E2EE: Apakah pesan pribadi Anda benar-benar rahasia?

Sumber Masalah: Bagaimana Pesan Dapat Disadap

Ketika Anda mengirim pesan kepada teman di ponsel Anda, Anda mungkin berpikir bahwa ini adalah percakapan yang pribadi. Namun, kenyataannya seringkali lebih kompleks. Setiap pesan Anda akan melewati server pusat, di mana mereka dicatat, disimpan, dan terkadang bahkan dibaca. Ini terdengar agak tidak nyaman, bukan?

Bayangkan, Anda dan teman Anda perlu melalui seorang perantara (server) untuk menyampaikan semua informasi. Perantara ini secara teoritis dapat melihat setiap kata yang Anda ucapkan. Inilah cara aplikasi pesan tradisional beroperasi — kecuali jika menggunakan teknologi enkripsi khusus.

Kerentanan Aplikasi Pesan Biasa

Sebagian besar aplikasi pesan menggunakan model “klien-server”. Anda memasukkan informasi di ponsel, dan server meneruskan informasi tersebut kepada penerima setelah menerimanya. Secara permukaan, jalur ini tampak terlindungi—misalnya, menggunakan TLS (Transport Layer Security) untuk mengenkripsi komunikasi antara ponsel Anda dan server.

Tetapi ada masalah kunci di sini: server masih dapat membaca konten pesan Anda. TLS hanya mencegah peretas mencegat selama proses pengiriman, tetapi tidak dapat menghentikan server itu sendiri untuk melihat data Anda. Setelah terjadi kebocoran data besar-besaran (hal ini sering terjadi), jutaan informasi pribadi akan terungkap.

Solusi: Cara Kerja Enkripsi End-to-End (E2EE)

Enkripsi End-to-End (End-to-End Encryption, disingkat E2EE) adalah metode yang sepenuhnya berbeda. Ini memastikan bahwa hanya pengirim dan penerima pesan yang dapat membaca kontennya, bahkan perusahaan yang mengoperasikan server pun tidak dapat mendekripsi.

Semua ini dimulai dengan langkah kunci: pertukaran kunci.

Sihir pertukaran kunci Diffie-Hellman

Pada tahun 1990-an, para ahli kriptografi Whitfield Diffie, Martin Hellman, dan Ralph Merkle merancang sebuah solusi yang elegan: pertukaran kunci Diffie-Hellman. Ini memungkinkan dua pihak untuk membuat rahasia bersama dalam lingkungan yang tidak aman (bahkan dengan penyadap yang mendengarkan).

Gunakan sebuah perbandingan sederhana untuk memahami:

Bayangkan Alice dan Bob tinggal di kamar hotel di ujung koridor, di mana koridor tersebut penuh dengan mata-mata. Mereka ingin berbagi warna yang hanya mereka ketahui, tetapi tidak dapat memasuki kamar satu sama lain.

Langkah Pertama: Mereka terlebih dahulu secara terbuka setuju untuk menggunakan satu warna dasar, seperti kuning. Mata-mata bisa melihat ini.

Langkah kedua: Alice kembali ke ruangan, mencampur kuning dengan warna rahasianya (misalnya biru), menghasilkan kuning-biru. Bob juga melakukan hal yang sama, mencampur merah dan kuning, menghasilkan merah-kuning. Mata-mata dapat melihat kedua warna campuran ini.

Langkah Ketiga: Alice dan Bob bertukar warna campuran mereka di lorong.

Langkah keempat: Alice mengambil merah kuning Bob, menambahkan biru rahasianya, dan mendapatkan merah kuning biru. Bob mengambil biru kuning Alice, menambahkan merah rahasianya, juga mendapatkan merah kuning biru.

Hasil: Kedua orang tersebut mendapatkan warna akhir yang sama persis, tetapi mata-mata tidak akan pernah bisa menebak warna ini karena mereka tidak tahu warna rahasia Alice dan Bob masing-masing.

