ANALISIS TEKNIK OTENTIKASI PADA SMS-BANKING DI INDONESIA

T U G A S A K H I R

Diajukan dalam rangka memenuhi persyaratan

Kelulusan mata kuliah Otentikasi Sandi

Sekolah Tinggi Sandi Negara

T.A. 2011/2012

Mita Pramihapsari

NPM : 0908100814

Manajemen Persandian

SEKOLAH TINGGI SANDI NEGARA

BOGOR

Desember 2011

ANALISIS TEKNIK OTENTIKASI PADA SMS-BANKING DI INDONESIA

Mita Pramihapsari

Program Studi Manajemen Persandian

0908100814

Abstrak

Perkembangan teknologi informasi terutama dalam bidang mobile telah membawa

perubahan pada masyarakat dalam melakukan komunikasi antar sesamanya. Perbankan

sebagai penyedia layanan keuangan saat ini tidak hanya menyediakan layanan yang bersifat

konvensional dimana pelanggan harus bertemu langsung dengan pihak Bank. Untuk

meningkatkan kualitas layanan, serta fleksibilitas dan efisiensi, perbankan di Indonesia telah

memanfaatkan teknologi Internet maupun jaringan GSM. Salah satu produk layanan

perbankan yang berbasis pada teknologi GSM adalan SMS-Banking. SMS-Banking

merupakan salah satu layanan yang disediakan Bank menggunakan sarana SMS untuk

melakukan transaksi keuangan dan permintaan informasi keuangan, misalnya cek saldo,

mutasi rekening dan sebagainya. Tujuan dari penulisan ini adalah untuk menganalisis teknik

otentikasi yang digunakan dalam mekanisme sms-Banking yang dijalankan di Indonesia.

Analisis dilakukan untuk mengetahui kelebihan, kekurangan, ancaman serta solusi dapat

diberikan dengan menganalisa seluruh aspek yang saling berkaitan teknik otentikasi pada

SMS-Banking.

Hasil akhir dari penulisan ini berupa saran dan rekomendasi mengenai apa yang

dapat dilakukan oleh Bank untuk mengoptimalkan teknik otentikasi yang digunakan saat ini.

Kata kunci : SMS-Banking, Otentikasi, GSM, SMS, Algoritma A3;A5;A8; ,Challengge

Response,

KATA PENGANTAR

Segala puji dan rasa syukur selalu terpanjatkan kehadirat Allah SWT karena hanya

dengan izin dan perkenan-Nya penulis dapat menyelesaikan Tugas Akhir yang berjudul

“ANALISIS TEKNIK OTENTIKASI PADA SMS-BANKING DI INDONESIA”. Penulisan

tugas akhir ini dilakukan dalam rangka memenuhi salah satu syarat kelulusan pada mata

kuliah Otentikasi Sandi.

Penulis menyadari bahwa, tugas akhir ini tidak hanya hadir karena kerja keras penulis

semata tapi merupakan integrasi dari berbagai bantuan, bimbingan, arahan serta do’a dari

berbagai pihak. Untuk itu, pada kesempatan ini penulis ingin mengucapkan terima kasih

kepada :

(1) Kedua orang tua yang selalu memberikan dukungan dan do’a meskipun

terpisahkan oleh jarak;

(2) Ibu Pinuji Prasetyaningtyas, selaku Dosen Otentikasi Sandi yang telah

membimbing kami dan tidak bosan mengajak kami untuk berdiskusi.

(3) Rekan-rekan tingkat III Manajemen Persandian STSN VIII, yang telah membantu

penulis.

Serta kepada pihak-pihak lain yang tidak bisa penulis sebutkan satu per satu, terima

kasih atas segala bantuannya. Semoga doa dan dukungan yang diberikan menjadi amal

ibadah dihadapan Allah SWT.

”Tiada gading yang tak retak”. Demikianlah kata pepatah, penulis menyadari banyak

terdapat kekurangan dalam penyusunan tugas ini. Untuk itu penulis mengharapkan kritik dan

saran yang membangun demi tercapainya penulisan yang lebih baik. Besar harapan penulis,

penyusunan tugas akhir ini dapat berguna bagi pembaca, khususnya civitas akademika STSN

serta berkontribusi terhadap ilmu pengetahuan pada umumnya dan ilmu persandian pada

khususnya.

Penulis

Mita Pramihapsari

BAB I

PENDAHULUAN

1.1 LATAR BELAKANG

Hal yang paling kritis dalam aplikasi keuangan/perbankan terutama adalah masalah

security. Kegagalan sisi keamanan jaringan akan dapat menyebabkan kerugian yang

tidak sedikit bagi industri perbankan. Secara umum ada empat(4) aspek keamanan

jaringan, yaitu:

1. Penetration testing

2. Certificate Authority / PKI

3. Vulnerability Testing

4. Managed Security Services

Masing-masing aspek akan mencakup hal-hal yang cukup kompleks, misalnya,

aspek Penetration Testing meliputi Active Content Monitoring/ Filtering, Intrusion

Detection–Host Based, Firewall, Intrusion Detection–Network Based, Authorization, Air

Gap Technology, Network Authentication, Security Appliances. Aspek Certificate

Authority/Public Key Infrastructure meliputi hal Certificate Authority, File & Session

Encryption, VPN & Cryptographic Communications, Secure Web Servers, Single Sign

On, Web Application Security. Di sisi pelanggan/pengguna jasa Bank, perkembangan

teknologi tidak kalah menarik. Secara umum ada dua(2) teknologi yang menjadi basis

interaksi dunia perbankan dengan pelanggannya agar dapat dilakukan transaksi secara

on-line dan transaksional, yaitu,

1. Telepon Selular

2. Internet

Secara umum telepon selular menjadi lebih menarik karena jumlah pelanggan yang

lebih bahkan menurut CSFB, Indonesia termasuk mempunyai potensi rangking sangat

besar bagi pertumbuhan pengguna selular. Tentunya akan bertambah pilihan lagi dengan

semakin banyaknya operator yang menggelar infrastruktur selular. (Purbo O.W, 2001)

Perkembangan teknologi informasi terutama dalam bidang mobile telah membawa

perubahan pada masyarakat dalam melakukan komunikasi antar sesamanya.

Berdasarkan asosiasi GSM, pada pertengahan tahun 2008 terdapat 3,6 Milliyar

pelanggan GSM di dunia (GSM Associaton, 2008a) dan terdapat 1,2 juta koneksi baru di

setiap harinya (GSM Associaton, 2008b). Dengan pertumbuhan yang cepat dalam

penggunaan teknologi mobile diperkirakan jumlah tersebut akan menyentuh angka 4

milliar pada tahun 2010 atau mungkin lebih cepat dari itu. Layanan keuangan seperti

mobile Banking menjadi salah satu fokus pengembangan. Menurut Porteus (2006) labih

banyak orang yang memiliki telepon selular dibandingkan dengan mereka yang memiliki

nomor rekening.

Jumlah pengguna seluler di Indonesia hingga Juni 2010 diperkirakan mencapai 180

juta pelanggan, atau 80% dari total penduduk Indonesia.1Pada akhir 2010, volume

transaksi melalui mobile Banking pada salah satu Bank di Indonesia mencapai kisaran 8

juta transaksi dengan nilai sebesar Rp10,6 triliun atau naik 60% dari 5 juta transaksi pada

2009 dengan nilai transaksi Rp6,6 triliun. Melihat pada nilai transaksi yang meningkat,

diharapkan penggunakan mobile Banking mencapai 1 juta pada akhir 2011. Hingga akhir

2010 lalu, pengguna mobile Banking pada salah satu Bank baru mencapai 500 ribu

nasabah.2

Berdasarkan Kamus Komputer dan Teknologi Informasi, mobile Banking (M-

Banking) berarti Fasilitas perbankan melalui komunikasi bergerak seperti handphone.

Dengan penyediaan fasilitas yang hampir sama dengan ATM kecuali mengambil uang

cash. Dengan ada nya M-Banking,pihak perbankan berusaha mempermudah akses para

nasabahnya dalam melakukan transaksi.Dengan adanya layanan M-Banking,nasabah

Bank-Bank yang telah memiliki layanan tentu saja tidak perlu pergi ke ATM atau

kantor Bank tersebut. Hampir semua Bank di Indonesia telah menyediakan fasilitas M-

Bankingnya baik berupa SIMtolkit (Menu Layanan Data) maupun sms plain (sms

manual) atau dikenal dengan istilah SMS Banking. SMS Banking merupakan layanan

yang disediakan Bank menggunakan sarana SMS untuk melakukan transaksi keuangan

dan permintaan informasi keuangan , misalnya cek saldo, mutasi rekening dan

sebagainya. Keunggulan M-Banking adalah dapat di akses oleh semua pengguna

handphone dengan tipe GSM. Dengan luasnya jangkauan sinyal GSM,layanan M-

Banking tentu sangat memudahkan para nasabah. Namun Fasilitas M-Banking memiliki

beberapa kelemahan diantaranya adalah akses untuk pengguna handphone CDMA,

belum semua operator CDMA mempunyai layanan M-Banking.

