Page 1
ANALISIS TEKNIK OTENTIKASI PADA SMS-BANKING DI INDONESIA
T U G A S A K H I R
Diajukan dalam rangka memenuhi persyaratan
Kelulusan mata kuliah Otentikasi Sandi
Sekolah Tinggi Sandi Negara
T.A. 2011/2012
Mita Pramihapsari
NPM : 0908100814
Manajemen Persandian
SEKOLAH TINGGI SANDI NEGARA
BOGOR
Desember 2011
Page 2
ANALISIS TEKNIK OTENTIKASI PADA SMS-BANKING DI INDONESIA
Mita Pramihapsari
Program Studi Manajemen Persandian
0908100814
Abstrak
Perkembangan teknologi informasi terutama dalam bidang mobile telah membawa
perubahan pada masyarakat dalam melakukan komunikasi antar sesamanya. Perbankan
sebagai penyedia layanan keuangan saat ini tidak hanya menyediakan layanan yang bersifat
konvensional dimana pelanggan harus bertemu langsung dengan pihak Bank. Untuk
meningkatkan kualitas layanan, serta fleksibilitas dan efisiensi, perbankan di Indonesia telah
memanfaatkan teknologi Internet maupun jaringan GSM. Salah satu produk layanan
perbankan yang berbasis pada teknologi GSM adalan SMS-Banking. SMS-Banking
merupakan salah satu layanan yang disediakan Bank menggunakan sarana SMS untuk
melakukan transaksi keuangan dan permintaan informasi keuangan, misalnya cek saldo,
mutasi rekening dan sebagainya. Tujuan dari penulisan ini adalah untuk menganalisis teknik
otentikasi yang digunakan dalam mekanisme sms-Banking yang dijalankan di Indonesia.
Analisis dilakukan untuk mengetahui kelebihan, kekurangan, ancaman serta solusi dapat
diberikan dengan menganalisa seluruh aspek yang saling berkaitan teknik otentikasi pada
SMS-Banking.
Hasil akhir dari penulisan ini berupa saran dan rekomendasi mengenai apa yang
dapat dilakukan oleh Bank untuk mengoptimalkan teknik otentikasi yang digunakan saat ini.
Kata kunci : SMS-Banking, Otentikasi, GSM, SMS, Algoritma A3;A5;A8; ,Challengge
Response,
Page 3
KATA PENGANTAR
Segala puji dan rasa syukur selalu terpanjatkan kehadirat Allah SWT karena hanya
dengan izin dan perkenan-Nya penulis dapat menyelesaikan Tugas Akhir yang berjudul
“ANALISIS TEKNIK OTENTIKASI PADA SMS-BANKING DI INDONESIA”. Penulisan
tugas akhir ini dilakukan dalam rangka memenuhi salah satu syarat kelulusan pada mata
kuliah Otentikasi Sandi.
Penulis menyadari bahwa, tugas akhir ini tidak hanya hadir karena kerja keras penulis
semata tapi merupakan integrasi dari berbagai bantuan, bimbingan, arahan serta do’a dari
berbagai pihak. Untuk itu, pada kesempatan ini penulis ingin mengucapkan terima kasih
kepada :
(1) Kedua orang tua yang selalu memberikan dukungan dan do’a meskipun
terpisahkan oleh jarak;
(2) Ibu Pinuji Prasetyaningtyas, selaku Dosen Otentikasi Sandi yang telah
membimbing kami dan tidak bosan mengajak kami untuk berdiskusi.
(3) Rekan-rekan tingkat III Manajemen Persandian STSN VIII, yang telah membantu
penulis.
Serta kepada pihak-pihak lain yang tidak bisa penulis sebutkan satu per satu, terima
kasih atas segala bantuannya. Semoga doa dan dukungan yang diberikan menjadi amal
ibadah dihadapan Allah SWT.
”Tiada gading yang tak retak”. Demikianlah kata pepatah, penulis menyadari banyak
terdapat kekurangan dalam penyusunan tugas ini. Untuk itu penulis mengharapkan kritik dan
saran yang membangun demi tercapainya penulisan yang lebih baik. Besar harapan penulis,
penyusunan tugas akhir ini dapat berguna bagi pembaca, khususnya civitas akademika STSN
serta berkontribusi terhadap ilmu pengetahuan pada umumnya dan ilmu persandian pada
khususnya.
Penulis
Mita Pramihapsari
BAB I
PENDAHULUAN
Page 4
1.1 LATAR BELAKANG
Hal yang paling kritis dalam aplikasi keuangan/perbankan terutama adalah masalah
security. Kegagalan sisi keamanan jaringan akan dapat menyebabkan kerugian yang
tidak sedikit bagi industri perbankan. Secara umum ada empat(4) aspek keamanan
jaringan, yaitu:
1. Penetration testing
2. Certificate Authority / PKI
3. Vulnerability Testing
4. Managed Security Services
Masing-masing aspek akan mencakup hal-hal yang cukup kompleks, misalnya,
aspek Penetration Testing meliputi Active Content Monitoring/ Filtering, Intrusion
Detection–Host Based, Firewall, Intrusion Detection–Network Based, Authorization, Air
Gap Technology, Network Authentication, Security Appliances. Aspek Certificate
Authority/Public Key Infrastructure meliputi hal Certificate Authority, File & Session
Encryption, VPN & Cryptographic Communications, Secure Web Servers, Single Sign
On, Web Application Security. Di sisi pelanggan/pengguna jasa Bank, perkembangan
teknologi tidak kalah menarik. Secara umum ada dua(2) teknologi yang menjadi basis
interaksi dunia perbankan dengan pelanggannya agar dapat dilakukan transaksi secara
on-line dan transaksional, yaitu,
1. Telepon Selular
2. Internet
Secara umum telepon selular menjadi lebih menarik karena jumlah pelanggan yang
lebih bahkan menurut CSFB, Indonesia termasuk mempunyai potensi rangking sangat
besar bagi pertumbuhan pengguna selular. Tentunya akan bertambah pilihan lagi dengan
semakin banyaknya operator yang menggelar infrastruktur selular. (Purbo O.W, 2001)
Perkembangan teknologi informasi terutama dalam bidang mobile telah membawa
perubahan pada masyarakat dalam melakukan komunikasi antar sesamanya.
Berdasarkan asosiasi GSM, pada pertengahan tahun 2008 terdapat 3,6 Milliyar
pelanggan GSM di dunia (GSM Associaton, 2008a) dan terdapat 1,2 juta koneksi baru di
setiap harinya (GSM Associaton, 2008b). Dengan pertumbuhan yang cepat dalam
penggunaan teknologi mobile diperkirakan jumlah tersebut akan menyentuh angka 4
milliar pada tahun 2010 atau mungkin lebih cepat dari itu. Layanan keuangan seperti
mobile Banking menjadi salah satu fokus pengembangan. Menurut Porteus (2006) labih
Page 5
banyak orang yang memiliki telepon selular dibandingkan dengan mereka yang memiliki
nomor rekening.
Jumlah pengguna seluler di Indonesia hingga Juni 2010 diperkirakan mencapai 180
juta pelanggan, atau 80% dari total penduduk Indonesia.1Pada akhir 2010, volume
transaksi melalui mobile Banking pada salah satu Bank di Indonesia mencapai kisaran 8
juta transaksi dengan nilai sebesar Rp10,6 triliun atau naik 60% dari 5 juta transaksi pada
2009 dengan nilai transaksi Rp6,6 triliun. Melihat pada nilai transaksi yang meningkat,
diharapkan penggunakan mobile Banking mencapai 1 juta pada akhir 2011. Hingga akhir
2010 lalu, pengguna mobile Banking pada salah satu Bank baru mencapai 500 ribu
nasabah.2
Berdasarkan Kamus Komputer dan Teknologi Informasi, mobile Banking (M-
Banking) berarti Fasilitas perbankan melalui komunikasi bergerak seperti handphone.
Dengan penyediaan fasilitas yang hampir sama dengan ATM kecuali mengambil uang
cash. Dengan ada nya M-Banking,pihak perbankan berusaha mempermudah akses para
nasabahnya dalam melakukan transaksi.Dengan adanya layanan M-Banking,nasabah
Bank-Bank yang telah memiliki layanan tentu saja tidak perlu pergi ke ATM atau
kantor Bank tersebut. Hampir semua Bank di Indonesia telah menyediakan fasilitas M-
Bankingnya baik berupa SIMtolkit (Menu Layanan Data) maupun sms plain (sms
manual) atau dikenal dengan istilah SMS Banking. SMS Banking merupakan layanan
yang disediakan Bank menggunakan sarana SMS untuk melakukan transaksi keuangan
dan permintaan informasi keuangan , misalnya cek saldo, mutasi rekening dan
sebagainya. Keunggulan M-Banking adalah dapat di akses oleh semua pengguna
handphone dengan tipe GSM. Dengan luasnya jangkauan sinyal GSM,layanan M-
Banking tentu sangat memudahkan para nasabah. Namun Fasilitas M-Banking memiliki
beberapa kelemahan diantaranya adalah akses untuk pengguna handphone CDMA,
belum semua operator CDMA mempunyai layanan M-Banking.
