Simple Key-management in Internet Protocol ( SKIP )

Perkembangan internet memberikan pengaruh pada peningkatan pengguna komersial yang amat pesat, masalah baru menjadi pembicaraan terhadap dua komunitas yang berbeda. Jaringan tidaklah seperti praktek penelitian yang dilakukan di lapangan dan umumnya kelompok pengguna, tetapi dimana pemanfaatan investasi uang yang dapat direalisasikan.
Terdapat dua hal berbeda yang harus dilakukan dalam mengamankan suatu jaringan internet pada pengunaan skala besar. Kedua tindakan tersebut antara lain aplikasi coupled security vs network coupled security. Salah satu contoh dari network coupled security adalah SKIP atau Simple Keymanagement in IP.
Untuk menyediakan fasilitas keamanan yang kuat dan penting pada internet, banyak yang menawarkan solusi keamanan. Bagaimanapun, solusi-solusi tersebut mayoritas terisolasi. Beberapa solusi yang terisolasi tersebut bekerjasama secara terbatas dengan suatu aplikasi, beberapa solusi juga bersama dengan sistem operasi tertentu atau bahkan tertanam pada link layer. Kita harus mengetahui solusi umum yang memperkenalkan keamanan pada network layer dan mendirikan suatu pondasi dalam menyatukan solusi. Lebih jauh lagi kita dapat menunjukkan bagaimana otentikasi dan enkripsi dapat disebarkan sepanjang jaringan internet berada. Hal ini akan terlaksana dengan memperluas fungsi dari protokol key management “Simple Keymanagement in Internet Protocol” atau SKIP, dimana sebagai salah satu upaya pada network layer key management yang sekarang ini dilakukan pada Internet Engineering Task Force (IETF).
Masalah yang tidak bergantung pada penempatan mekanisme security adalah key management. Terkadang, sebuah infrastruktur harus menyantumkan perizinan komunikasi antar kawan untuk memeriksa identitas mereka, dan mendirikan infrastruktur rahasia yang digunakan untuk bulk data encryption (sampah data enkripsi).
Tujuan utama dari pengamanan pada IP layer adalah untuk mendapatkan komunikasi secara privasi dan terotentikasi antara end systems, atau antara suatu jaringan yang lengkap melalui firewall. Sistem yang bekerja terstruktur seperti keberadaan ciri – ciri IP misalnya kemampuan untuk re-routing, load balancing, dan crash recovery yang terpelihara, dan hanya pengeluaran tambahan yang minimal yang diperkenalkan dalam rangka pengamanan jaringan. Pada saat itu juga, sistem tersebut bersifat flexible dan cukup luas untuk dapat mengizinkan bagi perkembangan selanjutnya seperti per-user atau per-port keying, mendukung smartcard, secure multicasting, migrasi kepada IPv6, penambahan algoritma baru, dsb.
Saat ini, dua tindakan berbeda pada key management (Oakley dan SKIP) digunakan oleh IETF working group pada IP security (IPSEC). Meskipun mereka menawarkan kegunaan yang biasa, tindakan pokok mereka dalam menghadapi masalah key management sangat berbeda.
“Simple Key Management in the Internet Protocol” (SKIP) bersandar pada fakta bahwa sertifikat publik terkadang disediakan untuk antarkomunikasi (peer). Tidak ada sesuatu hal yang diperlukan selama asosiasi komunikasi berada, hubungan dari satu host ke host lain menjadi mudah. Sebagaimana SKIP tidak memperkenalkan kembali dugaan terhadap bagian sulit dari stateless IP layer, keberadaan dari bagian rahasia didisain secara mutlak. Masing-masing partisipan mengakses sertifikat, yang terdiri dari public value dari peer, dengan mengambil database atau mendapatkan kembali melalui built-in sertificate discovery protocol.
Perolehan public value dari komunikasi peer dikombinasikan dengan secret value sistem itu sendiri dengan menggunakan Diffie-Hellman scheme, menghasilkan kesamaan, bagian rahasia pada kedua sisi. Sebagaimana bagian rahasia harus dapat digunakan untuk jangka waktu yang lama, tidak digunakan untuk enkrip data secara langsung. Justru, lalu lintas kunci acak dibangkitkan dan digunakan untuk mengenkrip data, dan lalulintas kunci acak ini terenkripsi dengan long-lived shared secret, menggunakan algoritma symmetric. komunikasi In-band digunakan sebagai pilihan untuk mentransfer algoritma dan bulk traffic keying material.
SKIP sertificate discovery adalah cara pengukuran terpopuler dimana komunikasi peers dapat mengambil sertifikat satu sama lain. Certificate Discovery Protocol (CDP) mengizinkan untuk meminta pembuatan menggunakan komunikasi out-of-band, dan lebih efisien jika simple request-response protocol dapat dibuat untuk menyediakan data yang cukup kepada peer untuk mendirikan shared secret. Protokol ini tepatnya mengizinkan masing-masing komunikasi dari berbagai macam server, selama sertifikat penerima terdiri dari signature yang berasal dari entitas yang terpercaya. Setelah melindungi secara singkat beberapa batasan dari aspek key management pada SKIP, kita akan kesulitan tentang bagaimana CDP dapat digunakan untuk menyediakan penyebaran yang lebih luas dari infrastruktur pengamanan komunikasi pada internet.
