Kripto instan solusi murah meriah pengamanan informasi

Memberikan pengamanan pada sistem informasi yang dimiliki membutuhkan biaya dan energi tambahan yang besar. Terkadang manfaat dari memberikan pengamanan pada sistem informasi tidak dapat seketika dirasakan. Sehingga masalah keamanan ini seringkali menjadi nomor sekian bahkan terakhir dari setiap pembangunan sistem informasi. Kalaupun terpaksa dipasang, biasanya akan dicari solusi termurah dan paling minimal, karena intinya yang penting sudah dipasang.

Fokus utama pihak manajemen dan para pengambil keputusan hanyalah ketersediaan sistem informasi dan kelancaran operasional organisasi. Yang ironisnya pendukung utama ketersediaan dan kelancaran informasi tersebut adalah sistem keamanan informasi yang efektif. Bila sisi pengamanannya diabaikan, tentu ketersediaan dan kelancaran tersebut tidak akan tercapai, karena justeru pengamanan informasi bertujuan untuk melindungi sistem informasi agar selalu tersedia, lancar dan terjamin baik keamanannya maupun keutuhannya.

Banyak vendor yang jeli melihat kecenderungan itu, maka untuk mengkompromikan antara kebutuhan itu, dibuatlah metode keamanan informasi yang sesederhana dan semurah mungkin dengan semangat : ”yang penting sudah dipasangi sistem keamanan”. Maka lahirlah metode pengamanan informasi yang murah meriah dan mudah, dan karena inti produk keamanan informasi adalah kriptografi, maka produk kripto instan (instant crypto) ini yang paling diminati.

Instant crypto menurut para ahli persandian di Indonesia didefinisikan sebagai :

- Produk enkripsi yang dijual bebas, dapat dibeli dimana-mana dengan harga yang murah dan siapapun dapat membelinya tanpa memerlukan ijin khusus.

- Algoritma sandi yang digunakan adalah algoritma yang sudah terkenal dan dibuat secara massal seperti DES, Triple DES atau AES.

- Kunci sandinya bisa berupa public key, private key, key ring dan lain sebagainya. Dapat juga berupa kunci yang dibuat sendiri atau kunci yang dibuatkan oleh mesin random key generator.

- Pendistribusian kuncinya mengandalkan server on-line atau ditransfer secara on-line menggunakan e-mail, menggunakan public key atau sarana komunikasi umum lain.

- Penginstalannya cukup mudah, biasanya cukup dengan mengklik setup.exe dan selanjutnya tinggal mengklik next hingga finish disesuaikan dengan perintah yang muncul di layar monitor.

- Pengoperasiannya sudah user friendly dan user hampir tidak perlu mengetahui tehnis kriptografinya, cukup klik encrypt file untuk menyandi dan decrypt file untuk membaca file tersandi. Teknis operasional dan kunci sandinya sudah secara otomatis dibuatkan dan sudah ditangani oleh komputer yang diprogram oleh kriptografer dari vendornya. Biasanya user hanya perlu mengingat satu saja yaitu username dan password.

- Membeli, menginstal dan mengoperasikan kripto instan tidak memerlukan sertifikasi sebagai kriptografer, siapapun dapat melakukannya.

Produk instant crypto yang sudah dapat ditemui dipasaran seperti harddisk eksternal bersandi, usb flash disk bersandi, e-mail bersandi, laptop dengan harddisk bersandi, fasilitas menyandi file/folder dari Windows, gadget bersandi dan produk-produk lain yang telah ditempeli program enkripsi.

Produk-produk enkripsi instan ini banyak juga yang bermutu dan dapat diandalkan, namun sebatas untuk pemakaian pribadi atau untuk menyandi informasi-informasi yang tidak menyangkut “hidup-mati” perusahaan. Jika dipergunakan untuk informasi perusahaan yang bersifat sangat penting dan sensitif, transaksi keuangan, kemiliteran atau informasi rahasia negara/pemerintahan, enkripsi instan ini tentunya sama sekali tidak dapat diandalkan.

Kripto instan selintas terlihat sama baik dengan kripto biasa, namun para kriptografer, hacker, dan kriminal dapat dengan jelas melihat kelemahannya :

- Karena dijual bebas maka setiap orang dapat memilikinya. Dan tentunya hacker, kriminal ataupun kriptografer dapat memilikinya untuk mengeksploitasi kelemahannya.

- Algoritma sandi yang dibuat massal akan memiliki banyak vulnerabilities/lubang kelemahan, berbeda dengan algoritma sandi yang dibuat secara spesifik, dimana tidak semua orang mengetahuinya.

- Tidak memperhatikan key management, sehingga penggunaan kriptografi untuk keperluan organisasi/institusi/perusahaan tidak akan efektif.

- Dioperasionalkan oleh personel yang bukan profesional keamanan informasi atau personel yang awam kripto, sehingga seringkali tidak memperhatikan prosedur, standar kebijakan dan petunjuk pelaksanaan sistem pengamanan informasinya.-antz-