
Logo Telegram | Foto: Freepik.com
Logo Telegram | Foto: Freepik.com
Cyberthreat.id – Sejumlah aplikasi pesan daring selain WhatsApp tengah dipertimbangkan oleh sebagian pengguna internet di Indonesia. Perbincangan pun tak hanya dilakukan di dunia interent, tapi juga di dunia nyata sehari-hari.
Orang-orang mulai meresahkan WhatsApp sejak pekan lalu mengumumkan apa saja yang diambil dari pengguna untuk dibagikan ke induk perusahaannya, Facebook dan grup perusahaan lain.
Sejumlah pengguna media sosial menyarankan dua aplikasi pilihan seperti Telegram dan Signal yang memiliki fitur-fitur serupa WhatsApp.
Signal mendadak populer dan mengalami lonjakan penginstalan setelah CEO Tesla Elon Musk menyarankan pengikutnya berpindah dari WhatsApp ke Signal.
Lebih dari 100.000 pengguna menginstal Signal di seluruh toko aplikasi Apple dan Google dalam dua hari (6-7 Januari 2021), sedangkan Telegram memperoleh hampir 2,2 juta unduhan, menurut perusahaan analisis data Sensor Tower.
Dengan lonjakan yang signifikan, dalam tulisan kali ini, Cyberthreat.id memilih terlebih dulu mengulas aplikasi Telegram, khususnya dari sisi keamanan.
Berita Terkait:
Dua model enkripsi
Disebutkan dalam situs webnya, Telegram mengklaim memakai protokol enkripsi MTProto yang khusus dirancang oleh Nikolai Durov, kakak dari CEO Telegram Pavel Durow. Merekalah pembuat Telegram.
Protokol tersebut mendukung dua lapisan enkripsi yakni enkripsi client-server dan dari end-to-end (E2E). Perbedaan antara kedua enkripsi ini pada kemampuan perusahaan membuka enkripsinya.
Cara kerja enkripsi E2E adalah perusahaan tidak bisa membaca atau membuka konten apa pun yang dikirim dan diterima pengguna, karena kunci pembuka enkripsi (dekripsi) hanya dipegang oleh pengguna.
Sementara, untuk enkripsi client-server, perusahaan memiliki kemampuan melihat/membaca konten karena mereka tersimpan di server dan memiliki kunci atau dekripsinya.
Enkripsi client-server diterapkan Telegram pada percakapan biasa dan obrolan grup, sedangkan E2E pada fitur “Obrolan Rahasia” (Secret Chat).
Telegram menyarankan pengguna untuk menggunakan fitur “Obrolan Rahasia” tidak meninggalkan jejak di server perusahaan, seperti halnya obrolan biasa. Sebab, selama ini fitur rahasia tersebut menghapus pesan secara otomatis dan tidak mengizinkan adanya penerusan pesan.
"’Obrolan Rahasia’ bukan bagian dari cloud Telegram dan hanya dapat diakses di perangkat asalnya," tulis Telegram di situs webnya diakses Minggu (10 Januari 2021).
Meski ada dua lapisan enkripsi dalam protokol MTProto, Telegram mengklaim semua data dienkripsi sama, sesuai jenis obrolannya apakah itu obrolan biasa atau obrolan rahasia.
Enkripsinya didasarkan pada enkripsi AES simetris 256-bit, enkripsi RSA 2048-bit, dan pertukaran kunci aman atau hash Diffie-Hellman untuk panggilan terenkripsi E2E.
Telegram mengatakan penggunaan protokol enkripsi khusus ini untuk menjaga keandalan ketika mengirimkan berkas yang lumayan besar hingga 2GB.
Protokol miliknya setiap waktu dikembangkan terus-menerus. Beberapa peneliti keamanan pun diundang untuk meningkatkan keamanan protokol enkripsinya. Hash Diffie-Hellman merupakan tambahan pengamanan setelah dienkripsi—ini memungkinkan dilindungi secara kode acak yang diatur secara khusus dan tidak dalam bentuk teks jelas (plain text).
Dalam menjamin bahwa platformnya aman, Telegram pun mengklaim bahwa siapapun dapat memeriksa kode sumber, protokol, dan API mereka sehingga menjamin transparansi atas klaim-klaim yang mereka buat terkait keamanan yang diterapkan Telegram.