Berbeda dengan InterNet Banking, pada end-user atau customer biasa, aplikasi yang
jelas-jelas akan menjangkau banyak massa adalah Short Message Services(SMS) yang
1 http://www.antaranews.com/berita/1279093421/pengguna-ponsel-indonesia-akan-capai-80-persen Diakses pada : 2 Nopember 2011 2http://www.infoBanknews.com/2011/04/Bank-mandiri-targetkan-1-juta-pengguna-mobile-
Banking/ Diakses pada : 2 Nopember 2011
Page 6
jelas akan menjangkau banyak sekali pelanggan. Salah satu keuntungan dengan adanya
teknologi selular bagi dunia pelanggan adalah sistem authentikasi yang sudah built-in
dalam infrastruktur telepon selular. Otentikasi akan sangat memudahkan bagi dunia
perbankan untuk melakukan mapping antara pelanggan/client antara dunia perbankan
dengan dunia selular melalui nomor telepon dan nomor account. Ada cukup banyak
forum open standar untuk transaksi SMS, MMS, WAP yang menstandarisasi teknologi
messaging antar pengguna selular telepon, untuk para pelaku yang ingin membuat sendiri
gateway WAP dan SMS dengan menggunakan solusi open source yang terbuka dapat
berekperimen dan mencobanya.
Adanya Internet Banking dan Mobile Banking akan menjadi lebih semarak lagi
dengan ada kerjasama yang cukup erat antara dunia perbankan, operator selular, operator
Internet dengan berbagai service provider, software house untuk mengembangkan
aplikasi yang lebih terintegrasi dari berbagai layanan. Contoh sederhana, memberikan
informasi perbankan, apakah itu kurs valuta asing, bunga Bank, proses peminjaman
uang, bunga deposit dll melalui SMS, e-mail, Web. Pada tingkat yang lebih kompleks
mendukung transaksi pembelian barang, penjualan barang dengan transaksi keuangan
melalui SMS, tidak hanya tergantung pada mekanisme kartu debet atau kartu kredit yang
biasa. ini merupakan indikasi perkembangan menuju mobile commerce. Tentunya
dibutuhkan service provider atau software house yang mampu membangun payment
gateway terutama melalui SMS antara Bank, penjual dan pembeli. Terutama karena
mobile commerce termasuk kategori transaksi business to customer (B2C).
SMS-Banking merupakan suatu layanan Bank yang memudahkan nasabah untuk
melakukan transaksi perbankan hanya dengan menggunakan perangkat seluler mereka.
Transaksi tersebut dilakukan melalui SMS yang dikirimkan secara langsung ke nomor
tujuan Bank, atau dapat juga terimplementasi dalam SIM card telepon seluler nasabah.
Aplikasi yang tertanam pada SIM card telepon seluler menyimpan beberapa informasi
mengenai transaksi yang bisa dilakukan dengan menggunakan tarif SMS. Adapun
layanan yang disediakan oleh Bank untuk dapat melakukan transaksi melalui SMS,
diantaranya ialah cek saldo, cek kurs valuta asing, cek tiga transaksi terakhir, cek tagihan
mitra, pembayaran tagihan mitra, pembayaran kartu kredit, dan transfer antar rekening.
Layanan SMS-Banking menjanjikan mobilitas yang tinggi, bisa dilakukan kapanpun dan
dimanapun, bahkan saat roaming internasional. Faktor keamanan menjadi sangat penting
semenjak hadirnya produk layanan SMSBanking. Hal ini dikarenakan transaksi
perbankan sering melibatkan nilai nominal yang cukup besar sehingga harus memiliki
Page 7
tingkat keamanan yang tinggi. Selama ini sistem keamanan yang ada dilakukan dengan
enkripsi pesan SMS yang dilakukan oleh handphone dengan menggunakan key tertentu
yang tertanam pada SIM card operator telepon seluler. Pengguna wajib memasukkan
password untuk melakukan transaksi tersebut.
1.2 RUMUSAN MASALAH
Berdasarkan latar belakang yang telah diuraikan diatas, maka pokok permasalahan
yang dapat dirumuskan adalah :
1. Bagaimana mekanisme SMS-Banking yang berjalan saat ini?
2. Bagaimana teknik otentikasi yang digunakan saat ini dapat memberikan jaminan
integritas dan non repudentiality ?
1.3 PEMBATASAN MASALAH
Penelitian ini memeiliki keterbatasan-keterbatasan baik dalam penulisan, waktu
maupun materi. Karenanya, permasalahan yang akan dibahas dalam penelitian ini akan
dibatasi hanya pada analisis teknik otentikasi yang digunakan untuk SMS-Banking.
Materi yang akan dibahas berfokus pada mekanisme yang diberlakukan, prosedur yang
dibuat oleh Bank penyelenggara serta ancaman yang dihadapi.
1.4 TUJUAN DAN MANFAAT PENELITIAN
1.4.1 TUJUAN PENELITIAN
Berdasarkan pada pokok permasalahan yang dikemukakan diatas, maka
tujuan penelitian ini adalah :
1. Memahami dan mempelajari sistem transaksi perbankan online dengan
menggunakan SMS
2. Mengetahui keamanan teknik otentikasi yang digunakan saat ini.
1.4.2 MANFAAT PENELITIAN
1. Secara akademis, hasil penelitian ini diharapkan dapat memberikan
pemahaman dan memperkaya teori atau konsep yang berkaitan dengan teknik
otentikasi.
2. Secara praktis, hasil penelitian ini diharapakan dapat memberikan masukan
bagi Bank penyelenggara SMS-Banking untuk meningkatkan keamanan SMS-
Banking.
Page 8
1.5 SISTEMATIKA PENULISAN
BAB I : PENDAHULUAN
Bab ini membahas secara umum mengenai latar belakang masalah, rumusan
permasalahan, pembatasan masalah, tujuan dan manfaat penelitian, serta
sistematika penulisan.
BAB II : LANDASAN TEORI
Bab ini berisi tentang teori-teori atau konsep-konsep yang berkaitan dengan
SMS-Banking, Kriptografi dan teknik otentikasi yang akan mendukung
penelitian, kerangka berpikir, dan model penelitian yang digunakan.
BAB III : METODOLOGI PENELITIAN
Bab ini berisi metode penelitian, teknik pengumpulan data, instrumen
penelitian yang digunakan, dan teknik analisis data.
BAB IV : ANALISIS DATA
Bab ini berisi tentang informasi mengenai gambaran obyek penelitian dan
analisis terhadap hasil pengumpulan dan pengolahan data.
BAB V : SIMPULAN DAN SARAN
Menjelaskan kesimpulan dari pokok permasalahan yang dikemukakan pada
laporan ini, serta menyampaikan saran yang dapat diberikan.
Page 9
BAB II
LANDASAN TEORI
2.1. SHORT MESSAGE SERVICE (SMS)
Short Message Service (SMS) merupakan sebuah layanan yang banyak
diaplikasikan pada sistem komunikasi kasi tanpa kabel, memungkinkan dialkukannya
pengiriman pesan dalam bentuk alphanumeric antara terminal pelanggan atau antara
terminal pelanggan dengan sistem eksternal seperti email, paging, voice mail, dan lain-
lain. Isu SMS pertama kali muncul di belahan Eropa pada sekitar tahun 1991 bersama
dengan sebuah teknologi komunikasi wireless yang saat ini cukup banyak penggunanya,
yaitu Global System for Mobile Communication (GSM). Dipercaya bahwa pesan
pertama yang dikirimkan menggunakan SMS dilakukan pada bulan Desember 1992,
dikirimkan dari sebuah Personal Computer (PC) ke telepon mobile (bergerak) dalam
jaringan GSM milik Vodafone Inggris. Perkembangannya kemudian merambah ke
benua Amerika, dipelopori oleh beberapa operator komunikasi bergerak berbasis digital
seperti BellSouth Mobility, PrimeCo, Nextel, dan beberapa operator lain.
Teknologi digital yang digunakan bervariasi dari yang berbasis GSM, Time Division
Multiple Access (TDMA), hingga Code Division Multiply Access (CDMA). Tidak
diragukan lagi SMS sangat sukses di pasaran, di tempat kelahirannya sendiri, yaitu
Eropa, trafik SMS mencapai lebih dari 3 miliar per bulan meskipun tanpa ada program
marketing yang proaktif dari operator seluler dan vendor pembuat perangkat
komunikasi bergerak.
Kesuksesan SMS dianggap sebagai kesuksesan yang tidak disengaja dan cukup
mengejutkan bagi pihak-pihak yang terjun dalam industri telekomunikasi bergerak
karena beberapa pihak yang berkompeten sebelumnya memprediksi bahwa SMS tidak
akan laku karena penggunanya cukup sulit dan materi untuk marketingnya sulit
ditentukan. SMS menjadi fenomena tersendiri, dalam waktu yang cukup singkat
pertumbuhannya sangat tinggi tanpa ada penurunan tarif yang berarti, bahkan dapat
dikatakan tarifnya mengambil posisi steady state. Biasanya, bahkan dalam kasus
layanan telepon bergerak, tarif akan turun seiring dengan meningkatnya pengguna.
