Nasib Seisi Internet Ternyata Bertumpu di Pundak 14 Orang Halaman 2

Kompas.com - 26/10/2016, 06:57 WIB

Oik Yusuf

Penulis

Lihat Foto

Tanpa DNSSEC, hacker bisa menyisipkan alamat palsu (panah merah) ke dalam DNS sehinga menyesatkan pengguna internet ke situs berbahaya.(ICANN)

Gambaran hierarki DNS dalam pencarian alamat IP situs di internet. Root Zone Server berada di tingkat teratas dan mengatur lalu lintas ke Top-Level Domain.

Salah satu kunci hardware untuk pembaruan KSK yang tersimpan dalam lemari besi. Kunci berupa kartu elektronik ini terbungkus cangkang plastik, lalu dibungkus lagi dalam kantung plastik untuk mencegah manipulasi.

Sumber Business Insider

Alamat palsu

Pendek kata, DNS adalah "buku telepon" internet disusun berdasarkan hierarki, dengan Root Zone di urutan teratas daftar alamat. Sistem ini memiliki kelemahan karena berbasis "saling percaya". Komputer akan percaya begitu saja dengan alamat yang diberikan oleh server DNS tanpa verifikasi.

Akibatnya, bisa muncul kejadian DNS spoofing atau DNS cache poisoning, di mana server DNS dipaksa memberikan alamat IP palsu menuju situs berbahaya yang sengaja dibuat oleh hacker.

Untuk mengatasi ancaman tersebut, Internet Corporation for Assigned Names and Numbers (ICANN) selaku penanggung jawab DNS Root Zone pada 2010 mulai menerapkan protokol bernama DNS Security Extensions (DNSSEC).

Baca: Internet Indonesia Terganggu pada Malam Jumat, Ada Apa?

DNSSEC menambahkan fitur keamanan berupa otentikasi alamat DNS, untuk memastikan bahwa informasi yang diteruskan ke pengguna internet merupakan alamat asli, bukan alamat palsu yang dibuat oleh pihak tak bertanggung jawab.

Caranya adalah dengan membubuhkan digital signature berupa "kunci" kriptografis ke rekaman alamat yang berada di semua server DNS. Otentikasi DNSSEC dilakukan secara bertahap sesuai urutan hierarki.

Berbeda dari protokol HTTPS yang mengenkripsi trafik supaya tak bisa diendus pihak lain, DNSSEC ibarat menandai keaslian buku telepon internet untuk memastikan informasi di dalamnya memang benar.

Berbekal referensi digital signature tadi, server Root Zone akan memastikan keotentikan data dari TLD (.com, .net, dsb), lalu server TLD akan memastikan keotentikan data dari server second-level domain, dan seterusnya.

Apabila dalam mata rantai DNS terdeteksi ada data yang tidak otentik, maka trafik pengguna akan disetop, alih-alih dilarikan ke situs yang tidak jelas asal muasalnya sehingga terhindar dari bahaya.

Lalu, siapa melakukan otentikasi Root Zone yang berada di tingkat paling atas? Di sinilah letak "masterkey" yang menjadi kunci utama dalam sistem keamanan DNSSEC. Kunci penanda utama yang disebut Root Zone Key Signing Key (KSK) ini dipakai untuk menandai keaslian alamat yang tersimpan di DNS Root Zone.

14 juru kunci

Root Zone Key Signing Key memiliki peranan yang luar biasa besar di jaringan internet dunia. Dalam sebuah wawancara, Vice President Research ICANN, Matt Larson, pernah mengatakan bahwa pemilik kunci penanda tersebut bisa menguasai sebagian lalu lintas traffic internet yang menggunakan DNSSEC dengan membuat alamat palsu yang ditandai sebagai asli.

Lantaran inilah, agar netral dan bisa dipercaya oleh publik, KSK tidak bisa dipegang oleh satu individu atau institusi tertentu.

Proses otentikasi dan penciptaan KSK dipecah-pecah menjadi beberapa bagian, lantas diberikan ke 14 orang sukarelawan dari beberapa negara yang tergabung dalam Trusted Community Representatives (TCR).