Berbeda dengan InterNet Banking, pada end-user atau customer biasa, aplikasi yang

jelas-jelas akan menjangkau banyak massa adalah Short Message Services(SMS) yang

1 http://www.antaranews.com/berita/1279093421/pengguna-ponsel-indonesia-akan-capai-80-persen Diakses pada : 2 Nopember 2011 2http://www.infoBanknews.com/2011/04/Bank-mandiri-targetkan-1-juta-pengguna-mobile-

Banking/ Diakses pada : 2 Nopember 2011

jelas akan menjangkau banyak sekali pelanggan. Salah satu keuntungan dengan adanya

teknologi selular bagi dunia pelanggan adalah sistem authentikasi yang sudah built-in

dalam infrastruktur telepon selular. Otentikasi akan sangat memudahkan bagi dunia

perbankan untuk melakukan mapping antara pelanggan/client antara dunia perbankan

dengan dunia selular melalui nomor telepon dan nomor account. Ada cukup banyak

forum open standar untuk transaksi SMS, MMS, WAP yang menstandarisasi teknologi

messaging antar pengguna selular telepon, untuk para pelaku yang ingin membuat sendiri

gateway WAP dan SMS dengan menggunakan solusi open source yang terbuka dapat

berekperimen dan mencobanya.

Adanya Internet Banking dan Mobile Banking akan menjadi lebih semarak lagi

dengan ada kerjasama yang cukup erat antara dunia perbankan, operator selular, operator

Internet dengan berbagai service provider, software house untuk mengembangkan

aplikasi yang lebih terintegrasi dari berbagai layanan. Contoh sederhana, memberikan

informasi perbankan, apakah itu kurs valuta asing, bunga Bank, proses peminjaman

uang, bunga deposit dll melalui SMS, e-mail, Web. Pada tingkat yang lebih kompleks

mendukung transaksi pembelian barang, penjualan barang dengan transaksi keuangan

melalui SMS, tidak hanya tergantung pada mekanisme kartu debet atau kartu kredit yang

biasa. ini merupakan indikasi perkembangan menuju mobile commerce. Tentunya

dibutuhkan service provider atau software house yang mampu membangun payment

gateway terutama melalui SMS antara Bank, penjual dan pembeli. Terutama karena

mobile commerce termasuk kategori transaksi business to customer (B2C).

SMS-Banking merupakan suatu layanan Bank yang memudahkan nasabah untuk

melakukan transaksi perbankan hanya dengan menggunakan perangkat seluler mereka.

Transaksi tersebut dilakukan melalui SMS yang dikirimkan secara langsung ke nomor

tujuan Bank, atau dapat juga terimplementasi dalam SIM card telepon seluler nasabah.

Aplikasi yang tertanam pada SIM card telepon seluler menyimpan beberapa informasi

mengenai transaksi yang bisa dilakukan dengan menggunakan tarif SMS. Adapun

layanan yang disediakan oleh Bank untuk dapat melakukan transaksi melalui SMS,

diantaranya ialah cek saldo, cek kurs valuta asing, cek tiga transaksi terakhir, cek tagihan

mitra, pembayaran tagihan mitra, pembayaran kartu kredit, dan transfer antar rekening.

Layanan SMS-Banking menjanjikan mobilitas yang tinggi, bisa dilakukan kapanpun dan

dimanapun, bahkan saat roaming internasional. Faktor keamanan menjadi sangat penting

semenjak hadirnya produk layanan SMSBanking. Hal ini dikarenakan transaksi

perbankan sering melibatkan nilai nominal yang cukup besar sehingga harus memiliki

tingkat keamanan yang tinggi. Selama ini sistem keamanan yang ada dilakukan dengan

enkripsi pesan SMS yang dilakukan oleh handphone dengan menggunakan key tertentu

yang tertanam pada SIM card operator telepon seluler. Pengguna wajib memasukkan

password untuk melakukan transaksi tersebut.

1.2 RUMUSAN MASALAH

Berdasarkan latar belakang yang telah diuraikan diatas, maka pokok permasalahan

yang dapat dirumuskan adalah :

1. Bagaimana mekanisme SMS-Banking yang berjalan saat ini?

2. Bagaimana teknik otentikasi yang digunakan saat ini dapat memberikan jaminan

integritas dan non repudentiality ?

1.3 PEMBATASAN MASALAH

Penelitian ini memeiliki keterbatasan-keterbatasan baik dalam penulisan, waktu

maupun materi. Karenanya, permasalahan yang akan dibahas dalam penelitian ini akan

dibatasi hanya pada analisis teknik otentikasi yang digunakan untuk SMS-Banking.

Materi yang akan dibahas berfokus pada mekanisme yang diberlakukan, prosedur yang

dibuat oleh Bank penyelenggara serta ancaman yang dihadapi.

1.4 TUJUAN DAN MANFAAT PENELITIAN

1.4.1 TUJUAN PENELITIAN

Berdasarkan pada pokok permasalahan yang dikemukakan diatas, maka

tujuan penelitian ini adalah :

1. Memahami dan mempelajari sistem transaksi perbankan online dengan

menggunakan SMS

2. Mengetahui keamanan teknik otentikasi yang digunakan saat ini.

1.4.2 MANFAAT PENELITIAN

1. Secara akademis, hasil penelitian ini diharapkan dapat memberikan

pemahaman dan memperkaya teori atau konsep yang berkaitan dengan teknik

otentikasi.

2. Secara praktis, hasil penelitian ini diharapakan dapat memberikan masukan

bagi Bank penyelenggara SMS-Banking untuk meningkatkan keamanan SMS-

Banking.

1.5 SISTEMATIKA PENULISAN

BAB I : PENDAHULUAN

Bab ini membahas secara umum mengenai latar belakang masalah, rumusan

permasalahan, pembatasan masalah, tujuan dan manfaat penelitian, serta

sistematika penulisan.

BAB II : LANDASAN TEORI

Bab ini berisi tentang teori-teori atau konsep-konsep yang berkaitan dengan

SMS-Banking, Kriptografi dan teknik otentikasi yang akan mendukung

penelitian, kerangka berpikir, dan model penelitian yang digunakan.

BAB III : METODOLOGI PENELITIAN

Bab ini berisi metode penelitian, teknik pengumpulan data, instrumen

penelitian yang digunakan, dan teknik analisis data.

BAB IV : ANALISIS DATA

Bab ini berisi tentang informasi mengenai gambaran obyek penelitian dan

analisis terhadap hasil pengumpulan dan pengolahan data.

BAB V : SIMPULAN DAN SARAN

Menjelaskan kesimpulan dari pokok permasalahan yang dikemukakan pada

laporan ini, serta menyampaikan saran yang dapat diberikan.

BAB II

LANDASAN TEORI

2.1. SHORT MESSAGE SERVICE (SMS)

Short Message Service (SMS) merupakan sebuah layanan yang banyak

diaplikasikan pada sistem komunikasi kasi tanpa kabel, memungkinkan dialkukannya

pengiriman pesan dalam bentuk alphanumeric antara terminal pelanggan atau antara

terminal pelanggan dengan sistem eksternal seperti email, paging, voice mail, dan lain-

lain. Isu SMS pertama kali muncul di belahan Eropa pada sekitar tahun 1991 bersama

dengan sebuah teknologi komunikasi wireless yang saat ini cukup banyak penggunanya,

yaitu Global System for Mobile Communication (GSM). Dipercaya bahwa pesan

pertama yang dikirimkan menggunakan SMS dilakukan pada bulan Desember 1992,

dikirimkan dari sebuah Personal Computer (PC) ke telepon mobile (bergerak) dalam

jaringan GSM milik Vodafone Inggris. Perkembangannya kemudian merambah ke

benua Amerika, dipelopori oleh beberapa operator komunikasi bergerak berbasis digital

seperti BellSouth Mobility, PrimeCo, Nextel, dan beberapa operator lain.

Teknologi digital yang digunakan bervariasi dari yang berbasis GSM, Time Division

Multiple Access (TDMA), hingga Code Division Multiply Access (CDMA). Tidak

diragukan lagi SMS sangat sukses di pasaran, di tempat kelahirannya sendiri, yaitu

Eropa, trafik SMS mencapai lebih dari 3 miliar per bulan meskipun tanpa ada program

marketing yang proaktif dari operator seluler dan vendor pembuat perangkat

komunikasi bergerak.

Kesuksesan SMS dianggap sebagai kesuksesan yang tidak disengaja dan cukup

mengejutkan bagi pihak-pihak yang terjun dalam industri telekomunikasi bergerak

karena beberapa pihak yang berkompeten sebelumnya memprediksi bahwa SMS tidak

akan laku karena penggunanya cukup sulit dan materi untuk marketingnya sulit

ditentukan. SMS menjadi fenomena tersendiri, dalam waktu yang cukup singkat

pertumbuhannya sangat tinggi tanpa ada penurunan tarif yang berarti, bahkan dapat

dikatakan tarifnya mengambil posisi steady state. Biasanya, bahkan dalam kasus

layanan telepon bergerak, tarif akan turun seiring dengan meningkatnya pengguna.

