Glosarium Keamanan & Enkripsi
Penjelasan sederhana tentang konsep keamanan di balik Vaulted.
AES-256-GCM
AES-256-GCM adalah algoritma enkripsi simetris yang menggabungkan Advanced Encryption Standard dengan kunci 256-bit dan Galois/Counter Mode, memberikan kerahasiaan data sekaligus verifikasi integritas bawaan dalam satu operasi.
Arsitektur Zero-Knowledge
Arsitektur zero-knowledge adalah desain sistem di mana penyedia layanan tidak memiliki kemampuan untuk mengakses, membaca, atau mendekripsi data yang disimpannya atas nama pengguna, karena semua operasi enkripsi dan dekripsi terjadi di sisi klien.
Autentikasi Multi-Faktor
Autentikasi multi-faktor (MFA) adalah metode autentikasi yang mengharuskan pengguna menyajikan dua kredensial independen atau lebih dari kategori berbeda — sesuatu yang mereka ketahui, sesuatu yang mereka miliki, atau sesuatu yang melekat pada diri mereka — sebelum akses diberikan.
bcrypt
bcrypt adalah fungsi hashing password berbasis block cipher Blowfish yang menyertakan salt bawaan dan faktor biaya yang dapat dikonfigurasi, dirancang agar mahal secara komputasi dengan cara yang secara khusus menahan akselerasi oleh GPU dan perangkat keras khusus.
Berbagi Rahasia
Berbagi rahasia, dalam konteks manajemen kredensial, adalah praktik mentransmisikan informasi sensitif — seperti kata sandi, API key, atau kunci privat — antar pihak melalui saluran yang dirancang untuk meminimalkan eksposur, membatasi persistensi, dan mencegah akses tidak sah.
Ciphertext
Ciphertext adalah output terenkripsi dari algoritma kriptografi — representasi data asli yang telah diacak dan tidak dapat dibaca tanpa kunci dekripsi yang sesuai.
Derivasi Kunci
Derivasi kunci adalah proses mengubah nilai sumber — biasanya kata sandi, passphrase, atau rahasia bersama — menjadi satu atau lebih kunci kriptografi menggunakan algoritma deterministik yang dirancang untuk menghasilkan materi kunci dengan entropi tinggi.
Eksfiltrasi Data
Eksfiltrasi data adalah transfer tidak sah dari data dari sistem organisasi ke lokasi eksternal yang dikendalikan oleh penyerang, baik melalui teknik berbasis jaringan, media fisik, maupun akun yang terkompromikan.
Enkripsi Asimetris
Enkripsi asimetris adalah sistem kriptografi yang menggunakan sepasang kunci yang terkait secara matematis — kunci publik yang dapat digunakan siapa pun untuk mengenkripsi data, dan kunci privat yang hanya dimiliki pemiliknya untuk mendekripsinya — menghilangkan kebutuhan berbagi kunci rahasia sebelumnya.
Enkripsi End-to-End
Enkripsi end-to-end (E2EE) adalah metode komunikasi di mana data dienkripsi di perangkat pengirim dan hanya dapat didekripsi di perangkat penerima, memastikan tidak ada perantara — termasuk penyedia layanan — yang dapat mengakses konten plaintext.
Enkripsi saat Istirahat
Enkripsi saat istirahat adalah praktik menyimpan data dalam bentuk terenkripsi di penyimpanan persisten — seperti disk, database, atau media backup — sehingga data tetap terlindungi bahkan jika media penyimpanan dikompromikan.
Enkripsi saat Transit
Enkripsi saat transit adalah praktik mengenkripsi data saat bergerak antara dua sistem melalui jaringan, biasanya diimplementasikan melalui TLS (Transport Layer Security) atau pendahulunya SSL, untuk mencegah penyadapan dan manipulasi.
Enkripsi Simetris
Enkripsi simetris adalah metode kriptografi di mana kunci rahasia yang sama digunakan untuk enkripsi dan dekripsi. Baik pengirim maupun penerima harus memiliki kunci yang identik untuk mengenkripsi dan mendekripsi data.
Enkripsi Sisi Klien
Enkripsi sisi klien adalah praktik mengenkripsi data di perangkat pengguna — biasanya di browser atau aplikasi native — sebelum mengirimkannya ke server, memastikan server hanya menerima dan menyimpan data terenkripsi.
