Jumat, 21 Januari 2022

Isu Penyadapan, Ini Penjelasan Teknis Keamanan “End-to-End Encryption” yang Diterapkan WhatsApp

Isu Penyadapan, Ini Penjelasan Teknis Keamanan “End-to-End Encryption” yang Diterapkan WhatsApp

Foto: "End to end encryption" yang diterapkan Whatsapp. (raka/swamedium)

Jakarta, Swamedium.com — WhatsApp, salah satu aplikasi yang melayani perpesanan terbesar di seluruh dunia ini telah menerapkan keamanan ekstra yakni “end-to-end encryption” kepada satu miliar penggunanya di seluruh dunia dan pada seluruh gawai berbeda, seperti iOS, Android, Windows, Blackberry dan Nokia.

Banner Iklan Swamedium

Untuk pengguna WhatsApp yang telah memperbarui ke versi terbaru, di setiap pesan, foto, video, berkas yang dikirim atau yang diterima dan menelpon dengan menggunakan aplikasi WhatsApp sekarang telah dibuat aman oleh skema keamanan ini. Sehingga selain pengirim dan penerima pesan, tidak akan bisa mendapatkan akses untuk melihat konten yang dikirim melalui aplikasi WhatsApp, bahkan pegawai WhatsApp sekalipun tidak mendapatkan akses ke konten penggunanya.

Bagaimana skema untuk keamanan “end-to-end encryption” ini? Apakah dengan penerapan skema keamanan ini dapat menjamin kerahasiaan konten bagi pengguna WhatsApp? Tim Swamedium.com mencoba untuk menjelaskan bagaimana rincian dari keamanan “end-to-end encryption” berdasarkan dokumen pada tautan ini https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf yang dipublikasikan oleh WhatsApp pada 5 April 2016.

Di setiap pengguna WhatsApp terhubung melalui “jalur” yang didesain oleh Open Whisper System dan menjadi jalur komunikasi dengan skema keamanan “end-to-end encryption”. Skema keamanan “end-to-end encryption” terbagi menjadi dua jenis kunci yang di dalam dua jenis kunci tersebut terbagi lagi bagian-bagian dari beberapa kunci dengan fungsi berbeda-beda. Kedua jenis kunci tersebut dinamakan kunci publik dan kunci sesi.

Kunci publik adalah kunci yang disimpan di gawai pengguna atau di server WhatsApp sendiri. Bagian-bagian dari kunci publik yakni “Identity Key Pair” yang dibuat ketika selesai melakukan instalasi aplikasi WhatsApp pada gawai, “Signed Pre Key” yang dibuat bersamaan dengan “Identity Key Pair” ketika melakukan instalasi aplikasi WhatsApp pada gawai dengan tanda tangan berdasarkan “Identity Key”, “One-Time Pre Keys” juga dibuat ketika melakukan instalasi aplikasi WhatsApp pada gawai yang akan merubah kuncinya ketika dibutuhkan berdasarkan periode waktu.

Kunci sesi adalah kunci yang disimpan hanya pada gawai pengguna WhatsApp. Bagian dari kunci sesi yakni “Root Key” digunakan sebagai akar dari kunci sesi berukuran 32-byte yang digunakan untuk membuat “Chain Key”, “Chain Key” bagian dari kunci sesi yang digunakan untuk membuat “Message Key” berukuran 32-byte, dan “Message Key” digunakan untuk mengenkripsi konten berukuran 80-byte yang terbagi tiga yakni ukuran 32-byte bagian pertama menggunakan skema enkripsi AES-256, sedangkan ukuran 32-byte lainnya menggunakan skema enkripsi HMAC-SHA256, dan sisa berukuran 16-byte menggunakan skema enkripsi IV.

Pada saat registrasi WhatsApp, dari gawai pengguna akan dikirimkan kunci publik, yakni “Signed Pre Key” (dilengkapi dengan tanda tangan berdasarkan “Identity Key Pair”), dan “One-Time Pre Keys” ke server WhatsApp.