Fakta lainnya adalah fasilitas SMS dalam telepon bergerak ternyata punya andil cukup

besar dalam menarik kaum muda masuk dalam pasar telepon bergerak.

Dalam sistem SMS, mekanisme utama yang dilakukan dalam sistem adalah

melakukan pengiriman pesan singkat dari satu terminal pelanggan ke terminal yang

lain. Hal ini dapat dilakukan berkat adanya sebuah entitas dalam sistem SMS yang

bernama Short Message Service Center (SMSC), disebut juga dengan Message Center

(MC). SMSC merupakan sebuah perangkat yang melakukan tugas store and forward

trafik SMS. Di dalamnya termasuk penentuan atau pencarian rute tujuan akhir dari

pesan SMS. Sebuah SMSC biasanya didesain untuk dapat menangani SMS dari

berbagai sumber seperti Voice Mail System (VMS), Webbased messaging, Email

Integration, External Short Message Entity (ESME), dan lain-lain. Dalam interkoneksi

dengan entitas dalam jaringan komunikasi wireless seperti Home Location Register

(HLR) dan Mobile Switching Center (MSC), SMSC biasanya selalu menggunakan

Signal Transfer Point (STP).

Layanan SMS merupakan sebuah layanan yang bersifat nonreal time dimana sebuah

pesan SMS dapat di-submit ke suatu tujuan, tidak peduli apakah tujuan tersebut aktif

atau tidak. Bila dideteksi bahwa tujuan tidak aktif, maka sistem akan menunda

pengiriman ke tujuan hingga tujuan aktif kembali. Pada dasarnya sistem SMS akan

menjamin delivery dari suatu pesan SMS hingga sampai ke tujuan. Kegagalan

pengiriman yang bersifat sementara seperti tujuan tidak aktif akan selalu teridentifikasi

sehingga pengiriman ulang pesan SMS akan selalu dilakukan kecuali bila diberlakukan

aturan bahwa pesan SMS yang telah melampui batas waktu tertentu harus dihapus dan

dinyatakan gagal terkirim. Karakteristik utama SMS adalah SMS merupakan sebuah

sistem pengiriman data yang berisfat out-of- and dengan bandwith kecil. Dengan

karakteristik ini, pengiriman suatu burst data yang pendek dapat dilakukan dengan

effisiensi yang sangat tinggi.

Pada awalnya SMS diciptakan untuk menggantikan layanan paging dengan

menyediakan layanan serupa yang bersifat two-way messaging ditambah dengan

notification service, khususnya untuk voice mail. Pada perkembangan selanjutnya,

muncul jenis-jenis layanan lain seperti email, fax, dan integration, interactive Banking,

information service, dan integrasi dengan aplikasi berbasis internet. Selain itu juga

berkembang layanan data wireless seperti SIM download for activation, debet, profile

editing, dan lain-lain yang kemudian mendorong timbulnya layanan-layanan seperti

web-based messaging, gaming, dan chatting. Layanan SMS dibangun dari berbagai

entitas yang saling terkait dan mempunyai fungsi dan tugas masing-masing. Tidak ada

satupun dalam sistem SMS yang dapat bekerja secara parsial. Entitas dalam jaringan

SMS ini disebut juga elemen jaringan SMS.

2.2. SMS BANKING

Aplikasi SMS-Banking ditujukan untuk mengirim data transaksi perbankan ke suatu

server Bank tertentu yang berbasiskan SMS (Short Message Service). SMS- Banking

merupakan sebuah aplikasi yang menjawab kebutuhan akan pelanggan Bank untuk

dapat melakukan transaksi perbankan kapanpun dan dimanapun. Untuk itu, Bank

menyediakan informasi detail mengenai account pelanggan dan kemampuan transaksi

real-time hanya dengan menggunakan perangkat seluler mereka yaitu dengan

menggunakan layanan SMS. SMS-Banking menyediakan layanan yang dapat digunakan

oleh penggunanya secara langsung meliputi :

1. Mendapatkan informasi mengenai saldo pelanggan

2. Mendapatkan informasi mengenai tiga transaksi terakhir

3. Melakukan transfer account ke rekening pengguna yang lain

4. Membayar tagihan kartu kredit

5. Mendapatkan informasi mengenai kurs valuta asing

6. Melakukan transaksi ubah nomor PIN

Untuk menunjang layanan tersebut, diperlukan sebuah gambaran sistem secara

umum mengenai bagaimana proses SMS-Banking ini dilakukan dan menghasilkan

keluaran yang sesuai dengan keinginan dari Bank dan pelanggan. Gambaran mengenai

arsitektur SMS-Banking terdapat pada Gambar 2-1.

Gambar 2-1 Arsitektur SMS-Banking

Dalam melakukan transaksi SMS-Banking yang sebenarnya, pelanggan akan

mengirimkan sebuah pesan SMS yang berisi sebuah struktur kode tertentu kepada

penyedia nomor layanan perbankan tertentu (Bulk SMS Service Provider). Nomor

layanan yang disediakan oleh service provider biasanya berupa nomor pendek yang

terdiri dari 4 angka seperti 7070, 8888, 4905, dan sebagainya. Penyedia layanan nomor

ini selanjutnya akan meneruskan pesan yang diterimanya ke aplikasi SMS-Banking

yang ada di Bank. Aplikasi SMSBanking yang ada di Bank terhubung dengan

komputer server (Core Banking Server) yang menyimpan informasi mengenai

rekening Bank pelanggan sekaligus melayani permintaan (request) dari pelanggan.

Hasil permintaan dari pelanggan akan dikirimkan oleh aplikasi SMS-Banking ke Bulk

SMS Service Provider dan dilanjutkan ke nomor telepon seluler pelanggan melalui

layanan SMS.

Keamanan menjadi faktor yang sangat penting untuk transakasi menggunakan

SMS-Banking. Pada umumnya sistem kamanan umumnya sistem keamanan yang

berada pada aplikasi SMS-Banking menggunakan algoritma DES dan 3DES.

Keamanan ini digunakan untuk menenmkan kunci pada SIM card telepon seluler

pengguna. Untuk selanjutnya setiap transaksi SMS-Banking yang melalui SMS akan

dienkripsi terlebih dahulu sehingga pesan transaksi tersembunyi.

Selain tertanam pada SIM card, jenis aplikasi SMS-Banking yang lain selama ini

tanpa menggunakan enkripsi peran SMS. Aplikasi tersebut mengandalkan keamanan

yang telah disediakan oleh jaringan GSM yaitu dengan menggunakan algoritma stream

cipher A5/1. Sampai dengan saat ini masih belum terdapat jenis keamanan SMS-

Banking yang menggunakan tanda tangan digital sebagai keamanan transaksi

perbankan secara mobile.

2.3. TEORI OTENTIKASI

2.2.1 Keamanan Informasi

Keamanan informasi merupakan aspek yang penting dalam SMS-Banking.

Pihak Banki dan operator selular harus dapat memberikan jaminan keamanan

informasi pelanggan yang menggunakan layanan SMS-Banking.

Tujuan pengamanan ini adalah untuk menghindari, mencegah, dan mengatasi

ancaman-ancaman terhasap sistem. Kebutuhan akan pengamanan infomasi dapat

digolongkan menjadi :

1) Kerahasiaan (Confidentiality), dimana informasi pada sistem komputer itu

terjamin kerahasiaannya, hanya dapat diakses oleh pihak-pihak yang

diotorisasi, keutuhan serta konsistensi data pada sistem tersebut tetap terjaga.

2) Integritas (Integrity), dimana sumber daya sistem terjamin hanya dapat

dimodifikasi oleh pihak-pihak yang diotorisasi.

3) Ketersediaan (Availability), adalah sumber daya sistem komputer terjamin

akan tersedia bagi pihak-pihak yang diotorisasi pada saat diperlukan.

4) Anti penyangkalan (Non Repudiation), adalah seseorang tidak bisa

menyangkal / mengelak bahwa dia telah mengakses suatu sistem.

Banyak masalah yang terdapat pada suatu sistem informasi. Ancaman

terhadap sistem komputer dikategorikan menjadi empat, yaitu :

1) Interruption, merupakan suatu ancaman terhadap availability, informasi

atau data yang ada dalam sistem komputer dirusak, dihapus, sehingga jika

dibutuhkan maka sudah tidak ada lagi.

Gambar2-2 Interuption

2) Interception, merupakan ancaman terhadap kerahasiaan (secrecy).

Informasi yang ada di dalam sistem disadap oleh orang yang tidak berhak.

Gambar2-3 Interception

3) Modification, merupakan ancaman terhadap integritas. Orang yang tidak

berhak berhasil menyadap lalu-lintas informasi yang sedang dikirim lalu

mengubahnya sesuai keinginan orang tersebut.

Gambar 2-4 Modifications

4) Fabrication, merupakan ancaman terhadap integritas. Orang yang tidak

berhak berhasil meniru atau memalsukan suatu informasi sehingga orang

yang menerima informasi tersebut menyangka informasi tersebut berasal

dari orang yang dikehendaki oleh si penerima informasi tersebut.

Gambar2-5 Fabrication

2.2.2 Prinsip Pengamanan

Di bawah ini akan dijelaskan beberapa prinsip pengamanan, yaitu:

1) Otentikasi

Otentikasi merupakan sebuah mekanisme yang di gunakan untuk

melakukan validasi terhadap identitas pengguna yang mencoba mengakses

informasi atau sumber daya yang berada dalam sebuah sistem komputer.

Metode otentikasi didasarkan pada tiga cara, yaitu:

• Something you know (sesuatu yang diketahui)

Faktor something you know melibatkan pengetahuan informasi rahasia

yang memungkinkan user meng-otentikasi dirinya sendiri ke sebuah

server. Contoh dari faktor ini adalah sebuah password dan sebuah

personal identification number (PIN).

• Something you have (sesuatu yang dimiliki)

Faktor something you have melibatkan bahwa user harus memiliki alat

secara fisik. Jika tanpa adanya alat tersebut maka user tidak dapat

meng-otentifikasi dirinya sendiri ke server sistem computer. Contoh

dari faktor ini menggunakan sebuah token dan smart card (kartu

cerdas).

• Something you are (sesuatu yang ada pada seseorang)

Faktor something you are melibatkan bahwa user meiliki karakteristik

yang unik yang membedakan dirinya dengan user lain untuk

mengidentifikasi dirinya sendiri. Faktor ini menggunakan metode

identifikasi biometrik untuk meng-otentikasi user. Contoh dari faktor

something you are meliputi sidik jari, pemindaian retina mata, dan

garis tangan seseorang.

2) Verifikasi

Verifikasi merupakan proses pemeriksaan atau pengecekan apakah

identitas yang diberikan oleh pengguna merupakan identitas yang valid?

Sehingga hanya orang yang terbukti memiliki identitas yang valid tersebut

yang bisa masuk ke sistem.

2.4.GLOBAL SYSTEM FOR MOBILE (GSM)

GSM merupakan jaringan selular yang paling banyak digunakan saat ini. GSM

adalah telepon selular digital pertama setelah era analog. Masalah dari sistem analog

adalah kemungkinan untuk melakukan pengkloningan telepon untuk melakukan

panggilan telepon terhadap orang lain dengan maksud penipuan, selain itu sistem

analog juga berpotensi dapat melakukan penyadapan (eavesdrop) panggilan telepon.

Jaringan GSM bertujuan untuk memperbaiki masalah tersebut dengan

mengimplementasikan autentifikasi yang kuat antara telepon selular dan MSC (mobile

service switch center), mengimplementasikan enkripsi data yang kuat pada transmisi

udara antara MS dan BTS. GSM adalah standar eropa untuk komunikasi selular

digital. GSM dideklarasikan pada tahun 1982 pada European Conference of Post and

Telecommunication Administrations (CEPT). Lebih lanjut, sejarah GSM sebagai

standar komunikasi digital disepakati dalam GSM MoU pada tahun 1987, dimana 18

negara sepakat untuk mengimplementasikan jaringan selular yang berbasis GSM.

Pada tahun 1991 Jaringan GSM pertama kali muncul.

Algoritma yang digunakan pada Jaringan GSM saat ini adalah algoritma A3, A8,

dan A5 untuk mendukung sistem pengamanannya. Algoritma A3 dan A8 digunakan

dalam proses autentikasi, yaitu proses pengenalan identitas pelanggan, yang terjadi

pada MS (Mobile Station) dan AUC (Authentication Centre). Sedangkan algoritma

A5 digunakan dalam proses pengiriman informasi pada link radio antara MS dengan

BTS (Base Transceiver Station). Namun pada sistem pengamanan dengan

menggunakan algoritma ini ditemukan kelemahan-kelemahan yang memungkinkan

terjadinya penyadapan data ataupun penipuan identitas pelanggan.digunakan pula

jaringan feistel atau dan chiper berulang.

2.5.1 Algoritma A3

Algoritma A3 adalah algoritma autentifikasi dalam model keamanan

GSM. Fungsi A3 yaitu untuk membangkitkan response yang lebih dikenal

dengan SRES sebagai jawaban dari random challenge yang dikenal dengan

RAND. Algoritma A3 mendapatkan nilai RAND dari MSC dan kemudian

dengan kunci Ki dari SIM membangkitkan 32 bit sebagai keluaran yang mana

disebut response SRES. Baik RAND maupun Ki adalah nilai rahasia sepanjang

128 bit.

Gambar 2-6 Sign Response (SRES) Dihitung dengan melihat nilai RAND dan Ki

2.5.2 Algoritma A8

Algoritma A8 adalah algoritma yang berfungsi untuk membangkitkan kunci

sesi pada sistem keamanan GSM. Algoritma A8 membangkitkan kunci sesi, Kc,

dengan melihat random challenge, RAND, yang diterima dari MSC dan kunci

rahasia Ki, yang terdapat pada kartu SIM. Algoritma A8 menagmbil 128 bit

masukkan dan membangkitkan 64 bit keluaran. Keluaran sejumlah 64 bit ini

merupakan kunci sesi Kc. Nilai Kc ini dapat dibangkitkan oleh MS dan HLR,

sehingga BTS dapat menerima nilai Kc yang sama yaitu dari MS dan dari MSC.

MSC dapat membangkitkan nilai Kc karena mendapat kiriman dari HLR.

Sedangkan HLR dapat membangkitkan nilai Kc karena HLR mengetahui kedua

nilai yang dibutuhkan untuk membangkitkan nilai Kc, yaitu RAND (karena

yang membangkitkan RAND adalah HLR) dan Ki (karena Ki semua pelanggan

pasti diketahui oleh penyedia layanan (operator)). Kunci sesi, Kc, digunakan

sampai MSC memutuskan untuk perlu mengautentifikasi MS lagi. Biasanya Kc

digunakan sehari penuh setelah proses autentifikasi.

Gambar 2-7 Perhitungan Kunci session

2.5.3 Algoritma A5

Algoritma A5 adalah cipher aliran yang digunakan untuk mengenkripsi

pesan dalam transmisi udara. Cipher aliran ini diinisialisasi setiap frame dikirim.

Cipher aliran ini diinisialisasi dengan kunci sesi, Kc, dan jumlah frame yang

akan dienkripsi. Kunci sesi yang sama digunakann sepanjang panggilan

berlangsung, tetapi 22 bit nomor frame berubah selama proses berlangsung,

kemudian membangkitkan keystream yang unik untuk setiap frame.

Gambar 2-8 Pembangkitan Keystream

2.5.PROTOKOL CHALLENGE RESPONSE

Pada protokol ini, pihak yang ingin memverifikasi pihak lain (server) bertindak

sebagai penyedia pertanyaan/tantangan (challenge) dan client diharuskan untuk

menjawab tantangan ini (response). Jika kedua pihak sederajad posisinya, maka

keduanya sekaligus dapat bertindak sebagai server dan client sehingga protokol

‘challenge-response’ membutuhkan 4 langkah verifikasi (4-ways handshaking).

Namun dalam banyak mode transaksi, misal transaksi perbankan elektronik, pihak

Bank dapat dianggap satu satunya server dan nasabah adalah client sehingga protokol

authentikasi hanya membutuhkan 2 langkah verifikasi (two-way handshaking) saja.

Atau dengan kata lain, proses authentikasi hanya berjalan satu arah yaitu dari Bank

yang akan mengecek keaslian nasabah/client sebelum transaksi dijalankan.

Contoh sederhana implementasi protokol ini adalah authetikasi password/PIN.

Ketika seorang client menginginkan hak akses terhadap sistem, maka sistem akan

mengirimkan challenge kepada client dan kemudian client mengirimkan hasil (kode)

yang telah diolah. Kemudian sistem akan membandingkan kode tersebut dengan kode

yang diolah oleh server. Jika hasil pembandingan tersebut sama, maka client bisa

mendapatkan hak akses yang diinginkan dan sistem akan memberikan hak akses

tersebut kepada client. Pemilihan konsep ‘challenge-response’ didasarkan pada

efisiensi penggunaan kunci karena pihak client hanya akan menyimpan 1 buah kunci

yaitu password/PIN baik sebagai ‘transport key’ maupun sebagai ‘access key’. Pada

gambar 2-12 berikut terdapat ilustrasi proses authentikasi oleh Alice kepada Bob

dimana keduanya telah memiliki kunci K bersama. Alice akan mengirimkan bilangan

acak kepada Bob dan Bob akan mengirimkan hasil perhitungan (chipertext) sebagai

hasil dari fungsi hash F dengan parameter input kunci K dan bilangan random dari

Alice. Bila hasil perhitungan Alice dan Bob sama, maka Alice berkesimpulan bahwa

ia sedang berkomunikasi dengan Bob yang sesungguhnya.

