengirimkan ciphersuite yang akan
digunakan.
Gambar 2 Skema Protokol TLS (Sankar et al 2004).
3
3 Server Certificate
Server mengirimkan sertifikat (public key)
server ke klien.
4 ServerKeyExchange
Informasi tambahan yang dikirim server agar
klien dapat mengirimkan kunci simetrik pada
langkah 8.
5 Server Request
Server meminta klien untuk mengirimkan
sertifikat (public key) klien ke server.
6 Server Hello Done
Server selesai dalam mengirimkan paket
hello/ handshake.
7 Client Certificate
Klien mengirimkan public key klien ke
server.
8 ClientKeyExchange
Klien menghasilkan kunci simetrik lalu
mengirimkan ke server. Pesan dienkripsi
dengan kunci publik server.
9 CertificateVerify
Klien
mengirimkan
pesan
yang
ditandatangani dengan private key klien ke
server, gunanya untuk membuktikan
identitas klien.
10 Client ChangeCipherSpec
Negosiasi penggantian ciphersuite oleh
klien.
11 Client Finished
Verifikasi proses autentikasi dan key
exchange telah berjalan sukses oleh klien.
12 Server ChangeCipherSpec
Negosiasi penggantian ciphersuite oleh
server.
13 Server Finished
Verifikasi proses autentikasi dan key
exchange telah berjalan sukses oleh server.
14 Application Data
Server dan klien mulai mengirim dan
menerima data aplikasi sebenarnya yang
sudah diproteksi.
Kriptografi Kunci Publik
Pada kriptografi kunci publik terdapat dua
buah kunci yaitu kunci publik dan kunci
private. Tiga fungsi utama dari kriptorafi kunci
publik adalah Digital Signature, Encryption/
Decryption, dan Key Exchange. Menurut
Elminaam et al (2009), kriptografi kunci publik
tidak disarankan untuk proses enkripsi/ dekripsi
karena membutuhkan proses komputasi yang
besar, lebih lanjut dikatakan bahwa proses
enkripsi/ dekripsi pada kriptografi kunci publik
lebih lambat 1000 kali lipat dibandingkan
dengan kriptografi kunci simetrik.
Algoritme kriptografi kunci publik yang saat
ini banyak digunakan adalah RSA dan DSA.
Dari penelitian yang dilakukan oleh Wiener et
al (1998), seperti yang ditunjukkan pada Tabel
1, dapat diketahui bahwa RSA lebih cepat
dalam proses verification, sedangkan DSA lebih
cepat dalam proses signing dan key generation.
Tabel 1 Perbandingan kecepatan (millisecond)
RSA dan DSA (Wiener et al 1998).
RSA-1024
(e = 3)
DSA-1024
Sign
43
7
Verify
0.6
27
Key
generation
1100
7
Parameter
generation
none
6500
Kriptografi Kunci Simetrik
Pada kriptografi kunci simetrik hanya ada
satu buah kunci yang digunakan untuk
enkripsi dan dekripsi. Algoritme kriptografi
yang saat ini banyak digunakan adalah AES
dan 3DES. Dalam penelitian yang dilakukan
oleh Elminaam et al (2009), seperti
ditunjukkan pada Tabel 2 dan Tabel 3,
diketahui bahwa semakin besar ukuran paket
maka AES semakin cepat daripada 3DES,
baik dalam proses enkripsi maupun dalam
proses dekripsi.
Tabel 2 Perbandingan kecepatan (millisecond)
AES dan 3DES pada proses enkripsi
(Elminaam et al 2009)
Input size
(KBytes)
AES
3DES
49
56
54
59
38
48
100
90
81
247
112
111
321
164
167
694
210
226
899
258
299
963
208
283
5345.28
1237
1466
7310.336
1366
1786
4
Average Time
374
452
Throughput
(MB/s)
4.174
3.45
Tabel 3 Perbandingan kecepatan (millisecond)
AES dan 3DES pada proses dekripsi
(Elminaam et al 2009)
operasi seperti Linux dan Mac OS, namun
Microsoft Windows tidak memiliki dukungan
secara default, dibutuhkan aplikasi third party
agar EAP-TTLS bisa dijalankan. Pada EAPTTLS, sertifikat digital di sisi klien bersifat
optional, artinya tidak harus ada. Proses
autentikasi dalam EAP-TTLS terbagi dalam dua
langkah utama (Sankar et al, 2004) :
Input size
(KBytes)
AES
3DES
49
63
53
59
58
51
100
60
57
247
76
77
321
149
87
694
142
147
899
171
171
963
164
177
1 Pembentukan secure tunnel, melalui
sertifikat digital dari server, proses ini mirip
dengan EAP-TLS.
2 Proses autentikasi, yang sering disebut juga
inner
authentication.
Autentikasi
menggunakan metode autentikasi lain seperti
PAP (Password Authentication Protocol),
CHAP
(Challenge-Handshake
Authentication
Protocol),
MS-CHAP
(Microsoft-CHAP), atau bahkan EAP
method lain. Data yang dikirim akan di
enkripsi oleh secure tunnel yang dibentuk di
langkah
1.
EAP-TTLS
mendukung
penyembunyian identitas karena data
dilewatkan melalui secure tunnel.
5345.28
655
835
EAP-PEAP
7310.336
882
1101
Average Time
242
275.6
Throughput
(MB/s)
6.452
5.665
EAP-TLS
EAP-TLS merupakan standar EAP method
pertama yang digunakan dalam jaringan
nirkabel serta menyediakan banyak dukungan
dari vendor. Menurut Sankar et al (2004), pada
implementasinya EAP-TLS membutuhkan
sertifikat digital dari sisi klien dan juga server.
