RANCANG BANGUN PROTOKOL KEAMANAN SMS BANKING
NASKAH PUBLIKASI
I MADE SUNIA RAHARJA
11/323114/PPA/03616
PROGRAM STUDI S2 ILMU KOMPUTER
JURUSAN ILMU KOMPUTER DAN ELEKTRONIKA
FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM
UNIVERSITAS GADJAH MADA
YOGYAKARTA
NASKAH PUBLIKASI
Untuk Berkala Penelitian Pascasarjana ini
Telah Disetujui oleh Tim Pembimbing
Pembimbing Utama
Dr.Ahmad Ashari, M.Kom.
Tanggal, 2 Juni 2014
PERNYATAAN
Dengan ini kami selaku pembimbing tesis mahasiswa Program Pascasarjana :
Nama
: I Made Sunia Raharja
NIM
: 11/323114/PPA/03616
Program Studi
: Ilmu Komputer
Setuju / tidak setuju *) naskah ringkasan penelitian (calon naskah berkala
penelitian Program Pascasarjana yang disusun oleh yang bersangkutan
dipublikasikan dengan / tanpa *) mencantumkan nama tim pembimbing sebagai
co-author.
Kemudian harap maklum.
Yogyakarta 2 Juni 2014
Nama
Status Pembimbing
Tanda Tangan
Dr. Ahmad Ashari, M.Kom
Pembimbing Utama
NIP. 19630502 1990 03 1 005
* Coret yang tidak perlu
ISSN: 1978-1520 1
Received June 1stRevised June 25th, 2012; Accepted July 10th, 2012
Rancang Bangun Protokol Keamanan SMS Banking
I Made Sunia Raharja1, Dr.Ahmad Ashari, M.Kom.2
1Prodi S2/S3 Ilmu Komputer, FMIPA UGM, Yogyakarta 2Jurusan Ilmu Komputer dan Elektronika, FMIPA UGM, Yogyakarta
e-mail: 1sunia.raharja@gmail.com, 2ashari@ugm.ac.id
Abstrak
Penggunaan teknologi smartphone(telepon pintar) yang sangat berkembang membuat layanan mobile(mobile service) semakin banyak digunakan oleh masyarakat. Layanan SMS Banking adalah layanan yang sering digunakan oleh masyarakat. Masalah keamanan sering diabaikan penyedia layanan SMS Banking. Penggunaan teknologi SMS standar pada layanan SMS Banking diketahui sangat rentan terhadap penyadapan, untuk itu diperlukan suatu protokol SMS Banking yang memberikan layanan keamanan informasi pada pesan transaksi. Keamanan informasi dapat dicapai melalui penggunaan beberapa mekanisme keamanan yaitu encipherment, digital signature, data integrity dan key exchange. Mekanisme keamanan ini dapat diterapkan melalui penggunaan kriptografi. Sistem kriptografi secara umum ada dua yaitu kriptografi simetri dan asimetri.
Protokol keamanan SMS Banking pada penelitian ini terdiri dari dua tahap, dimana protokol tahap pertama adalah pengiriman permintaan transaksi dan tahap yang kedua adalah proses transaksi. Mekanisme keamanan encipherment dilakukan menggunakan kriptografi simetri 3DES. Mekanisme digital signature dan data integrity dilakukan menggunakan kriptografi asimetri ECDSA, sedangkan mekanisme key exchange menggunakan ECDH. Hasil pengujian menunjukkan protokol yang dibangun dapat digunakan untuk proses transaksi melalui SMS Banking dan memberikan perlindungan kerahasian PIN nasabah, secara keseluruhan protokol sudah dapat memberikan layanan keamanan X.800.
Kata kunci—Protokol, Keamanan jaringan, SMS Banking, ECC, 3DES
Abstract
Rapidly growing use of the smartphone has lead to the large amount of mobile service utilization by the society. SMS Banking is one of the frequently used service. However, security issue is often ignored by the provider of SMS Banking services. The standard SMS technology usually applied in common SMS Banking service is wellknown to be very vulnerable to tapping. Therefore, an SMS Banking protocol, providing information security service in transactional message is urgently in need. Information security can be achieved through several security mechanism i.e. enchipherment, digital signature, data integrity and key exchange. These mechanisms are applicable through implementation of cryptography. There are two type of cryptography, symmetric cryptography and asymmetric cryptography.