Fakta lainnya adalah fasilitas SMS dalam telepon bergerak ternyata punya andil cukup
besar dalam menarik kaum muda masuk dalam pasar telepon bergerak.
Dalam sistem SMS, mekanisme utama yang dilakukan dalam sistem adalah
melakukan pengiriman pesan singkat dari satu terminal pelanggan ke terminal yang
Page 10
lain. Hal ini dapat dilakukan berkat adanya sebuah entitas dalam sistem SMS yang
bernama Short Message Service Center (SMSC), disebut juga dengan Message Center
(MC). SMSC merupakan sebuah perangkat yang melakukan tugas store and forward
trafik SMS. Di dalamnya termasuk penentuan atau pencarian rute tujuan akhir dari
pesan SMS. Sebuah SMSC biasanya didesain untuk dapat menangani SMS dari
berbagai sumber seperti Voice Mail System (VMS), Webbased messaging, Email
Integration, External Short Message Entity (ESME), dan lain-lain. Dalam interkoneksi
dengan entitas dalam jaringan komunikasi wireless seperti Home Location Register
(HLR) dan Mobile Switching Center (MSC), SMSC biasanya selalu menggunakan
Signal Transfer Point (STP).
Layanan SMS merupakan sebuah layanan yang bersifat nonreal time dimana sebuah
pesan SMS dapat di-submit ke suatu tujuan, tidak peduli apakah tujuan tersebut aktif
atau tidak. Bila dideteksi bahwa tujuan tidak aktif, maka sistem akan menunda
pengiriman ke tujuan hingga tujuan aktif kembali. Pada dasarnya sistem SMS akan
menjamin delivery dari suatu pesan SMS hingga sampai ke tujuan. Kegagalan
pengiriman yang bersifat sementara seperti tujuan tidak aktif akan selalu teridentifikasi
sehingga pengiriman ulang pesan SMS akan selalu dilakukan kecuali bila diberlakukan
aturan bahwa pesan SMS yang telah melampui batas waktu tertentu harus dihapus dan
dinyatakan gagal terkirim. Karakteristik utama SMS adalah SMS merupakan sebuah
sistem pengiriman data yang berisfat out-of- and dengan bandwith kecil. Dengan
karakteristik ini, pengiriman suatu burst data yang pendek dapat dilakukan dengan
effisiensi yang sangat tinggi.
Pada awalnya SMS diciptakan untuk menggantikan layanan paging dengan
menyediakan layanan serupa yang bersifat two-way messaging ditambah dengan
notification service, khususnya untuk voice mail. Pada perkembangan selanjutnya,
muncul jenis-jenis layanan lain seperti email, fax, dan integration, interactive Banking,
information service, dan integrasi dengan aplikasi berbasis internet. Selain itu juga
berkembang layanan data wireless seperti SIM download for activation, debet, profile
editing, dan lain-lain yang kemudian mendorong timbulnya layanan-layanan seperti
web-based messaging, gaming, dan chatting. Layanan SMS dibangun dari berbagai
entitas yang saling terkait dan mempunyai fungsi dan tugas masing-masing. Tidak ada
satupun dalam sistem SMS yang dapat bekerja secara parsial. Entitas dalam jaringan
SMS ini disebut juga elemen jaringan SMS.
Page 11
2.2. SMS BANKING
Aplikasi SMS-Banking ditujukan untuk mengirim data transaksi perbankan ke suatu
server Bank tertentu yang berbasiskan SMS (Short Message Service). SMS- Banking
merupakan sebuah aplikasi yang menjawab kebutuhan akan pelanggan Bank untuk
dapat melakukan transaksi perbankan kapanpun dan dimanapun. Untuk itu, Bank
menyediakan informasi detail mengenai account pelanggan dan kemampuan transaksi
real-time hanya dengan menggunakan perangkat seluler mereka yaitu dengan
menggunakan layanan SMS. SMS-Banking menyediakan layanan yang dapat digunakan
oleh penggunanya secara langsung meliputi :
1. Mendapatkan informasi mengenai saldo pelanggan
2. Mendapatkan informasi mengenai tiga transaksi terakhir
3. Melakukan transfer account ke rekening pengguna yang lain
4. Membayar tagihan kartu kredit
5. Mendapatkan informasi mengenai kurs valuta asing
6. Melakukan transaksi ubah nomor PIN
Untuk menunjang layanan tersebut, diperlukan sebuah gambaran sistem secara
umum mengenai bagaimana proses SMS-Banking ini dilakukan dan menghasilkan
keluaran yang sesuai dengan keinginan dari Bank dan pelanggan. Gambaran mengenai
arsitektur SMS-Banking terdapat pada Gambar 2-1.
Gambar 2-1 Arsitektur SMS-Banking
Dalam melakukan transaksi SMS-Banking yang sebenarnya, pelanggan akan
mengirimkan sebuah pesan SMS yang berisi sebuah struktur kode tertentu kepada
penyedia nomor layanan perbankan tertentu (Bulk SMS Service Provider). Nomor
Page 12
layanan yang disediakan oleh service provider biasanya berupa nomor pendek yang
terdiri dari 4 angka seperti 7070, 8888, 4905, dan sebagainya. Penyedia layanan nomor
ini selanjutnya akan meneruskan pesan yang diterimanya ke aplikasi SMS-Banking
yang ada di Bank. Aplikasi SMSBanking yang ada di Bank terhubung dengan
komputer server (Core Banking Server) yang menyimpan informasi mengenai
rekening Bank pelanggan sekaligus melayani permintaan (request) dari pelanggan.
Hasil permintaan dari pelanggan akan dikirimkan oleh aplikasi SMS-Banking ke Bulk
SMS Service Provider dan dilanjutkan ke nomor telepon seluler pelanggan melalui
layanan SMS.
Keamanan menjadi faktor yang sangat penting untuk transakasi menggunakan
SMS-Banking. Pada umumnya sistem kamanan umumnya sistem keamanan yang
berada pada aplikasi SMS-Banking menggunakan algoritma DES dan 3DES.
Keamanan ini digunakan untuk menenmkan kunci pada SIM card telepon seluler
pengguna. Untuk selanjutnya setiap transaksi SMS-Banking yang melalui SMS akan
dienkripsi terlebih dahulu sehingga pesan transaksi tersembunyi.
Selain tertanam pada SIM card, jenis aplikasi SMS-Banking yang lain selama ini
tanpa menggunakan enkripsi peran SMS. Aplikasi tersebut mengandalkan keamanan
yang telah disediakan oleh jaringan GSM yaitu dengan menggunakan algoritma stream
cipher A5/1. Sampai dengan saat ini masih belum terdapat jenis keamanan SMS-
Banking yang menggunakan tanda tangan digital sebagai keamanan transaksi
perbankan secara mobile.
2.3. TEORI OTENTIKASI
2.2.1 Keamanan Informasi
Keamanan informasi merupakan aspek yang penting dalam SMS-Banking.
Pihak Banki dan operator selular harus dapat memberikan jaminan keamanan
informasi pelanggan yang menggunakan layanan SMS-Banking.
Tujuan pengamanan ini adalah untuk menghindari, mencegah, dan mengatasi
ancaman-ancaman terhasap sistem. Kebutuhan akan pengamanan infomasi dapat
digolongkan menjadi :
1) Kerahasiaan (Confidentiality), dimana informasi pada sistem komputer itu
terjamin kerahasiaannya, hanya dapat diakses oleh pihak-pihak yang
diotorisasi, keutuhan serta konsistensi data pada sistem tersebut tetap terjaga.
Page 13
2) Integritas (Integrity), dimana sumber daya sistem terjamin hanya dapat
dimodifikasi oleh pihak-pihak yang diotorisasi.
3) Ketersediaan (Availability), adalah sumber daya sistem komputer terjamin
akan tersedia bagi pihak-pihak yang diotorisasi pada saat diperlukan.
4) Anti penyangkalan (Non Repudiation), adalah seseorang tidak bisa
menyangkal / mengelak bahwa dia telah mengakses suatu sistem.
Banyak masalah yang terdapat pada suatu sistem informasi. Ancaman
terhadap sistem komputer dikategorikan menjadi empat, yaitu :
1) Interruption, merupakan suatu ancaman terhadap availability, informasi
atau data yang ada dalam sistem komputer dirusak, dihapus, sehingga jika
dibutuhkan maka sudah tidak ada lagi.
Gambar2-2 Interuption
2) Interception, merupakan ancaman terhadap kerahasiaan (secrecy).
Informasi yang ada di dalam sistem disadap oleh orang yang tidak berhak.
Gambar2-3 Interception
3) Modification, merupakan ancaman terhadap integritas. Orang yang tidak
berhak berhasil menyadap lalu-lintas informasi yang sedang dikirim lalu
mengubahnya sesuai keinginan orang tersebut.
Page 14
Gambar 2-4 Modifications
4) Fabrication, merupakan ancaman terhadap integritas. Orang yang tidak
berhak berhasil meniru atau memalsukan suatu informasi sehingga orang
yang menerima informasi tersebut menyangka informasi tersebut berasal
dari orang yang dikehendaki oleh si penerima informasi tersebut.
