1. Home
  2. Lainnya

Algoritma Suite B Pemberian Solusi Dengan Protokol IKEv2

itu harus membangun dari ulang kembali SA IKE dan SA IPsec. Pembangunan ulang tunnel bukan merupakan pilihan yang ideal bagi user remote access dikarenakan dibutuhkan adanya interaksi user. Untuk alasan tersebut, dibutuhkan adanya suatu prosedur yang mampu secara otomatis melakukan update SA untuk memenuhi kebutuhan mobility dan multihoming peer IPsec.

4.1.2 Pemberian Solusi Dengan Protokol IKEv2

Tabel berikut menjelaskan solusi yang diberikan untuk setiap permasalahan pada remote access VPN berbasis IPsec. Tabel 4.1 Solusi yang diberikan berdasarkan protokol IKEv2 No Masalah yang dihadapi Solusi yang diberikan 1 Kebutuhan algoritma kriptografi yang kuat Algoritma kritpgrafi suite B RFC4869 2 Kebutuhan Pengulangan autentikasi repeated authentication RFC4478 3 Masalah Ketidakcocokan NAT-IPsec NAT Traversal pada IKEv2 4 Masalah Alamat Klien IPsec yang overlapping virtual IP melalui configuration payload pada IKEv2 5 Masalah NAT Traversal mode transport konfigurasi Tunnel Mode policy 6 Kebutuhan Peer IPsec yang mobile dan multihoming MOBIKE RFC4555

