idNSA.id - Karena protokol Signal menjadi standar industri, perlu dipahami apa yang membedakannya dari bentuk lain dari pesan end-to-end encryption.
Pekan lalu , dengan sedikit gembar-gembor, Google mengumumkan perubahan yang dapat segera membuat 2 miliar pengguna Android di seluruh dunia jauh lebih sulit untuk diawasi: Raksasa teknologi itu mengatakan sedang meluncurkan versi beta dari aplikasi messaging Android yang sekarang akan menggunakan enkripsi end-to-end secara default.
Tingkat enkripsi itu, meski terbatas pada percakapan satu lawan satu, dirancang untuk mencegah orang lain menguping — bukan operator telepon, bukan badan intelijen, bukan hacker yang telah mengambil alih router Wi-Fi lokal, bahkan Google sendiri akan memiliki kunci untuk mendekripsi dan membaca miliaran pesan tersebut.
Berita tersebut bukan hanya kemenangan untuk privasi global. Ini juga merupakan kemenangan untuk satu sistem enkripsi tertentu: protokol Signal, yang sedang dalam perjalanan untuk menghitung sebagian besar percakapan teks real-time. Karena protokol ini menjadi standar de facto untuk perpesanan terenkripsi di sebagian besar layanan utama, ada baiknya memahami apa yang membedakannya dari bentuk lain dari perpesanan terenkripsi end-to-end.
Anda mungkin sudah mengenal Signal berkat aplikasi messaging teks terenkripsi end-to-end yang populer dengan nama yang sama, dibuat oleh cypherpunk Moxie Marlinspike dan dalam beberapa tahun terakhir diselenggarakan oleh organisasi nirlaba Signal Foundation. Aplikasi Signal, memiliki reputasi yang tak tertandingi untuk keamanan dan privasi, dengan dukungan profil tinggi dari pelapor NSA Edward Snowden dan pendiri WhatsApp Brian Acton, yang meninggalkan WhatsApp pada 2018 untuk menjabat sebagai direktur eksekutif Signal Foundation.
Tetapi sistem kripto yang mendasari yang dirancang Marlinspike dan tempat Signal dibangun, yang dikenal sebagai protokol Signal, telah menyebar jauh melampaui aplikasi eponimnya. WhatsApp pertama kali mengadopsi protokol Signal pada tahun 2014 untuk mengenkripsi semua pesan secara menyeluruh antara ponsel Android , yang menurut Marlinspike kepada WIRED adalah "penyebaran enkripsi end-to-end terbesar yang pernah ada."
WhatsApp mengaktifkannya secara default untuk semua satu miliar lebih pengguna dua tahun kemudian. Tak lama kemudian, Google meluncurkan enkripsi end-to-end melalui protokol Signal sebagai fitur keikutsertaan untuk utusan Allo yang sekarang sudah tidak berfungsi dan dalam layanan obrolan video Duo-nya.
Facebook diikuti dengan menambahkannya sebagai fitur opt-in "Secret Message" di Facebook Messenger beberapa bulan kemudian. Keputusan Google untuk mengintegrasikan protokol Signal ke dalam aplikasi perpesanan Android secara default mewakili koleksi ponsel baru terbesar yang mengadopsi standar tersebut dalam beberapa tahun, dengan ratusan juta lebih perangkat.
Jadi mengapa raksasa teknologi dunia semuanya memilih Signal sebagai protokol kripto pilihan mereka? Fitur menonjolnya, kata profesor ilmu komputer dan kriptografer Johns Hopkins, Matthew Green, adalah bagaimana ia mengimplementasikan apa yang dikenal sebagai " perfect forward secret ”.
"Dengan sebagian besar sistem enkripsi, saat sebuah aplikasi dipasang di ponsel, itu membuat pasangan kunci permanen yang digunakan untuk mengenkripsi dan mendekripsi pesan: satu kunci" publik "yang dikirim ke server perpesanan dan akan digunakan untuk mengidentifikasi pengguna, dan satu kunci "pribadi" yang tidak pernah meninggalkan ponsel pengguna.