SMS Banking security protocol in this research runs through two step. The first step is transmission of transaction request and the second step is transaction process. Encipherment is conducted using 3DES symmetric cryptography. Digital signature and data integrity are conducted using ECDSA asymmetric cryptography. Mean while, the key exchange is conducted using ECDH. Test result showed that the implementation of the protocol can conduct SMS Banking service and provide protection over costumer’s PIN. In general, this protocol have fulfill the X.800 security services.
22
1. PENDAHULUAN
enggunaan telepon seluler diketahui sudah hampir menyamai jumlah penduduk indonesia. Data dari Asosiasi Telekomunikasi Seluler Indonesia (ATSI) menunjukkan bahwa jumlah pelanggan seluler di Indonesia per tahun 2011 telah mencapai lebih dari 240 juta pelanggan, jumlah ini hampir menyamai jumlah penduduk Indonesia yang berjumlah 258 juta penduduk pada Desember 2010[1]. Penggunaan telepon seluler yang populer ini juga berpengaruh terhadap peningkatkan penggunaan fasilitas yang ada pada telepon seluler. SMS adalah salah satu fasilitas yang banyak digunakan karena praktis dan tidak membutuhkan biaya internet tambahan. Fasilitas SMS yang berkembang membuat penggunaanya tidak hanya untuk personal namun juga untuk komersial, salah satunya adalah penggunaan SMS untuk transaksi keuangan yaitu SMS Banking. SMS Banking adalah layanan yang ditujukan untuk memudahkan pemilik rekening di suatu bank untuk mendapatkan informasi atau melakukan transaksi keuangan. Menurut survey yang dilakukan pada akhir 2011 diketahui bahwa masyarakat semakin banyak tahu SMS Banking dan membutuhkan penggunaan SMS Banking, bahkan 57% layanan yang diakses pada telepon seluler adalah SMS Banking[2].
Meskipun memberikan kemudahan, namun teknologi protokol yang digunakan oleh penyedia layanan SMS Banking masih belum aman. Keamanan informasi transaksi menjadi permasalahan yang mengkhawatirkan bagi pihak bank, melihat banyaknya pemilik rekening menggunakan layanan ini[2]. Hampir semua protokol SMS Banking yang ada hanya memanfaatkan teknologi GSM yang masih standar dan rentan terhadap serangan. Kerentanan terhadap serangan terjadi pada transmisi SMS pada jaringan GSM standar yang tidak memilik keamanan yang baik. Pengiriman informasi rahasia(misalnya PIN) ke BTS diketahui masih menggunakan algoritma enkripsi A5 yang sudah diketahui bukan merupakan enkripsi yang aman. Salah satu serangan yang dapat terjadi adalah penyadapan SMS, penyadapan SMS sangat mudah dilakukan jika penyerang memiliki akses ke BTS atau bagian dari jaringan GSM tertentu. Selain itu pesan yang menunggu untuk dikirim ke server bank tersimpan dalam bentuk
plainteks sehingga orang yang memiliki akses ke provider dapat dengan mudah melihat PIN pemilik rekening. Sehingga diperlukan keamanan informasi tambahan untuk mengatasi kerentanan pada SMS.
Keamanan informasi dapat dicapai dengan menerapkan mekanisme keamanan. Mekanisme keamanan berkaitan dengan penggunaan algoritma-algoritma enkripsi. Secara umum enkripsi dikelompokan menjadi dua yaitu enkripsi simetri(Symmetric Encryption) dan enkripsi asimetri(Asymmetric Encryption). Enkripsi simetri digunakan untuk merahasiakan isi dari suatu blok data dengan ukuran tertentu seperti misalnya sebuah pesan, file, kunci enkripsi, dan password. Sedangkan enkripsi asimetri lebih banyak digunakan untuk manajemen kunci yang digunakan pada enkripsi simetri dan tanda tangan digital[3]. Salah satu algoritma enkripsi simetri adalah 3DES, 3DES merupakan algoritma yang sudah direkomendasikan menjadi standar keamanan data[4]. Sedangkan salah satu contoh algoritma asimetri yang dapat digunakan adalah algoritma ECC, Elivtic Curve Cryptography(ECC) memiliki keunggulan dalam memberikan tingkat keamanan yang sama dengan algoritma asimetri lain(RSA) namun dengan ukuran kunci yang lebih kecil[3].
