Apakah anda telah menggunakan Truecrypt? Atau menjadi tertarik untuk menggunakannya setelah membaca Bagian-I di edisi Infokomputer bulan Juli 2010? Jangan terburu-buru melakukan implementasi solusi enkripsi sebelum benar-benar memahami cara penggunaannya, terutama pengelolaan kunci, serta berbagai risiko yang ada.
KEY FILES
Selain password, kita juga dapat menggunakan beberapa file sebagai kunci-kunci untuk meningkatkan keamanan e-brankas. Key files pada Truecrypt seperti memiliki brankas yang membutuhkan lebih dari satu kunci untuk membukanya. Sehingga selain mengetahui password yang digunakan, penyerang juga harus mengetahui dan mencuri file-file kunci untuk dapat membukanya.
Mekanisme proteksi password + key files selain berguna untuk mempersulit penyerang, dapat juga digunakan untuk menjaga informasi rahasia yang hanya dapat dibuka jika seluruh key files dikumpulkan, seperti password administrator atau root dari sistem yang sensitif.
Organisasi-organisasi yang paham betapa sensitifnya password dari userid administrator, memecah password menjadi beberapa bagian dan masing-masing bagian disimpan didalam amplop tertutup dan hanya dibuka dalam kondisi tertentu dengan prosedur yang ketat. Dalam kondisi normal, masing-masing administrator memiliki password unik, sehingga bisa dijamin akuntabilitas dari penggunaan password-password tersebut.
KEY RECOVERY
Memberikan piranti lunak pengenkripsi kepada para pengguna dalam sebuah organisasi bisa berubah menjadi boomerang. Apa yang harus dilakukan jika pengguna lupa password atau tidak bisa dihubungi kembali karena sudah berhenti? Hanya memastikan kerahasiaan tanpa mempertimbangkan ketersediaanadalah salah satu kesalahan fatal langkah pengamanan informasi yang kerap terjadi.
Saat membuat e-brankas (Truecrypt volume), sebenarnya dibuat 2 buah e-brankas. (1) e-brankas besar tempat kita menyimpan file-file yang ingin dilindungi. (2) e-Brankas kecil tempat menyimpan kunci dari e-Brankas besar. Password dan key files yang digunakan adalah untuk membuka e-brankas kecil yang dikenal dengan istilah volume header.
Membuat key recovery pada Truecrypt dilakukan dengan menjalankan proses Backup volume header dengan langkah-langkah sebagai berikut:
Langkah 1: Tutup e-brankas (Dismount) jika e-brankas terbuka karena proses Backup volume header hanya dapat dilakukan jika e-brankas tertutup.
Langkah 2: Klik Select File dan pilih file Truecrypt yang volume header-nya akan di-backup.
Langkah 3: Klik Volume Tools dan klik Backup volume header.
PERLINDUNGAN KEY RECOVERY
Key recovery (backup volume header) merupakan file-file yang amat sensitif. Namun karena e-brankas antara satu komputer pengguna dengan yang lainnya harus dibuat khusus, maka tim yang bertanggung-jawab terhadap proses key recovery menjadi harus menjaga ratusan atau ribuan file berisi backup volume header. Strategi keamanan menjadi tidak konsisten jika key recovery tidak disimpan didalam e-brankas. Maka buatlah sebuah atau beberapa buah e-brankas untuk menyimpan file-file key recovery tersebut. Kemudian gunakan fungsi key files. Masing-masing anggota tim key recovery memiliki sebuah file sebagai kunci. Sehingga proses key recovery hanya dapat dilakukan jika seluruh pihak pemegang kunci hadir. Misal: information security office yang mengetahui password dan 3 orang tim key recovery yang masing-masing memegang key file berbeda-beda.