Namun, jika kunci pribadi itu disusupi, seperti jika seseorang meretas atau menyita ponsel Anda, hal itu berpotensi membuat semua pesan Anda rentan terhadap dekripsi. Bahkan jika Anda telah menghapusnya pesan dari ponsel Anda, kuncinya dapat mendekripsi pesan terenkripsi apa pun yang berhasil direkam oleh penyadap ketika mereka awalnya melakukan perjalanan melintasi jaringan.
Protokol Signal, bagaimanapun, menggunakan apa yang disebut sistem "ratchet" yang mengubah kunci setiap pesan. Ini dilakukan dengan membuat kumpulan pasangan kunci sementara untuk setiap pengguna, selain kunci permanen.
Ketika seseorang mengirim pesan ke kontak melalui aplikasi menggunakan protokol Signal, aplikasi tersebut menggabungkan pasangan sementara dan permanen kunci publik dan pribadi untuk kedua pengguna untuk membuat kunci rahasia bersama yang digunakan untuk mengenkripsi dan mendekripsi pesan itu.
Karena pembuatan kunci rahasia ini memerlukan akses ke kunci pribadi pengguna, kunci ini hanya ada di dua perangkat mereka. Dan sistem kunci sementara protokol Signal — yang terus diisi ulang untuk setiap pengguna — memungkinkannya menghasilkan kunci bersama baru setiap pesan.
"Setiap kali Anda mengirim pesan, kunci Anda diperbarui," kata Green. "Artinya, jika ponsel Anda dicuri pada waktu X, pesan apa pun yang Anda kirim sebelum waktu X akan tetap aman." Jaminan itu kurang, catat Green, di iMessage Apple, aplikasi perpesanan populer lainnya yang menggunakan enkripsi end-to-end tetapi tidak menawarkan kerahasiaan ke depan yang sempurna.
Kerahasiaan sempurna ke depan tidak berguna, penting untuk diperhatikan, jika pengguna tidak menghapus pesan mereka secara berkala. Jika ponsel seseorang disita atau dicuri dengan semua pesannya masih utuh, pesan tersebut akan terlihat oleh siapa pun yang memegang ponsel seperti halnya pemilik aslinya.
Aplikasi Signal menawarkan pesan menghilang yang secara otomatis dihapus setelah batas waktu tertentu. WhatsApp juga meluncurkan fitur hapus otomatis , setelah bertahun-tahun tidak memilikinya. Pengguna perpesanan Android, yang terpenting, harus secara manual menghapus pesan apa pun yang ingin mereka lindungi untuk mendapatkan manfaat penuh dari kerahasiaan yang sempurna dari protokol.
Popularitas Signal tidak hanya berasal dari fitur kerahasiaan ke depan yang sempurna, tetapi juga dari reputasinya sebagai protokol sumber terbuka yang dirancang dengan baik. Ketika WIRED bertanya kepada Google tentang pilihan Signal-nya, pimpinan produk perpesanan perusahaan, Drew Rowny, menggambarkannya sebagai "protokol bersumber terbuka, transparan, dan diaudit". Sudah ada cukup lama — dan penerapannya di WhatsApp, Facebook Messenger, dan aplikasi Signal sendiri sangat diteliti — sehingga setiap bug yang serius akan terlihat dan diperbaiki bertahun-tahun yang lalu.
"Anda sebaiknya menggunakan hal yang menjadi standar," kata Green. Dia membandingkan memilih Signal dengan pepatah TI lama "Tidak ada yang pernah dipecat karena membeli IBM."
Untuk pengguna, juga, tidak ada salahnya untuk beralih dari layanan perpesanan tidak terenkripsi yang mungkin Anda gunakan ke layanan yang mengimplementasikan protokol Signal. Sebentar lagi, mungkin sulit untuk menghindarinya bahkan jika Anda sudah mencobanya.
Sumber Artikel: Wired, Foto: mobileappdaily