2. METODE PENELITIAN
Metode penelitian dilakukan dengan melaksanakan beberapa tahapan yaitu :
2.1 Analisis Data
Agar dapat menunjukkan protokol yang dibuat sudah memberikan layanan keamanan SMS Banking dilakukan simulasi yang melibatkan komponen mobile-phone dan server bank.
IJCCS ISSN: 1978-1520
Title of manuscript is short and clear, implies research results (First Author) 3
Layanan keamanan yang diberikan sesuai dengan standar X.800[stalling] yaitu
confidentiality(kerahasiaan), integrity(integritas), authentication(otentifikasi), non-repudiation(nir-penyangkalan) and availability service(ketersediaan layanan). Untuk memberikan layanan keamanan ini perlu dilakukan mekanisme keamanan yaitu
encipherment(enkripsi), digital signature(tanda tangan digital), data integrity(intergitas data) dan key exchange(pertukaran kunci). Digital signature dan data integrity dapat dilakukan dengan menggunakan algoritma ECDSA, encipherment dapat dilakukan dengan menggunakan enkripsi simetri algoritma 3DES. Mekanisme key exchange dapat dilakukan dengan algoritma ECDH.
Untuk melakukan mekanisme keamanan sisi mobile-phone dan server harus memiliki fungsi untuk melakukan tanda tangan digital untuk pesan transaksi yang dikirimkan dan pemerikasaan tanda tangan digital, melakukan proses pertukaran kunci(key exchange) untuk kunci rahasia. Kunci rahasia ini akan digunakan untuk enkripsi pada mobile-phone dan dekripsi pada server.
Untuk melakukan transaksi SMS Banking dengan aman nasabah memerlukan kode PIN yang hanya diketahui oleh nasabah, protokol yang dibangun membutuhkan tabel akun SMS
Banking yang berisi kode PIN nasabah, tabel akun rekening tabungan nasabah dan tabel transaksi.
2.2 Perancangan Protokol
Rancangan protokol ditunjukkan pada Gambar 1. Rancangan protokol terdiri dari tiga layer yaitu Banking aplication layer, Secure SMS protocol layer dan Short Message Transport Protocol. Yang menjadi fokus dalam penelitian ini adalah Banking Aplication layer dan Secure SMS protocol layer.
Pada Gambar 1 inisiasi protokol selalu dimulai pada sisi mobile-phone dan direspon oleh server. Secure SMS protocol adalah layer yang menerapkan mekanisme keamanan yang sudah ditentukan. Sedangkan Banking Aplication layer adalah layer yang bertugas mengolah data transaksi agar dapat digunakan untuk layer Secure SMS protocol. Layer message transport protocol pada penelitian ini menggunakan protokol yang bertugas untuk menerima dan mengirim SMS standar.
2.2.1 Secure SMS Protocol layer
Protokol yang akan dibuat terdiri dari dua bagian yaitu bagian permintaan transaksi(request transaction) dan bagian proses transaksi(process transaction). Berikut ini adalah notasi yang digunakan untuk menjelaskan rancangan protokol, format notasi yang digunakan berdasarkan format notasi dari Ratshinanga[5]:
S : Menandakan server; C : Menandakan klien; PIN : Kode PIN nasabah; Req : Data permintaan transaksi;
Konf : Pesan balasan konfirmasi dari server;
SSpriv : Tanda tangan menggunakan kunci privat ECDSA server;
SCpriv : Tanda tangan menggunakan kunci privat ECDSA klien;
44
SECDH : Nilai ECDH server;
CECDH : Nilai ECDH klien;
EKs : Enkripsi dengan kunci rahasia;
Hasil : Hasil transaksi
Digest : Kode digest pesan yang dienkripsi; || : penyambungan; RT adalah pengiriman permintaan transaksi. PT adalah pengiriman proses transaksi yang dienkripsi menggunakan kunci rahasia dari server.