Eskalasi Hak Istimewa
Eskalasi hak istimewa adalah teknik serangan di mana penyerang mengeksploitasi kerentanan, miskonfigurasi, atau kredensial yang dicuri untuk mendapatkan izin tingkat lebih tinggi dari yang awalnya disahkan — biasanya berpindah dari pengguna biasa ke akun administrator atau root.
Fragmen URL
Fragmen URL adalah bagian URL yang muncul setelah simbol hash (#). Sesuai RFC 3986, browser memproses fragmen hanya di sisi klien dan tidak pernah menyertakannya dalam permintaan HTTP yang dikirim ke server.
GDPR
General Data Protection Regulation (GDPR) adalah undang-undang perlindungan data komprehensif yang diberlakukan oleh Uni Eropa yang mengatur cara organisasi mengumpulkan, memproses, menyimpan, dan berbagi data pribadi individu di dalam EU dan European Economic Area.
Hashing Password
Hashing password adalah praktik menerapkan fungsi kriptografi satu arah yang mahal secara komputasi pada sebuah password — dikombinasikan dengan salt yang unik — untuk menghasilkan digest berukuran tetap yang dapat memverifikasi password tanpa menyimpannya dalam bentuk yang dapat dipulihkan.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) adalah undang-undang federal AS yang menetapkan standar nasional untuk melindungi privasi dan keamanan informasi kesehatan yang dapat diidentifikasi secara individual, yang dikenal sebagai Protected Health Information (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) adalah mekanisme kriptografi yang menggabungkan fungsi hash kriptografi dengan kunci rahasia untuk menghasilkan kode autentikasi berukuran tetap, memungkinkan penerima memverifikasi integritas dan keaslian pesan.
Infrastruktur Kunci Publik
Infrastruktur kunci publik (PKI) adalah kerangka komprehensif yang terdiri dari peran, kebijakan, perangkat keras, perangkat lunak, dan prosedur yang digunakan untuk membuat, mengelola, mendistribusikan, menyimpan, dan mencabut sertifikat digital beserta pasangan kunci publik-privat yang terkait.
Initialization Vector
Initialization vector (IV) adalah nilai acak atau pseudorandom yang digunakan sebagai input tambahan ke algoritma enkripsi bersama kunci, memastikan bahwa plaintext yang identik yang dienkripsi dengan kunci yang sama menghasilkan ciphertext yang berbeda di seluruh operasi.
JSON Web Token
JSON Web Token (JWT) adalah format token yang ringkas dan aman untuk URL yang didefinisikan oleh RFC 7519, merepresentasikan klaim antar dua pihak sebagai objek JSON yang ditandatangani secara digital, memungkinkan autentikasi stateless dan pertukaran informasi.
Key Wrapping
Key wrapping adalah operasi kriptografi yang mengenkripsi sebuah kunci (kunci payload) menggunakan kunci lain (kunci wrapping atau kunci enkripsi kunci), memberikan perlindungan kerahasiaan dan integritas pada materi kunci selama penyimpanan atau pengiriman.
Kontrol Akses
Kontrol akses adalah sekumpulan mekanisme dan kebijakan keamanan yang mengatur pengguna, sistem, atau proses mana yang diizinkan mengakses sumber daya tertentu, serta tindakan apa yang berwenang mereka lakukan pada sumber daya tersebut.
Kontrol Akses Berbasis Peran
Kontrol akses berbasis peran (RBAC) adalah model kontrol akses di mana izin ditetapkan ke peran — seperti administrator, editor, atau penampil — dan pengguna mendapatkan izin dengan ditugaskan ke peran tersebut, daripada izin diberikan langsung ke akun individual.
Log Audit
Log audit adalah catatan kronologis dan tahan manipulasi dari peristiwa dan aktivitas dalam sebuah sistem — termasuk tindakan pengguna, percobaan akses, perubahan konfigurasi, dan peristiwa keamanan — yang dipelihara untuk tujuan akuntabilitas, kepatuhan regulasi, dan analisis forensik.