Gambar2-5 Fabrication
2.2.2 Prinsip Pengamanan
Di bawah ini akan dijelaskan beberapa prinsip pengamanan, yaitu:
1) Otentikasi
Otentikasi merupakan sebuah mekanisme yang di gunakan untuk
melakukan validasi terhadap identitas pengguna yang mencoba mengakses
informasi atau sumber daya yang berada dalam sebuah sistem komputer.
Metode otentikasi didasarkan pada tiga cara, yaitu:
• Something you know (sesuatu yang diketahui)
Faktor something you know melibatkan pengetahuan informasi rahasia
yang memungkinkan user meng-otentikasi dirinya sendiri ke sebuah
server. Contoh dari faktor ini adalah sebuah password dan sebuah
personal identification number (PIN).
• Something you have (sesuatu yang dimiliki)
Page 15
Faktor something you have melibatkan bahwa user harus memiliki alat
secara fisik. Jika tanpa adanya alat tersebut maka user tidak dapat
meng-otentifikasi dirinya sendiri ke server sistem computer. Contoh
dari faktor ini menggunakan sebuah token dan smart card (kartu
cerdas).
• Something you are (sesuatu yang ada pada seseorang)
Faktor something you are melibatkan bahwa user meiliki karakteristik
yang unik yang membedakan dirinya dengan user lain untuk
mengidentifikasi dirinya sendiri. Faktor ini menggunakan metode
identifikasi biometrik untuk meng-otentikasi user. Contoh dari faktor
something you are meliputi sidik jari, pemindaian retina mata, dan
garis tangan seseorang.
2) Verifikasi
Verifikasi merupakan proses pemeriksaan atau pengecekan apakah
identitas yang diberikan oleh pengguna merupakan identitas yang valid?
Sehingga hanya orang yang terbukti memiliki identitas yang valid tersebut
yang bisa masuk ke sistem.
2.4.GLOBAL SYSTEM FOR MOBILE (GSM)
GSM merupakan jaringan selular yang paling banyak digunakan saat ini. GSM
adalah telepon selular digital pertama setelah era analog. Masalah dari sistem analog
adalah kemungkinan untuk melakukan pengkloningan telepon untuk melakukan
panggilan telepon terhadap orang lain dengan maksud penipuan, selain itu sistem
analog juga berpotensi dapat melakukan penyadapan (eavesdrop) panggilan telepon.
Jaringan GSM bertujuan untuk memperbaiki masalah tersebut dengan
mengimplementasikan autentifikasi yang kuat antara telepon selular dan MSC (mobile
service switch center), mengimplementasikan enkripsi data yang kuat pada transmisi
udara antara MS dan BTS. GSM adalah standar eropa untuk komunikasi selular
digital. GSM dideklarasikan pada tahun 1982 pada European Conference of Post and
Telecommunication Administrations (CEPT). Lebih lanjut, sejarah GSM sebagai
standar komunikasi digital disepakati dalam GSM MoU pada tahun 1987, dimana 18
negara sepakat untuk mengimplementasikan jaringan selular yang berbasis GSM.
Pada tahun 1991 Jaringan GSM pertama kali muncul.
Page 16
Algoritma yang digunakan pada Jaringan GSM saat ini adalah algoritma A3, A8,
dan A5 untuk mendukung sistem pengamanannya. Algoritma A3 dan A8 digunakan
dalam proses autentikasi, yaitu proses pengenalan identitas pelanggan, yang terjadi
pada MS (Mobile Station) dan AUC (Authentication Centre). Sedangkan algoritma
A5 digunakan dalam proses pengiriman informasi pada link radio antara MS dengan
BTS (Base Transceiver Station). Namun pada sistem pengamanan dengan
menggunakan algoritma ini ditemukan kelemahan-kelemahan yang memungkinkan
terjadinya penyadapan data ataupun penipuan identitas pelanggan.digunakan pula
jaringan feistel atau dan chiper berulang.
2.5.1 Algoritma A3
Algoritma A3 adalah algoritma autentifikasi dalam model keamanan
GSM. Fungsi A3 yaitu untuk membangkitkan response yang lebih dikenal
dengan SRES sebagai jawaban dari random challenge yang dikenal dengan
RAND. Algoritma A3 mendapatkan nilai RAND dari MSC dan kemudian
dengan kunci Ki dari SIM membangkitkan 32 bit sebagai keluaran yang mana
disebut response SRES. Baik RAND maupun Ki adalah nilai rahasia sepanjang
128 bit.
Gambar 2-6 Sign Response (SRES) Dihitung dengan melihat nilai RAND dan Ki
2.5.2 Algoritma A8
Algoritma A8 adalah algoritma yang berfungsi untuk membangkitkan kunci
sesi pada sistem keamanan GSM. Algoritma A8 membangkitkan kunci sesi, Kc,
dengan melihat random challenge, RAND, yang diterima dari MSC dan kunci
rahasia Ki, yang terdapat pada kartu SIM. Algoritma A8 menagmbil 128 bit
masukkan dan membangkitkan 64 bit keluaran. Keluaran sejumlah 64 bit ini
merupakan kunci sesi Kc. Nilai Kc ini dapat dibangkitkan oleh MS dan HLR,
sehingga BTS dapat menerima nilai Kc yang sama yaitu dari MS dan dari MSC.
MSC dapat membangkitkan nilai Kc karena mendapat kiriman dari HLR.
Page 17
Sedangkan HLR dapat membangkitkan nilai Kc karena HLR mengetahui kedua
nilai yang dibutuhkan untuk membangkitkan nilai Kc, yaitu RAND (karena
yang membangkitkan RAND adalah HLR) dan Ki (karena Ki semua pelanggan
pasti diketahui oleh penyedia layanan (operator)). Kunci sesi, Kc, digunakan
sampai MSC memutuskan untuk perlu mengautentifikasi MS lagi. Biasanya Kc
digunakan sehari penuh setelah proses autentifikasi.
Gambar 2-7 Perhitungan Kunci session
2.5.3 Algoritma A5
Algoritma A5 adalah cipher aliran yang digunakan untuk mengenkripsi
pesan dalam transmisi udara. Cipher aliran ini diinisialisasi setiap frame dikirim.
Cipher aliran ini diinisialisasi dengan kunci sesi, Kc, dan jumlah frame yang
akan dienkripsi. Kunci sesi yang sama digunakann sepanjang panggilan
berlangsung, tetapi 22 bit nomor frame berubah selama proses berlangsung,
kemudian membangkitkan keystream yang unik untuk setiap frame.
Gambar 2-8 Pembangkitan Keystream
2.5.PROTOKOL CHALLENGE RESPONSE
Pada protokol ini, pihak yang ingin memverifikasi pihak lain (server) bertindak
sebagai penyedia pertanyaan/tantangan (challenge) dan client diharuskan untuk
menjawab tantangan ini (response). Jika kedua pihak sederajad posisinya, maka
keduanya sekaligus dapat bertindak sebagai server dan client sehingga protokol
‘challenge-response’ membutuhkan 4 langkah verifikasi (4-ways handshaking).
Page 18
Namun dalam banyak mode transaksi, misal transaksi perbankan elektronik, pihak
Bank dapat dianggap satu satunya server dan nasabah adalah client sehingga protokol
authentikasi hanya membutuhkan 2 langkah verifikasi (two-way handshaking) saja.
Atau dengan kata lain, proses authentikasi hanya berjalan satu arah yaitu dari Bank
yang akan mengecek keaslian nasabah/client sebelum transaksi dijalankan.
Contoh sederhana implementasi protokol ini adalah authetikasi password/PIN.
Ketika seorang client menginginkan hak akses terhadap sistem, maka sistem akan
mengirimkan challenge kepada client dan kemudian client mengirimkan hasil (kode)
yang telah diolah. Kemudian sistem akan membandingkan kode tersebut dengan kode
yang diolah oleh server. Jika hasil pembandingan tersebut sama, maka client bisa
mendapatkan hak akses yang diinginkan dan sistem akan memberikan hak akses
tersebut kepada client. Pemilihan konsep ‘challenge-response’ didasarkan pada
efisiensi penggunaan kunci karena pihak client hanya akan menyimpan 1 buah kunci
yaitu password/PIN baik sebagai ‘transport key’ maupun sebagai ‘access key’. Pada
gambar 2-12 berikut terdapat ilustrasi proses authentikasi oleh Alice kepada Bob
dimana keduanya telah memiliki kunci K bersama. Alice akan mengirimkan bilangan
acak kepada Bob dan Bob akan mengirimkan hasil perhitungan (chipertext) sebagai
hasil dari fungsi hash F dengan parameter input kunci K dan bilangan random dari
Alice. Bila hasil perhitungan Alice dan Bob sama, maka Alice berkesimpulan bahwa
ia sedang berkomunikasi dengan Bob yang sesungguhnya.