Dimana RT dijelaskan tahapanya lebih lanjut menjadi :
M1 : C→S: [SCpriv(CECDH || Req)] : Pesan permintaan transaksi
M2 : S→C: [SSpriv(SECDH || Konf)] : Pesan konfirmasi transaksi
dan tahapan untuk PT adalah :
M3 : C→S: [SCpriv(EKs(PIN))] : Pesan persetujuan transaksi
M4 : S→C: [SSpriv(Hasil)] : Pesan hasil transaksi
Dua bagian protokol harus dijalankan secara bertahap, bagian kedua tidak dapat dijalankan jika tidak menjalankan bagian pertama, tahapan-tahapan untuk setiap pengiriman pesan transaksi lebih detail adalah sebagai berikut:
M1: C menyusun pesan permintaan transaksi yang terdiri dari kunci publik ECDH(CECDH) dan data permintaan transaksi(Req). Pesan ini kemudian ditandatangani menggunakan kunci privat milik mobile-phone(SCpriv(CECDH || Req)). Pesan yang sudah ditandatangani dikirim ke bank-server(C→S: [SCpriv(CECDH || Req)]).
M2: S menerima pesan M1 kemudian memeriksa tanda tangan digital menggunakan kunci publik mobile-phone yang tersimpan pada bank-server. Jika tidak valid pesan permintaan akan langsung dihapus, sedangkan jika valid pesan permintaan akan diproses. Pesan permintaan diproses agar dapat digunakan untuk bagian protokol berikutnya, bank-server menghasilkan kunci rahasia(Ks) menggunakan CECDH dari M1 dan nilai privat ECDH yang dimiliki oleh bank-server, kunci rahasia ini akan digunakan untuk bagian protokol berikutnya. Pesan permintaan transaksi akan dibalas dengan pesan konfirmasi transaksi untuk meminta persetujuan proses transaksi kepada nasabah. Bersama dengan nilai SECDH konfirmasi transaksi ditandatangani menggunakan Sspriv(SSpriv(SECDH || Konf)) kemudian dikirimkan ke klien(S→C: [SSpriv(SECDH || Konf)]).
M3: C menerima pesan M2 dan memeriksa tanda tangan pesan menggunakan kunci publik bank-server yang tersimpan pada mobile-phone. Jika tanda tangan tidak valid pesan tidak dapat digunakan untuk melakukan persetujuan transaksi, sedangkan jika valid pesan akan diproses dengan cara mobile-phone mengambil nilai SECDH kemudian bersama dengan nilai privat ECDH yang dimiliki oleh mobile-phone dihasilkan kunci rahasia(Ks) yang akan digunakan untuk enkripsi(EKs) pesan persetujuan transaksi. Pesan konfirmasi transaksi disetujui oleh klien dengan mengirimkan pesan persetujuan transaksi yang berisi kode PIN yang dienkripsi menggunakan kunci rahasia(Eks(PIN)). Pesan persetujuan transaksi yang sudah dienkripsi ditandatangani lagi oleh mobile-phone dan dikirimkan ke bank-server(C→S: [SCpriv(Eks(PIN))]).
IJCCS ISSN: 1978-1520
Title of manuscript is short and clear, implies research results (First Author) 5
rahasia(Ks) yang dihasilkan pada saat M2. Pesan yang sudah didekripsi digunakan untuk memproses transaksi. Hasil dari proses transaksi akan ditandatangani oleh bank-server(SSpriv(Hasil)) dan dikirimkan ke mobile-phone sebagai pesan hasil transaksi(S→C: [SSpriv(Hasil)]).