IMPLEMENTASI TRUECRYPT KE KOMPUTER PENGGUNA
Sebaiknya kita tidak membiarkan pengguna membuat key recovery sendiri. Buat prosedur dimana pembuatan e-brankas dilakukan oleh tim yang dipercaya, serta prosedur perlindungan dan penggunaan key recovery. Hal ini penting untuk menjamin ketersediaan dan kerahasiaan key recovery.
Harap diingat, membuat sebuah e-brankas kemudian menduplikasi file Truecypt-nya ke beberapa pengguna amatlah berbahaya. Pengguna yang jahat atau pengguna yang secara tidak sadar dirinya sedang dimanfaatkan penyerang dapat membuat key recovery sendiri dan menggunakannya untuk membuka file Truecrypt milik pengguna lain.
Selain itu, menyerahkan pemakaian fasilitas pengaman yang rumit kepada pengguna seringkali menjadi sia-sia. Bayangkan, apa jadinya seandainya mengenakan helm atau sabuk penggaman serumit mengenakan kimono? Cara penggunaan fasilitas pengamanan yang rumit akan ditinggalkan pengguna, sehingga ada ungkapan yang mengatakan: “Kerumitan adalah salah satu musuh utama keamanan informasi.”
Penggunaan Truecrypt dapat dibuat menjadi amat mudah bagi pengguna jika e-brankas sudah dibuatkan, disimpan sebagai favorites volume, dan opsi Mount favorites volumes setelah proses login diaktifkan. Truecrypt juga menyediakan fasilitas command line yang memungkinkan penyederhanaan pemakaian hingga mendekati transparan bagi pengguna.
PENGGUNAAN TRUECRYPT DI REMOVEABLE STORAGE
Yang kemudian menjadi pertanyaan, bagaimana kalau kita ingin membuka e-brankas dikomputer yang belum terinstal Truecrypt? Truecrypt merupakan aplikasi portable, yang dapat dijalankan tanpa butuh dilakukan instalsi. Sehingga saat melakukan proses instalasi, pilih Extract. Directorty Truecrypt yang dihasilkan saat proses ekstrak bisa dipindah atau diduplikasi ke media penyimpan lainnya.
Namun, karena Truecrypt driver harus dijalankan dengan hak administrator, maka dibutuhkan userid dan password dengan hak administrator saat Truecrypt portable dijalankan. Hal ini berbeda jika proses instalasi menggunakan pilihan Install dimana yang menjalankan Truecrypt driver adalah system.Penggunaan Truecrypt di Removeable Storage
Yang kemudian menjadi pertanyaan, bagaimana kalau kita ingin membuka e-brankas dikomputer yang belum terinstal Truecrypt? Truecrypt merupakan aplikasi portable, yang dapat dijalankan tanpa butuh dilakukan instalsi. Sehingga saat melakukan proses instalasi, pilih Extract. Directorty Truecrypt yang dihasilkan saat proses ekstrak bisa dipindah atau diduplikasi ke media penyimpan lainnya.
Namun, karena Truecrypt driver harus dijalankan dengan hak administrator, maka dibutuhkan userid dan password dengan hak administrator saat Truecrypt portable dijalankan. Hal ini berbeda jika proses instalasi menggunakan pilihan Install dimana yang menjalankan Truecrypt driver adalah system.
PENGGUNAAN BRANKAS ELEKTRONIK TRUECRYPT MELALUI JARINGAN KOMPUTER
File Truecrypt dapat diakses oleh beberapa pengguna secara bersamaan dengan dua pilihan implementasi.
Pilihan 1: Dibuka kemudian diakses.
Pada pilihan ini, file Truecrypt dibuka dan di-share oleh pemilik e-brankas atau administrator. Pengguna bisa langsung mengakses file-file didalam e-brankas. Kelebihan dari pilihan ini adalah isi dari e-brankas dapat dibaca/ditulis secara bersama oleh pengguna lainnya. Seperti file sharing pada umumnya. Kekurangannya adalah, pilihan implementasi ini menjadikan isi e-brankas berada dalam bentuk tidak terenkripsi ketika ditransfer dari server ke komputer pengguna melalui jaringan. Hal ini memungkinkan informasi tersebut dapat dibaca penyerang yang melakukan penciuman (sniffing) paket-paket jaringan.