Perlunya sertifikat digital di sisi klien
merupakan kelebihan sekaligus kekurangan dari
EAP-TLS, karena setiap klien membutuhkan
sertifikat digital sehingga manajamen dan
distribusi dari sertifikat digital ke semua klien
membutuhkan sumber daya adaministrasi
tambahan. Di lain pihak, kelebihannya adalah
pada sisi keamanan dimana pihak ketiga tidak
akan bisa melakukan penyerangan tanpa adanya
sertifikat digital.
EAP-TTLS
Sama seperti EAP-TLS, EAP-TTLS (EAPTunneled TLS) juga menggunakan protokol
TLS. EAP-TTLS dikembangkan oleh Funk
Software dan Certicom. Walaupun memiliki
banyak dukungan di berbagai platform sistem
EAP-PEAP (Protected EAP) adalah EAP
method hasil pengembangan kolaborasi antara
Cisco Systems, Microsoft, dan RSA Security.
Dukungan yang disediakan oleh berbagai
platform sistem operasi, termasuk Microsoft
Windows. Dikatakan Sankar et al (2004), sama
seperti EAP-TTLS, PEAP membentuk secure
tunnel terlebih dahulu, lalu proses inner
authentication umumnya menggunakan EAPMSCHAPv2 (PEAPv0) dan EAP-GTC (EAPGeneric Token Card) (PEAPv1). Sertifikat
digital di sisi klien juga bersifat optional dan
juga mendukung penyembunyian identitas
seperti halnya EAP-TTLS.
METODE PENELITIAN
Analisis
Pada tahap analisis akan dilakukan
pencarian sumber literatur yang akan
mendukung penelitian, pada tahap ini juga
dilakukan analisis kebutuhan jaringan yang
akan digunakan. Dari hasil analisis diketahui
bahwa selain keamanan, proses autentikasi juga
merupakan hal yang krusial dan harus bisa
dilakukan secara cepat. Selain itu, juga
diketahui bahwa perbedaan utama EAP-TLS,
EAP-TTLS, dan EAP-PEAP adalah pada ada
atau tidaknya sertifikat digital di sisi klien.
5
Average Time
374
452
Throughput
(MB/s)
4.174
3.45
Tabel 3 Perbandingan kecepatan (millisecond)
AES dan 3DES pada proses dekripsi
(Elminaam et al 2009)
operasi seperti Linux dan Mac OS, namun
Microsoft Windows tidak memiliki dukungan
secara default, dibutuhkan aplikasi third party
agar EAP-TTLS bisa dijalankan. Pada EAPTTLS, sertifikat digital di sisi klien bersifat
optional, artinya tidak harus ada. Proses
autentikasi dalam EAP-TTLS terbagi dalam dua
langkah utama (Sankar et al, 2004) :
Input size
(KBytes)
AES
3DES
49
63
53
59
58
51
100
60
57
247
76
77
321
149
87
694
142
147
899
171
171
963
164
177
1 Pembentukan secure tunnel, melalui
sertifikat digital dari server, proses ini mirip
dengan EAP-TLS.
2 Proses autentikasi, yang sering disebut juga
inner
authentication.
Autentikasi
menggunakan metode autentikasi lain seperti
PAP (Password Authentication Protocol),
CHAP
(Challenge-Handshake
Authentication
Protocol),
MS-CHAP
(Microsoft-CHAP), atau bahkan EAP
method lain. Data yang dikirim akan di
enkripsi oleh secure tunnel yang dibentuk di
langkah
1.
EAP-TTLS
mendukung
penyembunyian identitas karena data
dilewatkan melalui secure tunnel.
5345.28
655
835
EAP-PEAP
7310.336
882
1101
Average Time
242
275.6
Throughput
(MB/s)
6.452
5.665
EAP-TLS
EAP-TLS merupakan standar EAP method
pertama yang digunakan dalam jaringan
nirkabel serta menyediakan banyak dukungan
dari vendor. Menurut Sankar et al (2004), pada
implementasinya EAP-TLS membutuhkan
sertifikat digital dari sisi klien dan juga server.
Perlunya sertifikat digital di sisi klien
merupakan kelebihan sekaligus kekurangan dari
EAP-TLS, karena setiap klien membutuhkan
sertifikat digital sehingga manajamen dan
distribusi dari sertifikat digital ke semua klien
membutuhkan sumber daya adaministrasi
tambahan. Di lain pihak, kelebihannya adalah
pada sisi keamanan dimana pihak ketiga tidak
akan bisa melakukan penyerangan tanpa adanya
sertifikat digital.
EAP-TTLS
Sama seperti EAP-TLS, EAP-TTLS (EAPTunneled TLS) juga menggunakan protokol
TLS. EAP-TTLS dikembangkan oleh Funk
Software dan Certicom. Walaupun memiliki
banyak dukungan di berbagai platform sistem
EAP-PEAP (Protected EAP) adalah EAP
method hasil pengembangan kolaborasi antara
Cisco Systems, Microsoft, dan RSA Security.
Dukungan yang disediakan oleh berbagai
platform sistem operasi, termasuk Microsoft
Windows. Dikatakan Sankar et al (2004), sama
seperti EAP-TTLS, PEAP membentuk secure
tunnel terlebih dahulu, lalu proses inner
authentication umumnya menggunakan EAPMSCHAPv2 (PEAPv0) dan EAP-GTC (EAPGeneric Token Card) (PEAPv1). Sertifikat
digital di sisi klien juga bersifat optional dan
juga mendukung penyembunyian identitas
seperti halnya EAP-TTLS.
