Mengenal lebih jauh peran dan bagaimana cara kerja Public key dan Private Key dalam Enkripsi Asimetris sertifikat SSL/TLS berkualitas dan proses membuat komunikasi pihak ketiga secara aman.
Public Key & Private Key adalah dua hal yang sangat penting perannya untuk dipahami dan dibedakan di dalam sebuah Public Key Cryptography atau yang lebih dikenal dengan Enkripsi Asimetris (asymmetric ecncryption). Enkripsi Asimetris memberikan koneksi untuk berkomunikasi secara aman dengan cara mengidentifikasi pengunjung dan aktivitas yang dilakukan dalam sambungan yang terenkripsi. Sebuah Public Key dan Private Key sangat diperlukan bagi metode enkripsi sini.
PERBEDAAN PUBLIC KEY & PRIVATE KEY
Kunci atau key adalah rangkaian panjang value berupa karakter acak yang tidak dapat dibaca. Enkripsi artinya mengurai atau memecah teks biasa (plaintext) menjadi sebuah karakter acak seperti sandi yang tidak dapat dibaca oleh siapapun (ciphertext). Jika Anda hanya menggunakan satu unit key untuk mengenkripsi dan mendekrip data, artinya Anda menggunakan Enkripsi Simetris.
Namun, jika Anda menggunakan dua unit key yang terpisah–satu untuk mengenkripsi data dan yang lainnya untuk mendekrip, maka Anda menggunakan Enkripsi Asimetris (Public Key Encryption). Kunci tersebut dikenal sebagai Public Key (encryption key) dan Private Key (decryption key).
APA ITU PUBLIC KEY & BAGAIMANA CARA KERJANYA?
Di dalam infrastruktur kriptografi, Public Key bertugas untuk mengenkripsi data. Disebut sebagai Public Key karena dapat didistribusikan secara terbuka, dan siapapun dapat menggunakannya untuk melakukan enkripsi. Setelah data dienkrip menggunakan Public Key, Anda tidak akan dapat membaca isi data tersebut.
Public Key dibuat menggunakan algoritma enkripsi Asimetris yang sangat kompleks. Panjang Public Key tergantung pada algoritma yang digunakan untuk membuatnya. Secara umum, ukurannya bervariasi dari 128 bit hingga 4096 bit (seperti pada sertifikat SSL/TLS Digicert Secure Site Pro with EV). Forum CA/B memberikan panduan untuk mengatur ukuran minimum Public Key yang ideal. Misalnya, berdasarkan pedoman Forum CA/B saat ini semua CA harus mengkonfirmasi bahwa :
- Public Key RSA setidaknya 2048 bit, atau
- Sata satu ECDSA curve berikut digunakan : NIST P-256, NIST P-384, atau NIST P-521
Berikut ini adalah tampilan dari Public Key RSA :
Algoritma matematika yang digunakan untuk membuat Public Key dan Private Key adalah :
- Rivest-Shamir-Adleman (RSA)
- ElGamal
- Elliptic Curce Cryptography (ECC)
- Diffie-Hellman Key Agreement
- Digital Signature Algorithm (DSA)
Jadi, apa perbedaan antara Public Key RSA dengan ECC? Jawabannya adalah ukurannya kuncinya. RSA Key jauh lebih besar daripada ECC, namun ECC juga sama kuatnya. Kedua key dihitung dengan cara yang berbeda. Public Key RSA adalah hasil dari dua bilangan prima massif dan bilangan yang lebih kecil, sedangkan ECC Public Key adalah persamaan yang menghitung titik tertentu pada kurva elips.
Fun fact, Public Key dalam keamanan web dikenal sebagai sertifikat SSL/TLS yang diterbitkan oleh CA, karena bersifat dapat disebarluaskan kepada publik untuk mengenkrip data-data rahasia pelanggan situs web.
APA ITU PRIVATE KEY & BAGAIMANA CARA KERANYA?
