MD5 itu Berbahaya, Titik!
Oleh
chmood
Heran! Sudah lama MD5 terbukti memiliki kelemahan serius, namun hingga kini masih banyak orang yang memakainya.
MD5 adalah salah satu fungsi hash yang sangat populer. Di usianya yang mencapai sweet seventeen, semakin banyak serangan yang makin efektif terhadap MD5. Kalau dulu di tahun 1995 ilmuwan hanya sebatas mempublikasikan kelemahan di tataran teoretis, kini semakin banyak orang yang mampu meng-exploit kelemahan itu dengan sangat efektif. Sudah saat MD5 dijauhi sebagai sesuatu yang berbahaya, jangan ditunda lagi!
Cryptographic Hash Basics
Untuk mudahnya anggap saja cryptographic hash sebagai semacam signature atau segel yang unik dari sebuah file. Setiap file yang berbeda akan memiliki signature yang berbeda. Perbedaan satu bit saja pada file akan menghasilkan signature yang berbeda. Sehingga dua file yang identik (seluruh bitnya sama), akan memiliki signature yang sama.
Sebelumnya mari kita lihat bagaimana fungsi hash MD5 in action. Input:
Input paragraf tersebut memiliki nilai hash:
Input di atas adalah teks sepanjang 578 karakter, sedangkan outputnya hanya 32 karakter, sangat timpang bukan? Mari kita lihat kalau inputnya hanya satu karakter saja, ‘X’, maka nilai hashnya adalah 02129bb861061d1a052c592e2dc6b383 atau dalam binary 00000010 00010010 10011011 10111000 01100001 00000110 00011101 00011010 00000101 00101100 01011001 00101110 00101101 11000110 10110011 10000011. Terlihat kan inputnya berapapun panjangnya, nilai hashnya tetap 128 bit atau 32 karakter hexa. Bahkan string kosong “” memiliki nilai hashnya sendiri sepanjang 32 karakter, yaitu 02129bb861061d1a052c592e2dc6b383.
MD5 bukan Enkripsi!
Seringkali orang menganggap MD5 sebagai enkripsi. Memang MD5 dipakai dalam kriptografi, namun MD5 bukanlah algoritma enkripsi. Enkripsi mengubah plain-text menjadi ciphertext yang ukurannya berbanding lurus dengan ukuran file aslinya. Semakin panjang plain-text maka hasil enkripsinya juga semakin panjang. Hasil enkripsi bisa dikembalikan ke plain-text semula dengan proses dekripsi. Jadi enkripsi adalah fungsi dua arah dan reversible. Selain itu dalam enkripsi dibutuhkan kunci, tanpa kunci itu namanya bukan enkripsi, melainkan hanya encoding/decoding.
Berbeda dengan enkripsi, fungsi hash tidak butuh kunci dan sifatnya hanya satu arah, yaitu dari teks masukan menjadi nilai hash yang panjangnya selalu sama. Setelah menjadi nilai hash, tidak ada fungsi yang bisa mengembalikan nilai hash itu menjadi teks semula.
Penggunaan Hash
Hash digunakan untuk banyak hal yang terkait dengan kriptografi dan security.
- Verifying file integrity
- Storing password
- Digital signature
Karena setiap file yang berbeda memiliki nilai hash yang berbeda, maka fungsi hash dimanfaatkan untuk verifikasi integritas file. Yang dimaksud dengan intergritas file adalah keaslian file, apakah file sudah diubah atau belum. Bila sebuah file berubah walaupun satu bit saja, maka nilai hashnya akan berbeda sehingga orang bisa menyadari bahwa file tersebut sudah tidak asli lagi. Kalau anda sering download file dari internet anda akan diberikan nilai MD5 yang bisa anda pakai untuk memverifikasi apakah file yang anda download masih asli atau tidak.
MD5 juga dipakai untuk mendeteksi perubahan file, salah satu contonya adalah Tripwire di Linux. Ini adalah bagian dari Intrusion Detection System, bila ada file yang berubah nilai hashnya, maka IDS akan menyalakan alarm bahwa telah terjadi perubahan file.
MD5 sering juga dipakai untuk menyimpan password di database. Daripada menyimpan password dalam bentuk plain-text, lebih baik yang disimpan bukan password tapi hash dari password itu. Ketika pengguna memasukkan password maka password tersebut akan dihitung nilai hashnya. Nilai hash dari password yang dimasukkan pengguna ketika login dibandingkan dengan nilai hash yang di database. Bila cocok, maka authentication sukses.