METODE PENELITIAN
Analisis
Pada tahap analisis akan dilakukan
pencarian sumber literatur yang akan
mendukung penelitian, pada tahap ini juga
dilakukan analisis kebutuhan jaringan yang
akan digunakan. Dari hasil analisis diketahui
bahwa selain keamanan, proses autentikasi juga
merupakan hal yang krusial dan harus bisa
dilakukan secara cepat. Selain itu, juga
diketahui bahwa perbedaan utama EAP-TLS,
EAP-TTLS, dan EAP-PEAP adalah pada ada
atau tidaknya sertifikat digital di sisi klien.
5
Kriteria Perbandingan
Kriteria perbandingan yang digunakan untuk
membandingkan protokol autentikasi dalam
penelitian ini terbagi atas tiga, yaitu:
1 Kecepatan/ waktu autentikasi, adalah lama
waktu yang dibutuhkan oleh suatu protokol
autentikasi untuk menyelesaikan satu proses
autentikasi. Semakin cepat suatu protokol
autentikasi untuk menyelesaikan proses
autentikasi maka akan semakin baik.
2 Ukuran paket, adalah besar ukuran paket
yang dikirimkan dan diterima melalui
jaringan oleh suatu protokol autentikasi
selama proses autentikasi berlangsung.
Semakin kecil ukuran paket yang dihasilkan
oleh suatu protokol autentikasi maka akan
semakin baik.
3 Jumlah langkah yang dibutuhkan oleh
protokol autentikasi mulai awal proses
autentikasi sampai selesai dimana semakin
sedikit jumlah langkah yang dibutuhkan
maka akan semakin baik.
Gambar 3 Skema Topologi-1.
Rancang Bangun Topologi-2
Topologi-2 dibangun dengan tiga komponen
sesuai dengan skema 802.1x yang ditunjukkan
oleh Gambar 1, yaitu Supplicant, Authenticator,
dan Authentication Server, seperti yang
ditunjukkan pada Gambar 4. Topologi ini
dibangun berdasarkan kondisi sebenarnya yang
ada di lapangan, dengan tujuan mendapatkan
hasil perhitungan yang mendekati kondisi
sebenarnya yang ada di lapangan. Supplicant
memiliki alamat IP 192.168.1.26, Authenticator
192.168.1.2, dan
Authentication Server
192.168.1.106.
Perancangan
Pada tahap perancangan akan ditentukan dua
tipe topologi jaringan yang akan digunakan.
Masing-masing topologi mempunyai fungsi dan
tujuan yang berbeda untuk mendukung hasil
penelitian. Alamat jaringan (Network Address)
yang digunakan adalah alamat lokal kelas C
192.168.1.0/24.
Rancang Bangun Topologi-1
Topologi-1 dibangun dengan dua komponen,
yaitu Authenticator dan Authentication Server,
seperti yang ditunjukkan pada Gambar 3.
Topologi ini dibangun dengan tujuan agar fokus
pada proses autentikasi saja, karena proses
autentikasi pada dasarnya hanya dilakukan pada
dua komponen ini saja, tanpa melibatkan
komponen Supplicant, dimana Supplicant dan
Authentication Server tidak bisa berkomunikasi
secara langsung, kedua komponen ini
berkomunikasi melalui Authenticator, dimana
Supplicant mengirimkan data autentikasi yang
nantinya akan diteruskan oleh Authenticator ke
Authentication Server, begitu juga sebaliknya.
Authenticator memiliki alamat IP (Internet
Protocol) 192.168.1.26 dan Authentication
Server diberi alamat IP 192.168.1.106.
Gambar 4 Skema Topologi-2.
Implementasi
Pada tahap implementasi akan dilakukan
pembangunan lingkungan simulasi atau testbed
yang telah dirancang pada proses sebelumnya.
Lingkungan simulasi adalah lingkungan yang
berdiri sendiri dan dipisahkan dari lingkungan
external, dengan tujuan agar tidak adanya
interfensi yang akan mempengaruhi proses
pengujian nantinya. Pada proses ini juga akan
dilakukan proses instalasi dan konfigurasi dari
semua peralatan yang dibutuhkan.
Lingkungan Pengembangan
Lingkungan
pengembangan
dalam
penelitian ini terbagi atas dua bagian, yaitu
perangkat keras dan perangkat lunak.
Spesifikasi perangkat keras yang digunakan
adalah spefikasi yang hampir sama atau
mendekati satu sama lain untuk menghindari
penurunan
kinerja
akibat
kemampuan
komputasi yang tidak seimbang. Sementara
untuk perangkat lunak yang digunakan
kebanyakan adalah perangkat lunak yang free
and open source untuk alasan kemudahan,
legalitas dan dukungan yang lebih luas.
6
Perangkat Keras
1 MacBook 2.1 GHz Intel Core 2 Duo, 1 GB
667 Mhz DDR2 SDRAM digunakan sebagai
Authenticator pada Topologi-1 dan sebagai
Supplicant pada Topologi-2.
2 Acer Aspire 4520 AMD Turion 1.9 GHz, 1
GB RAM digunakan sebagai Authentication
Server pada Topologi-1 dan Topologi-2.
3 Access Point Linksys WRT-54GL yang
digunakan sebagai Authenticator pada
Topologi-2. Access Point beroperasi pada
mode G dengan data rate 54Mbit/s dan
channel yang digunakan adalah channel 6
(2.437 GHz).
4 Kabel UTP (Unshielded Twisted Pair)
Category
5
digunakan
untuk
menghubungkan
Authenticator
dan
Authentication server. Data rate yang
digunakan adalah 100Mbit/s (Fast Ethernet).
