Jakarta, CNN Indonesia —
WhatsApp mengklaim tak bisa mengakses chat atau percakapan pengguna karena fitur enkripsi ujung ke ujung alias end-to-end encryption (ETEE). Bagaimana dengan PSE Kominfo?
Diketahui, Kementerian Komunikasi dan Informatika menerbitkan kebijakan pendaftaran Penyelenggara Sistem Elektronik (PSE) Lingkup Privat dengan tenggat 20 Juli. Salah satu ketentuannya mengikat para PSE untuk menyerahkan data apapun kepada Kementerian atau aparat.
Sementara, sejumlah platform dilindungi oleh fitur end-to-end encryption.
“Massages ar end-to-end encrypted. No one outside of this chat, not even WhatsApp, can read or listen to them. Click to learn more,” janji WhatsApp di kotak dialog kala memulai chat baru.
Bos WhatsApp Will Cathcart, dikutip dari Forbes, menyatakan pihaknya sudah mengirim triliunan pesan dengan aman lewat fitur ini.
“Dalam lima tahun terakhir,” kata dia, 2021, “kami telah mengirimkan lebih dari 100 triliun pesan dengan aman kepada lebih dari 2 miliar pengguna.”
Enkripsi sendiri berarti pengodean data agar tak bisa dibaca sembarangan pihak yang tak memiliki kuncinya. End-to-end alias ujung-ke-ujung merujuk pada pengirim dan penerima pesan.
Dikutip dari situs resminya, WhatsApp memaparkan end-to-end encription membuat hanya Anda dan orang yang berkomunikasi dengan Anda yang dapat membaca atau mendengarkan apa yang dikirim, tidak ada orang di antara dua pihak ini, sekali pun WhatsApp, bisa membacanya.
“Semuanya otomatis: tidak perlu mengaktifkan pengaturan khusus untuk mengamankan pesan Anda,” demikian keterangan WhatsApp.
Cara kerja
Menurut Android Authority, fitur ETEE diterapkan WhatsApp sejak 2014 dengan mengandalkan open-source Open Whisper Systems yang juga menangani app pesan singkat Signal.
Protokol enkripsi yang digunakan oleh WhatsApp menggabungkan beberapa teknik kriptografi, dimulai dengan enkripsi kunci publik. Sederhananya, proses ini melibatkan setiap pengguna yang memiliki sepasang kunci yang dibuat secara acak; satu yang tetap milik pribadi dan yang lainnya didistribusikan kepada publik.
Pengirim pesan menggunakan kunci publik penerima untuk mengenkripsi pesan. Di ujung satunya, penerima menggunakan kunci pribadi mereka untuk mendekripsi atau membuka pesan. Karena gawai Anda menghasilkan kunci pribadi, WhatsApp tidak memiliki akses ke chat tersebut.
Teknik kriptografi sederhana ini telah digunakan selama beberapa dekade dengan versi modifikasi yang mengamankan semuanya, mulai dari email hingga dompet mata uang kripto.
Namun, enkripsi kunci publik standar tidak 100 persen aman. Apa titik lemahnya?
1. Mantan korban peretasan
Jika kunci pribadi Anda pernah disusupi. Peretas dapat mendekripsi obrolan Anda di masa lalu, sekarang, dan yang akan datang.
Untuk mengatasinya, para pengembang di balik protokol Signal merancang teknik baru yang disebut enkripsi ratchet (roda bergerigi searah) ganda. Alih-alih menggunakan satu set kunci statis untuk setiap pengguna, protokol ini menggunakan campuran kunci permanen dan sementara.
Kunci sementara berubah setiap kali Anda mengirim pesan baru. Artinya, jika peretas mendapatkan akses ke satu kunci tertentu, mereka tidak akan dapat mendekripsi lebih dari beberapa pesan.
Ada lebih banyak lagi sistem enkripsi platform di bawah bendera Meta ini. Intinya, enkripsi tersebut “cukup baik dan kuat untuk menangkal penyadapan dan serangan dasar serupa.”
2. Masalah penyimpanan data pribadi
WhatsApp merekam cukup banyak informasi tentang Anda di luar obrolan antarmuka. Banyak data yang dikumpulkan, seperti daftar kontak, lokasi, pengenal perangkat, dan riwayat transaksi.
Dalam skenario terburuk, dikutip dari Forbes, WhatsApp bisa saja membajak akun Anda dan meng-install-nya di gawai lain. Namun, perusahaan hanya akan melihat pesan di masa depan, tidak dapat mengakses riwayat obrolan tertentu yang pernah terjadi.
Jika risau dengan potensi akses terhadap riwayat percakapan, Anda harus menonaktifkan cadangan atau back-up Cloud apa pun. Hal ini akan menghentikan WhatsApp atau siapa pun yang memulihkan cadangan Anda (jika mereka memiliki akses) di perangkat baru. Meskipun, kasus semacam ini belum pernah terdengar.
Jika malas dengan celah ini, Signal menjadi satu-satunya alternatif. Pasalnya, Telegram bahkan tidak menawarkan enkripsi ujung-ke-ujung secara default.
Contoh kasus di negara lain di halaman berikutnya….