Ketika user mendaftar, password dia akan dihitung nilai hashnya dan disimpan dalam database. Contohnya bila dia mendaftar dengan password “rahasia” maka nilai hashnya adalah ac43724f16e9241d990427ab7c8f4228 dan disimpan dalam database. Bila kemudian dia login dengan password yang lain, maka nilai hashnya akan tidak cocok dengan yang di database sehingga authentication gagal.
Digital signature tidak lain adalah nilai hash yang ter-enkrip dengan kunci private pembuat dokumen. Penerima dokumen bisa memverifikasi signature ini dengan cara menghitung nilai hash dokumen yang dia terima. Kemudian men-dekrip digital signature dengan kunci publik pembuat dokumen sehingga kembali menjadi hash. Kedua nilai hash ini lalu dibandingkan, hasil dekrip dan hasil perhitungan, jika sama maka signature valid.
Digital signature ini dipakai juga untuk membuat certifikate SSL. Certificate SSL sangat vital peranannnya menjaga confidentiality dan authentication ketika seseorang mengakses web. Browser sudah memiliki daftar trusted Certificate Authority, jadi setiap browser mengakses situs dengan https akan diperiksa apakah certificate server tersebut ditanda-tangani oleh salah satu dari CA yang dipercaya browser.
Collision Vulnerability
Salah satu masalah yang mungkin terjadi dari fungsi hash adalah collision. Maksudnya adalah ada 2 atau lebih teks yang menghasilkan nilai hash yang sama. Anda sendiri telah melihat dengan MD5 bahwa masukan sepanjang berapapun, akan menghasilkan nilai hash sepanjang 128 bit. Itu artinya kemungkinan inputnya sangat banyak jumlahnya, tak terhingga, namun kemungkinan nilai hashnya hanya sejumlah 2^128. Sebagai ilustrasi, bayangkan apa yang terjadi bila dalam suatu negara jumlah wanitanya sangat banyak, hingga 5 kali lipat jumlah pria. Maka kemungkinan akan ada 2 atau lebih wanita yang memiliki suami yang sama. Inilah yang disebut collision. Ada 2 atau lebih input teks yang memiliki nilai hash yang sama.
Sebenarnya 2^128 itu jumlah yang sangat besar, yaitu sebesar: 340.282.366.920.938.463.463.374.607.431.768.211.456 . Saya tidak tahu bagaimana cara menyebutkannya setelah juta, milyar dan triliun. Jika fungsi hashnya secara merata menyebarkan nilai hash di semua ruang yang ada, maka sangat sulit untuk menemukan collision. Namun bila fungsi hashnya mengandung kelemahan sehingga hanya menghasilkan sebagian kecil saja dari semua kemungkinan yang tersedia, maka peluang terjadinya collision akan besar.
MD5 memiilki kelemahan yang memungkinkan dicari 2 file yang memiliki nilai hash yang sama dengan waktu yang singkat. Ilmuwan yang mempublikasikan cara mencari MD5 collision adalah ilmuwan Cina Xiaoyun Wang and Hongbo Yu dari Shandong University.
Kelemahan MD5 adalah IF MD5(X) = MD5(Y) THEN MD5(X+q) = MD5(Y+q)
Dua file binary di atas adalah contoh populer dari MD5 collision. Keduanya adalah dua file yang berbeda namun memiliki nilai hash yang sama. Dalam kedua file di atas hanya berbeda 6 byte saja, tidak terlalu berarti memang karena hanya sebagai proof of concept saja. Berikutnya akan saya tunjukkan contoh-contoh collision lain yang lebih seram dari ini.
Executables File Collision
Sebelumnya sudah saya jelaskan bahwa MD5 digunakan untuk menjaga integritas file contohnya ketika memverifikasi hasil download atau dalam Tripwire IDS. Fungsi hash digunakan untuk menjaga integrity karena perubahan pada file 1 bit saja akan mengubah nilai hashnya. Namun bila terjadi collision seperti pada MD5, maka file integrity tidak lagi bisa terjamin.
Peter Selinger telah membuat demonstrasi 2 buah file executable yang berbeda tapi memiliki nilai hash MD5 yang sama. Skenarionya adalah dari dua file itu salah satunya adalah file yang asli, satu lagi adalah file yang jahat. Keduanya memiliki ukuran dan nilai hash MD5 yang sama.
Kesamaan hash ini akan mengelabui Tripwire dan orang yang mendownload file itu dari internet. Tripwire akan diam seribu bahasa walaupun file executables telah diubah attacker. Begitu juga orang yang medownload sebuah file executable dari internet ternyata file yang dia terima sudah diubah di tengah perjalanan. Namun karena setelah dihitung nilai hashnya cocok dengan nilai hash file yang asli, korban akan menganggap file itu benar dan asli padahal berbeda.
Law #1: If a bad guy can persuade you to run his program on your computer, it’s not your computer anymore
Law #2: If a bad guy can alter the operating system on your computer, it’s not your computer anymore
Hukum di atas adalah 2 di antara 10 immutable laws of security. Memang benar, jika orang lain bisa menjalankan program atau mengubah program di komputer anda, maka komputer itu bukan milik anda lagi. Collision executables ini sungguh berbahaya!
Postscript File Collision
Postscript sebenarnya adalah bahasa pemrograman/script yang ditujukan khusus untuk membuat dokumen yang akan dicetak mirip sekali dengan PDF. Biasanya scriptnya tidak ditulis manual, namun orang menulis dokumen menggunakan editor WYSIWYG seperti microsoft word, kemudian program yang akan menulis scriptnya.
Mungkin anda lebih familiar dengan PDF. Bayangkan apa yang terjadi bila ada dua file PDF yang isinya bertolak belakang namun memiliki nilai hash yang sama. Karena nilai hashnya sama,maka bila file PDF yang satu di-tandatangani oleh seseorang, maka tandatangan itu akan valid juga untuk file PDF yang lainnya. Ketika diperlihatkan dokumen yang satunya lagi, orang yang menandatangani akan kaget karena dia tidak merasa menandatangani dokumen itu.
Dua orang ilmuwan dari jerman membuat demonstrasi collision dua buah file postscript. File ini isinya sangat jauh berbeda, namun keduanya memiliki nilai hash yang sama.
Skenarionya adalah Alice yang akan resign dari pekerjaannya meminta surat rekomendasi dari bosnya Caesar. Dalam surat itu dijelaskan bahwa Alice telah bekerja dengan baik selama bekerja di kantornya dan menganjurkan orang lain untuk menghire dia. Surat itu dibuat dalam bentuk digital dan ditandatangani secara digital oleh bosnya Caesar.
Alice membuat satu file lagi yang isinya adalah surat perintah Caesar yang memberi kuasa pada Alice untuk mengakses dokumen rahasia. Agar surat perintah ini dipercaya orang, maka surat perintah ini juga harus ditandatangani (digitally) oleh Caesar. Ingat bahwa tandatangan adalah hash yang di-enkrip dengan private key, jadi untuk menandatangani sebuah dokumen dibutuhkan private key, padahal yang punya private key hanya Caesar.
Kalau Caesar disodori file surat perintah tentu tidak akan mau menandatangani file itu. Maka triknya adalah memakai tanda tangan Caesar untuk file surat rekomendasi. Bagaimana caranya agar tanda tangan Caesar bisa valid untuk dua dokumen yang berbeda?
Caranya adalah dengan membuat file surat perintah memiliki nilai hash yang sama dengan file surat rekomendasi. Karena digital signature adalah hash yang ter-enkrip, maka bila ada dua file dengan nilai hash yang sama, maka digital signature keduanya juga pasti sama.
Dengan berbekal surat perintah aspal ini Alice bisa mengakses dokumen rahasia Caesar. Anak buah Caesar yang melihat tanda tangan digital Caesar pada surat itu tentu tidak berani membantah perintah Caesar.
Pada gambar di atas terlihat bahwa file size dan hash kedua file itu sama, a25f7f0b29ee0b3968c860738533a4b9, padahal diff melaporkan bahwa dua file itu berbeda. Bayangkan bila anda menjadi Caesar, anda tentu marah karena dianggap pernah menandatangani dokumen yang tidak pernah anda tahu.
Dengan digital signature, ketika anda menandatangani suatu file, sebenarnya anda juga mendatangani semua file lain yang memiliki hash yang sama.
SSL Certificate Collision
SSL certificate sangat vital untuk keamanan mengakses situs yang sensitif seperti situs belanja dan internet banking. Dengan menunjukkan certificate SSL yang valid, suatu server membuktikan dirinya pada browser bahwa dia adalah situs yang sah, browser yakin sedang berbicara dengan situs yang benar dan dengan certificate browser yakin akan public key server itu.