Gambar 2-9 Otentiasi Kunci
2.6.FUNGSI HASH MD5
Fungsi hash dalam kriptografi adalah fungsi matematika satu arah (one way
function) yang memiliki sifat keamanan (preimage and collision resistant) dan
umumnya dipakai untuk keperluan integritas data dan authentikasi [2]. Ada beberapa
jenis fungsi hash yang banyak dikenal seperti SHA-1, MD5, MD4, RIPEMD160,
Page 19
Rijndael, DES. Fungsi hash merupakan suatu fungsi yang secara efisien mengubah
string input M dengan panjang berhingga menjadi string output dengan panjang tetap
yang disebut nilai hash h. Fungsi hash adalah fungsi satu arah, artinya mudah untuk
menghitung nilai hash dari input string yang diberikan, tetapi sulit untuk
menghasilkan string yang nilai hashnya sudah diketahui [3]. Fungsi hash juga bersifat
‘collision free’ artinya tidak mungkin menemukan 2 pesan berbeda yang memiliki
kode hash yang sama.
MD5 merupakan salah satu fungsi hash yang merupakan kelanjutan MD4 dan
dikembangkan oleh Ronald Rivest tahun 1991. MD5 menerima masukan pesan
dengan ukuran sembarang dan mengkonversi pesan tersebut dengan algoritma hash
menjadi message digest berukuran 128 bit atau 32 digit karakter heksadesimal. MD5
bekerja pada satuan blok-blok masukan berukuran 512 bit yang diproses secara
berulang. Algoritma fungsi hash MD5 sangatlah kompleks namun untuk memudahkan
pemahaman maka algoritma ini dijelaskan secara ringkas dengan bantuan gambar 2-
13 berikut ini.
Gambar 2-10 Algoritma Hash MD5
BAB III
METODOLOGI PENELITIAN
Page 20
3.1. METODE PENELITIAN
Menurut Parsons (1946) dalam Nazir (2003) penelitian adalah pencarian atas
sesuatu secara sistematis dengan penekanan bahwa pencarian ini dilakukan terhadap
masalah – masalah yang dapat dipecahkan (Nazir : 2003). Namun dalam langkah
sistematis tersebut perlu menggunakan metode penelitian yang jelas. Dalam penelitian
diperlukan metode penelitian yang dapat dijadikan pedoman sehingga penelitian
tersebut dapat berjalan sebagaimana mestinya dan obyektif terhadap obyek penelitian
itu sendiri.
Metode penelitian adalah cara ilmiah untuk mendapatkan data dengan tujuan
dan kegunaan tertentu (Sugiyono : 2009). Metode ilmiah merupakan suatu pengejaran
terhadap kebenaran yang diatur oleh pertimbangan – pertimbangan logis (Nazir :
2003). Penelitian ini mempunyai tujuan untuk melakukan analisa terhadap teknik
sandi yang digunakan dalam mekanisme SMS-Banking di Indonesia. Dalam
pelaksanaannya, penulis mengkaji beberapa teori dasar yang relevan dengnan masalah
yang akan diteliti, mencari informasi mengenai perkembangan penggunaan SMS-
Banking di Indonesia, serta mengkaji hasil penelitian yang sudah ada. Untuk itu,
penulis menggunakan Studi Kepustakaan.
3.2.STUDI KEPUSTAKAAN
Studi kepustakaan dapat diartikan sebagai suatu langkah untuk memperoleh
informasi dari penelitian terdahulu yang harus dikerjakan, tanpa memperdulikan
apakah sebuah penelitian menggunakan data primer atau data sekunder, apakah
penelitian tersebut menggunakan penelitian lapangan ataupun laboratorium atau
didalam museum.Dalam pengertian lain disebutkan bahwa yang dimaksud dengan
studi kepustakaan adalah segala usaha yang dilakukan oleh peneliti untuk
menghimpun informasi yang relevan dengan topik atau masalah yang akan atau
sedang diteliti.
Studi kepustakaan merupakan langkah yang penting dalam metode ilmiah
untuk mencari sumber data sekunder yang akan mendukung penelitian dan untuk
mengetahui sampai ke mana ilmu yang berhubungan dengan penelitian telah
berkembang, sampai ke mana terdapat kesimpulan dan degeneralisasi yang pernah
dibuat.
Page 21
Teori-teori yang mendasari masalah dan bidang yang akan diteliti dapat
ditemukan dengan melakukan studi kepustakaan. Selain itu seorang peneliti dapat
memperoleh informasi tentang penelitian-penelitian sejenis atau yang ada kaitannya
dengan penelitiannya. Dan penelitian-penelitian yang telah dilakukan sebelumnya.
Dengan melakukan studi kepustakaan, peneliti dapat memanfaatkan semua informasi
dan pemikiran-pemikiran yang relevan dengan penelitiannya Informasi itu dapat
diperoleh dari buku-buku ilmiah, laporan penelitian, karangan-karangan ilmiah, tesis
dan disertasi, peraturan-peraturan, ketetapan-ketetapan, buku tahunan, ensiklopedia,
dan sumber-sumber tertulis baik tercetak maupun elektronik lain.
BAB IV
ANALISIS DAN PEMBAHASAN
4.1. PROSES YANG DILAKUKAN DALAM SMS-BANKING
Dalam melakukan transaksi SMS-Banking yang sebenarnya, pelanggan akan
mengirimkan sebuah pesan SMS yang berisi sebuah struktur kode tertentu kepada
penyedia nomor layanan perbankan tertentu (Bulk SMS Service Provider). Nomor
layanan yang disediakan oleh service provider biasanya berupa nomor pendek yang
terdiri dari 4 angka seperti 9386, 8888, 4343, dan sebagainya. Penyedia layanan
nomor ini selanjutnya akan meneruskan pesan yang diterimanya ke aplikasi SMS-
Banking yang ada di Bank. Aplikasi SMS-Banking yang ada di Bank terhubung
dengan komputer server (Core Banking Server) yang menyimpan informasi mengenai
rekening Bank pelanggan sekaligus melayani permintaan (request) dari pelanggan.
Page 22
Hasil permintaan dari pelanggan akan dikirimkan oleh aplikasi SMS-Banking ke Bulk
SMS Service Provider dan dilanjutkan ke nomor telepon seluler pelanggan melalui
layanan SMS.
Bank secara proaktif mengirimkan data kepada pelanggan ketika merespon
suatu transaksi. Sebagai contoh, transfer account dari rekening satu ke rekening yang
lain. Data akan dikirimkan ke pelanggan dalam tiga metode:
a. E-mail to mobile (E2M), Bank mengirimkan sebuah email ke aplikasi SMS-
Banking yang terdapat di Bank melalui alamat email yang spesifik. Email ini
akan mengandung isi pesan tertentu beserta dengan nomor perangkat seluler
pelanggan. Aplikasi SMS-Banking yang terdapat di Bank mengirimkan pesan
dalam format tertentu (sebagai contoh, tag XML yang merupakan bagian dari
string pesan query HTTP GET) ke server aplikasi service provider. Dari sini,
informasi dari tag XML akan di extracted dan dikirimkan sebagai SMS ke
nomor telepon seluler pelanggan.
b. Database to mobile (D2M), aplikasi SMSBanking yang terdapat di Bank akan
secara aktif melakukan polling ke basis data server Bank. Sebagai contoh,
ketika transaksi pemindahan account dari satu rekening ke rekening yang lain,
aplikasi mengirimkan pesan tertentu ke aplikasi server yang disediakan oleh
service provider. Format pesan mungkin bisa sama dengan format pada E2M.
Pesan ini kemudian dikirimkan sebagai SMS ke nomor telepon seluler
pelanggan.
c. PULL, customer-Request receiving application, aplikasi PULL digunakan untuk
menerima request dari pelanggan dan meneruskannya kepada aplikasi utama
Bank. Pelanggan mengirim pre-defined request code terlebih dahulu lewat SMS
kepada Bulk SMS service provider. Sesuai dengan pesan yang dikirimkan, bulk
SMS provider meneruskannya kepada aplikasi PULL.
Berdasarkan kedua metode di atas, implementasi SMS-Banking sebagian besar
menggunakan metode D2M. Kelebihan metode ini diantaranya :
1. Proses respon yang diberikan lebih cepat. Hal ini dikarenakan aplikasi langsung
berhubungan dengan basis data server, tanpa melalui mail server terlebih
dahulu. Selain itu, protokol komunikasi yang digunakan lebih efektif karena
sesuai dengan kebutuhan.
2. Format data yang digunakan lebih dapat disesuaikan dengan kebutuhan tanpa
harus melakukan parsing lebih seperti pada parsing pesan e-mail. Parsing e-
Page 23
mail dilakukan dengan memisahkan bagian-bagian yang ada seperti header
(summary, sender, receiver, dan informasi lain) dan body(text). Padahal yang
akan digunakan hanya pada bagian body saja. Hal ini mengakibatkan ada proses
parsing tambahan pada header dan body e-mail untuk mendapatkan data
transaksi. Sedangkan dengan metode D2M, parsing dapat langsung dilakukan
tanpa harus memisahkan bagian header dan body karena hanya terdiri dari body.
3. Tingkat keamanan dari data yang dipertukarkan lebih aman. Keamanan ini
didapatkan karena format data yang dikirimkan hanya diketahui oleh pihak
Bank. Selain itu proses transaksi yang terjadi hanya terjadi pada jaringan
internal Bank (LAN). Gambaran mengenai jaringan LAN perbankan untuk
SMS-Banking terdapat pada Gambar 4-1.
.
Gambar 4-11 Komponen infrastruktur SMSBanking
Adapun kelemahan dari pemilihan metode D2M ini adalah sebagai berikut :
1. Sistem arsitektur SMS-Banking kurang dapat terintegrasi dengan baik dengan
fasilitas e-Banking dari Bank yang bersangkutan. Hal ini diakibatkan transaksi
melalui e-Banking kerap menggunakan e-mail sebagai protokol komunikasi
antara aplikasi server dengan basis data Bank.
2. Pengaksesan basis data secara langsung memerlukan otentikasi format query
yang tepat. Hal ini dimaksudkan agar tidak terjadi kesalahan ketika entry sebuah
query.
Page 24
4.2. ANALISIS SISTEM SMS-BANGKING
Sistem SMS-Banking yang ada pada umumnya memiliki arsitektur sistem
seperti yang dapat dilihat pada Gambar 4-2. Pada awalnya, telepon seluler milik
nasabah Bank mengirimkan pesan SMS yang berisi kode tertentu kepada nomor
penyedia layanan melalui wireless carrier. Wireless carrier kemudian meneruskan
SMS tersebut kepada Bulk SMS Service Provider. Bulk SMS Service Provider
merupakan layanan pengiriman SMS dalam jumlah besar dan berkecepatan tinggi.
Layanan ini memberikan jaminan jalur komunikasi yang aman. Bulk SMS Service
Provider kemudian meneruskan pesan tersebut kepada aplikasi mobile Banking.
Aplikasi mobile Banking selanjutnya berhubungan dengan server perbankan inti
untuk memroses permintaan nasabah. Aplikasi mobile Banking kemudian merespon
permintaan nasabah dalam bentuk pesan SMS kepada Bulk SMS Service Provider.
Bulk SMS Service Provider lalu meneruskan SMS tersebut kepada wireless carrier.
Wireless Carrier kemudian meneruskan pesan tersebut kepada telepon seluler
nasabah.
Gambar 4-12Arsitektur sistem SMS-Banking secara umum
Layanan SMS-Banking memiliki beberapa pilihan cara yang bisa disesuaikan
dengan kemampuan ponsel dan kartu SIM (Subscriber Interface Module) yang
digunakan, diantaranya:
1. Melalui SMS biasa Cara ini merupakan cara yang umum digunakan dalam
layanan SMS-Banking. Pengguna menggunakan layanan SMS-Banking dengan
cara mengetikkan pesan SMS yang berisi kode tertentu yang ditentukan oleh
Bank, lalu mengirimkan pesan tersebut ke nomor khusus yang sudah ditentukan
oleh Bank.
Page 25
2. Melalui menu SIM Toolkit Pengguna dapat menggunakan layanan SMSBanking
melalui fasilitas yang disediakan oleh operator telepon seluler. Pengguna dapat
memilih menu-menu khusus yang dapat diakses pada menu SIM Toolkit yakni
menu yang biasanya terdapat pada kartu SIM, misalnya: Satelindo@ccess serta
M3Access dari Indosat, Life in hand dari ProXL, dan Navigator64
dariTelkomsel.
3. Melalui aplikasi khusus. Pengguna dapat melakukan layanan SMSBanking
melalui aplikasi khusus yang disediakan oleh pihak Bank. Aplikasi ini dapat
digunakan setelah pengguna terlebih dahulu menanam aplikasi tersebut pada
ponselnya. Aplikasi tersebut sangat bergantung kepada spesifikasi ponsel yang
dimiliki oleh pengguna sehingga penggunaan dari aplikasi ini cenderung
terbatas.
Cara yang pertama yaitu melalui SMS biasa memiliki kelebihan yaitu cara ini
tidak bergantung kepada jenis telepon seluler dan memiliki tingkat portabilitas yang
sangat baik. Namun, tingkat keamanan dari cara ini tidak terlalu baik karena pesan
SMS dikirim dalam bentuk pesan biasa sehingga cukup berbahaya jika pesan tersebut
dibaca oleh pihak-pihak yang tidak berkepentingan. Cara yang kedua yaitu melalui
menu SIM Toolkit memiliki kelebihan dari segi keamanan karena pesan tidak dikirim
melalui pesan SMS biasa. Namun, tingkat kebergantungan cara ini cenderung tinggi
karena bergantung kepada operator telepon seluler. Cara yang ketiga yaitu melalui
aplikasi khusus memiliki kelemahan dalam hal keterbatasan penggunaan karena
cenderung bergantung kepada spesifikasi telepon seluler. Namun, cara ini
menawarkan tingkat keamanan yang relatif baik jika aplikasi yang dibuat sudah
memperhitungkan berbagai aspek keamanan.
Pada awal perkembangannya, sebagian besar Bank melakukan kerjasam dengan
operator telepon seluler untuk menyediakan fasilitas layanan SMS-Banking Bank
tertentu. Namun, karena harus dapat mempercayakan sepenuhnya rahasisa pelanggan
kepada operator, dan juga seiring dengan kemudahan untuk mendapatkan Handphone
berteknologi tinggi maka saat ini sebagian Bank telah menggunakan cara yang ketiga.
4.3. OTENTIKASI PELANGGAN
Tujuan utama dari otentikasi pelanggan adalah untuk menentukan pelanggan
yang asli dan berhak pada operator jaringan, sehingga operator dapat memastikan
Page 26
transaksi ditujukan kepada orang yang tepat. Oleh karena itu, otentikasi yang handal
perlu di implementasikan untk melindungi operator dari kebocoran. Salah satu teknik
yang dapat digunakan adalah Challenge and Response, yaitu suatu random challenge
R (acak 128 bits / RAND) dikeluarkan dari jaringan ke HandPhone (MS =mobile
station). MS menghitung 32-bit signed response (SRES) yang berbasis enkripsi pada
RAND dengan menggunakan algorihma authentication (A3) dan secret key (Ki) yang
unik pada mobile, dan akan mengirim kembali 32 bit SRES ke jaringan. Operator
kemudian melakukan cek terhadap respon kepada challenge, dengan melakukan hal
yang sama ke challenge, jika hasilnya adalah sama seperti respon yang diterima
otentikasi telah berhasil. Jika nilai tidak sama koneksi akan diputus dan otentikasi
gagal. Seperti gambar berikut.
Gambar 4-13 Mekanisme Otentikasi
Setelah koneksi berlangsung (establish), semua transfer data yang melalui
jaringan perlu untuk dilindungi. Informasi pengguna SMS pada sebuah mode paket
conectionless melalui sebuah signal channel harus diamankan sebaik-baiknya.
Agar dapat menggunakan fasilitas SMS-Banking, pelanggan harus memberikan
nomor handphone yang akan digunakan untuk melakukan layanan tersebut. Untuk
meningkatkan layanan pelanggan, bahkan ada Bank yang memperbolehkan
penggunaan hingga sepuluh nomor telepon sekaligus. Nomor telepon tersebut adalah
nomor yang akan digunakan untuk mengidentifikasi pelanggan.
Proses otentikasi ini memenuhi 2 faktor otentikasi. Yaitu :
1. Something you know
Page 27
Pada skema otentikasi dengan menggunakan Challenge Response, user
harus memberikan bagian dari nomor PIN yang diketahui berdasarkan
permintaan dari sistem.
2. Something you Have
SMS Banking membutuhkan nomor handphone user yang didaftarkan
secara resmi kepada pihak Bank. Nomor ini akan disimpan dalam server
Bank.
Jadi, pada skema ini user harus memiliki nomor PIN yang telah didaftarkan,
serta nomor handphone. Apabila ada orang yang mencuri handphone user, ia tetap
tidak dapat mengakses sms-Banking user selama ia tidak mengetahui PIN yang
digunakan. Untuk itu, bagi pengguna SMS Banking disarankan untuk langsung
menghapus record sms Banking yang dimiliki.
Proses otentikasi melibatkan prosedur yang terjadi pada saat dimulainya sebuah
koneksi. Ketika user telah mengirimkan pesan singkat transaksi finansial
ke server SMS-Banking, maka sistem akan mengirimkan 6(enam) digit challenge.
Kemudian user tersebut diminta mengirimkan kode response (2 digit) yang sesuai
berdasarkan PIN yang dimilikinya. Nantinya, sistem pada server akan
membandingkan inputan yang dikirimkan kepada user tersebut dengan kode respon
yang telah dikirimkan . Jika ada kecocokan, maka sistem akan memberikan hak akses
sesuai dengan permintaan transaksi yang diinginkan oleh user tersebut. Atau, setelah
user mengirimkan perintah layanan pihak Bank akan membalasnya dengan meminta
informasi mengenai 2 digit PIN dengan urutan tertentu, misalnya nomor PIN ke-1 dan
ke-5. Misalnya, PIN yang digunakan user adalah 123456. User bermaksud melakukan
transfer rekening. Pihak server Bank meminta digit ke-6 dan ke-3. Maka user
membalas ‘63’.
