Electronic theses and dissertations Gadjah Mada University.
RANCANG BANGUN PROTOKOL KEAMANAN SMS BANKING
NASKAH PUBLIKASI
I MADE SUNIA RAHARJA
11/323114/PPA/03616
PROGRAM STUDI S2 ILMU KOMPUTER
JURUSAN ILMU KOMPUTER DAN ELEKTRONIKA
FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM
UNIVERSITAS GADJAH MADA
YOGYAKARTA
2014
NASKAH PUBLIKASI
Untuk Berkala Penelitian Pascasarjana ini
Telah Disetujui oleh Tim Pembimbing
Pembimbing Utama
Dr.Ahmad Ashari, M.Kom.
NIP. 19630502 1990 03 1 005
Tanggal, 2 Juni 2014
PERNYATAAN
Dengan ini kami selaku pembimbing tesis mahasiswa Program Pascasarjana :
Nama
: I Made Sunia Raharja
NIM
: 11/323114/PPA/03616
Program Studi
: Ilmu Komputer
Setuju / tidak setuju *) naskah ringkasan penelitian (calon naskah berkala
penelitian Program Pascasarjana yang disusun oleh yang bersangkutan
dipublikasikan dengan / tanpa *) mencantumkan nama tim pembimbing sebagai
co-author.
Kemudian harap maklum.
Yogyakarta 2 Juni 2014
Nama
Dr. Ahmad Ashari, M.Kom
NIP. 19630502 1990 03 1 005
Status Pembimbing
Pembimbing Utama
* Coret yang tidak perlu
iii
Tanda Tangan
ISSN: 1978-1520
1
Rancang Bangun Protokol Keamanan SMS Banking
I Made Sunia Raharja1, Dr.Ahmad Ashari, M.Kom.2
Prodi S2/S3 Ilmu Komputer, FMIPA UGM, Yogyakarta
2
Jurusan Ilmu Komputer dan Elektronika, FMIPA UGM, Yogyakarta
e-mail: [email protected], [email protected]
1
Abstrak
Penggunaan teknologi smartphone(telepon pintar) yang sangat berkembang membuat
layanan mobile(mobile service) semakin banyak digunakan oleh masyarakat. Layanan SMS
Banking adalah layanan yang sering digunakan oleh masyarakat. Masalah keamanan sering
diabaikan penyedia layanan SMS Banking. Penggunaan teknologi SMS standar pada layanan
SMS Banking diketahui sangat rentan terhadap penyadapan, untuk itu diperlukan suatu
protokol SMS Banking yang memberikan layanan keamanan informasi pada pesan transaksi.
Keamanan informasi dapat dicapai melalui penggunaan beberapa mekanisme keamanan yaitu
encipherment, digital signature, data integrity dan key exchange. Mekanisme keamanan ini
dapat diterapkan melalui penggunaan kriptografi. Sistem kriptografi secara umum ada dua
yaitu kriptografi simetri dan asimetri.
Protokol keamanan SMS Banking pada penelitian ini terdiri dari dua tahap, dimana
protokol tahap pertama adalah pengiriman permintaan transaksi dan tahap yang kedua adalah
proses transaksi. Mekanisme keamanan encipherment dilakukan menggunakan kriptografi
simetri 3DES. Mekanisme digital signature dan data integrity dilakukan menggunakan
kriptografi asimetri ECDSA, sedangkan mekanisme key exchange menggunakan ECDH. Hasil
pengujian menunjukkan protokol yang dibangun dapat digunakan untuk proses transaksi
melalui SMS Banking dan memberikan perlindungan kerahasian PIN nasabah, secara
keseluruhan protokol sudah dapat memberikan layanan keamanan X.800.
Kata kunci— Protokol, Keamanan jaringan, SMS Banking, ECC, 3DES
Abstract
Rapidly growing use of the smartphone has lead to the large amount of mobile service
utilization by the society. SMS Banking is one of the frequently used service. However, security
issue is often ignored by the provider of SMS Banking services. The standard SMS technology
usually applied in common SMS Banking service is wellknown to be very vulnerable to tapping.
Therefore, an SMS Banking protocol, providing information security service in transactional
message is urgently in need. Information security can be achieved through several security
mechanism i.e. enchipherment, digital signature, data integrity and key exchange. These
mechanisms are applicable through implementation of cryptography. There are two type of
cryptography, symmetric cryptography and asymmetric cryptography.
SMS Banking security protocol in this research runs through two step. The first step is
transmission of transaction request and the second step is transaction process. Encipherment is
conducted using 3DES symmetric cryptography. Digital signature and data integrity are
conducted using ECDSA asymmetric cryptography. Mean while, the key exchange is conducted
using ECDH. Test result showed that the implementation of the protocol can conduct SMS
Banking service and provide protection over costumer’s PIN. In general, this protocol have
fulfill the X.800 security services.
Keywords— Protocol, Network security, SMS Banking, ECC, 3DES
Received June 1stRevised June 25th, 2012; Accepted July 10th, 2012
2
1. PENDAHULUAN
enggunaan telepon seluler diketahui sudah hampir menyamai jumlah penduduk indonesia.
Data dari Asosiasi Telekomunikasi Seluler Indonesia (ATSI) menunjukkan bahwa jumlah
pelanggan seluler di Indonesia per tahun 2011 telah mencapai lebih dari 240 juta pelanggan,
jumlah ini hampir menyamai jumlah penduduk Indonesia yang berjumlah 258 juta penduduk
pada Desember 2010[1]. Penggunaan telepon seluler yang populer ini juga berpengaruh
terhadap peningkatkan penggunaan fasilitas yang ada pada telepon seluler. SMS adalah salah
satu fasilitas yang banyak digunakan karena praktis dan tidak membutuhkan biaya internet
tambahan. Fasilitas SMS yang berkembang membuat penggunaanya tidak hanya untuk personal
namun juga untuk komersial, salah satunya adalah penggunaan SMS untuk transaksi keuangan
yaitu SMS Banking. SMS Banking adalah layanan yang ditujukan untuk memudahkan pemilik
rekening di suatu bank untuk mendapatkan informasi atau melakukan transaksi keuangan.
Menurut survey yang dilakukan pada akhir 2011 diketahui bahwa masyarakat semakin banyak
tahu SMS Banking dan membutuhkan penggunaan SMS Banking, bahkan 57% layanan yang
diakses pada telepon seluler adalah SMS Banking[2].
Meskipun memberikan kemudahan, namun teknologi protokol yang digunakan oleh
penyedia layanan SMS Banking masih belum aman. Keamanan informasi transaksi menjadi
permasalahan yang mengkhawatirkan bagi pihak bank, melihat banyaknya pemilik rekening
menggunakan layanan ini[2]. Hampir semua protokol SMS Banking yang ada hanya
memanfaatkan teknologi GSM yang masih standar dan rentan terhadap serangan. Kerentanan
terhadap serangan terjadi pada transmisi SMS pada jaringan GSM standar yang tidak memilik
keamanan yang baik. Pengiriman informasi rahasia(misalnya PIN) ke BTS diketahui masih
menggunakan algoritma enkripsi A5 yang sudah diketahui bukan merupakan enkripsi yang
aman. Salah satu serangan yang dapat terjadi adalah penyadapan SMS, penyadapan SMS sangat
mudah dilakukan jika penyerang memiliki akses ke BTS atau bagian dari jaringan GSM
tertentu. Selain itu pesan yang menunggu untuk dikirim ke server bank tersimpan dalam bentuk
plainteks sehingga orang yang memiliki akses ke provider dapat dengan mudah melihat PIN
pemilik rekening. Sehingga diperlukan keamanan informasi tambahan untuk mengatasi
kerentanan pada SMS.
Keamanan informasi dapat dicapai dengan menerapkan mekanisme keamanan.
