Ngapain aja sih para ahli IT itu? Intro ke PGP/GPG

(jika ini menyinggung sebagian orang: biarin aja :p)

Udah ada banyak banget kasus dimana email atau identitas palsu menjadi kasus di Internet. Bahkan “pakar” seperti Roy Suryo pun sempat kena. Roy Suryo bahkan merasa perlu untuk menjelaskan di media massa (melalui surat pembaca) bahwa emailnya hanya satu, dan bahwa yang lain itu cuma palsu.

Nah, para pakar ini pernah nggak sih tau yang namanya PGP (Pretty Good Privacy) atau GPG (GNU Privacy Guard)? Kedua program tersebut mengimplementasikan email yang aman dengan public key cryptography (kriptografi kunci publik), yang bisa menjamin kerahasiaan, keaslian, dan non repudiation.

Cara kerjanya sederhana, ketika memakai program-program itu untuk kali pertama, kita akan diminta membuat kunci (ada 2: public dan privat). Kita diminta menyimpan key privat dengan hati-hati (dengan password kalo perlu), dan kunci publik bisa disebar ke umum (misalnya dipublish di web pribadi, dimasukkan kartu nama, di tuliskan di balon udara, dll).

Nah sekarang, kalau saya mau kirim email, saya bisa menandatangani dengan kunci privat saya (ada tulisan “– begin pgp signed message —” di awal pesan), jika seseorang ingin memastikan bahwa yang mengirim adalah saya, orang tersebut bisa mencari kunci publik saya yang disebar ke umum dan menjalankan program yang sama untuk memeriksa kecocokkannya (bahwa pesan berasal dari saya dan tidak diubah di jalan).

(dalam kasus ini kunci publik saya ada di http://www.compactbyte.com/joekey.txt)

Nah sekarang akan sulit bagi seseorang untuk memalsukan diri menjadi diri kita. Ini menjaga aspek integrity dari message (jelas asal usulnya), dan non repudiation (saya tidak bisa menyangkal kalau saya yang menulis sesuatu).

Jika saya ingin mengirim email ke seseorang yang punya PGP key, dan saya ingin mengirim pesan dengan aman, saya bisa mengenkripsi pesan saya dengan key public milik orang itu dan saya bisa memastikan bahwa hanya orang tersebut yang akan menerima dan membaca pesan yang saya kirim. Kalau menandatangani, pesannya masih terbaca, kalau mengenkripsi, pesannya menjadi tidak terbaca tanpa kunci yang tepat.

Nah, sekarang, buat para pakar yang tidak takut untuk mengakui ucapannya, dan yang nggak mau namanya dipakai orang lain untuk hal-hal yang palsu, coba ya pake PGP. Masak ngaku-ngaku pakar kalo gitu aja nggak tau?

Leave a Reply

Your email address will not be published. Required fields are marked *