Urutan pin yang diminta bersifat random dan selalu berubah-ubah untuk setiap
transaksi. Agar tidak tercipta pola yang jelas. Proses otentikasi ini dilakukan dengan
batasan waktu tertentu untuk melindungi data nasabah dari kemungkinan penyadapan.
Apabila dalam waktu 1 menit Bank tidak memberikan tanggapan atas perintah
layanan yang dikirmkan melalui sms, maka pelanggan disarankan untuk tidak
mengirimkan ulang perintah layanan itu. Kemudian, apabila pelanggan tidak segera
memberikan respon kepada Bank dalam waktu 1 menit, maka sistem secara otomatis
menghentikan proses.
Page 28
Pada tahap otentikasi, protokol Challenge Response diimplementasikan
dengan menggunakan algoritma Fungsi hash MD5. Fungsi hash yang diinginkan
adalah jika antara input dan output tidak memiliki dependensi yang tinggi atau
secara praktis dikatakan bahwa perubahan 1 bit input diharapkan mengubah susunan
seluruh bit pada output. Hal ini bertujuan untuk mengurangi resiko serangan yang
bersifat ‘chosen plaintext attack’ dimana seorang hacker bisa mengubah-ubah input
dan menganalisis outputnya untuk mendapatkan kunci (key) dari sistem MD5.
Berdasarkan penelitian yang telah dilakukan oleh Bambang (2010) MD5 terbukti
memiliki tingkat ‘avalanche effect’ yang sangat baik dimana perubahan 1 karakter
pada teks yang dimasukkan pada kalkulator akan mengubah secara mutlak susunan
hasil kode hash seperti pada tabel berikut :
Sample input text Hash Code
TI_USD 05776ccd
TI-USD 1328b5dd
TI-Usd 4589433d
MD5 menggunakan kunci dengan ukuran yang besar yaitu 128 bits. Kunci
dengan ukuran demikian tidaka akan terlalu besar apabila diimplementasikan pada
sistem komputer. Akan tetapi, pada SMS-Banking harus memperhatikan kapasistas
dan kemampuan komputasii yang dimiliki handphone. Jadi, fitur keamanan yang
disediakan harus mudah digunakan dan memperhatikan kemampuan handphone
4.4. ANALISIS KEAMANAN SMS-BANKING
4.4.1 Ancaman Pada Sistem Keamanan SMS-Banking
Terdapat beberapa celah kerawanan pada sistem SMS-Banking, masalah yang
dimaksud sebagai berikut:
1. Masalah jaringan GSM: Masalah dengan algoritma otentikasi A3/A8.
Algoritma ini adalah istilah yang digunakan untuk menjelaskan mekanisme
yang digunakan untuk mengotentikasi handset pada jaringan telepon selular.
A3 dan A8 sebenarnya bukan algoritma enkripsi, tapi placeholder. Dalam
A3/A8 algoritma yang umum digunakan adalah COMP128. Algoritma
COMP128 telah berhasil dipecahkan oleh Wagner dan Goldberg dalam waktu
kurang dari satu hari. Hal ini menimbulkan kekhawatiran mengenai keamanan
Page 29
GSM sebagai mekanisme komunikasi. Setelah cracking COMP128 Wagner
dan Goldberg melanjutkan untuk membuktikan bahwa adalah mungkin untuk
mendapatkan Nilai Ki, sehingga sehingga memungkinkan untuk melakukan
kloning SIM. Algoritma A5 digunakan untuk mencegah casual eavesdropping
dengan mengenkripsi komunikasi antara stasiun bergerak (handset) dan
BSS(Base Station subsystem). Kc adalah nilai Ki dan RAND dimasukkan ke
dalam algoritma A5. Nilai Kc adalah kunci rahasia yang digunakan dengan
algoritma A5 untuk enkripsi antara stasiun bergerak dan BSS. Attack on the
RAND value, Ketika AUC(Authentication Center) berupaya untuk otentikasi
kartu SIM, nilai RAND yang dikirim ke kartu SIM dapat dimodifikasi oleh
penyusup sehingga menyebabkan terjadinya Denial of Service.
2. Ide awal untuk penggunaan SMS itu dimaksudkan agar pelanggan dapat
mengirim pesan non-sensitif di seluruh jaringan GSM secara terbuka. Adanya
otentikasi, enkripsi teks, end-to-end keamanan, nonrepudiation dihilangkan
selama desain arsitektur GSM. Terdapat SMS spoofing yaitu serangan yang
melibatkan pihak ketiga mengirimkan pesan SMS yang tampaknya dari
pengirim. Hal ini dimungkinkan untuk mengubah originator field alamat dalam
header SMS ke yang lain alfa-numerik string. Hal ini dapat menyembunyikan
alamat pengirim aslinya, dan melakukan tipuan serangan masquerading. Data
Format default untuk pesan SMS adalah dalam plaintext. Enkripsi end-to-end
saat ini tidak tersedia. Algoritma A5 terbukti rentan. Oleh karena itu
diperlukan algoritma yang lebih aman.
3. Masalah keamanan dengan Implementasi current GPRS: Implementasi mobile
Banking saat ini yang menggunakan WAP telah terbukti sangat aman, tetapi
terdapat beberapa lubang yang dapat menyebabkan komunikasi tidak aman.
Beberapa lubang meliputi: Tidak ada enkripsi end-to- end antara klien dan
Bank server. Untuk mengatasi ini, server Bank dapat memiliki Access Point
Name (APN) sendiri di salah satu jaringan GPRS. APN ini akan berfungsi
sebagai Gateway WAP untuk Bank. Oleh karena itu klien akan dihubungkan
langsung ke Bank tanpa ketiga pihak di tengah komunikasi. Kriptografi kunci
publik kunci ukuran yang ditawarkan oleh WTLS standar tidak cukup kuat
untuk memenuhi aplikasi persyaratan keamanan WAP saat ini. Mengingat
rendah kekuatan pengolahan perangkat genggam, ukuran kunci telah telah
dibatasi. Anonymous suite pertukaran kunci yang ditawarkan oleh WTLS
Page 30
handshake tidak dianggap aman. Baik klien maupun server otentikasi. Bank
harus menyediakan fungsionalitas untuk melarang opsi ini dari handshaking.
Jaringan Inti GPRS terlalu umum, tetapi tidak melayani untuk beberapa
perbankan persyaratan keamanan. Bank dapat memberikan APN yang unik
untuk mengakses server Bank. Semua masalah ini menimbulkan kekhawatiran
fabrikasi baik informasi Bank atau pemegang rekening informasi, Penyediaan
fungsi untuk menghindari modifikasi data dan memastikan integritas data baik
untuk nasabah maupun Bank. Metode untuk memenuhi kerahasiaan data
antara stasiun bergerak dan server Bank telah terbukti lemah, dan operator
jaringan dapat melihat informasi rekening pemegang. Hal ini menimbulkan
masalah keamanan baik bagi Bank dan pemegang rekening. Bank tidak dapat
membuktikan bahwa pemegang rekening melakukan tindakan spesifik dan
pemegang rekening tidak dapat membuktikan bahwa Bank melakukan
tindakan tertentu. GPRS menyediakan fasilitas penanganan session, tetapi
tidak menangani sesi khusus untuk Bank; ini dapat menyebabkan inkonsistensi
pada Bank terkait dengan isu-isu keamanan.
4.5. MANFAAT, RESIKO SMS-BANKING
Terdapat beberapa manfaat yang dapat diperoleh oleh para nasabah pengguna
layanan SMS-Banking, yaitu :
1. Transaksi dapat dilakukan setiap waktu di setiap tempat selama perangkat
telepon seluler nasabah terkoneksi dengan jaringan operator telepon seluler
bertalian.
2. Tidak perlu antri di kantor Bank ataupun di ATM untuk melakukan transaksi
perbankan non-tunai, sehingga sangat menghemat waktu, biaya dan tenaga.
3. Praktis (tidak perlu membawa uang tunai) dan terhindari dari risiko kehilangan
harta benda maupun nyawa karena membawa uang tunai untuk keperluan
transaksi pembayaran dalam jumlah besar.
4. Tarif yang relatif terjangkau dan relatif mudah penggunaannya.
5. Mendapatkan SMS konfirmasi apabila saldo transaksi lebih dari satu juta
rupiah.
Page 31
Apabila dilihat dari sisi yang lain, sebenarnya dibalik manfaat yang diterima
pengguna layanan SMS-Banking terdapat beberapa kelemahan yang dapat dialami
oleh seorang nasabah, yaitu :
1. Kecepatan data saat melakukan transaksi yang terbilang cukup lambat terutama
pada jam-jam sibuk maupun jam-jam dimana traffic-nya cukup tinggi, misalnya
pada saat server Bank sedang melakukan proses tutup buku.
2. Dapat menjadi ancaman bagi kelangsungan hidup suatu kegiatan usaha,
misalnya usaha penjualan pulsa elektronik prabayar.