Mekanisme keamanan berkaitan dengan penggunaan algoritma-algoritma enkripsi. Secara
umum enkripsi dikelompokan menjadi dua yaitu enkripsi simetri(Symmetric Encryption) dan
enkripsi asimetri(Asymmetric Encryption). Enkripsi simetri digunakan untuk merahasiakan isi
dari suatu blok data dengan ukuran tertentu seperti misalnya sebuah pesan, file, kunci enkripsi,
dan password. Sedangkan enkripsi asimetri lebih banyak digunakan untuk manajemen kunci
yang digunakan pada enkripsi simetri dan tanda tangan digital[3]. Salah satu algoritma enkripsi
simetri adalah 3DES, 3DES merupakan algoritma yang sudah direkomendasikan menjadi
standar keamanan data[4]. Sedangkan salah satu contoh algoritma asimetri yang dapat
digunakan adalah algoritma ECC, Elivtic Curve Cryptography(ECC) memiliki keunggulan
dalam memberikan tingkat keamanan yang sama dengan algoritma asimetri lain(RSA) namun
dengan ukuran kunci yang lebih kecil[3].
P
2. METODE PENELITIAN
Metode penelitian dilakukan dengan melaksanakan beberapa tahapan yaitu :
2.1 Analisis Data
Agar dapat menunjukkan protokol yang dibuat sudah memberikan layanan keamanan
SMS Banking dilakukan simulasi yang melibatkan komponen mobile-phone dan server bank.
IJCCS
ISSN: 1978-1520
3
Layanan keamanan yang diberikan sesuai dengan standar X.800[stalling] yaitu
confidentiality(kerahasiaan),
integrity(integritas),
authentication(otentifikasi),
nonrepudiation(nir-penyangkalan) and availability service(ketersediaan layanan). Untuk
memberikan layanan keamanan ini perlu dilakukan mekanisme keamanan yaitu
encipherment(enkripsi), digital signature(tanda tangan digital), data integrity(intergitas data)
dan key exchange(pertukaran kunci). Digital signature dan data integrity dapat dilakukan
dengan menggunakan algoritma ECDSA, encipherment dapat dilakukan dengan menggunakan
enkripsi simetri algoritma 3DES. Mekanisme key exchange dapat dilakukan dengan algoritma
ECDH.
Untuk melakukan mekanisme keamanan sisi mobile-phone dan server harus memiliki
fungsi untuk melakukan tanda tangan digital untuk pesan transaksi yang dikirimkan dan
pemerikasaan tanda tangan digital, melakukan proses pertukaran kunci(key exchange) untuk
kunci rahasia. Kunci rahasia ini akan digunakan untuk enkripsi pada mobile-phone dan dekripsi
pada server.
Untuk melakukan transaksi SMS Banking dengan aman nasabah memerlukan kode PIN
yang hanya diketahui oleh nasabah, protokol yang dibangun membutuhkan tabel akun SMS
Banking yang berisi kode PIN nasabah, tabel akun rekening tabungan nasabah dan tabel
transaksi.
2.2 Perancangan Protokol
Rancangan protokol ditunjukkan pada Gambar 1. Rancangan protokol terdiri dari tiga
layer yaitu Banking aplication layer, Secure SMS protocol layer dan Short Message Transport
Protocol. Yang menjadi fokus dalam penelitian ini adalah Banking Aplication layer dan Secure
SMS protocol layer.
Gambar 1 Rancangan protokol
Pada Gambar 1 inisiasi protokol selalu dimulai pada sisi mobile-phone dan direspon
oleh server. Secure SMS protocol adalah layer yang menerapkan mekanisme keamanan yang
sudah ditentukan. Sedangkan Banking Aplication layer adalah layer yang bertugas mengolah
data transaksi agar dapat digunakan untuk layer Secure SMS protocol. Layer message transport
protocol pada penelitian ini menggunakan protokol yang bertugas untuk menerima dan
mengirim SMS standar.
2.2.1 Secure SMS Protocol layer
Protokol yang akan dibuat terdiri dari dua bagian yaitu bagian permintaan
transaksi(request transaction) dan bagian proses transaksi(process transaction). Berikut ini
adalah notasi yang digunakan untuk menjelaskan rancangan protokol, format notasi yang
digunakan berdasarkan format notasi dari Ratshinanga[5]:
S
: Menandakan server;
C
: Menandakan klien;
PIN
: Kode PIN nasabah;
Req
: Data permintaan transaksi;
Konf : Pesan balasan konfirmasi dari server;
SSpriv : Tanda tangan menggunakan kunci privat ECDSA server;
SCpriv : Tanda tangan menggunakan kunci privat ECDSA klien;
Title of manuscript is short and clear, implies research results (First Author)
4
SECDH
CECDH
EKs
Hasil
Digest
||
C→S
[…]
: Nilai ECDH server;
: Nilai ECDH klien;
: Enkripsi dengan kunci rahasia;
: Hasil transaksi
: Kode digest pesan yang dienkripsi;
: penyambungan;
: C mengirim SMS ke S
: Simbol bentuk SMS.
Protokol P terdiri dari dua bagian yaitu permintaan transaksi(RT) dan proses
transaksi(PT) pada persamaan (1) :
P = RT + PT
(1)
RT adalah pengiriman permintaan transaksi. PT adalah pengiriman proses transaksi
yang dienkripsi menggunakan kunci rahasia dari server.
Dimana RT dijelaskan tahapanya lebih lanjut menjadi :
M1 : C→S: [SCpriv(CECDH || Req)] : Pesan permintaan transaksi
M2 : S→C: [SSpriv(SECDH || Konf)] : Pesan konfirmasi transaksi
dan tahapan untuk PT adalah :
M3 : C→S: [SCpriv(EKs(PIN))] : Pesan persetujuan transaksi
M4 : S→C: [SSpriv(Hasil)] : Pesan hasil transaksi
Dua bagian protokol harus dijalankan secara bertahap, bagian kedua tidak dapat
dijalankan jika tidak menjalankan bagian pertama, tahapan-tahapan untuk setiap pengiriman
pesan transaksi lebih detail adalah sebagai berikut:
M1: C menyusun pesan permintaan transaksi yang terdiri dari kunci publik
ECDH(CECDH) dan data permintaan transaksi(Req). Pesan ini kemudian
ditandatangani menggunakan kunci privat milik mobile-phone(SCpriv(CECDH || Req)).
Pesan yang sudah ditandatangani dikirim ke bank-server(C→S: [SCpriv(CECDH ||
Req)]).
M2: S menerima pesan M1 kemudian memeriksa tanda tangan digital menggunakan
kunci publik mobile-phone yang tersimpan pada bank-server. Jika tidak valid pesan
permintaan akan langsung dihapus, sedangkan jika valid pesan permintaan akan
diproses. Pesan permintaan diproses agar dapat digunakan untuk bagian protokol
berikutnya, bank-server menghasilkan kunci rahasia(Ks) menggunakan CECDH dari
M1 dan nilai privat ECDH yang dimiliki oleh bank-server, kunci rahasia ini akan
digunakan untuk bagian protokol berikutnya. Pesan permintaan transaksi akan dibalas
dengan pesan konfirmasi transaksi untuk meminta persetujuan proses transaksi kepada
nasabah. Bersama dengan nilai SECDH konfirmasi transaksi ditandatangani
menggunakan Sspriv(SSpriv(SECDH || Konf)) kemudian dikirimkan ke klien(S→C:
[SSpriv(SECDH || Konf)]).
M3: C menerima pesan M2 dan memeriksa tanda tangan pesan menggunakan kunci
publik bank-server yang tersimpan pada mobile-phone. Jika tanda tangan tidak valid
pesan tidak dapat digunakan untuk melakukan persetujuan transaksi, sedangkan jika
valid pesan akan diproses dengan cara mobile-phone mengambil nilai SECDH
kemudian bersama dengan nilai privat ECDH yang dimiliki oleh mobile-phone
dihasilkan kunci rahasia(Ks) yang akan digunakan untuk enkripsi(EKs) pesan
persetujuan transaksi. Pesan konfirmasi transaksi disetujui oleh klien dengan
mengirimkan pesan persetujuan transaksi yang berisi kode PIN yang dienkripsi
menggunakan kunci rahasia(Eks(PIN)). Pesan persetujuan transaksi yang sudah
dienkripsi ditandatangani lagi oleh mobile-phone dan dikirimkan ke bank-server(C→S:
[SCpriv(Eks(PIN))]).