Perangkat Lunak
1 Mac OS X 10.5.8 akan digunakan sebagai
Authenticator
pada
Topologi-1
dan
Supplicant pada Topologi-2, wpa_supplicant
0.7.3 akan digunakan ketika difungsikan
sebagai Authenticator, sedangkan driver
default dari Mac OS akan digunakan ketika
difungsikan sebagai Supplicant. OpenSSL
1.0.0d dan Wireshark 1.2.7 digunakan pada
kedua topologi.
2 Ubuntu Linux 10.10 Desktop, FreeRADIUS
2.1.8, OpenSSL 0.9.8 akan digunakan
sebagai Authentication Server pada kedua
topologi.
3 Firmware DD-WRT v23 SP1 Final
(05/16/06)
std
digunakan
sebagai
Authenticator pada Topologi-2.
Pengujian
Proses pengujian dilakukan sebanyak lima
kali perulangan untuk masing-masing EAP
method dan pasangan ciphersuite yang akan
digunakan adalah RSA-AES-SHA, RSA-3DESSHA, DSA-AES-SHA, dan DSA-3DES-SHA
yang diatur dalam protokol TLS versi 1.0.
Panjang kunci yang digunakan untuk sertifikat
digital (RSA dan DSA) adalah sama yaitu 1024
bit, sedangkan pada AES adalah 128 bit dan
3DES adalah 112 bit.
Teknik Pengambilan Data
Proses pengumpulan data dilakukan dengan
cara menangkap paket-paket autentikasi yang
melewati jaringan menggunakan aplikasi
Wireshark yang akan dijalankan di sisi klien.
Wireshark akan dijalankan untuk menangkap
paket-paket dengan jenis tertentu (RADIUS dan
EAPOL) yang sudah didefinisikan sebelumnya,
bukan semua jenis paket yang melewati
jaringan. Setelah proses penangkapan paket
selesai, maka akan dilakukan proses
penghitungan secara offline, seperti terlihat pada
Gambar 5, dari hasil penangkapan paket akan
didapatkan waktu autentikasi, ukuran paket, dan
jumlah langkah sesuai kriteria perbandingan
yang digunakan.
HASIL DAN PEMBAHASAN
Penelitian ini akan menggunakan dua tipe
topologi yaitu Topologi-1 dengan dua
komponen (Authenticator dan Authentication
Server) dan Topologi-2 dengan tiga komponen
(Supplicant, Authenticator dan Authentication
Server). Dalam masing-masing topologi
terdapat tiga EAP method yang digunakan yaitu
EAP-TLS, EAP-TTLS, dan EAP-PEAP, dimana
dalam masing-masing EAP method terdapat
empat tipe ciphersuite yang digunakan yaitu
RSA-AES-SHA, RSA-3DES-SHA, DSA-AESSHA, dan DSA-3DES-SHA. Dengan demikian,
diperoleh total percobaan yang akan dilakukan
Gambar 5 Contoh hasil penangkapan paket autentikasi menggunakan Wireshark
7
Perangkat Keras
1 MacBook 2.1 GHz Intel Core 2 Duo, 1 GB
667 Mhz DDR2 SDRAM digunakan sebagai
Authenticator pada Topologi-1 dan sebagai
Supplicant pada Topologi-2.
2 Acer Aspire 4520 AMD Turion 1.9 GHz, 1
GB RAM digunakan sebagai Authentication
Server pada Topologi-1 dan Topologi-2.
3 Access Point Linksys WRT-54GL yang
digunakan sebagai Authenticator pada
Topologi-2. Access Point beroperasi pada
mode G dengan data rate 54Mbit/s dan
channel yang digunakan adalah channel 6
(2.437 GHz).
4 Kabel UTP (Unshielded Twisted Pair)
Category
5
digunakan
untuk
menghubungkan
Authenticator
dan
Authentication server. Data rate yang
digunakan adalah 100Mbit/s (Fast Ethernet).
Perangkat Lunak
1 Mac OS X 10.5.8 akan digunakan sebagai
Authenticator
pada
Topologi-1
dan
Supplicant pada Topologi-2, wpa_supplicant
0.7.3 akan digunakan ketika difungsikan
sebagai Authenticator, sedangkan driver
default dari Mac OS akan digunakan ketika
difungsikan sebagai Supplicant. OpenSSL
1.0.0d dan Wireshark 1.2.7 digunakan pada
kedua topologi.
2 Ubuntu Linux 10.10 Desktop, FreeRADIUS
2.1.8, OpenSSL 0.9.8 akan digunakan
sebagai Authentication Server pada kedua
topologi.
3 Firmware DD-WRT v23 SP1 Final
(05/16/06)
std
digunakan
sebagai
Authenticator pada Topologi-2.
Pengujian
Proses pengujian dilakukan sebanyak lima
kali perulangan untuk masing-masing EAP
method dan pasangan ciphersuite yang akan
digunakan adalah RSA-AES-SHA, RSA-3DESSHA, DSA-AES-SHA, dan DSA-3DES-SHA
yang diatur dalam protokol TLS versi 1.0.
Panjang kunci yang digunakan untuk sertifikat
digital (RSA dan DSA) adalah sama yaitu 1024
bit, sedangkan pada AES adalah 128 bit dan
3DES adalah 112 bit.
Teknik Pengambilan Data
Proses pengumpulan data dilakukan dengan
cara menangkap paket-paket autentikasi yang
melewati jaringan menggunakan aplikasi
Wireshark yang akan dijalankan di sisi klien.
Wireshark akan dijalankan untuk menangkap
paket-paket dengan jenis tertentu (RADIUS dan
EAPOL) yang sudah didefinisikan sebelumnya,
bukan semua jenis paket yang melewati
jaringan. Setelah proses penangkapan paket
selesai, maka akan dilakukan proses
penghitungan secara offline, seperti terlihat pada
Gambar 5, dari hasil penangkapan paket akan
didapatkan waktu autentikasi, ukuran paket, dan
jumlah langkah sesuai kriteria perbandingan
yang digunakan.