Tahapan-tahapan protokol pada masing-masing komponen protokol : Tahapan protokol permintaan transaksi :
Pada sisi mobile-phone :
1. Membuat pasangan kunci ECDHkeyKlien=ECDHprivKlien + ECDHpubKlien 2. Membuat pesan reqTrans yang terdiri dari ECDHpubKlien dan data transaksi 3. Membuat signature melalui tanda tangan data reqTrans
4. Membuat pesan permintaan transaksi yang terdiri dari signature dan reqTrans
5. Mengirim pesan permintaan transaksi melalui SMS Pada sisi server :
6. Mengambil signature dan reqTrans dari pesan permintaan transaksi 7. Memeriksa dan validasi signature
8. Hapus pesan jika tanda tangan tidak valid
9. Jika valid ambil ECDHpubKlien dan data transaksi 10. Membuat pesanKon1 transaksi berdasarkan data transaksi
11. Membuat pasangan kunci ECDHkeyServer=ECDHprivServer+ECDHpubServer 12. Membuat secretKey menggunakan ECDHprivServer dan ECDHpubKlien 13. Membuat pesanKon2 yang terdiri dari ECDHpubServer dan pesanKon1
14. Membuat signature melalui tanda tangan data pesanKon2
15. Membuat pesan konfirmasi transaksi yang terdiri dari signature dan pesanKon2
16. Mengirim pesan konfirmasi transaksi Pada sisi mobile-phone :
17. Mengambil signature dan pesanKon2 dari pesan konfirmasi transaksi 18. Memeriksa dan validasi signature
19. Jika tidak valid tidak bis dibaca 20. Jika valid baca pesanKon2
21. Membuat secretKey menggunakan ECDHpubKlien dan ECDHpubServer
Tahapan protokol proses transaksi : Pada sisi mobile-phone :
1. Enkripsi PIN dengan secretKey menghasilkan ciphertext
2. Menghapus kunci rahasia
3. Membuat signature melalui tanda tangan data ciphertext
4. Membuat pesan persetujuan transaksi yang terdiri dari signature dan ciphertext
5. Mengirim pesan persetujuan transaksi Pada sisi server :
6. Mengambil signature dan ciphertext
7. Memeriksa dan validasi signature
8. Jika tidak valid hapus pesan persetujuan transaksi 9. Jika valid dekripsi ciphertext dengan secretKey
10. Jika tidak berhasil didekripsi hapus pesan persetujuan transaksi 11. Jika berhasil didekripsi, eksekusi transaksi menggunakan PIN 12. Membuat signature melalui tanda tangan data hasil transaksi
13. Membuat pesan konfirmasi hasil transaksi yang terdiri dari signature dan hasil transaksi 14. Mengirim pesan konfirmasi hasil transaksi
15. Menghapus secretKey
Pada sisi mobile-phone :
16. Mengambil signature dan hasil transaksi 17. Memeriksa dan validasi signature
66
19. Jika valid, baca hasil transaksi
2.2.2 Banking aplication layer
Layer ini ada di kedua sisi yaitu mobile-phone dan server. Layer ini akan memproses data transaksi membentuk pesan SMS yang digunakan pada Secure SMS protocol layer. Layer
ini juga mendefinisikan proses-proses pendukung mekanisme keamanan pada Secure SMS protocol layer. Gambar 2 menunjukkan use-caseBanking aplication layer.
Protokol yang dibangun membutuhkan empat jenis SMS, dua SMS dikirim dari mobile-phone dan dua SMS dikirim dari server. Keempat pesan memiliki struktur pesan yang berbeda yaitu :
Pesan permintaan transaksi
Pesan yang berisi data permintaan transaksi yang dikirim oleh mobile-phone ditunjukan pada Gambar 3
Vers Signature ECDHKlien Data transaksi
Gambar 3 Struktur pesan permintaan transaksi
Pesan konfirmasi transaksi
Pesan yang berisi informasi transaksi yang akan diproses yang dikirimkan oleh server
ditunjukan pada Gambar 4.
Vers Signature ECDHserver Konfirmasi transaksi
Gambar 4 Struktur pesan konfirmasi transaksi
Pesan persetujuan transaksi
Pesan persetujuan eksekusi transaksi yang berisi PIN nasabah yang dienkripsi yang dikirim oleh mobile-phone ditunjukkan pada Gambar 5
Vers Signature Ciphertext PIN
Gambar 5 Struktur pesan persetujuan transaksi
Pesan konfirmasi hasil transaksi
Pesan hasil transaksi yang telah dieksekusi oleh server ditunjukan pada Gambar 6
Vers Signature Hasil transaksi
Gambar 6 Struktur pesan konfirmasi hasil transaksi Notasi yang digunakan pada struktur pesan ditunjukan pada Tabel 1.
IJCCS ISSN: 1978-1520
Title of manuscript is short and clear, implies research results (First Author) 7
Tabel 1 Notasi Struktur Pesan
Notasi Makna
Vers Pola string spesifik yang digunakan untuk menandakan struktur pesan yang dikirim
Signature Tanda tangan digital untuk keamanan pesan
ECDHklien Kunci publik ECDH yang dikirim oleh mobile phone
Data transaksi Untaian string data transaksi
ECDHserver Kunci publik ECDH yang dikirim oleh server
Konfirmasi transaksi Pesan konfirmasi persetujuan transaksi
Ciphertext PIN Hasil output dari proses enkripsi PIN
Hasil transaksi Hasil dari proses transaksi yang dikirim oleh server.