M4: S menerima pesan persetujuan transaksi M3 dan memeriksa tanda tangan digital
menggunakan kunci publik mobile-phone, jika tidak valid maka pesan akan dihapus
sedangkan jika valid pesan persetujuan transaksi didekripsi menggunakan kunci
IJCCS
ISSN: 1978-1520
5
rahasia(Ks) yang dihasilkan pada saat M2. Pesan yang sudah didekripsi digunakan
untuk memproses transaksi. Hasil dari proses transaksi akan ditandatangani oleh bankserver(SSpriv(Hasil)) dan dikirimkan ke mobile-phone sebagai pesan hasil
transaksi(S→C: [SSpriv(Hasil)]).
Tahapan-tahapan protokol pada masing-masing komponen protokol :
Tahapan protokol permintaan transaksi :
Pada sisi mobile-phone :
1. Membuat pasangan kunci ECDHkeyKlien=ECDHprivKlien + ECDHpubKlien
2. Membuat pesan reqTrans yang terdiri dari ECDHpubKlien dan data transaksi
3. Membuat signature melalui tanda tangan data reqTrans
4. Membuat pesan permintaan transaksi yang terdiri dari signature dan reqTrans
5. Mengirim pesan permintaan transaksi melalui SMS
Pada sisi server :
6. Mengambil signature dan reqTrans dari pesan permintaan transaksi
7. Memeriksa dan validasi signature
8. Hapus pesan jika tanda tangan tidak valid
9. Jika valid ambil ECDHpubKlien dan data transaksi
10. Membuat pesanKon1 transaksi berdasarkan data transaksi
11. Membuat pasangan kunci ECDHkeyServer=ECDHprivServer+ECDHpubServer
12. Membuat secretKey menggunakan ECDHprivServer dan ECDHpubKlien
13. Membuat pesanKon2 yang terdiri dari ECDHpubServer dan pesanKon1
14. Membuat signature melalui tanda tangan data pesanKon2
15. Membuat pesan konfirmasi transaksi yang terdiri dari signature dan pesanKon2
16. Mengirim pesan konfirmasi transaksi
Pada sisi mobile-phone :
17. Mengambil signature dan pesanKon2 dari pesan konfirmasi transaksi
18. Memeriksa dan validasi signature
19. Jika tidak valid tidak bis dibaca
20. Jika valid baca pesanKon2
21. Membuat secretKey menggunakan ECDHpubKlien dan ECDHpubServer
Tahapan protokol proses transaksi :
Pada sisi mobile-phone :
1. Enkripsi PIN dengan secretKey menghasilkan ciphertext
2. Menghapus kunci rahasia
3. Membuat signature melalui tanda tangan data ciphertext
4. Membuat pesan persetujuan transaksi yang terdiri dari signature dan ciphertext
5. Mengirim pesan persetujuan transaksi
Pada sisi server :
6. Mengambil signature dan ciphertext
7. Memeriksa dan validasi signature
8. Jika tidak valid hapus pesan persetujuan transaksi
9. Jika valid dekripsi ciphertext dengan secretKey
10. Jika tidak berhasil didekripsi hapus pesan persetujuan transaksi
11. Jika berhasil didekripsi, eksekusi transaksi menggunakan PIN
12. Membuat signature melalui tanda tangan data hasil transaksi
13. Membuat pesan konfirmasi hasil transaksi yang terdiri dari signature dan hasil transaksi
14. Mengirim pesan konfirmasi hasil transaksi
15. Menghapus secretKey
Pada sisi mobile-phone :
16. Mengambil signature dan hasil transaksi
17. Memeriksa dan validasi signature
18. Jika tidak valid, pesan tidak bisa dibaca
Title of manuscript is short and clear, implies research results (First Author)
6
19. Jika valid, baca hasil transaksi
2.2.2 Banking aplication layer
Layer ini ada di kedua sisi yaitu mobile-phone dan server. Layer ini akan memproses
data transaksi membentuk pesan SMS yang digunakan pada Secure SMS protocol layer. Layer
ini juga mendefinisikan proses-proses pendukung mekanisme keamanan pada Secure SMS
protocol layer. Gambar 2 menunjukkan use-case Banking aplication layer.
Gambar 2 Use-case banking aplication layer
Protokol yang dibangun membutuhkan empat jenis SMS, dua SMS dikirim dari mobilephone dan dua SMS dikirim dari server. Keempat pesan memiliki struktur pesan yang berbeda
yaitu :
Pesan permintaan transaksi
Pesan yang berisi data permintaan transaksi yang dikirim oleh mobile-phone ditunjukan
pada Gambar 3
Vers
ECDHKlien
Signature
Data transaksi
Gambar 3 Struktur pesan permintaan transaksi
Pesan konfirmasi transaksi
Pesan yang berisi informasi transaksi yang akan diproses yang dikirimkan oleh server
ditunjukan pada Gambar 4.
Vers
ECDHserver
Signature
Konfirmasi transaksi
Gambar 4 Struktur pesan konfirmasi transaksi
Pesan persetujuan transaksi
Pesan persetujuan eksekusi transaksi yang berisi PIN nasabah yang dienkripsi yang
dikirim oleh mobile-phone ditunjukkan pada Gambar 5
Vers
Signature
Ciphertext PIN
Gambar 5 Struktur pesan persetujuan transaksi
Pesan konfirmasi hasil transaksi
Pesan hasil transaksi yang telah dieksekusi oleh server ditunjukan pada Gambar 6
Vers
Signature
Hasil transaksi
Gambar 6 Struktur pesan konfirmasi hasil transaksi
Notasi yang digunakan pada struktur pesan ditunjukan pada Tabel 1.
IJCCS
ISSN: 1978-1520
7
Tabel 1 Notasi Struktur Pesan
Notasi
Makna
Vers
Pola string spesifik yang digunakan untuk menandakan struktur pesan yang
dikirim
Signature
Tanda tangan digital untuk keamanan pesan
ECDHklien
Kunci publik ECDH yang dikirim oleh mobile phone
Data transaksi
Untaian string data transaksi
ECDHserver
Kunci publik ECDH yang dikirim oleh server
Konfirmasi transaksi
Pesan konfirmasi persetujuan transaksi
Ciphertext PIN
Hasil output dari proses enkripsi PIN
Hasil transaksi
Hasil dari proses transaksi yang dikirim oleh server.
2.2.3 Perancangan Database
Sesuai dengan analisis data protokol membutuhkan tiga buah tabel yaitu tabel akun
rekening tabungan, tabel akun SMS Banking dan table transaksi. Gambar 7 menunjukan
Diagram Relasional potokol.
Gambar 7 Diagram Relasional database
2.3 Implementasi Protokol
Implementasi protokol dilakukan pada dua komponen yaitu mobile-phone dan
server. Pada mobile-phone implementasi dilakukan menggunakan bahasa pemrograman
Android, sedangkan implementasi pada sisi server menggunakan SMSLib untuk layanan
smsgateway dan JAVA untuk implementasi tahapan protokol. Proses kriptografi memakai tools
library bouncy castle dan kriptografi berbasis JAVA. Implementasi pada sisi mobile-phone
mengikuti diagram aktivitas Gambar 8. Gambar 8(a) menunjukkan aktivitas mobile-phone
mengirimkan pesan permintaan transaksi. Gambar 8(b) menunjukan aktivitas mobile-phone
yang menangani pesan konfirmasi transaksi dan pesan hasil transaksi yang dikirim server.
Sedangkan implementasi sisi server mengikuti diagram aktivitas Gambar 9.