Manajemen Kredensial
Manajemen kredensial adalah kumpulan kebijakan, proses, dan alat yang digunakan untuk mengelola siklus hidup penuh kredensial akses secara aman — termasuk pembuatan, penyimpanan aman, berbagi terkontrol, rotasi berkala, dan pencabutan tepat waktu.
Manajemen Rahasia
Manajemen rahasia adalah disiplin untuk menyimpan, mendistribusikan, merotasi, dan mengaudit kredensial sensitif — seperti API key, kata sandi, token, sertifikat, dan kunci enkripsi — secara aman di seluruh aplikasi, infrastruktur, dan tim.
Nonce
Nonce (number used once) adalah nilai unik, biasanya acak atau berurutan, yang digunakan tepat sekali dalam operasi kriptografi untuk memastikan bahwa input yang identik menghasilkan output yang berbeda, mencegah serangan replay dan analisis pola.
OAuth
OAuth 2.0 adalah kerangka otorisasi terbuka yang memungkinkan aplikasi pihak ketiga mendapatkan akses terbatas ke sumber daya pengguna di layanan lain — seperti profil atau data mereka — tanpa pengguna harus membagikan password kepada pihak ketiga tersebut.
Otoritas Sertifikat
Otoritas sertifikat (CA) adalah organisasi pihak ketiga yang dipercaya yang menerbitkan, menandatangani, dan mengelola sertifikat digital yang digunakan untuk memverifikasi identitas entitas — seperti situs web, organisasi, atau perangkat — dalam infrastruktur kunci publik.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) adalah algoritma derivasi kunci yang didefinisikan dalam RFC 8018 yang menerapkan fungsi pseudorandom — biasanya HMAC-SHA-256 — secara iteratif pada kata sandi dan salt untuk menghasilkan kunci turunan yang mahal secara komputasi untuk di-brute-force.
PCI-DSS
PCI-DSS (Payment Card Industry Data Security Standard) adalah sekumpulan persyaratan keamanan yang ditetapkan oleh PCI Security Standards Council untuk melindungi data pemegang kartu dan memastikan bahwa semua organisasi yang memproses, menyimpan, atau mentransmisikan informasi kartu kredit mempertahankan lingkungan yang aman.
Pelanggaran Data
Pelanggaran data adalah insiden keamanan di mana data sensitif, terlindungi, atau rahasia diakses, diungkapkan, atau dicuri oleh pihak yang tidak sah, baik melalui peretasan, ancaman orang dalam, kesalahan konfigurasi, atau eksposur yang tidak disengaja.
Pencegahan Kehilangan Data
Data Loss Prevention (DLP) adalah sekumpulan strategi, alat, dan proses yang dirancang untuk mendeteksi dan mencegah transmisi tidak sah, kebocoran, atau eksfiltrasi data sensitif dari suatu organisasi — baik yang disengaja maupun tidak.
Pesan yang Menghancurkan Diri Sendiri
Pesan yang menghancurkan diri sendiri adalah pesan atau data bersama yang dirancang untuk secara otomatis dan permanen dihapus setelah diakses sejumlah kali tertentu atau setelah periode waktu yang ditentukan berakhir.
Phishing
Phishing adalah serangan rekayasa sosial di mana penyerang mengirimkan komunikasi palsu — biasanya email, SMS, atau pesan instan — yang menyamar sebagai entitas tepercaya untuk menipu penerima agar mengungkapkan informasi sensitif, mengklik tautan berbahaya, atau menginstal malware.
Plaintext
Plaintext adalah data dalam bentuk aslinya yang tidak terenkripsi dan dapat dibaca manusia. Dalam kriptografi, merujuk pada input ke algoritma enkripsi atau output dari algoritma dekripsi.
Prinsip Hak Istimewa Minimal
Prinsip hak istimewa minimal adalah konsep keamanan yang menyatakan bahwa setiap pengguna, proses, atau sistem hanya boleh diberikan tingkat akses minimum — dan untuk waktu minimum — yang diperlukan untuk menjalankan fungsi yang diotorisasi.
Rahasia Ephemeral
Rahasia ephemeral adalah item data sensitif — seperti kata sandi, token, atau kunci — yang secara sengaja dirancang untuk ada hanya dalam periode waktu terbatas atau jumlah akses tertentu sebelum dihancurkan secara permanen dan tidak dapat dipulihkan.