HASIL DAN PEMBAHASAN
Penelitian ini akan menggunakan dua tipe
topologi yaitu Topologi-1 dengan dua
komponen (Authenticator dan Authentication
Server) dan Topologi-2 dengan tiga komponen
(Supplicant, Authenticator dan Authentication
Server). Dalam masing-masing topologi
terdapat tiga EAP method yang digunakan yaitu
EAP-TLS, EAP-TTLS, dan EAP-PEAP, dimana
dalam masing-masing EAP method terdapat
empat tipe ciphersuite yang digunakan yaitu
RSA-AES-SHA, RSA-3DES-SHA, DSA-AESSHA, dan DSA-3DES-SHA. Dengan demikian,
diperoleh total percobaan yang akan dilakukan
Gambar 5 Contoh hasil penangkapan paket autentikasi menggunakan Wireshark
7
adalah sebanyak 2 x 3 x 4 = 24 percobaan,
dimana masing-masing percobaan akan
dilakukan perulangan sebanyak lima kali dan
diambil rata-ratanya.
ciphersuite RSA-AES-SHA, 13.425 ms pada
RSA-3DES-SHA, 10.391 ms pada DSA-AESSHA, dan 5.262 ms pada DSA-3DES-SHA.
EAP-TLS
EAP-TTLS
EAP-PEAP
Hasil pengujian menggunakan Topologi-1
Hasil perbandingan berdasarkan waktu yang
dibutuhkan dari awal sampai proses autentikasi
selesai untuk masing-masing EAP method dapat
dilihat pada Tabel 4 dan ditampilkan dalam
bentuk grafik batang pada Gambar 6. Hasil
lengkap untuk semua perulangan dapat dilihat
pada Lampiran 1.
Tabel 4 Rata-rata waktu (millisecond) pada
Topologi-1
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AESSHA
62.642
48.609
74.601
RSA–3DESSHA
63.425
44.616
76.850
DSA-AESSHA
157.287 134.545
167.678
DSA-3DESSHA
157.625 135.277
162.887
Tabel 4 dan Gambar 6 menunjukkan bahwa
EAP-TTLS memerlukan waktu yang paling
sedikit di antara ketiga EAP method dalam
menyelesaikan proses autentikasi untuk semua
ciphersuite yang digunakan. EAP-TLS berada
di urutan kedua dengan selisih yang cukup
signifikan dari EAP-TTLS, yaitu 14.032 ms
pada ciphersuite RSA-AES-SHA, 18.809 ms
pada RSA-3DES-SHA, 22.743 ms pada DSAAES-SHA, dan 22.348 ms pada DSA-3DESSHA. Di lain pihak, EAP-PEAP berada di posisi
terakhir dengan selisih yang cukup dekat
dengan EAP-TLS, yaitu 11.959 ms pada
A
-S
H
ES
-3
D
DS
A
ES
-S
H
A
ES
-3
D
RS
A
D
SA
-A
-S
H
-S
H
ES
waktu
-A
berdasarkan
RS
A
Hasil perbandingan
(millisecond)
A
180
160
140
120
100
80
60
40
20
0
A
Perbandingan dilakukan menggunakan
Topologi-1 dengan dua komponen yaitu
authenticator dan authentication server. Dalam
topologi ini hanya fokus kepada proses
autentikasi saja, tanpa melibatkan komponen
supplicant, gunanya adalah untuk mengetahui
perbandingan secara murni, tanpa melibatkan
proses lain seperti pembentukan dan pertukaran
kunci enkripsi dari authenticator ke supplicant
dalam protokol WPA Enterprise.
Gambar 6 Grafik perbandingan berdasarkan
waktu pada Topologi-1.
Tabel 4 juga menunjukkan bahwa untuk
ketiga EAP method dengan kunci simetrik yang
sama pada ciphersuite, namun dengan sertifikat
digital yang berbeda akan menghasilkan selisih
waktu yang cukup tinggi, baik untuk RSA
(RSA-AES-SHA
dan
RSA-3DES-SHA)
maupun untuk DSA (DSA-AES-SHA dan DSA3DES-SHA). Di lain pihak, untuk penggunaan
kunci simetrik yang berbeda dengan sertifikat
digital yang sama, selisih waktu yang dihasilkan
hampir tidak ada (tidak signifikan), baik untuk
AES (RSA-AES-SHA dan DSA-AES-SHA)
maupun 3DES (RSA-3DES-SHA dan DSA3DES-SHA). Dari hasil percobaan ini dapat
diketahui bahwa pemilihan sertifikat digital
(RSA atau DSA) akan sangat berpengaruh
terhadap waktu, sedangkan pemilihan kunci
simetrik (AES atau 3DES) tidak berpengaruh
banyak.
Hasil perbandingan berdasarkan besar paket
(bytes)
Hasil perbandingan berdasarkan besar paket
(bytes) yang dikirimkan melalui jaringan selama
proses autentikasi berlangsung untuk masingmasing EAP method dapat dilihat pada Tabel 5
dan ditampilkan dalam bentuk grafik batang
pada Gambar 7. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 2.
8
Tabel 5 Rata-rata besar paket (bytes) pada
Topologi-1
Gambar 8. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 3.