Implementasi database dilakukan menggunakan MYSQL dengan membuat tiga buah
tabel yang sesuai dengan Gambar 7.
Title of manuscript is short and clear, implies research results (First Author)
8
Gambar 9: Diagram aktivitas sisi mobile-phone
Gambar 8 Diagram aktivitas sisi server
3. HASIL DAN PEMBAHASAN
Dilakukan dua jenis pengujian terhadap protokol SMS Banking yang dibangun,
pengujian fungsionalitas protokol SMS Banking dan pengujian keamanan protokol SMS
Banking. Pengujian fungsionalitas dilakukan dengan menjalankan beberapa test case. Dari hasil
pengujian fungsionalitas diketahui bahwa server sudah dapat memproses pesan permintaan
transaksi/pesan persetujuan transaksi yang memiliki versi pesan yang sesuai dengan protokol
IJCCS
ISSN: 1978-1520
9
dan menghapus pesan yang tidak sesuai dengan protokol. Pada sisi mobile-phone, mobilephone menerima dan memproses pesan konfirmasi transaksi/pesan konfirmasi hasil transaksi
dari server yang memiliki versi pesan yang sesuai dengan protokol, sedangkan pesan dengan
versi yang tidak sesuai dengan protokol diterima namun tidak diproses. Protokol juga dapat
merespon dengan baik jika terdapat kesalahan pemasukan nilai pada data transaksi, misalnya
jika nasabah memasukkan alphabet pada nilai yang seharusnya bertipe numerik maka server
akan memberikan peberitahuan bahwa format pesan yang dikirim salah. Pada bagian proses
transaksi, protokol dapat mengeksekusi transaksi jika PIN benar dan memberikan
pemberitahuan kepada nasabah jika PIN yang dikirimkan salah. Dari hasil pengujian
fungsionalitas diketahui protokol sudah berjalan dengan baik sesuai dengan fungsinya.
Jumlah segmen pesan yang dibutuhkan untuk permintaan transaksi sebanyak dua
segmen sedangkan untuk proses transaksi dibutuhkan satu segmen pesan, untuk bagian
permintaan transaksi membutuhkan segmen yang lebih banyak karena dibutuhkan karakter yang
lebih banyak untuk nilai kunci publik ECDH
Pengujian keamanan dilakukan dengan melakukan penyerangan dengan seranganserangan yang ditentukan pada pohon serangan[6] Gambar 10. Penyerangan dilakukan dengan
tujuan untuk mengetahui kode PIN SMS Banking yang ada pada pesan persetujuan transaksi.
Dari pohon serangan diketahui bahwa semua serangan yang dilakukan tidak mungkin untuk
mengetahui kode PIN nasabah.
Gambar 10: Pohon serangan protokol
dari proses mitigasi serangan dapat diketahui bahwa protokol sudah memenuhi beberapa
layanan keamanan yaitu :
1. Otentikasi(Authentication)
Otentikasi menjamin komunikasi SMS antara klien dan server otentik. Fungsi dari
otentifikasi adalah menjamin penerima SMS memang benar menerima pesan dari
sumber yang dinyatakan. Mekanisme kemanan tanda tangan digital yang diterapkan
telah memberikan layanan otentikasi terhadap mobile-phone dan server sehingga pihak
luar protokol tidak dapat mengintervensi layanan transaksi yang diberikan, selain itu
penggunaan PIN SMS Banking memberikan otentifikasi terhadap klien/nasabah karena
hanya klien/nasabah yang mengetahuinya.
2. Kontrol Akses(Access Control)
Pihak mobile-phone dan server dapat diidentifikasi melalui tanda tangan digital, tanda
tangan digital dapat diverifikasi sehingga dapat diketahui apakah tanda tangan valid
Title of manuscript is short and clear, implies research results (First Author)
10
3.
4.
5.
6.
atau tidak. Jika tanda tangan tidak valid dapat dipastikan berasal dari pihak luar yang
tidal berhak mengakses protkol.
Kerahasiaan Data(Data Confidentiality)
Data yang sangat penting dan rahasia adalah PIN SMS Banking. Enkripsi PIN sudah
menggunakan algoritma enkripsi yang kuat dengan kunci rahasia yang merupakan onetime password sehingga sudah memberikan kerahasiaan yang kuat.
Integritas data(Data Integrity)
Pada protokol yang dibangun pesan permintaan transaksi harus terjaga dari pengubahan
atau modifikasi. Mekanisme tanda tangan digital mengimplementasikan fungsi hash
yang menghasilkan digest pesan, pengecekan nilai digest dilakukan pada saat verivikasi
tanda tangan digital, jika pesan dirubah maka akan menghasilkan nilai digest yang
berbeda sehingga tanda tangan menjadi tidak valid.
Nirpenyangkalan(Non-repudiation)
Protokol yang dibangun menggunakan PIN SMS Banking untuk mengeksekusi
transaksi, PIN hanya diketahui oleh nasabah sehingga nasabah tidak bisa menyangkal
dalam melakukan transaksi.
Ketersediaan Layanan(Availability Service)
Ketersediaan layanan SMS Banking dapat diganggu dengan serangan denial-ofservice(DoS). Serangan DoS biasanya ditujukan pada sisi server sehingga akan
mengghambat dalam pelayanan SMS Banking. Serangan DoS dapat dimitagasi dengan
memanfaat struktur pesan dan tanda tangan digital. Pesan dengan versi yang tidak
sesuai dan pesan yang tidak valid akan dihapus oleh server.
4. KESIMPULAN
1. Protokol keamanan SMS Banking yang dibangun sudah dapat melakukan
fungsionalitasnya dengan baik. Protokol terdiri dari dua bagian yaitu permintaan
transaksi dan proses transaksi. Keamanan protokol SMS Banking dapat dicapai dengan
menerapkan mekanisme keamanan informasi, mekanisme keamanan informasi yang
digunakan pada protokol yang dibangun sudah dapat melindungi kerahasiaan PIN
nasabah.
2. Implementasi mekanisme keamanan melalui kriptografi ECC dan 3DES. dapat
dilakukan menggunakan tools bouncycastle dan berbasis JAVA.
3. Melalui proses pengujian keamanan protokol, protokol SMS Bangking yang dibangun
sudah memenuhi standar keamanan data X.800.
5. SARAN
Pesan permintaan transaksi yang dikirimkan sebaiknya dilengkapi dengan mekanisme
kompresi sehingga dapat mengurangi penggunaan segmen pesan.
UCAPAN TERIMA KASIH
Penulis mengucapkan terima kasih kepada bapak Dr.Ahmad Ashari, M.Kom selaku
pembimbing yang sudah meluangkan waktu memberikan masukan-masukan yang sangat
membantu.
DAFTAR PUSTAKA
[1] Nugraha, F., 2012, Jumlah Pelanggan Seluler di Indonesia Hampir Mendekati Jumlah
Penduduk Indonesia, http://tinyurl.com/btbxh2y, 18 Januari 2012, diakses 18 Maret 2013.
IJCCS
ISSN: 1978-1520
11
[2] Mahayan, D., 2012, Problem Sms Bangking Dan Mobile Banking Di Indonesia,
http://tinyurl.com/ctb4sor, 1 April 2012, diakses 18 Maret 2013.
[3] Stallings, W., 2011, Cryptography And Network Security Principles And Practice Fifth
Edition, Prentice Hall, New York.
[4] Barker, W.C, Barker, E., 2012, Recommendation for the Triple Data Encryption Algorithm
(TDEA) Block Cipher , National Institute of Standard and Technology, New York.
[5] Ratshinanga, H, Lo, J., and Bishop, J, 2004, A Security Mechanism for Secure SMS
Communication, Computer Science Department, University of Pretoria, South Africa.
[6] Schneier, B., 1999, Attack Trees: Modelling security threats, Dr. Dobb’s Journal
http://www.schneier.com/paper-attacktrees-ddj-ft.html, diakses tgl 17 April 2014.