Gambar 2-9 Otentiasi Kunci

2.6.FUNGSI HASH MD5

Fungsi hash dalam kriptografi adalah fungsi matematika satu arah (one way

function) yang memiliki sifat keamanan (preimage and collision resistant) dan

umumnya dipakai untuk keperluan integritas data dan authentikasi [2]. Ada beberapa

jenis fungsi hash yang banyak dikenal seperti SHA-1, MD5, MD4, RIPEMD160,

Rijndael, DES. Fungsi hash merupakan suatu fungsi yang secara efisien mengubah

string input M dengan panjang berhingga menjadi string output dengan panjang tetap

yang disebut nilai hash h. Fungsi hash adalah fungsi satu arah, artinya mudah untuk

menghitung nilai hash dari input string yang diberikan, tetapi sulit untuk

menghasilkan string yang nilai hashnya sudah diketahui [3]. Fungsi hash juga bersifat

‘collision free’ artinya tidak mungkin menemukan 2 pesan berbeda yang memiliki

kode hash yang sama.

MD5 merupakan salah satu fungsi hash yang merupakan kelanjutan MD4 dan

dikembangkan oleh Ronald Rivest tahun 1991. MD5 menerima masukan pesan

dengan ukuran sembarang dan mengkonversi pesan tersebut dengan algoritma hash

menjadi message digest berukuran 128 bit atau 32 digit karakter heksadesimal. MD5

bekerja pada satuan blok-blok masukan berukuran 512 bit yang diproses secara

berulang. Algoritma fungsi hash MD5 sangatlah kompleks namun untuk memudahkan

pemahaman maka algoritma ini dijelaskan secara ringkas dengan bantuan gambar 2-

13 berikut ini.

Gambar 2-10 Algoritma Hash MD5

BAB III

METODOLOGI PENELITIAN

3.1. METODE PENELITIAN

Menurut Parsons (1946) dalam Nazir (2003) penelitian adalah pencarian atas

sesuatu secara sistematis dengan penekanan bahwa pencarian ini dilakukan terhadap

masalah – masalah yang dapat dipecahkan (Nazir : 2003). Namun dalam langkah

sistematis tersebut perlu menggunakan metode penelitian yang jelas. Dalam penelitian

diperlukan metode penelitian yang dapat dijadikan pedoman sehingga penelitian

tersebut dapat berjalan sebagaimana mestinya dan obyektif terhadap obyek penelitian

itu sendiri.

Metode penelitian adalah cara ilmiah untuk mendapatkan data dengan tujuan

dan kegunaan tertentu (Sugiyono : 2009). Metode ilmiah merupakan suatu pengejaran

terhadap kebenaran yang diatur oleh pertimbangan – pertimbangan logis (Nazir :

2003). Penelitian ini mempunyai tujuan untuk melakukan analisa terhadap teknik

sandi yang digunakan dalam mekanisme SMS-Banking di Indonesia. Dalam

pelaksanaannya, penulis mengkaji beberapa teori dasar yang relevan dengnan masalah

yang akan diteliti, mencari informasi mengenai perkembangan penggunaan SMS-

Banking di Indonesia, serta mengkaji hasil penelitian yang sudah ada. Untuk itu,

penulis menggunakan Studi Kepustakaan.

3.2.STUDI KEPUSTAKAAN

Studi kepustakaan dapat diartikan sebagai suatu langkah untuk memperoleh

informasi dari penelitian terdahulu yang harus dikerjakan, tanpa memperdulikan

apakah sebuah penelitian menggunakan data primer atau data sekunder, apakah

penelitian tersebut menggunakan penelitian lapangan ataupun laboratorium atau

didalam museum.Dalam pengertian lain disebutkan bahwa yang dimaksud dengan

studi kepustakaan adalah segala usaha yang dilakukan oleh peneliti untuk

menghimpun informasi yang relevan dengan topik atau masalah yang akan atau

sedang diteliti.

Studi kepustakaan merupakan langkah yang penting dalam metode ilmiah

untuk mencari sumber data sekunder yang akan mendukung penelitian dan untuk

mengetahui sampai ke mana ilmu yang berhubungan dengan penelitian telah

berkembang, sampai ke mana terdapat kesimpulan dan degeneralisasi yang pernah

dibuat.

Teori-teori yang mendasari masalah dan bidang yang akan diteliti dapat

ditemukan dengan melakukan studi kepustakaan. Selain itu seorang peneliti dapat

memperoleh informasi tentang penelitian-penelitian sejenis atau yang ada kaitannya

dengan penelitiannya. Dan penelitian-penelitian yang telah dilakukan sebelumnya.

Dengan melakukan studi kepustakaan, peneliti dapat memanfaatkan semua informasi

dan pemikiran-pemikiran yang relevan dengan penelitiannya Informasi itu dapat

diperoleh dari buku-buku ilmiah, laporan penelitian, karangan-karangan ilmiah, tesis

dan disertasi, peraturan-peraturan, ketetapan-ketetapan, buku tahunan, ensiklopedia,

dan sumber-sumber tertulis baik tercetak maupun elektronik lain.

BAB IV

ANALISIS DAN PEMBAHASAN

4.1. PROSES YANG DILAKUKAN DALAM SMS-BANKING

Dalam melakukan transaksi SMS-Banking yang sebenarnya, pelanggan akan

mengirimkan sebuah pesan SMS yang berisi sebuah struktur kode tertentu kepada

penyedia nomor layanan perbankan tertentu (Bulk SMS Service Provider). Nomor

layanan yang disediakan oleh service provider biasanya berupa nomor pendek yang

terdiri dari 4 angka seperti 9386, 8888, 4343, dan sebagainya. Penyedia layanan

nomor ini selanjutnya akan meneruskan pesan yang diterimanya ke aplikasi SMS-

Banking yang ada di Bank. Aplikasi SMS-Banking yang ada di Bank terhubung

dengan komputer server (Core Banking Server) yang menyimpan informasi mengenai

rekening Bank pelanggan sekaligus melayani permintaan (request) dari pelanggan.

Hasil permintaan dari pelanggan akan dikirimkan oleh aplikasi SMS-Banking ke Bulk

SMS Service Provider dan dilanjutkan ke nomor telepon seluler pelanggan melalui

layanan SMS.

Bank secara proaktif mengirimkan data kepada pelanggan ketika merespon

suatu transaksi. Sebagai contoh, transfer account dari rekening satu ke rekening yang

lain. Data akan dikirimkan ke pelanggan dalam tiga metode:

a. E-mail to mobile (E2M), Bank mengirimkan sebuah email ke aplikasi SMS-

Banking yang terdapat di Bank melalui alamat email yang spesifik. Email ini

akan mengandung isi pesan tertentu beserta dengan nomor perangkat seluler

pelanggan. Aplikasi SMS-Banking yang terdapat di Bank mengirimkan pesan

dalam format tertentu (sebagai contoh, tag XML yang merupakan bagian dari

string pesan query HTTP GET) ke server aplikasi service provider. Dari sini,

informasi dari tag XML akan di extracted dan dikirimkan sebagai SMS ke

nomor telepon seluler pelanggan.

b. Database to mobile (D2M), aplikasi SMSBanking yang terdapat di Bank akan

secara aktif melakukan polling ke basis data server Bank. Sebagai contoh,

ketika transaksi pemindahan account dari satu rekening ke rekening yang lain,

aplikasi mengirimkan pesan tertentu ke aplikasi server yang disediakan oleh

service provider. Format pesan mungkin bisa sama dengan format pada E2M.

Pesan ini kemudian dikirimkan sebagai SMS ke nomor telepon seluler

pelanggan.

c. PULL, customer-Request receiving application, aplikasi PULL digunakan untuk

menerima request dari pelanggan dan meneruskannya kepada aplikasi utama

Bank. Pelanggan mengirim pre-defined request code terlebih dahulu lewat SMS

kepada Bulk SMS service provider. Sesuai dengan pesan yang dikirimkan, bulk

SMS provider meneruskannya kepada aplikasi PULL.

Berdasarkan kedua metode di atas, implementasi SMS-Banking sebagian besar

menggunakan metode D2M. Kelebihan metode ini diantaranya :

1. Proses respon yang diberikan lebih cepat. Hal ini dikarenakan aplikasi langsung

berhubungan dengan basis data server, tanpa melalui mail server terlebih

dahulu. Selain itu, protokol komunikasi yang digunakan lebih efektif karena

sesuai dengan kebutuhan.

2. Format data yang digunakan lebih dapat disesuaikan dengan kebutuhan tanpa

harus melakukan parsing lebih seperti pada parsing pesan e-mail. Parsing e-

mail dilakukan dengan memisahkan bagian-bagian yang ada seperti header

(summary, sender, receiver, dan informasi lain) dan body(text). Padahal yang

akan digunakan hanya pada bagian body saja. Hal ini mengakibatkan ada proses

parsing tambahan pada header dan body e-mail untuk mendapatkan data

transaksi. Sedangkan dengan metode D2M, parsing dapat langsung dilakukan

tanpa harus memisahkan bagian header dan body karena hanya terdiri dari body.