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
Tabel 6 Rata-rata jumlah langkah pada
Topologi-1
RSA–AES-SHA
6742
4567
5698
Ciphersuite
RSA–3DES-SHA
6726
4543
5634
EAPTLS
EAPTTLS
EAPPEAP
DSA-AES-SHA
8520
5553
6682
RSA–AES-SHA
14
14
20
DSA-3DES-SHA
8504
5530
6616
RSA–3DES-SHA
14
14
20
DSA-AES-SHA
18
16
22
DSA-3DES-SHA
18
16
22
Tabel 5 dan Gambar 7 menunjukkan bahwa
EAP-TTLS memiliki ukuran paket yang paling
kecil di antara ketiga EAP method untuk semua
ciphersuite yang digunakan. Di lain pihak,
EAP-PEAP berada di urutan kedua dan EAPTLS memiliki ukuran paket yang paling besar.
Hal ini dikarenakan pada EAP-TLS, selain di
sisi server, sertifikat digital di sisi klien juga
dikirimkan melalui jaringan.
Pemilihan algoritme sertifikat digital (RSA
atau DSA) juga mempengaruhi besar ukuran
paket dimana jika menggunakan DSA maka
ukuran paket yang dihasilkan akan lebih besar
daripada RSA. Sementara pemilihan algoritme
kunci simetrik (AES atau 3DES) tidak memiliki
pengaruh signifikan.
Tabel 6 dan Gambar 8 menunjukkan bahwa
EAP-TLS dan EAP-TTLS sama-sama memiliki
jumlah langkah paling sedikit pada ciphersuite
RSA-AES-SHA dan RSA-3DES-SHA yaitu
dengan 14 langkah, sementara EAP-PEAP
membutuhkan 20 langkah. Pada ciphersuite
DSA-AES-SHA dan DSA-3DES-SHA, EAPTLS dan EAP-TTLS memiliki selisih 2 langkah
dimana EAP-TTLS merupakan yang terbaik
dengan 16 langkah, EAP-TLS dengan 18
langkah sementara EAP-PEAP dengan 22
langkah.
EAP-TLS
EAP-TTLS
EAP-PEAP
25
EAP-TLS
EAP-TTLS
EAP-PEAP
20
9000
8000
15
7000
6000
10
5000
4000
5
3000
2000
Hasil pengujian berdasarkan
langkah yang dibutuhkan
jumlah
Hasil perbandingan berdasarkan jumlah
langkah yang dibutuhkan selama proses
autentikasi berlangsung untuk masing-masing
EAP method dapat dilihat pada Tabel 6 dan
ditampilkan dalam bentuk grafik batang pada
A
ES
-S
H
D
SA
-3
D
ES
-S
H
A
SA
-A
SA
-A
D
A
ES
-S
H
Gambar 7 Grafik perbandingan berdasarkan
besar paket pada Topologi-1.
R
A
D
SA
-3
D
ES
-S
H
A
ES
-S
H
SA
-A
D
A
ES
-S
H
SA
-A
R
R
SA
-3
D
ES
-S
H
A
0
R
SA
-3
D
ES
-S
H
A
0
1000
Gambar 8 Grafik perbandingan berdasarkan
jumlah langkah pada Topologi-1.
Pemilihan algoritme sertifikat digital (RSA
atau DSA) juga mempengaruhi jumlah langkah
dimana jika menggunakan DSA maka jumlah
langkah yang dihasilkan akan sedikit lebih
banyak daripada RSA. Sementara pemilihan
algoritme kunci simetrik (AES atau 3DES)
tidak memiliki pengaruh signifikan.
Detail urutan paket untuk EAP-TLS
menggunakan RSA dapat dilihat pada Lampiran
4, sedangkan jika menggunakan DSA dapat
9
dilihat pada Lampiran 5. Terlihat bahwa jika
menggunakan RSA dibutuhkan dua kali
pengiriman sertifikat digital (server dan klien)
dimana pengiriman untuk masing-masing
sertifikat membutuhkan dua kali fragmentasi
(pemecahan) karena satu sertifikat tidak bisa
dikirimkan sekaligus karena ukuran yang lebih
besar
dari
ukuran
MTU
(Maximum
Transmission Unit). Sementara untuk DSA
dibutuhkan tiga kali pemecahan karena
memiliki ukuran yang lebih besar daripada RSA
dan MTU.
Tabel 7 Rata-rata waktu (millisecond) pada
Topologi-2
Untuk EAP-TTLS, detail urutan paket jika
menggunakan RSA dapat dilihat pada Lampiran
6, sementara untuk DSA dapat dilihat pada
Lampiran 7. Sementara detail urutan paket
EAP-PEAP dapat dilihat pada Lampiran 8 untuk
RSA dan Lampiran 9 untuk DSA. Pada EAPTTLS dan EAP-PEAP pengiriman sertifikat
hanya dilakukan oleh server, dimana jika
menggunakan RSA dibutuhkan dua kali
pemecahan, sementara DSA butuh tiga kali
pemecahan. EAP-TTLS dan EAP-PEAP
memiliki langkah yang identik sampai pada
fase-1,
namun
di
fase-2
EAP-PEAP
membutuhkan langkah yang lebih banyak
daripada EAP-TTLS. Hal ini dikarenakan pada
EAP-PEAP fase-2 yang menggunakan EAPMSCHAPv2 kembali dilakukan proses mutual
authentication yang meliputi proses challengeresponse sehingga membutuhkan langkah
tambahan, sementara pada EAP-TTLS proses
mutual authentication tidak dilakukan kembali
karena
sudah
dilakukan
pada
fase-1
menggunakan sertifikat digital.