Title of manuscript is short and clear, implies research results (First Author)
NASKAH PUBLIKASI
I MADE SUNIA RAHARJA
11/323114/PPA/03616
PROGRAM STUDI S2 ILMU KOMPUTER
JURUSAN ILMU KOMPUTER DAN ELEKTRONIKA
FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM
UNIVERSITAS GADJAH MADA
YOGYAKARTA
2014
NASKAH PUBLIKASI
Untuk Berkala Penelitian Pascasarjana ini
Telah Disetujui oleh Tim Pembimbing
Pembimbing Utama
Dr.Ahmad Ashari, M.Kom.
NIP. 19630502 1990 03 1 005
Tanggal, 2 Juni 2014
PERNYATAAN
Dengan ini kami selaku pembimbing tesis mahasiswa Program Pascasarjana :
Nama
: I Made Sunia Raharja
NIM
: 11/323114/PPA/03616
Program Studi
: Ilmu Komputer
Setuju / tidak setuju *) naskah ringkasan penelitian (calon naskah berkala
penelitian Program Pascasarjana yang disusun oleh yang bersangkutan
dipublikasikan dengan / tanpa *) mencantumkan nama tim pembimbing sebagai
co-author.
Kemudian harap maklum.
Yogyakarta 2 Juni 2014
Nama
Dr. Ahmad Ashari, M.Kom
NIP. 19630502 1990 03 1 005
Status Pembimbing
Pembimbing Utama
* Coret yang tidak perlu
iii
Tanda Tangan
ISSN: 1978-1520
1
Rancang Bangun Protokol Keamanan SMS Banking
I Made Sunia Raharja1, Dr.Ahmad Ashari, M.Kom.2
Prodi S2/S3 Ilmu Komputer, FMIPA UGM, Yogyakarta
2
Jurusan Ilmu Komputer dan Elektronika, FMIPA UGM, Yogyakarta
e-mail: [email protected], [email protected]
1
Abstrak
Penggunaan teknologi smartphone(telepon pintar) yang sangat berkembang membuat
layanan mobile(mobile service) semakin banyak digunakan oleh masyarakat. Layanan SMS
Banking adalah layanan yang sering digunakan oleh masyarakat. Masalah keamanan sering
diabaikan penyedia layanan SMS Banking. Penggunaan teknologi SMS standar pada layanan
SMS Banking diketahui sangat rentan terhadap penyadapan, untuk itu diperlukan suatu
protokol SMS Banking yang memberikan layanan keamanan informasi pada pesan transaksi.
Keamanan informasi dapat dicapai melalui penggunaan beberapa mekanisme keamanan yaitu
encipherment, digital signature, data integrity dan key exchange. Mekanisme keamanan ini
dapat diterapkan melalui penggunaan kriptografi. Sistem kriptografi secara umum ada dua
yaitu kriptografi simetri dan asimetri.
Protokol keamanan SMS Banking pada penelitian ini terdiri dari dua tahap, dimana
protokol tahap pertama adalah pengiriman permintaan transaksi dan tahap yang kedua adalah
proses transaksi. Mekanisme keamanan encipherment dilakukan menggunakan kriptografi
simetri 3DES. Mekanisme digital signature dan data integrity dilakukan menggunakan
kriptografi asimetri ECDSA, sedangkan mekanisme key exchange menggunakan ECDH. Hasil
pengujian menunjukkan protokol yang dibangun dapat digunakan untuk proses transaksi
melalui SMS Banking dan memberikan perlindungan kerahasian PIN nasabah, secara
keseluruhan protokol sudah dapat memberikan layanan keamanan X.800.
Kata kunci— Protokol, Keamanan jaringan, SMS Banking, ECC, 3DES
Abstract
Rapidly growing use of the smartphone has lead to the large amount of mobile service
utilization by the society. SMS Banking is one of the frequently used service. However, security
issue is often ignored by the provider of SMS Banking services. The standard SMS technology
usually applied in common SMS Banking service is wellknown to be very vulnerable to tapping.
Therefore, an SMS Banking protocol, providing information security service in transactional
message is urgently in need. Information security can be achieved through several security
mechanism i.e. enchipherment, digital signature, data integrity and key exchange. These
mechanisms are applicable through implementation of cryptography. There are two type of
cryptography, symmetric cryptography and asymmetric cryptography.
SMS Banking security protocol in this research runs through two step. The first step is
transmission of transaction request and the second step is transaction process. Encipherment is
conducted using 3DES symmetric cryptography. Digital signature and data integrity are
conducted using ECDSA asymmetric cryptography. Mean while, the key exchange is conducted
using ECDH. Test result showed that the implementation of the protocol can conduct SMS
Banking service and provide protection over costumer’s PIN. In general, this protocol have
fulfill the X.800 security services.
Keywords— Protocol, Network security, SMS Banking, ECC, 3DES
Received June 1stRevised June 25th, 2012; Accepted July 10th, 2012
2
1. PENDAHULUAN
enggunaan telepon seluler diketahui sudah hampir menyamai jumlah penduduk indonesia.
Data dari Asosiasi Telekomunikasi Seluler Indonesia (ATSI) menunjukkan bahwa jumlah
pelanggan seluler di Indonesia per tahun 2011 telah mencapai lebih dari 240 juta pelanggan,
jumlah ini hampir menyamai jumlah penduduk Indonesia yang berjumlah 258 juta penduduk
pada Desember 2010[1]. Penggunaan telepon seluler yang populer ini juga berpengaruh
terhadap peningkatkan penggunaan fasilitas yang ada pada telepon seluler. SMS adalah salah
satu fasilitas yang banyak digunakan karena praktis dan tidak membutuhkan biaya internet
tambahan. Fasilitas SMS yang berkembang membuat penggunaanya tidak hanya untuk personal
namun juga untuk komersial, salah satunya adalah penggunaan SMS untuk transaksi keuangan
yaitu SMS Banking. SMS Banking adalah layanan yang ditujukan untuk memudahkan pemilik
rekening di suatu bank untuk mendapatkan informasi atau melakukan transaksi keuangan.
Menurut survey yang dilakukan pada akhir 2011 diketahui bahwa masyarakat semakin banyak
tahu SMS Banking dan membutuhkan penggunaan SMS Banking, bahkan 57% layanan yang
diakses pada telepon seluler adalah SMS Banking[2].
Meskipun memberikan kemudahan, namun teknologi protokol yang digunakan oleh
penyedia layanan SMS Banking masih belum aman. Keamanan informasi transaksi menjadi
permasalahan yang mengkhawatirkan bagi pihak bank, melihat banyaknya pemilik rekening
menggunakan layanan ini[2]. Hampir semua protokol SMS Banking yang ada hanya
memanfaatkan teknologi GSM yang masih standar dan rentan terhadap serangan. Kerentanan
terhadap serangan terjadi pada transmisi SMS pada jaringan GSM standar yang tidak memilik
keamanan yang baik. Pengiriman informasi rahasia(misalnya PIN) ke BTS diketahui masih
menggunakan algoritma enkripsi A5 yang sudah diketahui bukan merupakan enkripsi yang
aman. Salah satu serangan yang dapat terjadi adalah penyadapan SMS, penyadapan SMS sangat
mudah dilakukan jika penyerang memiliki akses ke BTS atau bagian dari jaringan GSM
tertentu. Selain itu pesan yang menunggu untuk dikirim ke server bank tersimpan dalam bentuk
plainteks sehingga orang yang memiliki akses ke provider dapat dengan mudah melihat PIN
pemilik rekening. Sehingga diperlukan keamanan informasi tambahan untuk mengatasi
kerentanan pada SMS.
Keamanan informasi dapat dicapai dengan menerapkan mekanisme keamanan.