2.2.3 Perancangan Database
Sesuai dengan analisis data protokol membutuhkan tiga buah tabel yaitu tabel akun rekening tabungan, tabel akun SMS Banking dan table transaksi. Gambar 7 menunjukan Diagram Relasional potokol.
2.3 Implementasi Protokol
Implementasi protokol dilakukan pada dua komponen yaitu mobile-phone dan
server. Pada mobile-phone implementasi dilakukan menggunakan bahasa pemrograman Android, sedangkan implementasi pada sisi server menggunakan SMSLib untuk layanan
smsgateway dan JAVA untuk implementasi tahapan protokol. Proses kriptografi memakai tools library bouncy castle dan kriptografi berbasis JAVA. Implementasi pada sisi mobile-phone
mengikuti diagram aktivitas Gambar 8. Gambar 8(a) menunjukkan aktivitas mobile-phone
mengirimkan pesan permintaan transaksi. Gambar 8(b) menunjukan aktivitas mobile-phone
yang menangani pesan konfirmasi transaksi dan pesan hasil transaksi yang dikirim server. Sedangkan implementasi sisi server mengikuti diagram aktivitas Gambar 9.
Implementasi database dilakukan menggunakan MYSQL dengan membuat tiga buah tabel yang sesuai dengan Gambar 7.
88
3. HASIL DAN PEMBAHASAN
Dilakukan dua jenis pengujian terhadap protokol SMS Banking yang dibangun, pengujian fungsionalitas protokol SMS Banking dan pengujian keamanan protokol SMS
Banking. Pengujian fungsionalitas dilakukan dengan menjalankan beberapa test case. Dari hasil pengujian fungsionalitas diketahui bahwa server sudah dapat memproses pesan permintaan transaksi/pesan persetujuan transaksi yang memiliki versi pesan yang sesuai dengan protokol
Gambar 8 Diagram aktivitas sisi server
IJCCS ISSN: 1978-1520
Title of manuscript is short and clear, implies research results (First Author) 9
dan menghapus pesan yang tidak sesuai dengan protokol. Pada sisi mobile-phone, mobile-phone menerima dan memproses pesan konfirmasi transaksi/pesan konfirmasi hasil transaksi dari server yang memiliki versi pesan yang sesuai dengan protokol, sedangkan pesan dengan versi yang tidak sesuai dengan protokol diterima namun tidak diproses. Protokol juga dapat merespon dengan baik jika terdapat kesalahan pemasukan nilai pada data transaksi, misalnya jika nasabah memasukkan alphabet pada nilai yang seharusnya bertipe numerik maka server
akan memberikan peberitahuan bahwa format pesan yang dikirim salah. Pada bagian proses transaksi, protokol dapat mengeksekusi transaksi jika PIN benar dan memberikan pemberitahuan kepada nasabah jika PIN yang dikirimkan salah. Dari hasil pengujian fungsionalitas diketahui protokol sudah berjalan dengan baik sesuai dengan fungsinya.
Jumlah segmen pesan yang dibutuhkan untuk permintaan transaksi sebanyak dua segmen sedangkan untuk proses transaksi dibutuhkan satu segmen pesan, untuk bagian permintaan transaksi membutuhkan segmen yang lebih banyak karena dibutuhkan karakter yang lebih banyak untuk nilai kunci publik ECDH
Pengujian keamanan dilakukan dengan melakukan penyerangan dengan serangan-serangan yang ditentukan pada pohon serangan-serangan[6] Gambar 10. Penyerangan dilakukan dengan tujuan untuk mengetahui kode PIN SMS Banking yang ada pada pesan persetujuan transaksi. Dari pohon serangan diketahui bahwa semua serangan yang dilakukan tidak mungkin untuk mengetahui kode PIN nasabah.
dari proses mitigasi serangan dapat diketahui bahwa protokol sudah memenuhi beberapa layanan keamanan yaitu :
1. Otentikasi(Authentication)
Otentikasi menjamin komunikasi SMS antara klien dan server otentik. Fungsi dari otentifikasi adalah menjamin penerima SMS memang benar menerima pesan dari sumber yang dinyatakan. Mekanisme kemanan tanda tangan digital yang diterapkan telah memberikan layanan otentikasi terhadap mobile-phone dan server sehingga pihak luar protokol tidak dapat mengintervensi layanan transaksi yang diberikan, selain itu penggunaan PIN SMS Banking memberikan otentifikasi terhadap klien/nasabah karena hanya klien/nasabah yang mengetahuinya.