3. Tingkat keamanan dari data yang dipertukarkan lebih aman. Keamanan ini

didapatkan karena format data yang dikirimkan hanya diketahui oleh pihak

Bank. Selain itu proses transaksi yang terjadi hanya terjadi pada jaringan

internal Bank (LAN). Gambaran mengenai jaringan LAN perbankan untuk

SMS-Banking terdapat pada Gambar 4-1.

.

Gambar 4-11 Komponen infrastruktur SMSBanking

Adapun kelemahan dari pemilihan metode D2M ini adalah sebagai berikut :

1. Sistem arsitektur SMS-Banking kurang dapat terintegrasi dengan baik dengan

fasilitas e-Banking dari Bank yang bersangkutan. Hal ini diakibatkan transaksi

melalui e-Banking kerap menggunakan e-mail sebagai protokol komunikasi

antara aplikasi server dengan basis data Bank.

2. Pengaksesan basis data secara langsung memerlukan otentikasi format query

yang tepat. Hal ini dimaksudkan agar tidak terjadi kesalahan ketika entry sebuah

query.

4.2. ANALISIS SISTEM SMS-BANGKING

Sistem SMS-Banking yang ada pada umumnya memiliki arsitektur sistem

seperti yang dapat dilihat pada Gambar 4-2. Pada awalnya, telepon seluler milik

nasabah Bank mengirimkan pesan SMS yang berisi kode tertentu kepada nomor

penyedia layanan melalui wireless carrier. Wireless carrier kemudian meneruskan

SMS tersebut kepada Bulk SMS Service Provider. Bulk SMS Service Provider

merupakan layanan pengiriman SMS dalam jumlah besar dan berkecepatan tinggi.

Layanan ini memberikan jaminan jalur komunikasi yang aman. Bulk SMS Service

Provider kemudian meneruskan pesan tersebut kepada aplikasi mobile Banking.

Aplikasi mobile Banking selanjutnya berhubungan dengan server perbankan inti

untuk memroses permintaan nasabah. Aplikasi mobile Banking kemudian merespon

permintaan nasabah dalam bentuk pesan SMS kepada Bulk SMS Service Provider.

Bulk SMS Service Provider lalu meneruskan SMS tersebut kepada wireless carrier.

Wireless Carrier kemudian meneruskan pesan tersebut kepada telepon seluler

nasabah.

Gambar 4-12Arsitektur sistem SMS-Banking secara umum

Layanan SMS-Banking memiliki beberapa pilihan cara yang bisa disesuaikan

dengan kemampuan ponsel dan kartu SIM (Subscriber Interface Module) yang

digunakan, diantaranya:

1. Melalui SMS biasa Cara ini merupakan cara yang umum digunakan dalam

layanan SMS-Banking. Pengguna menggunakan layanan SMS-Banking dengan

cara mengetikkan pesan SMS yang berisi kode tertentu yang ditentukan oleh

Bank, lalu mengirimkan pesan tersebut ke nomor khusus yang sudah ditentukan

oleh Bank.

2. Melalui menu SIM Toolkit Pengguna dapat menggunakan layanan SMSBanking

melalui fasilitas yang disediakan oleh operator telepon seluler. Pengguna dapat

memilih menu-menu khusus yang dapat diakses pada menu SIM Toolkit yakni

menu yang biasanya terdapat pada kartu SIM, misalnya: Satelindo@ccess serta

M3Access dari Indosat, Life in hand dari ProXL, dan Navigator64

dariTelkomsel.

3. Melalui aplikasi khusus. Pengguna dapat melakukan layanan SMSBanking

melalui aplikasi khusus yang disediakan oleh pihak Bank. Aplikasi ini dapat

digunakan setelah pengguna terlebih dahulu menanam aplikasi tersebut pada

ponselnya. Aplikasi tersebut sangat bergantung kepada spesifikasi ponsel yang

dimiliki oleh pengguna sehingga penggunaan dari aplikasi ini cenderung

terbatas.

Cara yang pertama yaitu melalui SMS biasa memiliki kelebihan yaitu cara ini

tidak bergantung kepada jenis telepon seluler dan memiliki tingkat portabilitas yang

sangat baik. Namun, tingkat keamanan dari cara ini tidak terlalu baik karena pesan

SMS dikirim dalam bentuk pesan biasa sehingga cukup berbahaya jika pesan tersebut

dibaca oleh pihak-pihak yang tidak berkepentingan. Cara yang kedua yaitu melalui

menu SIM Toolkit memiliki kelebihan dari segi keamanan karena pesan tidak dikirim

melalui pesan SMS biasa. Namun, tingkat kebergantungan cara ini cenderung tinggi

karena bergantung kepada operator telepon seluler. Cara yang ketiga yaitu melalui

aplikasi khusus memiliki kelemahan dalam hal keterbatasan penggunaan karena

cenderung bergantung kepada spesifikasi telepon seluler. Namun, cara ini

menawarkan tingkat keamanan yang relatif baik jika aplikasi yang dibuat sudah

memperhitungkan berbagai aspek keamanan.

Pada awal perkembangannya, sebagian besar Bank melakukan kerjasam dengan

operator telepon seluler untuk menyediakan fasilitas layanan SMS-Banking Bank

tertentu. Namun, karena harus dapat mempercayakan sepenuhnya rahasisa pelanggan

kepada operator, dan juga seiring dengan kemudahan untuk mendapatkan Handphone

berteknologi tinggi maka saat ini sebagian Bank telah menggunakan cara yang ketiga.

4.3. OTENTIKASI PELANGGAN

Tujuan utama dari otentikasi pelanggan adalah untuk menentukan pelanggan

yang asli dan berhak pada operator jaringan, sehingga operator dapat memastikan

transaksi ditujukan kepada orang yang tepat. Oleh karena itu, otentikasi yang handal

perlu di implementasikan untk melindungi operator dari kebocoran. Salah satu teknik

yang dapat digunakan adalah Challenge and Response, yaitu suatu random challenge

R (acak 128 bits / RAND) dikeluarkan dari jaringan ke HandPhone (MS =mobile

station). MS menghitung 32-bit signed response (SRES) yang berbasis enkripsi pada

RAND dengan menggunakan algorihma authentication (A3) dan secret key (Ki) yang

unik pada mobile, dan akan mengirim kembali 32 bit SRES ke jaringan. Operator

kemudian melakukan cek terhadap respon kepada challenge, dengan melakukan hal

yang sama ke challenge, jika hasilnya adalah sama seperti respon yang diterima

otentikasi telah berhasil. Jika nilai tidak sama koneksi akan diputus dan otentikasi

gagal. Seperti gambar berikut.

Gambar 4-13 Mekanisme Otentikasi

Setelah koneksi berlangsung (establish), semua transfer data yang melalui

jaringan perlu untuk dilindungi. Informasi pengguna SMS pada sebuah mode paket

conectionless melalui sebuah signal channel harus diamankan sebaik-baiknya.

Agar dapat menggunakan fasilitas SMS-Banking, pelanggan harus memberikan

nomor handphone yang akan digunakan untuk melakukan layanan tersebut. Untuk

meningkatkan layanan pelanggan, bahkan ada Bank yang memperbolehkan

penggunaan hingga sepuluh nomor telepon sekaligus. Nomor telepon tersebut adalah

nomor yang akan digunakan untuk mengidentifikasi pelanggan.

Proses otentikasi ini memenuhi 2 faktor otentikasi. Yaitu :

1. Something you know

Pada skema otentikasi dengan menggunakan Challenge Response, user

harus memberikan bagian dari nomor PIN yang diketahui berdasarkan

permintaan dari sistem.

2. Something you Have

SMS Banking membutuhkan nomor handphone user yang didaftarkan

secara resmi kepada pihak Bank. Nomor ini akan disimpan dalam server

Bank.

Jadi, pada skema ini user harus memiliki nomor PIN yang telah didaftarkan,

serta nomor handphone. Apabila ada orang yang mencuri handphone user, ia tetap

tidak dapat mengakses sms-Banking user selama ia tidak mengetahui PIN yang

digunakan. Untuk itu, bagi pengguna SMS Banking disarankan untuk langsung

menghapus record sms Banking yang dimiliki.

Proses otentikasi melibatkan prosedur yang terjadi pada saat dimulainya sebuah

koneksi. Ketika user telah mengirimkan pesan singkat transaksi finansial

ke server SMS-Banking, maka sistem akan mengirimkan 6(enam) digit challenge.

Kemudian user tersebut diminta mengirimkan kode response (2 digit) yang sesuai

berdasarkan PIN yang dimilikinya. Nantinya, sistem pada server akan

membandingkan inputan yang dikirimkan kepada user tersebut dengan kode respon

yang telah dikirimkan . Jika ada kecocokan, maka sistem akan memberikan hak akses

sesuai dengan permintaan transaksi yang diinginkan oleh user tersebut. Atau, setelah

user mengirimkan perintah layanan pihak Bank akan membalasnya dengan meminta

informasi mengenai 2 digit PIN dengan urutan tertentu, misalnya nomor PIN ke-1 dan

ke-5. Misalnya, PIN yang digunakan user adalah 123456. User bermaksud melakukan

transfer rekening. Pihak server Bank meminta digit ke-6 dan ke-3. Maka user

membalas ‘63’.