Pada pilihan ini, file Truecrypt dibuka dan di-share oleh pemilik e-brankas atau administrator. Pengguna bisa langsung mengakses file-file didalam e-brankas. Kelebihan dari pilihan ini adalah isi dari e-brankas dapat dibaca/ditulis secara bersama oleh pengguna lainnya. Seperti file sharing pada umumnya. Kekurangannya adalah, pilihan implementasi ini menjadikan isi e-brankas berada dalam bentuk tidak terenkripsi ketika ditransfer dari server ke komputer pengguna melalui jaringan. Hal ini memungkinkan informasi tersebut dapat dibaca penyerang yang melakukan penciuman (sniffing) paket-paket jaringan.
Pilihan 2: Diakses kemudian dibuka.
Pada pilihan ini, file Truecrypt diletakan pada salah satu shared directory di file server dan pengguna mengakses file Truecrypt dalam keadaan belum dibuka, sama seperti pengguna membuka file Truecrypt yang berada dilokal harddisk. Kelebihan dari pilihan ini adalah isi e-brankas tetap dalam keadaan terenkripsi saat berada dalam jaringan. Kekurangannya adalah file Truecrypt sebaiknya di set sebagai read-only. Karena jika dibaca/ditulis pada saat yang bersamaan, terutama oleh sistem operasi yang berbeda, maka file tersebut akan corrupted. Dengan kata lain, hanya satu pengguna yang dapat melakukan baca/tulis saat yang bersamaan.
Pada pilihan ini, file Truecrypt diletakan pada salah satu shared directory di file server dan pengguna mengakses file Truecrypt dalam keadaan belum dibuka, sama seperti pengguna membuka file Truecrypt yang berada dilokal harddisk. Kelebihan dari pilihan ini adalah isi e-brankas tetap dalam keadaan terenkripsi saat berada dalam jaringan. Kekurangannya adalah file Truecrypt sebaiknya di set sebagai read-only. Karena jika dibaca/ditulis pada saat yang bersamaan, terutama oleh sistem operasi yang berbeda, maka file tersebut akan corrupted. Dengan kata lain, hanya satu pengguna yang dapat melakukan baca/tulis saat yang bersamaan.
SUDAHKAH ANDA SIAP MENGIMPLEMENTASI TRUECRYPT?
Mayoritas pengguna dinegara maju, saat akan menggunakan sesuatu untuk pertama kalinya, proses yang dilakukan adalah, (1) Buka bungkusnya, (2) Ambil, baca dan pahami manualnya, (3) Pasang dan pakai barang atau piranti lunaknya. Di Indonesia, cukup banyak orang yang melakukan dengan urutan (1)-(3)-(2).
Kesalahan prosedur amat berbahaya dalam keamanan informasi. Sehingga anda belum siap mengimplementasi Truecrypt, kecuali anda telah menekan tombol F1, membaca dan memahami e-bookTruecrypt User’s Guide hingga selesai.
Sedemikian bagusnya isi petunjuk pemakaian Truecrypt, sehingga akan sangat berguna bagi siapa saja yang ingin belajar secara cukup mendalam mengenai enkeripsi. Dari sekian banyak panduan pemakai yang pernah saya baca secara detil, Truecrypt User’s Guide satu-satunya yang membicarakan risiko-risiko dari penggunaan dan keterbatasan-keterbatasan produknya dari sisi keamanan informasi secara lengkap dan lugas. Sesuatu yang selayaknya ditiru pembuat produk keamanan sehingga pengguna dapat melakukan pengelolaan risiko dengan baik dan benar.
Gildas Deograt Lumy
Senior Information Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)
Senior Information Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)
Majalah InfoKomputer, edisi Agustus 2010
sumber:thinksecurityfirst