Bila attacker berhasil membuat certificate palsu, maka attacker bisa melakukan man in the middle attack (mitm) dan menyadap semua komunikasi antara browser dan server.
Browser hanya percaya dengan certificate yang ditandatangani oleh root CA atau intermediary CA yang terpercaya.
Bila attacker mencoba melakukan mitm attack, namun tidak punya sertifikat yang diterbitkan CA yang dipercaya browser, maka browser akan memunculkan warning bahwa sertifikat ini tidak bisa dipercaya. Bagaimana bila attacker mampu membuat certificate palsu dengan tanda tangan asli dari CA yang dipercaya browser?
Sekelompok hacker di US dan eropa dengan menggunakan 200 mesin PlayStation 3, berhasil membuat sertifikat palsu yang ditandatangani oleh CA yang dipercaya browser. Tidak hanya membuat sertifikat untuk satu website, namun mereka membuat sertifikat sebagai intermediary CA, artinya mereka berhak menerbitkan sertifikat untuk website apapun sebanyak yang mereka mau.
Semua itu bisa terjadi karena collision MD5 sehingga membuat digital signature untuk satu certificate akan valid juga untuk certificate lain yang palsu. Cara mereka melakukannya adalah:
- Mereka menyiapkan dua sertifikat yang punya hash yang sama. Sertifikat ini masih belum ditandatangani. Sertifikat yang satu adalah sertifikat untuk website, dan yang satu lagi sertifikat untuk menjadi CA (penerbit sertifikat).
- Mereka membeli tanda tangan CA untuk sertifikat yang untuk website.
- Setelah sertifikat yang telah ditandatangani CA dikirimkan, mereka mengkopi digital signature sertifikat itu dan dipasangkan pada sertifikat satu lagi yang telah disiapkan untuk menjadi CA.
- Karena sertifikat yang untuk website dan sertifikat untuk menjadi CA memiliki hash yang sama, maka tanda tangan di sertifikat satu akan valid juga di sertifikat yang lain.
- Dengan cara ini mereka kini berhak menerbitkan sertifikat untuk website lain.
Berikut adalah dua buah sertifikat yang dihasilkan dari serangan ini. Sertifikat yang pertama dalah sertifikat untuk website, yang dikeluarkan oleh CA yang asli. Sertifikat kedua adalah sertifikat yang dibuat sendiri dan tandatangannya dicomot dari sertifikat yang satunya.
Di bawah ini adalah sertifikat yang asli dan resmi dibeli dari CA dan ditujukan untuk website.
Sertifikat di atas adalah sertifikat yang resmi di beli dan ditanda tangani oleh CA. Digital signature dari sertifikat tersebut ada pada baris ke-50 sampai baris ke-57. Sekarang perhatikan sertifikat di bawah ini yang dibuat sendiri oleh attacker, sertifikat ini tidak ditandatangani oleh CA, jadi digital signature sertifikat ini dicomot dari sertifikat yang resmi beli dari CA pada baris ke-50 sampai ke-57 di atas.
Perhatikan pada sertifikat yang palsu pada baris ke-29, “CA:TRUE”, itu artinya sertifikat itu adalah sertifikat sebagai CA intermediary. Padahal sebenarnya CA yang asli tidak pernah menandatangani sertifikat itu, tapi tanda tangan untuk sertifikat lain dicomot ke sertifikat itu. Untuk lebih jelasnya kedua sertifikat tersebut saya capture dan saya beri penjelasan pada gambar di bawah ini.
Setelah saya coba lakukan verifikasi dengan openssl di Linux, ternyata hasilnya valid. Hanya karena tanggal di sertifikat itu sudah expired maka ada warning expired date. Sedangkan untuk sertifikat yang asli (dibeli dari CA) tidak ada warning expired date karena baru akan expired pada November 2009.
Kesimpulan
Saya sudah berikan 3 contoh yang memperlihatkan bahaya collision pada MD5. Jauhilah MD5, gunakan fungsi hash yang lebih strong, contohnya SHA-256. Awalnya vulnerability di kriptografi biasanya hanya teoretis saja sehingga orang tidak merasa perlu mengganti algoritma kriptografi yang dipakainya, namun makin lama serangan makin efektif dan cepat. Sebaiknya begitu ditemukan kelemahan signifikan pada sebuah algoritma, jauhilah algoritma itu.
Category
Komentar