Urutan pin yang diminta bersifat random dan selalu berubah-ubah untuk setiap

transaksi. Agar tidak tercipta pola yang jelas. Proses otentikasi ini dilakukan dengan

batasan waktu tertentu untuk melindungi data nasabah dari kemungkinan penyadapan.

Apabila dalam waktu 1 menit Bank tidak memberikan tanggapan atas perintah

layanan yang dikirmkan melalui sms, maka pelanggan disarankan untuk tidak

mengirimkan ulang perintah layanan itu. Kemudian, apabila pelanggan tidak segera

memberikan respon kepada Bank dalam waktu 1 menit, maka sistem secara otomatis

menghentikan proses.

Pada tahap otentikasi, protokol Challenge Response diimplementasikan

dengan menggunakan algoritma Fungsi hash MD5. Fungsi hash yang diinginkan

adalah jika antara input dan output tidak memiliki dependensi yang tinggi atau

secara praktis dikatakan bahwa perubahan 1 bit input diharapkan mengubah susunan

seluruh bit pada output. Hal ini bertujuan untuk mengurangi resiko serangan yang

bersifat ‘chosen plaintext attack’ dimana seorang hacker bisa mengubah-ubah input

dan menganalisis outputnya untuk mendapatkan kunci (key) dari sistem MD5.

Berdasarkan penelitian yang telah dilakukan oleh Bambang (2010) MD5 terbukti

memiliki tingkat ‘avalanche effect’ yang sangat baik dimana perubahan 1 karakter

pada teks yang dimasukkan pada kalkulator akan mengubah secara mutlak susunan

hasil kode hash seperti pada tabel berikut :

Sample input text Hash Code

TI_USD 05776ccd

TI-USD 1328b5dd

TI-Usd 4589433d

MD5 menggunakan kunci dengan ukuran yang besar yaitu 128 bits. Kunci

dengan ukuran demikian tidaka akan terlalu besar apabila diimplementasikan pada

sistem komputer. Akan tetapi, pada SMS-Banking harus memperhatikan kapasistas

dan kemampuan komputasii yang dimiliki handphone. Jadi, fitur keamanan yang

disediakan harus mudah digunakan dan memperhatikan kemampuan handphone

4.4. ANALISIS KEAMANAN SMS-BANKING

4.4.1 Ancaman Pada Sistem Keamanan SMS-Banking

Terdapat beberapa celah kerawanan pada sistem SMS-Banking, masalah yang

dimaksud sebagai berikut:

1. Masalah jaringan GSM: Masalah dengan algoritma otentikasi A3/A8.

Algoritma ini adalah istilah yang digunakan untuk menjelaskan mekanisme

yang digunakan untuk mengotentikasi handset pada jaringan telepon selular.

A3 dan A8 sebenarnya bukan algoritma enkripsi, tapi placeholder. Dalam

A3/A8 algoritma yang umum digunakan adalah COMP128. Algoritma

COMP128 telah berhasil dipecahkan oleh Wagner dan Goldberg dalam waktu

kurang dari satu hari. Hal ini menimbulkan kekhawatiran mengenai keamanan

GSM sebagai mekanisme komunikasi. Setelah cracking COMP128 Wagner

dan Goldberg melanjutkan untuk membuktikan bahwa adalah mungkin untuk

mendapatkan Nilai Ki, sehingga sehingga memungkinkan untuk melakukan

kloning SIM. Algoritma A5 digunakan untuk mencegah casual eavesdropping

dengan mengenkripsi komunikasi antara stasiun bergerak (handset) dan

BSS(Base Station subsystem). Kc adalah nilai Ki dan RAND dimasukkan ke

dalam algoritma A5. Nilai Kc adalah kunci rahasia yang digunakan dengan

algoritma A5 untuk enkripsi antara stasiun bergerak dan BSS. Attack on the

RAND value, Ketika AUC(Authentication Center) berupaya untuk otentikasi

kartu SIM, nilai RAND yang dikirim ke kartu SIM dapat dimodifikasi oleh

penyusup sehingga menyebabkan terjadinya Denial of Service.

2. Ide awal untuk penggunaan SMS itu dimaksudkan agar pelanggan dapat

mengirim pesan non-sensitif di seluruh jaringan GSM secara terbuka. Adanya

otentikasi, enkripsi teks, end-to-end keamanan, nonrepudiation dihilangkan

selama desain arsitektur GSM. Terdapat SMS spoofing yaitu serangan yang

melibatkan pihak ketiga mengirimkan pesan SMS yang tampaknya dari

pengirim. Hal ini dimungkinkan untuk mengubah originator field alamat dalam

header SMS ke yang lain alfa-numerik string. Hal ini dapat menyembunyikan

alamat pengirim aslinya, dan melakukan tipuan serangan masquerading. Data

Format default untuk pesan SMS adalah dalam plaintext. Enkripsi end-to-end

saat ini tidak tersedia. Algoritma A5 terbukti rentan. Oleh karena itu

diperlukan algoritma yang lebih aman.

3. Masalah keamanan dengan Implementasi current GPRS: Implementasi mobile

Banking saat ini yang menggunakan WAP telah terbukti sangat aman, tetapi

terdapat beberapa lubang yang dapat menyebabkan komunikasi tidak aman.

Beberapa lubang meliputi: Tidak ada enkripsi end-to- end antara klien dan

Bank server. Untuk mengatasi ini, server Bank dapat memiliki Access Point

Name (APN) sendiri di salah satu jaringan GPRS. APN ini akan berfungsi

sebagai Gateway WAP untuk Bank. Oleh karena itu klien akan dihubungkan

langsung ke Bank tanpa ketiga pihak di tengah komunikasi. Kriptografi kunci

publik kunci ukuran yang ditawarkan oleh WTLS standar tidak cukup kuat

untuk memenuhi aplikasi persyaratan keamanan WAP saat ini. Mengingat

rendah kekuatan pengolahan perangkat genggam, ukuran kunci telah telah

dibatasi. Anonymous suite pertukaran kunci yang ditawarkan oleh WTLS

handshake tidak dianggap aman. Baik klien maupun server otentikasi. Bank

harus menyediakan fungsionalitas untuk melarang opsi ini dari handshaking.

Jaringan Inti GPRS terlalu umum, tetapi tidak melayani untuk beberapa

perbankan persyaratan keamanan. Bank dapat memberikan APN yang unik

untuk mengakses server Bank. Semua masalah ini menimbulkan kekhawatiran

fabrikasi baik informasi Bank atau pemegang rekening informasi, Penyediaan

fungsi untuk menghindari modifikasi data dan memastikan integritas data baik

untuk nasabah maupun Bank. Metode untuk memenuhi kerahasiaan data

antara stasiun bergerak dan server Bank telah terbukti lemah, dan operator

jaringan dapat melihat informasi rekening pemegang. Hal ini menimbulkan

masalah keamanan baik bagi Bank dan pemegang rekening. Bank tidak dapat

membuktikan bahwa pemegang rekening melakukan tindakan spesifik dan

pemegang rekening tidak dapat membuktikan bahwa Bank melakukan

tindakan tertentu. GPRS menyediakan fasilitas penanganan session, tetapi

tidak menangani sesi khusus untuk Bank; ini dapat menyebabkan inkonsistensi

pada Bank terkait dengan isu-isu keamanan.

4.5. MANFAAT, RESIKO SMS-BANKING

Terdapat beberapa manfaat yang dapat diperoleh oleh para nasabah pengguna

layanan SMS-Banking, yaitu :

1. Transaksi dapat dilakukan setiap waktu di setiap tempat selama perangkat

telepon seluler nasabah terkoneksi dengan jaringan operator telepon seluler

bertalian.

2. Tidak perlu antri di kantor Bank ataupun di ATM untuk melakukan transaksi

perbankan non-tunai, sehingga sangat menghemat waktu, biaya dan tenaga.

3. Praktis (tidak perlu membawa uang tunai) dan terhindari dari risiko kehilangan

harta benda maupun nyawa karena membawa uang tunai untuk keperluan

transaksi pembayaran dalam jumlah besar.

4. Tarif yang relatif terjangkau dan relatif mudah penggunaannya.

5. Mendapatkan SMS konfirmasi apabila saldo transaksi lebih dari satu juta

rupiah.

Apabila dilihat dari sisi yang lain, sebenarnya dibalik manfaat yang diterima

pengguna layanan SMS-Banking terdapat beberapa kelemahan yang dapat dialami

oleh seorang nasabah, yaitu :

1. Kecepatan data saat melakukan transaksi yang terbilang cukup lambat terutama

pada jam-jam sibuk maupun jam-jam dimana traffic-nya cukup tinggi, misalnya

pada saat server Bank sedang melakukan proses tutup buku.

2. Dapat menjadi ancaman bagi kelangsungan hidup suatu kegiatan usaha,

misalnya usaha penjualan pulsa elektronik prabayar.