Dalam aplikasi E2EE yang sebenarnya, prinsip ini menggunakan matematika untuk menggantikan warna, menggunakan kunci publik dan kunci pribadi untuk menggantikan warna rahasia.

Enkripsi dan Dekripsi Informasi

Setelah kedua belah pihak membangun rahasia bersama, mereka dapat menggunakannya sebagai dasar untuk enkripsi simetris. Sejak saat itu, semua pesan yang Anda kirim melalui WhatsApp, Signal, atau Google Duo hanya dapat didekripsi di perangkat Anda dan perangkat teman Anda.

Baik itu hacker, pemerintah, atau pengembang aplikasi, jika mereka mencegat pesan Anda, yang mereka lihat hanyalah data terenkripsi yang tidak berarti.

Dualitas E2EE

risiko yang tidak dapat diabaikan

Meskipun E2EE melindungi keamanan data selama transmisi, ada ancaman lain:

• Perangkat itu sendiri mungkin dicuri atau diretas: Jika ponsel Anda tidak memiliki perlindungan kata sandi, atau terinfeksi malware, pesan mungkin masih dapat dicuri setelah didekripsi.
• Serangan Man-in-the-Middle: Selama proses pertukaran kunci, penyerang dapat menyamar sebagai teman Anda, membangun koneksi rahasia dengan Anda, sehingga dapat membaca dan mengubah pesan Anda.
• Kebocoran Metadata: Meskipun pesan itu sendiri dienkripsi, server masih dapat melihat dengan siapa Anda berkomunikasi, kapan Anda berkomunikasi, dan itu sendiri adalah informasi sensitif.

Untuk mengatasi serangan pihak ketiga, banyak aplikasi menawarkan fitur “kode keamanan”—sebuah rangkaian angka atau kode QR yang dapat Anda verifikasi dengan teman melalui saluran yang aman (sebaiknya secara langsung) untuk memastikan tidak ada pihak ketiga yang menyadap.

Keunggulan yang sebenarnya

Namun, dalam kondisi ideal tanpa ancaman di atas, E2EE adalah alat yang kuat untuk melindungi privasi.

Ini berharga bagi semua orang, bukan hanya bagi mereka yang memiliki sesuatu untuk disembunyikan:

• Melawan Kebocoran Data Perusahaan: Bahkan jika aplikasi perusahaan diserang oleh peretas, penyerang hanya dapat memperoleh pesan terenkripsi, bukan konten dalam bentuk teks biasa. Mereka paling banyak hanya dapat mengakses metadata, tetapi setidaknya tidak dapat membaca percakapan pribadi Anda.
• Demokrasi dan Kebebasan Berbicara: Jurnalis, pembangkang, dan masyarakat umum memerlukan saluran komunikasi yang aman
• Privasi Sehari-hari: Percakapan pribadi, informasi medis, atau rahasia bisnis Anda tidak seharusnya disimpan dalam basis data perusahaan.

Status dan Prospek

Hari ini, E2EE bukan lagi rahasia teknologi yang tinggi. iMessage dari Apple dan Duo dari Google sudah mengintegrasikan enkripsi ini. Aplikasi yang berfokus pada privasi seperti Signal telah menggunakan E2EE sejak awal, sementara WhatsApp kemudian juga menambahkan fitur ini.

Semakin banyak alat dan aplikasi gratis juga menyediakan perlindungan E2EE. Ini berarti siapa pun yang memiliki smartphone dapat menggunakannya tanpa memerlukan pengetahuan profesional.

Kata Terakhir

Enkripsi end-to-end bukanlah sihir yang serba bisa, tetapi itu adalah lapisan pertahanan yang kuat. Ini tidak dapat melindungi Anda dari semua ancaman jaringan, tetapi dengan sedikit usaha, Anda dapat secara signifikan mengurangi risiko kebocoran privasi online.

Di era di mana kebocoran data sering terjadi, memahami dan menggunakan E2EE telah menjadi kebiasaan kebersihan digital yang mendasar.