Pengembangan yang lebih besar
Dengan menggunakan mekanisme pengamanan pada network layer, maka keamanan dalam melakukan hubungan melalui internet dapat diperoleh tanpa harus mengamankan aplikasi yang digunakan. Dua pihak atau lebih yang ingin melakukan hubungan komunikasi yang aman bisa menggunakan SKIP untuk memenuhi aspek keamanan yang diinginkan selama mereka mengkonfigurasi SKIP sebagai protokol key manajeman pada kebijakan tiap-tiap pihak yang ingin melakukan hubungan komunikasi.
Tingkat keamananya terletak pada kemampuan SKIP untuk mengamankan layer network. Pihak yang ingin meng-upgrade mesinnya agar dapat memperoleh keamanan pada layer network rata-rata mempunyai keinginan bahwa jumlah overhead dan masalah-masalah baru yang mungkin timbul dapat dikurangi sekecil mungkin. Dengan demikian mesinnya dapat mempunyai kemampuan untuk meggunakan mode ‘privacy’ yang merupakan fitur dari SKIP tanpa harus memperoleh sertifikat dan pengguna dalah hal ini administrato dapat dijinkan untuk menetapkan dan mengontrol mesinnya dengan mudah.
Jika lalu lintas komunikasi dalam menyediakan privacy dan otentikasi semakin meningkat antara host semakin meningkat, maka solusi yang paling mudah adalah bahwa mekanisme ini akan mewajibkan tiap-tiap host untuk mengamankan semua traffic dan juga mengharapkan setiap host mengamankan semua komunikasi yang diterima. Bagaimanapun juga, banyak host yang belum memiliki kemampuan untuk melakukan komunikasi secara aman, dengan demikian host yang menjalankan kebijakan ini tidak akan bisa melakukan komunikasi dengan host yang tidak menggunkan kebijakan ini secara aman dengan kata lain akan melepaskan kemampuannya untuk berkomunikasi dengan host-host lain di internet yang tidak menggunakan kebijakan ini.
Untuk memperkenankan penggunaan enkripsi dan otentikasi pada network layer yang saat ini pemakaiannya sudah meluas, maka dibutuhkan protocol key manajemen dan “policy engine” yang mengijinkan 3 (tiga) jenis koneksi yaitu ‘clear’, ‘secure’ dan ‘optionally secure’.
Setelah pemberian alasan untuk penempatan keamanan mesin di network layer, kita telah menjelaskan sekarang bagaimana SKIP dapat digunakan dengan cepat menyebarkan keamanan diseluruh internet. Berdasarkan kebijakan peserta dan adanya system operasi yang memungkinkan keamanan komunikasi, bagian yang lebih besar pada internet mungkin menjadi aman dibagianya. Ini dicapai oleh penyediaan dynamic-up dan downgrading pada keamanan dua titik komunikasi. SKIP menyediakan banyak kemungkinan.
Asumsikan bahwa sebuah PGP seperti infrastruktur public key yang digunakan didalam network layer keamanan pemaketan akan tersedia juga, user dapat melakukan teknik yang dikenali dengan baik pada web-of-trust untuk berkembang menjadi lingkungan yang aman. User telah menyimpan didalam sebuah lingkungan hirarki yang hanya dapat menambah sertifikat yang disediakan oleh CA-nya. Ini fleksibel yang memungkinkan oleh tiga pesan baru untuk menyusun sebuah share secret didalam SKIP. Tiga pesan adalah sertifikat tradisional, sebuah pesan menyediakan material kunci yang tidak terotentikasi langsung dan kebanyakan nilainya berharga untuk pesan yang menyediakan material kunci otentikasi langsung dan meneruskan keamanan yang pasti. Pesan yang lalu hanya dapat digunakan jika identitas ( dan sertifikat ) pihak yang mungkin telah diketahui, namun kebanyakan terambil menjadi pertimbangan sebagaimana menyediakan otentiksi untuk pihak yang mungkin dan pihak yang tidak dikenali melawan passive attacker didalam sebuah pesan tunggal. Tiga tipe pesan dapat dikombinasikan menjadi dua jalan pertukaran, penyediaan seri protokol , setiap propertis yang berharga.
Pemeberitahuan lain untuk pembelajaran lebih lanjut adalah bagaimana menyediakan material kunci efisien dan skala aturan untuk anggota sebuah himpunan grup yang besar dan bagaimana menilai menggunakan ring kunci. Sebagaimana mereka disediakan oleh infrastruktur PGP. Mengalamatkan aspek teori “web of trust” dan sebuah relasi yang efisien dan solusi praktis yang harus ditemukan.