3. Bahaya keamanan yang bersumber dari aspek non teknis ketika ada pihak ketiga

yang mengetahui nomor pin pengguna SMS-Banking. Pihak ketiga tersebut

dapat muncul dari operator telepon seluler maupun orang terdekat nasabah

sendiri.

4. Pemrosesan transaksi dijalankan dalam dua jenjang, yakni proses transaksi di

server milik operator dan proses transaksi di server milik Bank. Apabila salah

satu server mengalami masalah/ down maka akan terjadi kesulitan dalam

pembuktian mengenai adanya transaksi lewat telepon seluler.

5. Tidak menutup kemungkinan keberadaan SMS-Banking Mandiri is not user

friendly bagi para nasabah berusia lanjut.

Upaya Mengurangi Risiko

Beberapa risiko layanan SMS-Banking tersebut dapat dieliminir, antara lain

dengan jalan :

1. Menggunakan layanan SMS-Banking secara hati-hati, tidak disembarang tempat

serta mengamankan dengan baik data-data pribadi yang penting sehingga tidak

diketahui oleh orang yang tidak berhak.

2. Diupayakan tidak menggunakan layanan SMS-Banking di saat peak hours Bank

maupun pada waktu dimana traffic cukup tinggi, misal di saat-saat jam tutup

kantor karena kemungkinan server Bank sedang melakukan proses tutup buku

harian, pada jam-jam menjelang pergantian bulan karena kemungkinan server

Bank sedang melakukan proses tutup buku bulanan maupun tahunan

(Gunardi,2008).

3. Melakukan pengecekan saldo sebelum maupun setelah melakukan transaksi,

selanjutnya bandingkan besar nilai transaksi dengan selisih saldo pada

pengecekan awal dengan saldo pada pengecekan akhir (Gunardi,2008).

4. Menerapkan digital signature untuk SMS yang ditujukan ke nomor tertentu,

yakni menggunakan kunci publik (dimiliki oleh Bank) dan kunci privat (dimiliki

oleh nasabah) yang digunakan oleh perbankan untuk melakukan verifikasi di

awal transaksi (Budiono).

BAB V

SIMPULAN DAN SARAN

5.1. SIMPULAN

SMS-Banking merupakan suatu layanan Bank yang memudahkan nasabah

untuk melakukan transaksi perbankan hanya dengan menggunakan perangkat seluler

mereka. Adapun layanan yang disediakan oleh Bank untuk dapat melakukan transaksi

melalui SMS, diantaranya ialah cek saldo, cek kurs valuta asing, cek tiga transaksi

terakhir, cek tagihan mitra, pembayaran tagihan mitra, pembayaran kartu kredit, dan

transfer antar rekening. Layanan SMS-Banking menjanjikan mobilitas yang tinggi,

bisa dilakukan kapanpun dan dimanapun, bahkan saat roaming internasional. Faktor

keamanan menjadi sangat penting semenjak hadirnya produk layanan SMSBanking.

Hal ini dikarenakan transaksi perbankan sering melibatkan nilai nominal yang cukup

besar sehingga harus memiliki tingkat keamanan yang tinggi.

Hal yang paling kritis dalam aplikasi keuangan/perbankan terutama adalah

masalah security. Kegagalan sisi keamanan jaringan akan dapat menyebabkan

kerugian yang tidak sedikit bagi industri perbankan. Salah satunya adalah masalah

jaminan otentikasi. Untuk memberikan jaminan otentikasi, selain menggunakan

algoritma A3 yang terdapat pada GSM Bank juga menggunakan protokol challenge

response. Protokol ini menggunakan algoritma Fungsi Hash MD5 yang telah terbukti

keandalannya.

5.2. SARAN

Dari penelitian dan kajian pustaka yang dilakukan, maka penulis

menyaranakan :

1. Bank sebaiknya menggunakan jaringan GPRS. Karena pada jaringan GPRS

terdapat fitur keamanan yang lebih menjamin dibandingkan menggunakan

jaringan GSM. Sebagai konsekuensi dari penggunaan GPRS, Bank harus

menyediakan aplikasi khusus untuk menunjang SMS-Banking. Dengan

menggunakan cara ini, peran pihak operator telepon seluler dapat lebih

diminimalisir.

2. Penggunaan challenge response sebagai protokol otentikasi mampu memastikan

kebenaran pihak nasabah. Namun, mengingat maraknya ancaman penipuan dan

ancaman man in the middle yang dapat mengaku sebagai pihak Bank, Bank juga

harus dapat memastikan kebenaran dirinya. Misalnya melalui two way

authentication challenge response.

3. Meskipun dalam SMS-Banking otentikasi dilakukan 2 kali(melalui nomor

handphone dan PIN), namun penggunaan PIN standar yang berjumlah 6 digit

masih mungkin untuk diserang menggunakan bruthe force attack. Untuk itu salah

satu cara yang dapat dilakukan adalah dengan menggunakan One Time Pad.

Prinsip dasarnya, user diminta untuk menyiapkan suatu daftar jawaban (response)

berbeda bagi "pertanyaan" (challenge) yang berbeda juga berdasarkan

identitas user yang telah teregistrasi di database Bank. Karena tentu sulit sekali

untuk menghafal sekian puluh ataupun sekian ribu kemungkinan password, akan

lebih mudah jika yang dihafal adalah "aturan" untuk mengubahchallenge yang

diterima menjadi response yang tetap random. Misalnya, aturan yang sudah kita

tetapkan sebelumnya adalah: "kapitalkan karakter ketiga dan kedelapan serta

hapus karakter kedua, keempat, ketujuh, dan kesembilan", maka password yang

kita berikan adalah r9AO0T untuk challenge system r96a7O0Wt4.

4. Menggunakan layanan SMS-Banking secara hati-hati, tidak disembarang tempat

serta mengamankan dengan baik data-data pribadi yang penting sehingga tidak

diketahui oleh orang yang tidak berhak. Frank Abagnale Jr yang dimainkan oleh

Leonardo di Caprio di film “Catch me if you can” —- bercerita tentang buronan

FBI yang akhirnya beralih menjadi tentornya FBI —- barangkali dapat

memberikan inspirasi kepada kita betapa pentingnya menjaga data-data pribadi

dan bagaimana menjaganya.

5. Diupayakan tidak menggunakan layanan SMS-Banking di saat peak hours Bank

maupun pada waktu dimana traffic cukup tinggi, misal di saat-saat jam tutup

kantor karena kemungkinan server Bank sedang melakukan proses tutup buku

harian, pada jam-jam menjelang pergantian bulan karena kemungkinan server

Bank sedang melakukan proses tutup buku bulanan maupun tahunan

(Gunardi,2008).

6. Melakukan pengecekan saldo sebelum maupun setelah melakukan transaksi,

selanjutnya bandingkan besar nilai transaksi dengan selisih saldo pada pengecekan

awal dengan saldo pada pengecekan akhir (Gunardi,2008).

7. Menerapkan digital signature untuk SMS yang ditujukan ke nomor tertentu, yakni

menggunakan kunci publik (dimiliki oleh Bank) dan kunci privat (dimiliki oleh

nasabah) yang digunakan oleh perbankan untuk melakukan verifikasi di awal

transaksi (Budiono).

DAFTAR PUSTAKA

Buku

Menezes, A.J., van Oorsschoot, P.C., Vansto e, S.A.1996. Handbook of Applied

Cryptography, CRC Press.

Sumarkidjo, dkk. 2006. Jelajah Kriptologi. Jakarta: Lembaga Sandi Negara.

Skripsi

Soeryowardhana, Herdyanto. 2009. Perancangan Dan Implementasi Protokol Sms-Banking.

Bandung Institut Teknologi Bandung.

Satyanegara, Biyan. 2011. Penerapan Kriptografi dalam sistem Keamanan SMS-Banking.

Bandung: Institut Teknologi Bandung.

Riswanto, Eko. Jenis dan Cara Penggulangan Ancaman pada Keamanan Teknologi

Perbankan. Jogjakarta: Universitas Gajah Mada.

Franundo, Ardian,2009. Serangan pada Algoritma A3, A5, dan A8 di jaringan GSM dan

Penerapan Elliptic Curve Chryptography Untuk Penagnggulangannya. Bandung” Institut

Teknologi Bandung.

Aminullah, R. Andri. 2009. Studi dan Analisis Algoritma Kriptografi pada Jaringan Seluler.

Bandung” Institut Teknologi Bandung.

Website

Kohli, Karmendra. 2004. SMS in Banking Mitigating the risk. Paladion Networks.

http://palisade.plynt.com/issues/2005Nov/secure-sms-Banking/ duakses pada 2

November 2011

Soelistijanto, Bambang. 2010. Implementasi Authentikasi Client dengan metode “Two Way

Challenge Response” Pada Transaksi Perbankan Elektronik. Yogyakarta: Universitas

Sanata Dharma.

http://repository.upnyk.ac.id/386/1/C-

3_IMPLEMENTASI_AUTHENTIKASI_CLIENT_DENGAN_ME.pdf diakses pada

2 November 2011