Proses enkripsi pada saat mengirim pesan terjadi melalui beberapa langkah, yaitu :

  1. Pada gawai pengguna WhatsApp (inisiator) mulanya meminta “Identity Key Pair”, “Signed Pre Key”, dan “One-Time Pre Keys” untuk penerima pesan.
  2. Server memberikan nilai kunci publik yang diminta. Sebuah “One-Time Pre Keys” hanya digunakan sekali, jadi yang disimpan di dalam server akan dihapus setelah diminta. Jika penerima telah mendapatkan “One-Time Pre Keys” dan penerima belum menyatakan telah menerima “One-Time Pre Keys”, Maka “One-Time Pre Keys” tidak akan diberikan ulang.
  3. Pada gawai dari sang initiator kemudian menyimpan “Identity Key Pair” milik penerima sebut saja penerima I, “Signed Pre Key” milik penerima S, and “One-Time Pre Key” milik penerima O.
  4. Pada gawai inisiator akan menghasilkan pasangan kunci Curve25519 singkat untuk inisiator E.
  5. Kemudian di gawai inisiator juga memuat Kunci Identitasnya sendiri sebagai inisiator I.
  6. Lalu di gawai inisiator melakukan proses perhitungan master secret dengan rumus
    master_secret = ECDH (inisiator saya, penerima S) || ECDH (inisiator E, penerima saya) ||
    ECDH (inisiator E, penerima S) || ECDH (inisiator E, penerima O).
    Jika tidak ada “One Time Pre Key”, ECDH terakhir dihilangkan.
  7. Pada gawai inisiator menggunakan HKDF untuk membuat “Root Key” dan “Chain Keys” dari master_secret yang telah dihitung tadi.

Proses dekripsi pada saat menerima pesan terjadi melalui beberapa langkah, yaitu :

  1. Dari gawai penerima pesan menghitung master_secret menggunakan kunci milik penerima sendiri dan kunci publik yang disertakan pada bagian “header” pesan masuk.
  2. Penerima akan menghapus “One-Time Pre Key” yang digunakan oleh inisiator.
  3. Penggagas menggunakan HKDF untuk mendapatkan “Root Key” yang sesuai dan “Chains Key” dari master_secret.

Kesimpulan dari diterapkannya keamanan “end-to-end encryption” pada aplikasi WhatsApp adalah pesan yang dikirim dan diterima antara pengguna WhatsApp dilindungi dengan protokol “end-to-end encryption” sehingga pihak ketiga dan WhatsApp tidak bisa membaca dan mengakses pesannya. Sehingga pesan hanya bisa didekripsi dan diakses oleh si penerima.

Semua jenis pesan WhatsApp (termasuk “chat”, “group chat”, gambar, video, pesan suara, berkas) dan panggilan WhatsApp dilindungi oleh “end-to-end encryption”. Server WhatsApp tidak memiliki akses ke kunci pribadi pengguna WhatsApp, dan pengguna WhatsApp memiliki opsi untuk memverifikasi kunci untuk memastikan integritas komunikasi.

Keamanan percakapan di WhatsApp menjadi perbincangan publik setelah mencuat kasus percakapan berkonten pornografi yang diduga dilakukan Habib Rizieq Syihab dengan Firza Husein.

Sebelumnya, pihak kepolisian sudah memastikan gambar percakapan WhatsApp yang diduga dilakukan antara Habib Rizieq Syihab dengan Firza Husein adalah asli.

“Gambar itu bukan rekayasa, asli. Sekarang siapa lagi yang harus dipercaya kalau bukan saksi ahli? Sudah semua, asli. Gambar itu pun kami cek ke TKP, benar,” kata Kepala bidang Hubungan Masyarakat Polda Metro Jaya Komisaris Besar Argo Yuwono di Mapolda Metro Jaya, Senin, (29/5) lalu.

Selain itu, kata Argo, penyidik juga memiliki bukti transmisi yang cocok antara telepon genggam Rizieq dengan telepon genggam Firza.

“Sudah dicek ke Telkom, benar atas nama pak Rizieq. Handphone yang satu dengan handphone yang ini juga ada transmisi,” katanya.

Sementara pihak Telkomsel melalui operatornya di akun resmi Twitter @telkomsel telah mengatakan,”Mohon maaf, Telkomsel menegaskan tidak memiliki kemampuan/kompetensi dalam membuka konten chat melalui aplikasi sosial media”.

Cuitan akun Telkomsel tersebut sebagai jawaban dari sejumlah warganet yang menanyakan perihal keamanan percakapan melalui aplikasi WhatsApp. (rk)

Banner Iklan Swamedium

Related posts

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.

Fakta Berita