Key Management Life Cycle

Manajemen kunci merupakan hal yang paling mudah dilakukan jika semua kunci ditetapkan setiap waktu. Cryptoperiod mengharuskan kita untuk melakukan update kunci pada setiap waktu tertentu. Hal inilah yang memungkinkan adanya kebutuhan tambahan, misalnya pada CA yang memelihara dan meng-update userkey. Kumpulan tahapan proses yang menjelaskan tentang perkembangan kunci hingga keberadaannya disebut sebagai key life cycle (siklus hidup kunci).

1. Kebutuhan melindungi lifetime

Pengawasan sangatlah penting untuk melindungi kunci selama proses penggunaannya maupun penyimpanannya. Dengan memperhatikan long term storage key, lamanya waktu perlindungan yang dibutuhkan bergantung pada fungsi kriptografinya (seperti enkripsi, signature, data origin authentication/integrity) dan time-sensitivity data.

Keamanan tergantung pada key update

Material kunci harus diperbaharui sebelum cryptoperiodnya habis. Update meliputi penggunaan material kunci yang ada untuk membuat material kunci yang baru, melalui protokol key establishment dan key layering yang tepat. Untuk menghindari kasus diketahuinya long term secret key atau session key yang lama dikarenakan compromise, maka ketergantungan antar material kunci tidak direkomendasikan, seperti pada pengamanan session key yang baru dengan menggunakan session key yang lama harus dihindari (karena compromise pada kunci lama bisa menyebabkan compromise pada kunci yang baru).

Lifetime storage untuk berbagai macam jenis kunci

· Penyimpanan secret key harus aman karena akan digunakan untuk confidentiality dan autentikasi.
· Penyimpanan public key harus aman karena digunakan untuk verifikasi autentikasi. Confidentiality and jaminan autentikasi,keduanya mengatasi ancaman bocornya kerahasiaan dan modifikasi dengan adanya teknik kriptografi, teknik procedural maupun perlindungan secara fisik (tamper-resistant hardware).
· Signature verification public key memerlukan pengarsipan untuk verifikasi signature setelah private key digunakan.
· Kunci yang digunakan untuk autentikasi entitas tidak memerlukan back up atau pengarsipan.
· Semua secret key untuk enkripsi atau untuk data origin authentication harus dijaga keamanannya selama protection lifetime, dan back up maupun pengarsipan dibutuhkan untuk menghindari hilangnya data atau keakuratan dari kunci hilang.

2. Key management life cycle (manajemen pada siklus hidup kunci)

Selain pada sistem yang sederhana dimana secret key tetap sepanjang waktu, cryptoperiod yang berhubungan dengan kunci dibutuhkan seperti update kunci secara periodik. Key update mengharuskan adanya prosedur dan protokol tambahan, termasuk adanya keterlibatan pihak ketiga pada sistem public key. Serangkaian kondisi dimana material kunci berkembang hingga melewati lifetimenya disebut key management life cycle.