4.1.2.1 Algoritma Suite B

Untuk pemilihan set algoritma kriptografi IPsec, kami memutuskan untuk memilih acuan Suite B Cryptography. Suite B adalah suatu kumpulan standar kriptografi yang dispesifikasikan oleh NSA National Security Agency sebuah badan keamanan Amerika. Suite B membuat standar acuan bagi industri melalui suatu set algoritma kriptografi yang bisa digunakan untuk membuat produk yang memenuhi kebutuhan pemerintahan. Termasuk didalam spesifikasi Suite B adalah algoritma Integrity, Enkripsi, Key Exchange, Digital Signature. Seluruh algoritma 54 dalam Suite B sudah di-approve oleh FIPS Federal Information Processing Standards Amerika. FIPS bertugas untuk mengatur standar dan guidelines bagi sumber daya komputasi Federal Amerika Serikat. Sebagian besar algoritma kriptografi dalam Suite dipublikasikan oleh NIST National Institute of Standards and Technology Amerika. Tabel 4.2 Kekuatan Algoritma Suite B NSA berdasarkan level kerahasiaan Sumber: Wheeler, 2009:3 Tabel diatas menunjukkan set algoritma dalam suite B dan kekuatannya untuk algoritma enkripsi, hashing, digital signature, dan key exchange. Algoritma enkripsi menggunakan AES-GCMAdvance Encryption Standard-Galois Counter Mode dengan kunci berukuran 128 bit untuk pengamanan data level secret dan dibawahnya, dan kunci berukuran 256 bit untuk pengamanan data level top secret. Algoritma Hashing menggunakan SHA-256 Secure Hash Algorithm-256 dengan digest berukuran 256 bit pada level secret and below, dan SHA-384 dengan digest berukuran 384 bit untuk top secret. Algoritma Digital Signature menggunakan ECDSA Elliptic Curve Digital Signature Algorithm dengan kunci berukuran 256bit pada level secret and below, dan kunci berukuran 256 bit untuk pengamanan data level top secret. Untuk key exchange, digunakan protokol ECDH elliptic curve Diffie-Hellman dengan dengan kunci berukuran 256bit pada level secret and below, dan kunci berukuran 256 bit untuk pengamanan data level top secret. 55 Menurut Wheeler, 2009:5, elliptic-curve cryptography ECC mengacu pada masalah elliptic-curve discrete-logarithm problem, yang merupakan evolusi terhadap pendekatan discrete-logarithm yang digunakan pada mekanisme Diffie- Hellman DH and DSA tradisional, sedangkan RSA menggunakan pendekatan berbasis integer factorization. Tabel dibawah menunjukkan perbandingan kekuatan algoritma asimetris berbasis pendekatan konvensional discrete logarithm modulus DSA dan DH, dan pendekatan integer factorization modulus RSA dengan algoritma asimetris berbasis pendekatan elliptic curve ECC prime field. Algoritma kriptografis tersebut dibandingkan dengan patokan algoritma enkripsi per ukuran bit 80, 112, 128, 192, dan 256 bit. Tabel 4.3 Perbandingan kekuatan algoritma kriptografi Sumber: Wheeler, 2009:4 Seperti bisa dilihat pada tabel diatas, untuk mendapatkan tingkat keamanan bit bits of security 128 bit enkripsi simetris dengan AES-128, dibutuhkan nilai modulus pada DSA Digital Signature Algorithm, DH Diffie- Helman, dan berukuran 3072bit. Dengan alternatif ECCelliptic curve cryptography, hanya dibutuhkan nilai prima berukuran 256 bit untuk tingkat keamanan bit bits of security 128 bit enkripsi simetris dengan AES-128 yang sama. Dengan demikian, algoritma berbasis penggunaan ECC prime field 56 menawarkan efisiensi penggunaan ukuran bit dibandingkan dengan DSA, DH, maupun standar DSA biasa. RFC 4869 Suite B Cryptographic Suites for IPsec memberikan dukungan kompatibilitas terhadap spesifikasi Suite B dari NIST untuk protokol IKEv2. Dokumen RFC 4869 mengajukan 4 “User Interface Suites” yang mengacu pada spesifikasi Suite B dari NIST. Tabel 4.4 Cryptography Suite B pada RFC 4869 Algoritma Suite B GCM-128 Suite B GCM-256 Suite B GMAC-128 Suite B GMAC-256 ESP Encryption AES-GCM 128bit 16 octet ICV AES-GCM 256bit 16 octet ICV Null Null Integrity Null Null AES-GMAC 128bit AES-GMAC 256bit IKEv2 Encyrption AES-CBC 128bit AES-CBC 256bit AES-CBC 128bit AES-CBC 256bit prf HMAC-SHA- 256 HMAC-SHA- 384 HMAC-SHA- 256 HMAC-SHA- 384 Integrity HMAC-SHA- 256-128 HMAC-SHA- 384-192 HMAC-SHA- 256-128 HMAC-SHA- 384-192 DH Group 256-bit random ECP group 384-bit random ECP group 256-bit random ECP group 384-bit random ECP group Authentication ECDSA-256 ECDSA-384 ECDSA-256 ECDSA-384 Keempat suite dibedakan oleh pilihan algoritma kriptografi pada negosiasi pengamanan paket IKEv2 dan tunnel ESP. Suite B GCM-128Galois Counter Mode-128 dan GMAC-128Galois Message Authentication Code-128 memiliki pilihan algoritma kriptografi untuk IKEv2 tetapi berbeda untuk ESP. Begitu pula pilihan suite B GCM-256 dan GMAC-256 adalah sama untuk IKEv2 tetapi berbeda untuk ESP. Pilihan ESP ada yang menggunakan algoritma enkripsi AES-GCM 128 atau 256 dan ada yang menggunakan algoritma integrity AES-GMAC 128 atau 256. Pilihan untuk IKEv2 menggunakan algoritma enkripsi AES-CBC Advanced Encryption Standard-Cipher Block Chaining 128 atau 256 bit, algoritma integrity 57 HMAC-SHA-256-128 atau HMAC-SHA-384-192, algoritma key exchange DH dengan grup ecp elliptic curve prime 128 atau 256 bit, dan algoritma digital signature ECDSA Elliptic Curve Digital Signature Algorithm 256 atau 384 bit.

4.1.2.2 Repeated Authentication untuk IKEv2

Dokumen yang terkait

Perangkat Lunak Capture Plat Nomor Polisi Mobil dengan Algoritma Jaringan Syaraf Tiruan Learning Vector Quantization dan Back Propagation Berbasis IP Camera

1 87 99

Perancangan Elevator dan Pembuatan Prototipe Pengendali Otomatis Elevator Berbasis Mikrokontroler ATmega 8535

17 132 144

Perancangan Perangkat Lunak Simulasi Palang Pintu Otomatis Jalan Raya

10 100 99

Perancangan Perangkat Lunak Sistem Pakar Untuk Deteksi Gonore (GO), Sifilis Dan Herpes Genitalis

4 75 119

Perancangan Perangkat Lunak Simulasi Anjungan Tunai Mandiri (Atm)

7 74 75

Perancangan Peralatan Penjawab Telepon Otomatis Berbasis Mikrokontroler

2 64 34

SIMULASI JARINGAN WIRELESS CDMA MULTIPOINT BERBASIS PERANGKAT LUNAK.

0 0 6

PENGEMBANGAN PERANGKAT LUNAK REMOTE PROC

0 0 8

PENGEMBANGAN SISTEM REMOTE ACCESS JARING (1)

0 0 9

Analisis Performansi Remote Access VPN Berbasis IPSec dan Berbasis SSL pada Jaringan IPv6

0 0 5