Analisis KeyPack 2000

Analisis KeyPack 2000 v1.10

Oleh: Budi Sukmawan

Program Keypack 2000 (KP2K) dikembangkan dan dipasarkan oleh Magellass Corp, tetapi tidak mencantumkan nama-nama pengelolanya. Namun demikian bila saya lihat dari tubuh programnya tampaknya dibuat oleh orang Indonesia karena terdapat teks-teks berikut: "Programmer : Dani Okianto", "GUI Design : Diki Septanto", "Data Research : Sandi Yulianto", "Beta Tester : Irma Adyarini" dan juga ada teks "mas dani nu hebat tea lah...". Program ini dibuat menggunakan Delphi dan dikompress dengan Aspack (v2.000 ?) dan walaupun tidak dapat didekompress dengan baik menggunakan Procdump masih dapat memperlihatkan teks di atas.

Menurut pembuatnya: KeyPack 2000 is a special utility designed to manage and keep track all kind of passwords, including web site acces codes, software serial numbers and other secret numbers you may have . Using easy to use interface you can quickly and safely store, edit, search, create backup, print, or generate new password.

Sebagai program penyimpan password tentunya harus benar-benar secure, karena tentunya digunakan untuk menyimpan data-data yang sangat rahasia dan kalau mungkin hanya disimpan dalam ingatan kita sehingga tidak ada orang lain yang dapat mengetahuinya. Tetapi tidak demikian dengan KP2K karena pengamannya sangat lemah dan tidak mungkin digunakan untuk menyimpan password secara aman. Ada dua cara penyimpanan data pada KP2K yaitu dengan disimpan begitu saja dan dengan menggunakan kunci (lock) dari menu File|Lock. Menyimpan password tanpa kunci jelas suatu kesalahan besar karena walaupun file dienkripsi, bila seseorang dapat mudah mengkopi file, ia dapat dengan mudah membukanya dikomputer lain dengan program KP2K yang ia install sendiri. Cara kedua yaitu kita dapat mengkunci file dengan password, tetapi penerapannya tidak benar karena password dienkrip dan disimpan pada awal file sebagai Delphi short string. Sebagaimana kita ketahui format short string adalah dimulai dengan panjang string sebanyak 1 byte diikuti dengan string itu sendiri. Dengan mengedit file data dengan sembarang hex editor kita dapat mengubah byte pertama ini menjadi 0 dan kita dapat membuka file dari program KP2K seperti sebuah file tanpa kunci.Saya tidak akan membahas enkripsi yang digunakan tetapi tampaknya juga tidak terlalu aman,dan hal itu juga tidak relevan lagi karena walaupun dienkrip, dengan mudah kita dapat membuka file tersebut dengan sedikit usaha walaupun memakai kunci.

Untuk perbaikannya saya menyarankan untuk memperbaiki program dengan menyimpan file dengan selalu menggunakan kunci (menyimpan data tanpa kunci harus dihilangkan). Menggunakan secure hash (seperti SHA-1 atau MD5) atau mungkin metoda standar PKCS #5 dari RSA Labs. untuk menyimpan kunci file. Dan yang penting juga data file harus dienkrip dengan metoda enkripsi yang sudah terbukti kekuatannya dan sudah dianalisis dengan baik seperti: Triple DES, Blowfish, Square, Twofish atau Rijndael. Masih banyak metoda lain yang dapat digunakan tetapi yang saya sebutkan ini merupakan metoda yang tidak dipatenkan dan kode sumbenya dapat mudah diperoleh di Delphi Superpage. Untuk diketahui dua metoda yang terakhir merupakan kandidat AES (Advanced Encryption Standard) putaran kedua yang akan digunakan sebagai standar enkripsi untuk dekade mendatang.

Magellass Corp. juga mengembangkan program Winboost 2000 yang saya lihat dari web site-nya (Magellass) mendapat pujian dari beberapa majalah terkenal dan beberapa user yang memujinya, jadi sangat sayang bila prestasi tersebut dicemari oleh sebuah program yang cacat dan tentunya akan merusak prestasi yang telah dicapai tersebut.

Pada saat ini untuk menyimpan password, daripada menggunakan sebuah program yang cukup mahal US $15 (buat orang Indonesia) saya lebih baik menggunakan Password Safe versi 1.7.1 yang free dari Counterpane Internet Security Inc.. Walupun interface lebih sederhana dari KP2K, Password Safe keamannya sudah diverifikasi dengan pengawasan dari Bruce Schneier, kryptographer yang sangat ternama yang juga merupakan pendiri dari Countepane.