Kunci ini dapat mendekrip data yang terenkrip. Setiap Public Key memiliki pasangan Private Key yang koresponden dan unik. Private Key harus disimpan oleh pemiliknya secara aman baik di perangkat khusus atau server non-public). Private Key tidak diterbitkan oleh CA, melainkan diperoleh sendiri dari server Anda saat menjalankan generate CSR. Di beberapa platform web server tertentu ada yang tidak menampilkan Private Key bersamaan CSR, tetapi menanamkannya ke server, sehingga Anda perlu menariknya setelah melakukan import sertifikat. Dan apabila Private Key hilang, Anda harus menerbitkan ulang sertifikat SSL/TLS (reissue) dengan CSR terbaru.
Kedua kunci tersebut saling berkaitan satu sama lain dengan hitungan matematis yang ditentukan. Bahkan sebuah supercomputer modern membutuhkan ribuan tahun untuk dapat memecahkan melalui serangan Brute Force. Dengan demikian, tidak ada yang bisa mendekrip data di dalamnya.
TINJAUAN SINGKAT PERBEDAAN PUBLIC KEY & PRIVATE KEY
PUBLIC KEY & PRIVATE KEY : PERAN MEREKA DALAM MENJAGA PRIVASI DAN KEAMANAN DATA
Saat Anda ingin melindungi data selama proses tranmisi sedang berlangsung, kriptografi enkripsi akan sangat berguna. Sebuah endpoint menggunakan Public Key untuk mengenkrip data dan penerima akan mendekripnya dengan Private Key yang koresponden. Seandainya ada orang lain di tengah proses transmisi dan mencegat data, maka mereka tidak akan bisa membuka, membaca atau menafsirkannya tanpa adanya Private Key yang asli.
Karenanya, enkripsi Asimetris melindungi data plaintext agar tidak terekspos oleh :
- Serangan man-in-the-middle
- Kebocoran Data
- Pencurian data
Singkatnya, kriptografi enkripsi Asimetris tidak menghentikan jenis serangan dan kebocoran data atau pencurian data yang telah terjadi. Tapi, bekerja sebagai pencegah untuk siapapun yang mencoba mengakses data privasi tidak terenkripsi.
Contoh gambaran dari sebuah Public Key dan Private Key adalah alamat email dan kata sandi yang Anda miliki. Di mana alamat email berperan sebagai Public Key yang dapat diketahui oleh siapapun, sedangkan kata sandi Anda hanya Anda sendiri yang boleh mengetahui dan menyimpannya (Private Key). Sehingga jika ada orang lain yang ingin mengakses email Anda maka tidak akan berhasil, kecuali mengetahui kata sandi email asli yang Anda simpan.
SERTIFIKAT SSL/TLS
Meskipun ada jutaan situs yang beli sertifikat SSL/TLS berkualitas dan memasangnya pada server yang sama, tetapi tidak satupun dari mereka yang memiliki pasangan key yang sama. Karena sertifikat SSL/TLS berkualitas melindungi transfer data antara browser dengan server dengan menggunakan enkripsi Asimetris yang mengandalkan dua kunci; Public Key dan Private Key.
Kriptografi enkripsi Asimetris juga digunakan di beberapa sertifikat digtital seperti :
- Code Signing Certificate
- Email Signing Certificate
- Document Signing Certificate
- Private Authentication Certificate
PUBLIC KEY & PRIVATE KEY DALAM VERIFIKASI IDENTITAS
Fungsi lain dari Public Key dan Private Key adalah verifikasi identitas dan tanda tangan digital (digital signature). Di mana pengirim memasukkan tanda tangan digital menggunakan Private Key. Penerima memverifikasi keaslian tanda tangan dengan Public Key pengirim. Tidak ada yang dapat mengubah, menyalin, atau menghapus tanda tangan digital kecuali pemegang Private Key yang asli. Fungsi dari sebuah tanda tangan digital yaitu memberikan jaminan tentang identitas pengirim dan integritas situs Anda.
