Academy
Apa Itu Pretty Good Privacy (PGP)?
PGP adalah kepanjangan dari istilah yang bermakna Pretty Good Privacy atau Keamanan Cukup Baik. Ini merupakan sebuah aplikasi perangkat lunak enkripsi yang dirancang untuk memberikan tingkat privasi, keamanan, dan otentikasi pada sistem komunikasi daring. Di balik pembuatan program PGP pertama ini adalah nama Phil Zimmerman, yang memilih untuk menggratiskan PGP sebagai respons terhadap semakin berkembangnya kebutuhan sosial akan privasi.
Sejak kemunculannya pada tahun 1991, PGP telah melalui sejumlah versi perangkat lunak yang berbeda. Pada tahun 1997, Phil Zimmerman mengajukan proposal kepada Internet Engineering Task Force (IETF) untuk membuat standar PGP berbasis open-source. Proposal ini diterima dan berujung pada pembuatan protokol OpenPGP, yang menetapkan format standar untuk enkripsi kunci dan pesan.
Meskipun awalnya digunakan terutama untuk mengamankan email dan lampirannya, PGP sekarang memiliki berbagai aplikasi, termasuk dalam tanda tangan digital, enkripsi disk penuh, dan perlindungan jaringan.
Semula dimiliki oleh perusahaan bernama PGP Inc, akhirnya perangkat lunak ini diakuisisi oleh Network Associates Inc. Pada tahun 2010, Symantec Corp. membeli PGP dengan harga US$ 300 juta, dan sejak itu istilah ini telah menjadi merek dagang yang digunakan untuk produk yang sesuai dengan standar OpenPGP.
Bagaimana Cara Kerjanya?
Pretty Good Privacy adalah salah satu perangkat lunak pertama yang mengimplementasikan konsep kriptografi kunci publik. Ini adalah sistem kriptografi hibrida yang menggunakan kombinasi enkripsi simetris dan asimetris untuk mencapai tingkat keamanan yang tinggi.
Dalam proses dasar enkripsi teks, teks asli (plaintext) diubah menjadi teks terenkripsi (ciphertext) yang tidak dapat dibaca. Namun, sebelum proses enkripsi dimulai, sebagian besar sistem PGP melakukan kompresi data. Dengan mengompresi file teks asli sebelum dikirim, PGP menghemat ruang penyimpanan dan waktu transmisi, serta meningkatkan tingkat keamanan.
Setelah proses kompresi selesai, tahap enkripsi sebenarnya dimulai. Pada titik ini, teks asli yang telah dikompresi akan dienkripsi menggunakan kunci satu kali pakai yang disebut kunci sesi. Kunci ini secara acak dihasilkan melalui kriptografi simetris, dan setiap sesi komunikasi PGP memiliki kunci sesi yang berbeda.
Kemudian, kunci sesi dienkripsi menggunakan enkripsi asimetris: penerima (Bob) memberikan kunci publiknya kepada pengirim pesan (Alice), yang digunakan untuk mengenkripsi kunci sesi. Langkah ini memungkinkan Alice untuk aman mengirimkan kunci sesi kepada Bob melalui internet tanpa harus khawatir tentang keamanan data tersebut.
Enkripsi asimetris dari kunci sesi umumnya dilaksanakan melalui penggunaan algoritma RSA. Banyak pula sistem enkripsi yang memanfaatkan RSA, termasuk protokol Transport Layer Security (TLS) yang menjamin keamanan di berbagai bagian internet.
Setelah pesan sandi dan kunci sesi terenkripsi berhasil ditransmisikan, Bob dapat memanfaatkan kunci pribadinya untuk mendekripsi kunci sesi tersebut, yang nantinya digunakan untuk mengembalikan pesan sandi ke bentuk aslinya.
Di samping proses dasar enkripsi dan dekripsi, PGP (Pretty Good Privacy) juga mengusung tanda tangan digital yang memiliki setidaknya tiga fungsi penting:
- Otentikasi: Bob bisa memastikan bahwa si pengirim pesan adalah Alice.