2. Kontrol Akses(Access Control)
Pihak mobile-phone dan server dapat diidentifikasi melalui tanda tangan digital, tanda tangan digital dapat diverifikasi sehingga dapat diketahui apakah tanda tangan valid
110
atau tidak. Jika tanda tangan tidak valid dapat dipastikan berasal dari pihak luar yang tidal berhak mengakses protkol.
3. Kerahasiaan Data(DataConfidentiality)
Data yang sangat penting dan rahasia adalah PIN SMS Banking. Enkripsi PIN sudah menggunakan algoritma enkripsi yang kuat dengan kunci rahasia yang merupakan one-time password sehingga sudah memberikan kerahasiaan yang kuat.
4. Integritas data(Data Integrity)
Pada protokol yang dibangun pesan permintaan transaksi harus terjaga dari pengubahan atau modifikasi. Mekanisme tanda tangan digital mengimplementasikan fungsi hash
yang menghasilkan digest pesan, pengecekan nilai digest dilakukan pada saat verivikasi tanda tangan digital, jika pesan dirubah maka akan menghasilkan nilai digest yang berbeda sehingga tanda tangan menjadi tidak valid.
5. Nirpenyangkalan(Non-repudiation)
Protokol yang dibangun menggunakan PIN SMS Banking untuk mengeksekusi transaksi, PIN hanya diketahui oleh nasabah sehingga nasabah tidak bisa menyangkal dalam melakukan transaksi.
6. Ketersediaan Layanan(Availability Service)
Ketersediaan layanan SMS Banking dapat diganggu dengan serangan denial-of-service(DoS). Serangan DoS biasanya ditujukan pada sisi server sehingga akan mengghambat dalam pelayanan SMS Banking. Serangan DoS dapat dimitagasi dengan memanfaat struktur pesan dan tanda tangan digital. Pesan dengan versi yang tidak sesuai dan pesan yang tidak valid akan dihapus oleh server.
4. KESIMPULAN
1. Protokol keamanan SMS Banking yang dibangun sudah dapat melakukan fungsionalitasnya dengan baik. Protokol terdiri dari dua bagian yaitu permintaan transaksi dan proses transaksi. Keamanan protokol SMS Banking dapat dicapai dengan menerapkan mekanisme keamanan informasi, mekanisme keamanan informasi yang digunakan pada protokol yang dibangun sudah dapat melindungi kerahasiaan PIN nasabah.
2. Implementasi mekanisme keamanan melalui kriptografi ECC dan 3DES. dapat dilakukan menggunakan tools bouncycastle dan berbasis JAVA.
3. Melalui proses pengujian keamanan protokol, protokol SMS Bangking yang dibangun sudah memenuhi standar keamanan data X.800.
5. SARAN
Pesan permintaan transaksi yang dikirimkan sebaiknya dilengkapi dengan mekanisme kompresi sehingga dapat mengurangi penggunaan segmen pesan.
UCAPAN TERIMA KASIH
Penulis mengucapkan terima kasih kepada bapak Dr.Ahmad Ashari, M.Kom selaku pembimbing yang sudah meluangkan waktu memberikan masukan-masukan yang sangat membantu.
DAFTAR PUSTAKA
IJCCS ISSN: 1978-1520
Title of manuscript is short and clear, implies research results (First Author) 11
[2] Mahayan, D., 2012, Problem Sms Bangking Dan Mobile Banking Di Indonesia, http://tinyurl.com/ctb4sor, 1 April 2012, diakses 18 Maret 2013.
[3] Stallings, W., 2011, Cryptography And Network Security Principles And Practice Fifth Edition, Prentice Hall, New York.
[4] Barker, W.C, Barker, E., 2012, Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher , National Institute of Standard and Technology, New York.
[5] Ratshinanga, H, Lo, J., and Bishop, J, 2004, A Security Mechanism for Secure SMS Communication, Computer Science Department, University of Pretoria, South Africa. [6] Schneier, B., 1999, Attack Trees: Modelling security threats, Dr. Dobb’s Journal