Mekanisme keamanan berkaitan dengan penggunaan algoritma-algoritma enkripsi. Secara
umum enkripsi dikelompokan menjadi dua yaitu enkripsi simetri(Symmetric Encryption) dan
enkripsi asimetri(Asymmetric Encryption). Enkripsi simetri digunakan untuk merahasiakan isi
dari suatu blok data dengan ukuran tertentu seperti misalnya sebuah pesan, file, kunci enkripsi,
dan password. Sedangkan enkripsi asimetri lebih banyak digunakan untuk manajemen kunci
yang digunakan pada enkripsi simetri dan tanda tangan digital[3]. Salah satu algoritma enkripsi
simetri adalah 3DES, 3DES merupakan algoritma yang sudah direkomendasikan menjadi
standar keamanan data[4]. Sedangkan salah satu contoh algoritma asimetri yang dapat
digunakan adalah algoritma ECC, Elivtic Curve Cryptography(ECC) memiliki keunggulan
dalam memberikan tingkat keamanan yang sama dengan algoritma asimetri lain(RSA) namun
dengan ukuran kunci yang lebih kecil[3].
P
2. METODE PENELITIAN
Metode penelitian dilakukan dengan melaksanakan beberapa tahapan yaitu :
2.1 Analisis Data
Agar dapat menunjukkan protokol yang dibuat sudah memberikan layanan keamanan
SMS Banking dilakukan simulasi yang melibatkan komponen mobile-phone dan server bank.
IJCCS
ISSN: 1978-1520
3
Layanan keamanan yang diberikan sesuai dengan standar X.800[stalling] yaitu
confidentiality(kerahasiaan),
integrity(integritas),
authentication(otentifikasi),
nonrepudiation(nir-penyangkalan) and availability service(ketersediaan layanan). Untuk
memberikan layanan keamanan ini perlu dilakukan mekanisme keamanan yaitu
encipherment(enkripsi), digital signature(tanda tangan digital), data integrity(intergitas data)
dan key exchange(pertukaran kunci). Digital signature dan data integrity dapat dilakukan
dengan menggunakan algoritma ECDSA, encipherment dapat dilakukan dengan menggunakan
enkripsi simetri algoritma 3DES. Mekanisme key exchange dapat dilakukan dengan algoritma
ECDH.
Untuk melakukan mekanisme keamanan sisi mobile-phone dan server harus memiliki
fungsi untuk melakukan tanda tangan digital untuk pesan transaksi yang dikirimkan dan
pemerikasaan tanda tangan digital, melakukan proses pertukaran kunci(key exchange) untuk
kunci rahasia. Kunci rahasia ini akan digunakan untuk enkripsi pada mobile-phone dan dekripsi
pada server.
Untuk melakukan transaksi SMS Banking dengan aman nasabah memerlukan kode PIN
yang hanya diketahui oleh nasabah, protokol yang dibangun membutuhkan tabel akun SMS
Banking yang berisi kode PIN nasabah, tabel akun rekening tabungan nasabah dan tabel
transaksi.
2.2 Perancangan Protokol
Rancangan protokol ditunjukkan pada Gambar 1. Rancangan protokol terdiri dari tiga
layer yaitu Banking aplication layer, Secure SMS protocol layer dan Short Message Transport
Protocol. Yang menjadi fokus dalam penelitian ini adalah Banking Aplication layer dan Secure
SMS protocol layer.
Gambar 1 Rancangan protokol
Pada Gambar 1 inisiasi protokol selalu dimulai pada sisi mobile-phone dan direspon
oleh server. Secure SMS protocol adalah layer yang menerapkan mekanisme keamanan yang
sudah ditentukan. Sedangkan Banking Aplication layer adalah layer yang bertugas mengolah
data transaksi agar dapat digunakan untuk layer Secure SMS protocol. Layer message transport
protocol pada penelitian ini menggunakan protokol yang bertugas untuk menerima dan
mengirim SMS standar.
2.2.1 Secure SMS Protocol layer
Protokol yang akan dibuat terdiri dari dua bagian yaitu bagian permintaan
transaksi(request transaction) dan bagian proses transaksi(process transaction). Berikut ini
adalah notasi yang digunakan untuk menjelaskan rancangan protokol, format notasi yang
digunakan berdasarkan format notasi dari Ratshinanga[5]:
S
: Menandakan server;
C
: Menandakan klien;
PIN
: Kode PIN nasabah;
Req
: Data permintaan transaksi;
Konf : Pesan balasan konfirmasi dari server;
SSpriv : Tanda tangan menggunakan kunci privat ECDSA server;
SCpriv : Tanda tangan menggunakan kunci privat ECDSA klien;
Title of manuscript is short and clear, implies research results (First Author)
4
SECDH
CECDH
EKs
Hasil
Digest
||
C→S
[…]
: Nilai ECDH server;
: Nilai ECDH klien;
: Enkripsi dengan kunci rahasia;
: Hasil transaksi
: Kode digest pesan yang dienkripsi;
: penyambungan;
: C mengirim SMS ke S
: Simbol bentuk SMS.
Protokol P terdiri dari dua bagian yaitu permintaan transaksi(RT) dan proses
transaksi(PT) pada persamaan (1) :
P = RT + PT
(1)
RT adalah pengiriman permintaan transaksi. PT adalah pengiriman proses transaksi
yang dienkripsi menggunakan kunci rahasia dari server.
Dimana RT dijelaskan tahapanya lebih lanjut menjadi :
M1 : C→S: [SCpriv(CECDH || Req)] : Pesan permintaan transaksi
M2 : S→C: [SSpriv(SECDH || Konf)] : Pesan konfirmasi transaksi
dan tahapan untuk PT adalah :
M3 : C→S: [SCpriv(EKs(PIN))] : Pesan persetujuan transaksi
M4 : S→C: [SSpriv(Hasil)] : Pesan hasil transaksi
Dua bagian protokol harus dijalankan secara bertahap, bagian kedua tidak dapat
dijalankan jika tidak menjalankan bagian pertama, tahapan-tahapan untuk setiap pengiriman
pesan transaksi lebih detail adalah sebagai berikut:
M1: C menyusun pesan permintaan transaksi yang terdiri dari kunci publik
ECDH(CECDH) dan data permintaan transaksi(Req). Pesan ini kemudian
ditandatangani menggunakan kunci privat milik mobile-phone(SCpriv(CECDH || Req)).
Pesan yang sudah ditandatangani dikirim ke bank-server(C→S: [SCpriv(CECDH ||
Req)]).
M2: S menerima pesan M1 kemudian memeriksa tanda tangan digital menggunakan
kunci publik mobile-phone yang tersimpan pada bank-server. Jika tidak valid pesan
permintaan akan langsung dihapus, sedangkan jika valid pesan permintaan akan
diproses. Pesan permintaan diproses agar dapat digunakan untuk bagian protokol
berikutnya, bank-server menghasilkan kunci rahasia(Ks) menggunakan CECDH dari
M1 dan nilai privat ECDH yang dimiliki oleh bank-server, kunci rahasia ini akan
digunakan untuk bagian protokol berikutnya. Pesan permintaan transaksi akan dibalas
dengan pesan konfirmasi transaksi untuk meminta persetujuan proses transaksi kepada
nasabah. Bersama dengan nilai SECDH konfirmasi transaksi ditandatangani
menggunakan Sspriv(SSpriv(SECDH || Konf)) kemudian dikirimkan ke klien(S→C:
[SSpriv(SECDH || Konf)]).
M3: C menerima pesan M2 dan memeriksa tanda tangan pesan menggunakan kunci
publik bank-server yang tersimpan pada mobile-phone. Jika tanda tangan tidak valid
pesan tidak dapat digunakan untuk melakukan persetujuan transaksi, sedangkan jika
valid pesan akan diproses dengan cara mobile-phone mengambil nilai SECDH
kemudian bersama dengan nilai privat ECDH yang dimiliki oleh mobile-phone
dihasilkan kunci rahasia(Ks) yang akan digunakan untuk enkripsi(EKs) pesan
persetujuan transaksi. Pesan konfirmasi transaksi disetujui oleh klien dengan
mengirimkan pesan persetujuan transaksi yang berisi kode PIN yang dienkripsi
menggunakan kunci rahasia(Eks(PIN)). Pesan persetujuan transaksi yang sudah
dienkripsi ditandatangani lagi oleh mobile-phone dan dikirimkan ke bank-server(C→S:
[SCpriv(Eks(PIN))]).