Meliputi :
1. user registration – Sebuah entitas berinteraksi dengan pihak yang menangani registrasi untuk dapat menjadi anggota pada domain pengamanan tertentuan. Meliputi penambahan, atau pembuatan dan perubahan pada initial key material seperti shared password atau PIN, OTP (contohnya personal exchange, registered mail, trusted courier).
2. user initialization – Sebuah entitas menginisialisasi aplikasi kriptografi (seperti instalasi dan inisialisasi software maupun hardware), termasuk penggunaan atau instalasi pada initial key material selama proses user registration.
3. key generation – pembangkitan kunci kriptografi harus memasukkan syarat untuk meyakinkan bahwa kunci bersifat tidak mudah ditebak. Sebuah entitas bisa menggenerate kuncinya sendiri atau melalui pihak ketiga.
4. key installation – material kunci diinstal untuk penggunaan operasional pada software maupun hardware, dengan berbagai teknik seperti: memasukkan password atau PIN secara manual, disk transfer, read-only-memory device, chipcard atau hardware token maupun device lainnya(contohnya key-loader).
5. key registration – dalam kaitannya dengan key installation, material kunci secara official tercatat (oleh Registration Authority (RA)). Pada public key, sertifikat public-key mungkin dibuat oleh CA dan tersedia melalui sebuah public directory atau fasilitas lainnya.
6. normal use – tujuan dari manajemen kunci adalah untuk memfasilitasi tersedianya kunci operasional yang sesuai dengan standar kriptografis. Biasanya kunci tetap operasional sampai berakhir periode waktunya (expiration date). Contohnya pada pasangan kunci public.
7. key backup – Penyimpanan back-up pd media terpisah yang aman merupakan sumber untuk pemulihan kunci. Penyimpanan back-up digunakan utk menyimpan salinan info pada normal operasional selama periode waktunya.
8. key update – sebelum cryptoperiod habis, material kunci operational digantikan dengan material kunci yang baru. Proses ini merupakan kombinasi dari key generation, key derivation, merupakan eksekusi pada protokol key establishment antara dua belah pihak, atau komunikasi dengan pihak ketiga terpercaya (Trusted Third Party). Pada kunci public, update dan registrasi kunci yang baru melibatkan protokol komunikasi yang aman dengan Certification Authority (CA).
9. archival – material kunci tidak lama setelah penggunaan normalnya akan diarsipkan untuk menyediakan sumber untuk menyediakan kembali kunci pada kondisi tertentu. Archival sama istilahnya dengan off-line long-term storage pada post-operational key.
10. key de-registration and destruction – Fungsi ini memindahkan wewenang untuk berpartisipasi dalam domain pengamanan. Ketika entitas keluar dari keanggotaan, maka entitas harus dideregistrasi. De-registrasi bertujuan untuk mencegah entitas lain memanfaatkan atau menggunakan kunci entitas yangg dideregistrasi.Seluruh catatan dan hal-hal yang terkait dengan entitas harus ditandai untuk mengindikasikan bahwa entitas tidak lagi menjadi anggota domain pengamanan, tetapi catatan tersebut tidak boleh dihapus.
11. key recovery – jika material kunci hilang tanpa terjadi compromise, maka mungkin untuk menyimpan kembali copy dari back up.
12. key revocation –Kadang kala perlu untuk memindahkan kunci dari kondisi/fase sebelumnya sampai akhir periode waktu normalnya untuk alasan-alasan tertentu, termasuk kunci yang diketahui pihak tidak berwenang. Untuk kunci public yang terdistribusi dengan sertifikat, melibatkan sertifikat revokasi.

Remark (public-key vs. symmetric-key life cycle) Life circle pada kunci simetris (termasuk key-encrypting dan session key) umumnya sedikit rumit; sebagai contoh session key tidak teregistrasi, terback up, terevokasi, atau terarsipkan.

Kondisi kunci dalam life cycle

Kondisi tertentu selama material kunci dalam masa lifetime mendefinisikan tahapan dari siklus hidup kunci. Berikut ini merupakan klasifikasi dari kondisi kunci :
1. pre-operational.
Kunci belum tersedia untuk operasional normal/default.
2. operational.
Kunci sudah tersedia dan dalam penggunaan normal
3. post-operational.
Kunci tidak dalam penggunaan normal, tapi dimungkinkan akses ke kunci tersebut.
4. obsolete.
Kunci tidak lagi tersedia. Seluruh catatan tentang kunci tersebut .


Inisialisasi sistem dan instalasi kunci

Sistem key management membutuhkan sebuah initial key relationship untuk menyediakan sebuah initial secure channel dan secara bebas mendukung establishment kunci yang telah digunakan (long-term and short-term) melalui teknik otomatis. Proses inisialisasi terkadang melibatkan prosedur noncryptographic one-time seperti transfer pada material kunci dengan kurir, pihak ketiga terpercaya, ataupun melalui saluran yang aman. Keamanan pada sistem yang terencana dengan baik dapat mengurangi keamanan material kunci dan akhirnya terhadap keamanan instalasi initial key. Oleh karena itu, instalasi initial key mungkin melibatkan dual atau split control, dengan melibatkan dua atau lebih pihak terpercaya secara independen.

Referensi :

Menezes, Alfred J, Handbook of Applied Cryptography, CRC Press, 1996.

1 Komentar

  1. bingung aku, gak mudeng. hehe


Comments RSS TrackBack Identifier URI

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

  • [ It’s Me, AENI ]

    Meski hanya sebuah blog yang sederhana, namun dengan niat berbagi dan bertukar informasi tentang dunia Islam, Travelling dan Kriptografi, semoga bisa bermanfaat....

  • Blog Stats

    • 144,162 hits