3. Bahaya keamanan yang bersumber dari aspek non teknis ketika ada pihak ketiga
yang mengetahui nomor pin pengguna SMS-Banking. Pihak ketiga tersebut
dapat muncul dari operator telepon seluler maupun orang terdekat nasabah
sendiri.
4. Pemrosesan transaksi dijalankan dalam dua jenjang, yakni proses transaksi di
server milik operator dan proses transaksi di server milik Bank. Apabila salah
satu server mengalami masalah/ down maka akan terjadi kesulitan dalam
pembuktian mengenai adanya transaksi lewat telepon seluler.
5. Tidak menutup kemungkinan keberadaan SMS-Banking Mandiri is not user
friendly bagi para nasabah berusia lanjut.
Upaya Mengurangi Risiko
Beberapa risiko layanan SMS-Banking tersebut dapat dieliminir, antara lain
dengan jalan :
1. Menggunakan layanan SMS-Banking secara hati-hati, tidak disembarang tempat
serta mengamankan dengan baik data-data pribadi yang penting sehingga tidak
diketahui oleh orang yang tidak berhak.
2. Diupayakan tidak menggunakan layanan SMS-Banking di saat peak hours Bank
maupun pada waktu dimana traffic cukup tinggi, misal di saat-saat jam tutup
kantor karena kemungkinan server Bank sedang melakukan proses tutup buku
harian, pada jam-jam menjelang pergantian bulan karena kemungkinan server
Bank sedang melakukan proses tutup buku bulanan maupun tahunan
(Gunardi,2008).
3. Melakukan pengecekan saldo sebelum maupun setelah melakukan transaksi,
selanjutnya bandingkan besar nilai transaksi dengan selisih saldo pada
pengecekan awal dengan saldo pada pengecekan akhir (Gunardi,2008).
Page 32
4. Menerapkan digital signature untuk SMS yang ditujukan ke nomor tertentu,
yakni menggunakan kunci publik (dimiliki oleh Bank) dan kunci privat (dimiliki
oleh nasabah) yang digunakan oleh perbankan untuk melakukan verifikasi di
awal transaksi (Budiono).
BAB V
SIMPULAN DAN SARAN
5.1. SIMPULAN
SMS-Banking merupakan suatu layanan Bank yang memudahkan nasabah
untuk melakukan transaksi perbankan hanya dengan menggunakan perangkat seluler
mereka. Adapun layanan yang disediakan oleh Bank untuk dapat melakukan transaksi
melalui SMS, diantaranya ialah cek saldo, cek kurs valuta asing, cek tiga transaksi
terakhir, cek tagihan mitra, pembayaran tagihan mitra, pembayaran kartu kredit, dan
transfer antar rekening. Layanan SMS-Banking menjanjikan mobilitas yang tinggi,
bisa dilakukan kapanpun dan dimanapun, bahkan saat roaming internasional. Faktor
keamanan menjadi sangat penting semenjak hadirnya produk layanan SMSBanking.
Hal ini dikarenakan transaksi perbankan sering melibatkan nilai nominal yang cukup
besar sehingga harus memiliki tingkat keamanan yang tinggi.
Page 33
Hal yang paling kritis dalam aplikasi keuangan/perbankan terutama adalah
masalah security. Kegagalan sisi keamanan jaringan akan dapat menyebabkan
kerugian yang tidak sedikit bagi industri perbankan. Salah satunya adalah masalah
jaminan otentikasi. Untuk memberikan jaminan otentikasi, selain menggunakan
algoritma A3 yang terdapat pada GSM Bank juga menggunakan protokol challenge
response. Protokol ini menggunakan algoritma Fungsi Hash MD5 yang telah terbukti
keandalannya.
5.2. SARAN
Dari penelitian dan kajian pustaka yang dilakukan, maka penulis
menyaranakan :
1. Bank sebaiknya menggunakan jaringan GPRS. Karena pada jaringan GPRS
terdapat fitur keamanan yang lebih menjamin dibandingkan menggunakan
jaringan GSM. Sebagai konsekuensi dari penggunaan GPRS, Bank harus
menyediakan aplikasi khusus untuk menunjang SMS-Banking. Dengan
menggunakan cara ini, peran pihak operator telepon seluler dapat lebih
diminimalisir.
2. Penggunaan challenge response sebagai protokol otentikasi mampu memastikan
kebenaran pihak nasabah. Namun, mengingat maraknya ancaman penipuan dan
ancaman man in the middle yang dapat mengaku sebagai pihak Bank, Bank juga
harus dapat memastikan kebenaran dirinya. Misalnya melalui two way
authentication challenge response.
3. Meskipun dalam SMS-Banking otentikasi dilakukan 2 kali(melalui nomor
handphone dan PIN), namun penggunaan PIN standar yang berjumlah 6 digit
masih mungkin untuk diserang menggunakan bruthe force attack. Untuk itu salah
satu cara yang dapat dilakukan adalah dengan menggunakan One Time Pad.
Prinsip dasarnya, user diminta untuk menyiapkan suatu daftar jawaban (response)
berbeda bagi "pertanyaan" (challenge) yang berbeda juga berdasarkan
identitas user yang telah teregistrasi di database Bank. Karena tentu sulit sekali
untuk menghafal sekian puluh ataupun sekian ribu kemungkinan password, akan
lebih mudah jika yang dihafal adalah "aturan" untuk mengubahchallenge yang
diterima menjadi response yang tetap random. Misalnya, aturan yang sudah kita
tetapkan sebelumnya adalah: "kapitalkan karakter ketiga dan kedelapan serta
Page 34
hapus karakter kedua, keempat, ketujuh, dan kesembilan", maka password yang
kita berikan adalah r9AO0T untuk challenge system r96a7O0Wt4.
4. Menggunakan layanan SMS-Banking secara hati-hati, tidak disembarang tempat
serta mengamankan dengan baik data-data pribadi yang penting sehingga tidak
diketahui oleh orang yang tidak berhak. Frank Abagnale Jr yang dimainkan oleh
Leonardo di Caprio di film “Catch me if you can” —- bercerita tentang buronan
FBI yang akhirnya beralih menjadi tentornya FBI —- barangkali dapat
memberikan inspirasi kepada kita betapa pentingnya menjaga data-data pribadi
dan bagaimana menjaganya.
5. Diupayakan tidak menggunakan layanan SMS-Banking di saat peak hours Bank
maupun pada waktu dimana traffic cukup tinggi, misal di saat-saat jam tutup
kantor karena kemungkinan server Bank sedang melakukan proses tutup buku
harian, pada jam-jam menjelang pergantian bulan karena kemungkinan server
Bank sedang melakukan proses tutup buku bulanan maupun tahunan
(Gunardi,2008).
6. Melakukan pengecekan saldo sebelum maupun setelah melakukan transaksi,
selanjutnya bandingkan besar nilai transaksi dengan selisih saldo pada pengecekan
awal dengan saldo pada pengecekan akhir (Gunardi,2008).
7. Menerapkan digital signature untuk SMS yang ditujukan ke nomor tertentu, yakni
menggunakan kunci publik (dimiliki oleh Bank) dan kunci privat (dimiliki oleh
nasabah) yang digunakan oleh perbankan untuk melakukan verifikasi di awal
transaksi (Budiono).
Page 35
DAFTAR PUSTAKA
Buku
Menezes, A.J., van Oorsschoot, P.C., Vansto e, S.A.1996. Handbook of Applied
Cryptography, CRC Press.
Sumarkidjo, dkk. 2006. Jelajah Kriptologi. Jakarta: Lembaga Sandi Negara.
Skripsi
Soeryowardhana, Herdyanto. 2009. Perancangan Dan Implementasi Protokol Sms-Banking.
Bandung Institut Teknologi Bandung.
Satyanegara, Biyan. 2011. Penerapan Kriptografi dalam sistem Keamanan SMS-Banking.
Bandung: Institut Teknologi Bandung.
Riswanto, Eko. Jenis dan Cara Penggulangan Ancaman pada Keamanan Teknologi
Perbankan. Jogjakarta: Universitas Gajah Mada.
Franundo, Ardian,2009. Serangan pada Algoritma A3, A5, dan A8 di jaringan GSM dan
Penerapan Elliptic Curve Chryptography Untuk Penagnggulangannya. Bandung” Institut
Teknologi Bandung.
Aminullah, R. Andri. 2009. Studi dan Analisis Algoritma Kriptografi pada Jaringan Seluler.
Bandung” Institut Teknologi Bandung.
Page 36
Website
Kohli, Karmendra. 2004. SMS in Banking Mitigating the risk. Paladion Networks.
http://palisade.plynt.com/issues/2005Nov/secure-sms-Banking/ duakses pada 2
November 2011
Soelistijanto, Bambang. 2010. Implementasi Authentikasi Client dengan metode “Two Way
Challenge Response” Pada Transaksi Perbankan Elektronik. Yogyakarta: Universitas
Sanata Dharma.
http://repository.upnyk.ac.id/386/1/C-
3_IMPLEMENTASI_AUTHENTIKASI_CLIENT_DENGAN_ME.pdf diakses pada
2 November 2011