M4: S menerima pesan persetujuan transaksi M3 dan memeriksa tanda tangan digital
menggunakan kunci publik mobile-phone, jika tidak valid maka pesan akan dihapus
sedangkan jika valid pesan persetujuan transaksi didekripsi menggunakan kunci
IJCCS
ISSN: 1978-1520
5
rahasia(Ks) yang dihasilkan pada saat M2. Pesan yang sudah didekripsi digunakan
untuk memproses transaksi. Hasil dari proses transaksi akan ditandatangani oleh bankserver(SSpriv(Hasil)) dan dikirimkan ke mobile-phone sebagai pesan hasil
transaksi(S→C: [SSpriv(Hasil)]).
Tahapan-tahapan protokol pada masing-masing komponen protokol :
Tahapan protokol permintaan transaksi :
Pada sisi mobile-phone :
1. Membuat pasangan kunci ECDHkeyKlien=ECDHprivKlien + ECDHpubKlien
2. Membuat pesan reqTrans yang terdiri dari ECDHpubKlien dan data transaksi
3. Membuat signature melalui tanda tangan data reqTrans
4. Membuat pesan permintaan transaksi yang terdiri dari signature dan reqTrans
5. Mengirim pesan permintaan transaksi melalui SMS
Pada sisi server :
6. Mengambil signature dan reqTrans dari pesan permintaan transaksi
7. Memeriksa dan validasi signature
8. Hapus pesan jika tanda tangan tidak valid
9. Jika valid ambil ECDHpubKlien dan data transaksi
10. Membuat pesanKon1 transaksi berdasarkan data transaksi
11. Membuat pasangan kunci ECDHkeyServer=ECDHprivServer+ECDHpubServer
12. Membuat secretKey menggunakan ECDHprivServer dan ECDHpubKlien
13. Membuat pesanKon2 yang terdiri dari ECDHpubServer dan pesanKon1
14. Membuat signature melalui tanda tangan data pesanKon2
15. Membuat pesan konfirmasi transaksi yang terdiri dari signature dan pesanKon2
16. Mengirim pesan konfirmasi transaksi
Pada sisi mobile-phone :
17. Mengambil signature dan pesanKon2 dari pesan konfirmasi transaksi
18. Memeriksa dan validasi signature
19. Jika tidak valid tidak bis dibaca
20. Jika valid baca pesanKon2
21. Membuat secretKey menggunakan ECDHpubKlien dan ECDHpubServer
Tahapan protokol proses transaksi :
Pada sisi mobile-phone :
1. Enkripsi PIN dengan secretKey menghasilkan ciphertext
2. Menghapus kunci rahasia
3. Membuat signature melalui tanda tangan data ciphertext
4. Membuat pesan persetujuan transaksi yang terdiri dari signature dan ciphertext
5. Mengirim pesan persetujuan transaksi
Pada sisi server :
6. Mengambil signature dan ciphertext
7. Memeriksa dan validasi signature
8. Jika tidak valid hapus pesan persetujuan transaksi
9. Jika valid dekripsi ciphertext dengan secretKey
10. Jika tidak berhasil didekripsi hapus pesan persetujuan transaksi
11. Jika berhasil didekripsi, eksekusi transaksi menggunakan PIN
12. Membuat signature melalui tanda tangan data hasil transaksi
13. Membuat pesan konfirmasi hasil transaksi yang terdiri dari signature dan hasil transaksi
14. Mengirim pesan konfirmasi hasil transaksi
15. Menghapus secretKey
Pada sisi mobile-phone :
16. Mengambil signature dan hasil transaksi
17. Memeriksa dan validasi signature
18. Jika tidak valid, pesan tidak bisa dibaca
Title of manuscript is short and clear, implies research results (First Author)
6
19. Jika valid, baca hasil transaksi
2.2.2 Banking aplication layer
Layer ini ada di kedua sisi yaitu mobile-phone dan server. Layer ini akan memproses
data transaksi membentuk pesan SMS yang digunakan pada Secure SMS protocol layer. Layer
ini juga mendefinisikan proses-proses pendukung mekanisme keamanan pada Secure SMS
protocol layer. Gambar 2 menunjukkan use-case Banking aplication layer.
Gambar 2 Use-case banking aplication layer
Protokol yang dibangun membutuhkan empat jenis SMS, dua SMS dikirim dari mobilephone dan dua SMS dikirim dari server. Keempat pesan memiliki struktur pesan yang berbeda
yaitu :
Pesan permintaan transaksi
Pesan yang berisi data permintaan transaksi yang dikirim oleh mobile-phone ditunjukan
pada Gambar 3
Vers
ECDHKlien
Signature
Data transaksi
Gambar 3 Struktur pesan permintaan transaksi
Pesan konfirmasi transaksi
Pesan yang berisi informasi transaksi yang akan diproses yang dikirimkan oleh server
ditunjukan pada Gambar 4.
Vers
ECDHserver
Signature
Konfirmasi transaksi
Gambar 4 Struktur pesan konfirmasi transaksi
Pesan persetujuan transaksi
Pesan persetujuan eksekusi transaksi yang berisi PIN nasabah yang dienkripsi yang
dikirim oleh mobile-phone ditunjukkan pada Gambar 5
Vers
Signature
Ciphertext PIN
Gambar 5 Struktur pesan persetujuan transaksi
Pesan konfirmasi hasil transaksi
Pesan hasil transaksi yang telah dieksekusi oleh server ditunjukan pada Gambar 6
Vers
Signature
Hasil transaksi
Gambar 6 Struktur pesan konfirmasi hasil transaksi
Notasi yang digunakan pada struktur pesan ditunjukan pada Tabel 1.
IJCCS
ISSN: 1978-1520
7
Tabel 1 Notasi Struktur Pesan
Notasi
Makna
Vers
Pola string spesifik yang digunakan untuk menandakan struktur pesan yang
dikirim
Signature
Tanda tangan digital untuk keamanan pesan
ECDHklien
Kunci publik ECDH yang dikirim oleh mobile phone
Data transaksi
Untaian string data transaksi
ECDHserver
Kunci publik ECDH yang dikirim oleh server
Konfirmasi transaksi
Pesan konfirmasi persetujuan transaksi
Ciphertext PIN
Hasil output dari proses enkripsi PIN
Hasil transaksi
Hasil dari proses transaksi yang dikirim oleh server.
2.2.3 Perancangan Database
Sesuai dengan analisis data protokol membutuhkan tiga buah tabel yaitu tabel akun
rekening tabungan, tabel akun SMS Banking dan table transaksi. Gambar 7 menunjukan
Diagram Relasional potokol.
Gambar 7 Diagram Relasional database
2.3 Implementasi Protokol
Implementasi protokol dilakukan pada dua komponen yaitu mobile-phone dan
server. Pada mobile-phone implementasi dilakukan menggunakan bahasa pemrograman
Android, sedangkan implementasi pada sisi server menggunakan SMSLib untuk layanan
smsgateway dan JAVA untuk implementasi tahapan protokol. Proses kriptografi memakai tools
library bouncy castle dan kriptografi berbasis JAVA. Implementasi pada sisi mobile-phone
mengikuti diagram aktivitas Gambar 8. Gambar 8(a) menunjukkan aktivitas mobile-phone
mengirimkan pesan permintaan transaksi. Gambar 8(b) menunjukan aktivitas mobile-phone
yang menangani pesan konfirmasi transaksi dan pesan hasil transaksi yang dikirim server.
Sedangkan implementasi sisi server mengikuti diagram aktivitas Gambar 9.