135.224
159.704
RSA–3DES- 181.808
SHA
132.537
166.988
DSA-AESSHA
366.959
329.809
353.222
DSA-3DES- 375.730
SHA
313.682
360.241
Tabel 7 dan Gambar 9 menunjukkan bahwa
EAP-TTLS memerlukan waktu yang paling
sedikit untuk semua ciphersuite yang
digunakan. EAP-PEAP berada di urutan kedua
dengan selisih yang cukup signifikan dari EAPTTLS, yaitu 24.480 ms pada ciphersuite RSAAES-SHA, 34.451 ms pada RSA-3DES-SHA,
0.023413 ms pada DSA-AES-SHA, 46.559 ms
pada DSA-3DES-SHA. Di lain pihak, EAP-TLS
berada di posisi terakhir dengan selisih yang
cukup dekat dengan EAP-PEAP, yaitu 19.986
ms pada ciphersuite RSA-AES-SHA, 14.820 ms
pada RSA-3DES-SHA. Hasil perbandingan
berdasarkan waktu pada Topologi-1 dan
Topologi-2 memiliki perubahan urutan pada
EAP-TLS dan EAP-PEAP, namun dengan
selisih yang cukup dekat. Hal ini disebabkan
adanya tambahan perangkat (Access Point)
menambah delay tambahan dimana paket yang
dihasilkan EAP-TLS lebih besar daripada EAPPEAP.
EAP-TLS
EAP-TTLS
EAP-PEAP
400
350
300
250
200
150
100
50
DS
A
-S
HA
-A
ES
DS
A
-3
D
ES
-S
H
A
0
-S
H
A
Hasil perbandingan berdasarkan waktu yang
dibutuhkan dari awal sampai proses autentikasi
selesai untuk masing-masing EAP method dapat
dilihat pada Tabel 7 dan ditampilkan dalam
bentuk grafik batang pada Gambar 9. Hasil
lengkap untuk semua perulangan dapat dilihat
pada Lampiran 10.
179.690
-3
D
ES
waktu
RSA–AESSHA
RS
A
berdasarkan
EAPPEAP
ES
-S
H
A
Hasil perbandingan
(millisecond)
EAPTTLS
-A
Perbandingan dilakukan menggunakan tiga
komponen sesuai skema WPA Enterprise
dengan protokol 802.1x. Proses penghitungan
meliputi semua proses dari supplicant ke
authenticator dan dari authenticator ke
authentication server namun tidak termasuk
proses pembangkitan dan pertukaran kunci
untuk enkripsi pada WPA Enterprise.
EAPTLS
RS
A
Hasil pengujian menggunakan Topologi-2
Ciphersuite
Gambar 9 Grafik perbandingan berdasarkan
waktu pada Topologi-2.
10
Tabel 8 Rata-rata besar paket (bytes) pada
Topologi-2
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AES-SHA
9990
6917
8198
RSA–3DES-SHA
9958
6825
8134
DSA-AES-SHA
14715
8538
9933
DSA-3DES-SHA
14721
8566
9867
Tabel 8 dan Gambar 10 menunjukkan bahwa
EAP-TTLS memiliki ukuran paket yang paling
kecil di antara ketiga EAP method untuk semua
ciphersuite yang digunakan. Di lain pihak,
EAP-PEAP berada di urutan kedua dan EAPTLS memiliki ukuran paket yang paling besar.
Hal ini dikarenakan pada EAP-TLS, selain di
sisi server, sertifikat digital di sisi klien juga
dikirimkan
melalui
jaringan.
Hasil
perbandingan berdasarkan besar paket pada
Topologi-2 memiliki urutan yang sama seperti
pada Topologi-1.
Sama seperti Topologi-1, pemilihan
algoritme sertifikat digital (RSA atau DSA) juga
mempengaruhi besar ukuran paket dimana jika
menggunakan DSA maka ukuran paket yang
dihasilkan akan lebih besar daripada RSA.
Sementara pemilihan algoritme kunci simetrik
(AES atau 3DES) tidak memiliki pengaruh
signifikan.
EAP-PEAP
14000
12000
10000
8000
6000
4000
2000
A
D
SA
-3
D
ES
-S
H
A
ES
-S
H
SA
-A
D
A
R
SA
-3
D
ES
-S
H
A
0
ES
-S
H
Hasil perbandingan berdasarkan besar paket
(bytes) yang dikirimkan melalui jaringan selama
proses autentikasi berlangsung untuk masingmasing EAP method dapat dilihat pada Tabel 8
dan ditampilan dalam bentuk grafik batang pada
Gambar 10. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 11.
EAP-TTLS
16000
SA
-A
Hasil perbandingan berdasarkan besar paket
(bytes)
EAP-TLS
R
Sama seperti Topologi-1, hasil perbandingan
pada Topologi-2 juga menunjukkan bahwa
pemilihan algoritme sertifikat digital (RSA atau
DSA) mempengaruhi kecepatan/ waktu
autentikasi dimana jika menggunakan RSA
maka waktu autentikasi yang dibutuhkan lebih
cepat daripada DSA. Sementara pemilihan
algoritme kunci simetrik (AES atau 3DES)
tidak memiliki pengaruh signifikan.
Gambar 10 Grafik perbandingan berdasarkan
besar paket pada Topologi-2.
Hasil pengujian berdasarkan
langkah yang dibutuhkan
jumlah
Hasil perbandingan berdasarkan jumlah
langkah yang dibutuhkan selama proses
autentikasi berlangsung untuk masing-masing
EAP method dapat dilihat pada Tabel 9 dan
ditampilkan dalam bentuk grafik batang pada
Gambat 11. Hasil lengkap untuk semua
perulangan dapat dilihat pada Lampiran 12.