Mengecek keamanan enkripsi
Untuk memastikan lebih jauh terkait percakapan dengan enkripsi E2E, Telegram meminta pengguna memastikan bahwa kunci yang divisualisasikan dari “Oobrolan Rahasia” cocok atau persis dengan lawan bicara di obrolan rahasia itu.
Misal, Anda dapat memeriksanya dengan mengklik profil lawan bicara di “Oobrolan Rahasia” dan mengklik "Kunci Enkripsi", cocokkan dengan lawan bicara Anda. Jika sama, maka percakapan itu terjamin E2E.
Dalam menggunakan fitur rahasia, Telegram menyarankan agar memanfaatkan pengatur waktu penghancuran pesan yang dikirim. Ini memungkinkan semua pesan di obrolan terhapus otomatis sesuai setelan waktu.
Tangkapan layar
Lantas bagaimana jika lawan bicara di “Obrolan Rahasia” melakukan tangkapan layar?
Telegram menjawab bahwa pihaknya akan memberitahu pengguna jika tangkapan layar diambil. Tetapi, hal itu tidak menjamin akan selalu diberitahukan, Telegram mengklaim “akan berusaha semaksimal mungkin untuk memberitahu pengguna jika tangkapan layar dilakukan dalam Obrolan Rahasia”.
Telegram mengklaim dua solusi enkripsi paling aman saat ini untuk diadopsi secara luas di kalangan luas. Pasalnya, ketika berpindah perangkat baru, kadang kala pengguna ingin memiliki riwayat file atau pesan yang dikirimnya, sehingga untuk mengembalikannya perlunya pencadangan.
Jika enkripsi E2E, pencadangan tidak bisa dilakukan sehingga obrolan biasa dengan enkripsi client-server diperlukan agar pesan tetap bisa diakses dari perangkat mana pun, bahkan jika kehilangan perangkat sama sekali.
Telegram mengatakan bahwa mereka menjamin kerahasiaan di “Obrolan Rahasia”, tapi tidak dapat melindungi penggunanya jika akunnya disusupi seperti ponsel tidak terkunci diambil alih atau orang lain mendapatkan akses fisik ke ponsel atau komputer yang menjalankan Telegram.
Itulah mengapa, kata Telegram, lebih baik menggunakan fitur “Obrolan Rahasia” dan setelan waktu penghapusan agar ketika suatu saat perangkat berpindah tangan dan Telegram diakses orang lain, pesan sudah terhapus.
Verifikasi dua langkah (2FA)
Untuk pengamanan lebih lanjut, Telegram menyediakan verifikasi dua langkah (2FA). Pengguna disarankan mengaktifkan fitur keamanan tambahan ini dengan mengunjungi Pengaturan>Privasi dan Keamanan.
Fitur 2FA yang disediakan oleh Telegram berupa kode masuk yang dikirimkan melalui SMS atau bisa melaluk kata sandi.
Namun, saat Cyberthreat.id mencoba mengaktifkan 2FA, hanya diminta mengatur kata sandi, tidak ada kode untuk SMS atau dikenal dengan kode one-time password (OTP).
Mengaktifkan 2FA juga memerlukan email pemulihan yang memungkinkan pengguna mengatur ulang kata sandi jika suatu saat terlupa.
Selain dari segi pengamanan akun serta fisik perangkat yang menjalankan Telegram, pengguna juga diperingatkan agar tidak menggunakan perangkat seluler yang di-jailbreak atau di-rooting.
Telegram mengatakan, ponsel yang telah di-jailbreak berpotensi peretas mendapatkan kendali atas perangkat. Dengan mendapatkan akses kendali atas perangkat, peretas dapat melewati fitur keamanan yang ada. Tak terkecuali, akun Telegram pengguna pun bisa diakses peretas.
Sementara itu, bagi para peneliti keamanan lain yang ingin berpartisipasi dalam meningkatkan keamanan atau mengetahui adanya kerentanan dari Telegram disarankan untuk mengirimkan komentar keamanan Telegram ke security@telegram.org.
Peneliti keamanan dijanjikan menerima hadiah dari setiap laporan kerentanan tergantung dari tingkat keparahannya. Itulah upaya pengamanan yang dilakukan Telegram.[]
Redaktur: Andi Nugroho
Share: