Certification Authority (CA) adalah pihak ketiga terpercaya yang tanda tangannya pada certificate menjamin keabsahan public key yang dimiliki oleh entitas tertentu. Keutamaan ikatan ini harus disediakan melalui perangkat tambahan, seperti attribute certificate atau policy statement. Pada certificate, string yang mengidentifikasi subject entity haruslah berupa sebuah nama unik dalam sistem (distinguished name), yang mana CA secara khusus menghubungkannya dengan suatu keadaan dengan suatu entitas dalam dunia nyata. CA memerlukan tanda tangan pasangan kuncinya sendiri, public key otentik yang disediakan agar setiap pihak untuk mendaftarkan diri sebagai pemakai sistem yang sah. CA public key ini mengizinkan sembarang user sistem, melalui perolehan certificate dan verifikasi, untuk memperoleh kepercayaan atas kebenaran public key dalam sembarang certificate yang disahkan oleh CA tersebut.
Certificate merupakan perangkat untuk alih kepercayaan. Keabsahan public key CA dapat dihasilkan melalui perangkat non-kriptografis, mencakup perolehan kunci secara pribadi atau melalui kurir terpercaya. Keabsahannya mutlak diperlukan, tetapi tidak demikian dengan kerahasiaannya.
Contoh informasi tambahan yang dapat dimiliki oleh data part dalam sebuah certificate meliputi:
1. Masa berlaku public key;
2. Nomor seri atau kunci pengenal yang dapat mengidentifikasi certificate atau kunci;
3. Informasi tambahan mengenai subject entity (misalnya alamat kantor atau alamat jaringan);
4. Informasi tambahan mengenai kunci (misalnya algoritma dan tujuan penggunaan kunci);
5. Tindakan berkualitas (quality measures) yang berhubungan dengan identifikasi subject entity, pembuatan pasangan kunci, atau masalah kebijakan lain;
6. Informasi yang memudahkan proses verifikasi tanda tangan;
7. Status public key.
Sebelum membuat public key certificate untuk entitas A, CA harus melakukan langkah-langkah tertentu (sehubungan dengan tingkatan keamanan yang dibutuhkan), khususnya secara non-kriptografis, untuk memverifikasi identitas yang diklaim A dan fakta public key yang akan disahkan merupakan benar-benar milik A. Berkaitan dengan hal tersebut di atas, pembuatan pasangan kunci dapat dibedakan menjadi 2 (dua) kasus sebagai berikut:
Kasus 1. Pihak terpercaya membuat pasangan kunci. Pihak yang dipercaya membuat pasangan kunci dan memberikannya pada entitas tertentu, dan termasuk public key dan identitas pemilik kunci dalam certificate. Entitas tersebut mendapatkan salinan yang bersesuaian dengan private key melalui secure channel setelah identitasnya terbukti sah (misalnya dengan menunjukkan paspor atau pengenal resmi lainnya secara pribadi). Setelah hal tersebut dilakukan, semua pihak dalam sistem menggunakan certificate sebagai delegasi kepercayaan atas proses verifikasi identitas oleh pihak yang dipercayai itu.
Kasus 2. Entitas membuat pasangan kuncinya sendiri. Entitas membuat pasangan kuncinya sendiri dan mengirimkan public key miliknya kepada pihak terpercaya melewati trusted channel atau langsung secara pribadi untuk mendapatkan otentikasi. Dalam proses verifikasi otentikasi (sumber) public key, pihak terpercaya membuat public key certificate sebagaimana yang telah dijelaskan sebelumnya.
Pada kasus 2 di atas, CA memerlukan bukti (proof) pengetahuan atas private key yang bersesuaian dengan public key, untuk menghindari (antara lain sembarang kemungkinan attack) selain pihak yang berhak memperoleh, untuk tujuan jahat, public key certificate yang terikat namanya pada public key milik pihak lain. Untuk kasus signature public key, hal ini dapat dilakukan oleh pihak yang mengeluarkan signature-nya sendiri dalam sub-set data part dari certificate; atau dengan menjawab challenge r1 yang diacak oleh pihak itu sendiri, misalnya mendandatangani h(r1|| r2) untuk hash function h dan bilangan acak r2 yang dipilih sendiri oleh penandatangan.
Keseluruhan proses yang menjelaskan pihak B memperoleh public key yang sah milik pihak A dengan menggunakan public key certificate adalah sebagai berikut:
1. Memperoleh public key yang sah dari CA (hanya satu kali).
2. Memperoleh string pengenal yang secara unik mengidentifikasi pihak A yang dituju.
3. Melalui unsecured channel (misalnya melalui pusat basis data umum, atau secara langsung dari A), memperoleh public key certificate yang bersesuaian dengan entitas A dan menyetujui string pengenal yang dikirimkan sebelumnya.
4. a. Periksa tanggal dan waktu dengan masa berlakunya (jika ada) yang terdapat pada certificate, dengan berpedoman pada penunjuk waktu lokal terpercaya.
b. Periksa masa berlaku public key milik CA.
c. Periksa signature pada cerificate A, menggunakan public key milik CA.
d. Periksa bahwa certificate belum ditarik/dibatalkan.
5. Jika seluruh pemeriksaan berhasil, maka public key dalam certificate merupakan kunci A yang sah.
Dalam kaitannya dengan perbedaan persyaratan siklus hidup untuk berbagai jenis kunci (misalnya pada cryptoperiod, backup, pengarsipan, dan persyaratan siklus hidup pengamanan lainnya), pemisahan certificate lebih disarankan atas kunci-kunci tersebut, dibandingkan menyatukannya dalam satu certificate.
Public key certificate mengikat public key dengan suatu identitas, termasuk lingkup data tambahan yang dibutuhkan untuk menjelaskan ikatan tersebut, tetapi tidak diharapkankan untuk menjamin lingkup data tambahan itu. Attribute certificate serupa dengan public key certificate, tetapi secara spesifik bertujuan untuk mengijinkan pemberian informasi selain public key (namun tetap yang berhubungan dengan CA, entitas atau public key), sehingga memungkinkan disampaikan melalui cara-cara yang baik. Attribute certificate dapat juga dihubungkan dengan public key tertentu dengan mengikatkan informasi tambahannya melalui metode bagaimana kunci dimaksud diidentifikasi, misalnya melalui nomor seri certificate, atau hash value dari public key atau certificate-nya.
Attribute certificate dapat dikeluarkan oleh attribute certification authority, dibuat bersama attribute registration authority, dan didistribusikan bersama attribute directory service. Lebih umum lagi, sembarang pihak yang memiliki signature key dan otoritas yang terpercaya dapat membuat attribute certificate. Satu aplikasi digunakan untuk menjamin informasi otorisasi suatu public key. Lebih spesifik lagi, hal ini dapat digunakan, misalnya, untuk membatasi kewajiban sebagai akibat dari digital signature, atau untuk membatasi penggunaan public key (contohnya transaksi value terbatas, jenis-jenis tertentu, atau dalam rentang waktu tertentu).
Tidak ada komentar:
Posting Komentar