- Integritas: Bob mendapat kepastian bahwa pesan tidak mengalami perubahan.
- Non-repudiasi: Setelah pesan di-tanda-tangani digital, Alice tak bisa mendustakan pengirimannya.
Pemanfaatan
Salah satu pemanfaatan umum PGP adalah untuk melindungi email. Email yang diamankan oleh PGP diubah menjadi rangkaian karakter tak terbaca (ciphertext), hanya bisa diurai oleh kunci dekripsi yang cocok.
Konsep ini sebanding dengan mengamankan pesan teks biasa, dan berbagai perangkat lunak mengizinkan PGP digunakan di atas aplikasi lain, menambahkan lapisan enkripsi pada layanan pesan yang tak dienkripsi.
Walaupun PGP umumnya digunakan untuk melindungi komunikasi di internet, penerapannya bisa diperluas hingga untuk mengamankan perangkat individu. Dalam skenario ini, PGP bisa diterapkan pada partisi hard disk komputer atau ponsel. Dengan mengenkripsi hard disk, pengguna diwajibkan memasukkan kata sandi saat sistem dinyalakan.
Kelebihan dan Kekurangan
Dengan menggabungkan enkripsi simetris dan asimetris, PGP memungkinkan informasi dan kunci kriptografi dibagikan secara aman melalui internet. Sebagai sistem hibrida, PGP mendapat manfaat keamanan kriptografi asimetris dan kecepatan enkripsi simetris. Selain keamanan dan kecepatan, tanda tangan digital juga memastikan integritas data dan otentikasi pengirim.
Protokol OpenPGP memungkinkan lingkungan standar yang bersaing dan solusi PGP dari berbagai perusahaan dan organisasi. Meskipun begitu, semua program PGP yang sesuai dengan standar OpenPGP dapat saling kompatibel. Artinya, file dan kunci yang dibuat di satu program bisa digunakan di program lain tanpa hambatan.
Namun, dalam hal kelemahan, sistem PGP tidaklah se-sederhana yang diharapkan untuk digunakan dan dipahami, terutama bagi pengguna dengan pengetahuan teknis yang terbatas. Selain itu, panjang kunci publik dianggap merepotkan oleh beberapa pengguna.
Pada tahun 2018, sebuah kelemahan serius bernama EFAIL diungkapkan oleh Electronic Frontier Foundation (EFF). EFAIL memungkinkan penyerang memanfaatkan konten HTML aktif dalam email terenkripsi untuk mendapatkan akses ke versi teks biasa dari pesan.
Namun, beberapa masalah yang diungkapkan oleh EFAIL telah dikenal oleh komunitas PGP sejak akhir 1990-an, dan sebenarnya, kelemahan ini terkait dengan implementasi klien email, bukan PGP itu sendiri. Jadi, meskipun laporan yang agak mengkhawatirkan dan membingungkan, PGP tetap utuh dan tetap menjadi salah satu yang paling aman.
Kesimpulan
Sejak awal pembuatannya pada tahun 1991, Pretty Good Privacy telah menjadi alat penting untuk melindungi data dan saat ini digunakan oleh berbagai aplikasi, memberikan privasi, keamanan, dan otentikasi untuk banyak sistem komunikasi dan layanan digital.
Meskipun kelemahan EFAIL yang terungkap pada tahun 2018 mengenai protokol keamanan, inti teknologi PGP masih dianggap kuat dan aman dalam bidang kriptografi. Penting untuk diingat bahwa perbedaan dalam implementasi PGP dapat menghasilkan tingkat keamanan yang berbeda.
Jika kamu ingin mengetahui lebih dalam mengenai aset kripto atau cryptocurrency, bisa baca artikel “Belajar Crypto untuk Pemula Mulai Dari Sini.”
Sumber: Binance Academy Indonesia