Ransomware
Ransomware adalah malware yang mengenkripsi file korban atau menguncinya dari sistem mereka, lalu menuntut pembayaran — biasanya dalam mata uang kripto — sebagai imbalan untuk kunci dekripsi atau pemulihan akses.
Rekayasa Sosial
Rekayasa sosial adalah sekumpulan teknik serangan yang memanipulasi psikologi manusia — kepercayaan, rasa takut, urgensi, atau sifat menolong — untuk menipu orang agar mengungkapkan informasi rahasia, memberikan akses tidak sah, atau melakukan tindakan yang mengkompromikan keamanan.
Rotasi Kunci
Rotasi kunci adalah praktik keamanan yang secara berkala mengganti kunci kriptografi atau kredensial yang aktif dengan yang baru, lalu menonaktifkan atau mencabut kunci lama, guna membatasi jendela paparan jika sebuah kunci terkompromikan.
RSA
RSA (Rivest-Shamir-Adleman) adalah algoritma kriptografi asimetris yang memperoleh keamanannya dari kesulitan komputasi dalam memfaktorkan hasil perkalian dua bilangan prima besar, digunakan untuk enkripsi, tanda tangan digital, dan pertukaran kunci yang aman.
Salt (Kriptografi)
Salt kriptografi adalah nilai acak yang digabungkan dengan kata sandi atau input lain sebelum diproses oleh fungsi hash atau fungsi derivasi kunci, memastikan bahwa input yang identik menghasilkan output yang berbeda dan mengalahkan tabel serangan yang telah dihitung sebelumnya.
Serangan Brute-Force
Serangan brute-force adalah metode kriptanalisis yang berupaya menentukan password, kunci enkripsi, atau rahasia lain dengan secara sistematis mencoba setiap kombinasi yang mungkin hingga nilai yang benar ditemukan.
Serangan Man-in-the-Middle
Serangan man-in-the-middle (MITM) adalah serangan siber di mana penyerang secara diam-diam mencegat dan berpotensi mengubah komunikasi antara dua pihak yang percaya mereka berkomunikasi langsung satu sama lain.
SHA-256
SHA-256 (Secure Hash Algorithm 256-bit) adalah fungsi hash kriptografi dari keluarga SHA-2 yang mengambil input dengan panjang sembarang dan menghasilkan digest 256-bit (32-byte) tetap, dirancang sebagai fungsi satu arah di mana output tidak mengungkapkan apa pun tentang input.
Single Sign-On
Single sign-on (SSO) adalah skema autentikasi yang memungkinkan pengguna melakukan autentikasi sekali dengan penyedia identitas terpusat, lalu mengakses berbagai aplikasi dan layanan independen tanpa diminta kredensial lagi.
SOC 2
SOC 2 (System and Organization Controls 2) adalah kerangka audit yang dikembangkan oleh AICPA yang mengevaluasi kontrol organisasi layanan terkait keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi — yang dikenal sebagai Trust Services Criteria.
Tanda Tangan Digital
Tanda tangan digital adalah skema kriptografi yang menggunakan kunci privat untuk menghasilkan tanda tangan atas pesan atau dokumen, yang dapat diverifikasi oleh siapa pun dengan kunci publik yang sesuai untuk mengonfirmasi keaslian dan integritas data.
TLS/SSL
TLS (Transport Layer Security) adalah protokol kriptografi yang menyediakan privasi, integritas data, dan autentikasi untuk komunikasi antara dua pihak melalui jaringan. SSL (Secure Sockets Layer) adalah pendahulunya yang sudah usang; referensi modern terhadap "SSL" hampir selalu berarti TLS.
Web Crypto API
Web Crypto API adalah standar W3C yang menyediakan antarmuka JavaScript ke sekumpulan primitif kriptografi — termasuk enkripsi, dekripsi, pembuatan kunci, hashing, dan penandatanganan — yang diimplementasikan secara native di browser.
Zero Trust
Zero trust adalah arsitektur keamanan yang menghilangkan kepercayaan implisit berdasarkan lokasi jaringan dan sebagai gantinya mengharuskan verifikasi identitas, postur perangkat, dan otorisasi yang berkelanjutan untuk setiap permintaan akses ke setiap sumber daya.