Tabel 9 Rata-rata jumlah langkah pada
Topologi-2
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AES-SHA
29
29
41
RSA–3DES-SHA
29
29
41
DSA-AES-SHA
37
33
45
DSA-3DES-SHA
37
33
45
Tabel 9 dan Gambar 11 menunjukkan bahwa
EAP-TLS dan EAP-TTLS memiliki jumlah
langkah paling sedikit pada ciphersuite RSAAES-SHA dan RSA-3DES-SHA yaitu dengan
29
langkah,
sementara
EAP-PEAP
membutuhkan 41 langkah. Pada ciphersuite
DSA-AES-SHA dan DSA-3DES-SHA, EAPTLS dan EAP-TTLS memiliki selisih 4 langkah
dimana EAP-TTLS merupakan yang terbaik
dengan 33 langkah, EAP-TLS dengan 37
langkah sementara EAP-PEAP berada di urutan
terakhir dengan 45 langkah. Hasil perbandingan
berdasarkan jumlah langkah pada Topologi-1
dan Topologi-2 memiliki urutan yang sama.
11
Sama seperti Topologi-1, pemilihan
algoritme sertifikat digital (RSA atau DSA) juga
mempengaruhi jumlah langkah dimana jika
menggunakan DSA maka jumlah langkah yang
dihasilkan akan sedikit lebih banyak daripada
RSA. Sementara pemilihan algoritme kunci
simetrik (AES atau 3DES) tidak memiliki
pengaruh signifikan.
Detail urutan paket untuk EAP-TLS
menggunakan RSA dapat dilihat pada Lampiran
13, sedangkan jika menggunakan DSA dapat
dilihat pada Lampiran 14. Untuk EAP-TTLS,
detail urutan paket jika menggunakan RSA
dapat dilihat pada Lampiran 15, sementara
untuk DSA dapat dilihat pada Lampiran 16.
Lampiran 17 menunjukkan detail urutan paket
EAP-PEAP jika menggunakan RSA dan
Lampiran 18 untuk DSA. Terlihat bahwa jumlah
langkah pada Topologi-2 adalah dua kali lipat
jumlah langkah pada Topologi-1 ditambah satu
langkah awal yaitu EAP-Request/Identity.
EAP-TLS
EAP-TTLS
EAP-PEAP
A
D
SA
-3
D
ES
-S
H
A
ES
-S
H
SA
-A
D
A
ES
-S
H
SA
-A
R
R
SA
-3
D
ES
-S
H
A
50
45
40
35
30
25
20
15
10
5
0
Gambar 11 Grafik perbandingan berdasarkan
jumlah langkah pada Topologi-2.
KESIMPULAN DAN SARAN
setelah EAP-TTLS, walaupun EAP-PEAP
merupakan yang terburuk pada kriteria jumlah
langkah yang harus diselesaikan dalam proses
autentikasi, namun sama seperti EAP-TTLS,
penggunaannya yang sederhana menjadi nilai
lebih dari EAP-PEAP. Selain itu, adanya
dukungan default di hampir semua sistem
operasi termasuk Microsoft Windows yang
masih memiliki pengguna terbanyak di dunia
menjadi faktor penentu penggunaan EAP
method ini.
EAP-TLS merupakan EAP method yang
terburuk di antara ketiganya, selain terburuk
pada kriteria ukuran paket (untuk kedua
topologi) karena adanya kebutuhan sertifikat
digital di sisi klien menambah besar ukuran
paket yang akan dikirimkan selama proses
autentikasi. Walaupun memiliki selisih waktu
yang cukup dekat dengan EAP-PEAP, namun
kebutuhan akan PKI (Public Key Infrastructure)
menjadi
pertimbangan
tersendiri
untuk
penggunaan EAP method ini, selain manajemen
dan distribusi yang lebih rumit, juga karena
pengguna awam lebih terbiasa untuk
menggunakan username dan password daripada
harus menggunakan sertifikat digital. Walaupun
begitu, EAP-TLS sangat cocok diterapkan pada
jaringan existing yang sudah memiliki
infrastruktur PKI dimana faktor keamanan yang
tinggi menjadi nilai plus pada EAP-TLS.
Hasil penelitian ini juga menunjukkan
bahwa pemilihan algoritme sertifikat digital
(RSA atau DSA) akan sangat berpengaruh
terhadap semua kriteria perbandingan, dari hasil
perbandingan dalam penelitian ini dapat
disimpulkan bahwa RSA lebih cepat daripada
DSA dalam proses autentikasi untuk ketiga EAP
method pada jaringan nirkabel. Selain itu, dapat
juga diketahui bahwa pemilihan algoritme kunci
simetrik (AES atau 3DES) tidak memiliki
pengaruh yang signifikan terhadap proses
autentikasi.
Kesimpulan
Saran
EAP-TTLS merupakan EAP method yang
terbaik di semua kriteria perbandingan, baik di
Topologi-1 maupun Topologi-2, namun tidak
adanya dukungan default di Windows menjadi
salah satu kekurangan tidak langsung dari EAP
method ini. Selain itu, penggunaannya yang
sederhana tanpa harus menggunakan sertifikat
digital di sisi klien juga menjadi nilai lebih dari
EAP-TTLS.
Penelitian ini dapat dikembangkan lebih
lanjut ke perbandingan :
1 Benchmarking seperti penggunaan CPU dan
RAM.
2 Concurrent/ simultaneous authentication,
yaitu perbandingan masing-masing EAP
method dalam menangani autentikasi secara
bersamaan/ serentak.
3 Penggunaan session resumption untuk
mengurangi waktu pada proses TLS.
EAP-PEAP merupakan yang kedua terbaik
12
Sama seperti Topologi-1, pemilihan
algoritme sertifikat digital (RSA atau DSA) juga
mempengaruhi jumlah langkah dimana jika
menggunakan DSA maka jumlah langkah yang
dihasilkan akan sedikit lebih banyak daripada
RSA. Sementara pemilihan algoritme kunci
simetrik (AES atau 3DES) tidak memiliki
pengaruh signifikan.
D