Implementasi database dilakukan menggunakan MYSQL dengan membuat tiga buah
tabel yang sesuai dengan Gambar 7.
Title of manuscript is short and clear, implies research results (First Author)
8
Gambar 9: Diagram aktivitas sisi mobile-phone
Gambar 8 Diagram aktivitas sisi server
3. HASIL DAN PEMBAHASAN
Dilakukan dua jenis pengujian terhadap protokol SMS Banking yang dibangun,
pengujian fungsionalitas protokol SMS Banking dan pengujian keamanan protokol SMS
Banking. Pengujian fungsionalitas dilakukan dengan menjalankan beberapa test case. Dari hasil
pengujian fungsionalitas diketahui bahwa server sudah dapat memproses pesan permintaan
transaksi/pesan persetujuan transaksi yang memiliki versi pesan yang sesuai dengan protokol
IJCCS
ISSN: 1978-1520
9
dan menghapus pesan yang tidak sesuai dengan protokol. Pada sisi mobile-phone, mobilephone menerima dan memproses pesan konfirmasi transaksi/pesan konfirmasi hasil transaksi
dari server yang memiliki versi pesan yang sesuai dengan protokol, sedangkan pesan dengan
versi yang tidak sesuai dengan protokol diterima namun tidak diproses. Protokol juga dapat
merespon dengan baik jika terdapat kesalahan pemasukan nilai pada data transaksi, misalnya
jika nasabah memasukkan alphabet pada nilai yang seharusnya bertipe numerik maka server
akan memberikan peberitahuan bahwa format pesan yang dikirim salah. Pada bagian proses
transaksi, protokol dapat mengeksekusi transaksi jika PIN benar dan memberikan
pemberitahuan kepada nasabah jika PIN yang dikirimkan salah. Dari hasil pengujian
fungsionalitas diketahui protokol sudah berjalan dengan baik sesuai dengan fungsinya.
Jumlah segmen pesan yang dibutuhkan untuk permintaan transaksi sebanyak dua
segmen sedangkan untuk proses transaksi dibutuhkan satu segmen pesan, untuk bagian
permintaan transaksi membutuhkan segmen yang lebih banyak karena dibutuhkan karakter yang
lebih banyak untuk nilai kunci publik ECDH
Pengujian keamanan dilakukan dengan melakukan penyerangan dengan seranganserangan yang ditentukan pada pohon serangan[6] Gambar 10. Penyerangan dilakukan dengan
tujuan untuk mengetahui kode PIN SMS Banking yang ada pada pesan persetujuan transaksi.
Dari pohon serangan diketahui bahwa semua serangan yang dilakukan tidak mungkin untuk
mengetahui kode PIN nasabah.
Gambar 10: Pohon serangan protokol
dari proses mitigasi serangan dapat diketahui bahwa protokol sudah memenuhi beberapa
layanan keamanan yaitu :
1. Otentikasi(Authentication)
Otentikasi menjamin komunikasi SMS antara klien dan server otentik. Fungsi dari
otentifikasi adalah menjamin penerima SMS memang benar menerima pesan dari
sumber yang dinyatakan. Mekanisme kemanan tanda tangan digital yang diterapkan
telah memberikan layanan otentikasi terhadap mobile-phone dan server sehingga pihak
luar protokol tidak dapat mengintervensi layanan transaksi yang diberikan, selain itu
penggunaan PIN SMS Banking memberikan otentifikasi terhadap klien/nasabah karena
hanya klien/nasabah yang mengetahuinya.
2. Kontrol Akses(Access Control)
Pihak mobile-phone dan server dapat diidentifikasi melalui tanda tangan digital, tanda
tangan digital dapat diverifikasi sehingga dapat diketahui apakah tanda tangan valid
Title of manuscript is short and clear, implies research results (First Author)
10
3.
4.
5.
6.
atau tidak. Jika tanda tangan tidak valid dapat dipastikan berasal dari pihak luar yang
tidal berhak mengakses protkol.
Kerahasiaan Data(Data Confidentiality)
Data yang sangat penting dan rahasia adalah PIN SMS Banking. Enkripsi PIN sudah
menggunakan algoritma enkripsi yang kuat dengan kunci rahasia yang merupakan onetime password sehingga sudah memberikan kerahasiaan yang kuat.
Integritas data(Data Integrity)
Pada protokol yang dibangun pesan permintaan transaksi harus terjaga dari pengubahan
atau modifikasi. Mekanisme tanda tangan digital mengimplementasikan fungsi hash
yang menghasilkan digest pesan, pengecekan nilai digest dilakukan pada saat verivikasi
tanda tangan digital, jika pesan dirubah maka akan menghasilkan nilai digest yang
berbeda sehingga tanda tangan menjadi tidak valid.
Nirpenyangkalan(Non-repudiation)
Protokol yang dibangun menggunakan PIN SMS Banking untuk mengeksekusi
transaksi, PIN hanya diketahui oleh nasabah sehingga nasabah tidak bisa menyangkal
dalam melakukan transaksi.
Ketersediaan Layanan(Availability Service)
Ketersediaan layanan SMS Banking dapat diganggu dengan serangan denial-ofservice(DoS). Serangan DoS biasanya ditujukan pada sisi server sehingga akan
mengghambat dalam pelayanan SMS Banking. Serangan DoS dapat dimitagasi dengan
memanfaat struktur pesan dan tanda tangan digital. Pesan dengan versi yang tidak
sesuai dan pesan yang tidak valid akan dihapus oleh server.
4. KESIMPULAN
1. Protokol keamanan SMS Banking yang dibangun sudah dapat melakukan
fungsionalitasnya dengan baik. Protokol terdiri dari dua bagian yaitu permintaan
transaksi dan proses transaksi. Keamanan protokol SMS Banking dapat dicapai dengan
menerapkan mekanisme keamanan informasi, mekanisme keamanan informasi yang
digunakan pada protokol yang dibangun sudah dapat melindungi kerahasiaan PIN
nasabah.
2. Implementasi mekanisme keamanan melalui kriptografi ECC dan 3DES. dapat
dilakukan menggunakan tools bouncycastle dan berbasis JAVA.
3. Melalui proses pengujian keamanan protokol, protokol SMS Bangking yang dibangun
sudah memenuhi standar keamanan data X.800.
5. SARAN
Pesan permintaan transaksi yang dikirimkan sebaiknya dilengkapi dengan mekanisme
kompresi sehingga dapat mengurangi penggunaan segmen pesan.
UCAPAN TERIMA KASIH
Penulis mengucapkan terima kasih kepada bapak Dr.Ahmad Ashari, M.Kom selaku
pembimbing yang sudah meluangkan waktu memberikan masukan-masukan yang sangat
membantu.
DAFTAR PUSTAKA
[1] Nugraha, F., 2012, Jumlah Pelanggan Seluler di Indonesia Hampir Mendekati Jumlah
Penduduk Indonesia, http://tinyurl.com/btbxh2y, 18 Januari 2012, diakses 18 Maret 2013.
IJCCS
ISSN: 1978-1520
11
[2] Mahayan, D., 2012, Problem Sms Bangking Dan Mobile Banking Di Indonesia,
http://tinyurl.com/ctb4sor, 1 April 2012, diakses 18 Maret 2013.
[3] Stallings, W., 2011, Cryptography And Network Security Principles And Practice Fifth
Edition, Prentice Hall, New York.
[4] Barker, W.C, Barker, E., 2012, Recommendation for the Triple Data Encryption Algorithm
(TDEA) Block Cipher , National Institute of Standard and Technology, New York.
[5] Ratshinanga, H, Lo, J., and Bishop, J, 2004, A Security Mechanism for Secure SMS
Communication, Computer Science Department, University of Pretoria, South Africa.
[6] Schneier, B., 1999, Attack Trees: Modelling security threats, Dr. Dobb’s Journal
http://www.schneier.com/paper-attacktrees-ddj-ft.html, diakses tgl 17 April 2014.
Title of manuscript is short and clear, implies research results (First Author)