Enkapsulasi disebut juga sebagai tunneling, karena proses enkapsulasi mentransmisikan data secara transparan antar jaringan melalui infrastruktur jaringan bersama.
proses enkapsulasi pada virtual private network
Tunneling berarti keseluruhan paket IP yang dikirimkan dari asal ke tujuan melalui proses enkapsulasi menggunakan paket lain. Protokol yang biasanya digunakan dalam tunneling, yaitu :
- Carrier protocol : protokol di mana informasi dikirimkan, misalnya Frame Relay, ATM, MPLS.
- Encapsulating protocol : protokol yang membungkus data orisinil, misalnya GRE, IPSec, L2F, PPTP, L2TP.
- Passenger protocol : protokol di mana terdapat data orisinil (IPX, Apple Talk, IPv4, IPv6).
Enkripsi berarti mengkodekan data ke format tertentu menggunakan kunci rahasia. Sebaliknya, dekripsi mendekodekan data yang terenkripsi ke format asli.
fungsi enkripsi dalam menjamin kerahasiaan data
Terdapat beberapa tempat berbeda di mana enkripsi dapat diterapkan pada infrastruktur jaringan, menurut layer protocol yang berbeda :
- Pada level jaringan (network level) : packet yang lalu lalang antar host pada jaringan dienkripsi. Mesin enkripsi diletakkan di dekat driver yang mengirim dan menerima paket. Contoh implementasinya adalah CIPE.
- Pada level socket : koneksi logik antar program berjalan pada host yang berbeda (koneksi TCP, layer transport atau session pada OSI) dienkripsi. Mesin enkripsi menyusup atau menjadi proxy koneksi. Implementasinya pada SSH dan SSL.
- Pada level aplikasi (application level) : aplikasi memiliki mesin enkripsinya sendiri dan mengenkripsi data pada level aplikasi. Contoh implementasi pada PGP untuk enkripsi e-mail.
Terdapat beberapa algoritma kriptografi yang umum digunakan dalam enkripsi, yaitu DES (Digital Encryption Standard), 3DES (Triple Digital Encryption Standard), RC4 (Rivest Cipher 4), RC5, RC6, Blowfish, dan AES (Advanced Encryption Standard). Selain itu, terdapat teknik enkripsi dan dekripsi yang terdiri dari Symmetric Cryptography dan Asymmetric Cryptography.
Enkripsi dan enkapsulasi saling mendukung dalam menjamin data confidentiality. Data yang akan dikirimkan akan dienkripsi terlebih dahulu, diubah menjadi format rahasia kemudian dienkapsulasi menggunakan protokol enkapsulasi yang dapat membungkus data yang akan dikirimkan dan melakukan tunneling ke tujuan. Setibanya di tujuan, data akan didekapsulasi kemudian didekripsi sehingga format data kembali seperti aslinya.
Symmetric Cryptography
Algoritma enkripsi seperti DES dan 3DES membutuhkan kunci rahasia shared untuk melakukan enkripsi dan dekripsi. Masing-masing komputer yang menggunakan algoritma ini harus mengetahui kunci untuk melakukan decode terhadap informasi. Dengan enkripsi kunci simetris, yang disebut juga enkripsi kunci rahasia, tiap komputer mengenkripsi informasi sebelum mengirimkannya ke jaringan ke komputer lain. Enkripsi kunci simetris membutuhkan pengetahuan tentang komputer mana yang akan berkomunikasi sehingga kunci yang sama dapat dikonfigurasi pada tiap komputer. Teknik enkripsi ini biasa digunakan untuk mengenkripsi isi pesan yang dikirimkan.
teknik enkripsi symmetric cryptography
Asymmetric Cryptography
Enkripsi asimetris menggunakan kunci yang berbeda dalam proses enkripsi dan dekripsinya. Satu kunci untuk mengenkripsi pesan dan kunci yang lain digunakan untuk mendeskripsi pesan. Tidak dapat melakukan enkripsi dan dekripsi dengan kunci yang sama. Enkripsi dengan kunci publik adalah sebuah varian dari enkripsi asimetris yang menggunakan kombinasi dari kunci privat dan kunci publik. Penerima memberikan kunci publik ke pengirim yang akan melakukan komunikasi. Pengirim menggunakan kunci privat yang dikombinasikan dengan kunci publik penerima untuk mengenkripsi informasi. Selanjutnya pengirim berbagi kunci publiknya dengan penerima. Untuk melakukan dekripsi informasi, penerima akan menggunakan kunci publik dikombinasikan dengan kunci privatnya.
teknik enkripsi asymmetric cryptography
Crypto IP Encapsulation
Crypto IP Encapsulation (CIPE) adalah suatu software yang diciptakan oleh Olaf Titz yang bertujuan untuk menyediakan fasilitas interkoneksi subnetwork yang aman, menghadapi penyadapan (eavesdropping), analisa trafik, dan injeksi paket palsu, melewati jaringan paket yang tidak aman, misalnya Internet.
CIPE menggunakan algoritma kriptografi Blowfish atau IDEA dengan panjang 128 bit (seperti kebanyakan aplikasi kriptografi umum lainnya, misal SSL). CIPE disisipkan pada layer jaringan, di atas layer network, dengan menambahkan interface network baru. Paket IP yang melaluinya akan dienkripsi dan dimasukkan pada sebuah tunnel pada peer gateway, di mana paket tersebut akan didekripsi dan dikirimkan ke layer selanjutnya.
Protocol ini didesain sederhana dan efisien, dan dapat bekerja pada fasilitas komunikasi yang sudah ada, khususnya dengan mengenkapsulasi paket UDP. Protokol CIPE terdiri dari dua bagian : enkripsi dan checksum terhadap paket data dan pertukaran key secara dinamis. Paket CIPE menyediakan peralatan tunneling IP terenkripsi untuk menciptakan router yang dapat melakukan enkripsi untuk aplikasi Virtual Private Network. CIPE menyediakan protokol point-to-point (protokol = 3) atau sebuah interface Ethernet (protokol = 4). Paket IP dikirimkan ke interface CIPE lalu dienkripsi dan dienkapsulasi dalam datagram UDP kemudian dikirimkan ke peer, ujung dari tunnel. Sesampainya di sana, paket didekapsulasi dan didekripsi lalu diterima oleh interface CIPE.
Paket CIPE terdiri dari suatu modul kernel dan program driver. Modul kernel menangani paket-paket IP : mengirimkan dan menerima paket, enkapsulasi termasuk enkripsi. Modul ini mengimplementasikan “peralatan jaringan” yang pada umumnya ditangani seperti peralatan jaringan lainnya. Konfigurasi dan pertukaran key dilakukan oleh program user level yang disebut ciped yang mirip seperti pppd. Untuk mengaktifkan dan menonaktifkan alat CIPE dengan cara memulai dan mengakhiri proses ciped-cb, spesifikasi options terhadap daemon mirip dengan setting pppd dan ciped menjalankan script pada saat mengaktifkan dan menonaktifkan alat CIPE.