Keamanan Transaksi Internet Banking

Transkripsi

1 Seminar Nasional Pengaplikasian Telematika (SINAPTIKA 2012) Keamanan Transaksi Internet Banking dengan Digital Signature Standard (DSS) Setiyo Budiyanto Jurusan Teknik Elektro, Fakultas Teknik, Universitas Mercu Buana JL. Raya Meruya Selatan, Kembangan, Jakarta, Telepon: (hunting), ext Fax: Abstract - A method of data security of banking transactions using the Digital Signature Standard (DSS) algorithm consists of the Digital Signature Algorithm (DSA) and Secure Hash Algorithm (SHA). Constituent phases of the method in question is: The process of data encryption with SHA transaction that generates a message digest, then the message digest is to be input to the authentication process with the provision ofdigital signatures using DSA. Customer transaction data is transmitted over the internet media is prone to attacks by intruders, to maintain the authenticity of the data when the data arrive at the receiver side (bank) carried out the verification process. If the received data passes the verification test data transactions will be executed, otherwise if not then the transaction data will be blocked. Test results show the DSS as a standard managed to maintain the security of transactions from the transaction data manipulation attacks factors. Keywords: Internet Banking Security, DSS, SHA, DSA I. PENDAHULUAN Internet banking merupakan salah satu layanan perbankan yang memudahkan akses informasi dan transaksi keuangan antara nasabah dengan pihak bank. Isu yang banyak menjadi perhatian dari layanan ini adalah keamanan yang masih sering diragukan, seiring dengan banyaknya penipuan dan kelihaian para intruder di jaringan internet. Sebuah metode keamanan yaitu tanda tangan digital dibangun dengan menggabungkan dua teknik enkripsi dan otentifikasi. Metode ini dengan berbagai kombinasi algoritmanya telah banyak digunakan untuk menjaga keamanan data yang mengalir di jaringan internet, baik itu untuk layanan keuangan atau data rahasia lainnya. Salah satu penelitian yang menjadi tinjauan pustaka utama dalam naskah ini adalah "Penerapan Tanda Tangan Digital Untuk Keamanan Transaksi SMS-Banking" yang disusun oleh Budiono [1]. Dalam penelitian tersebut digunakan algoritma otentifikasi DSA yang dikombinasikan dengan algoritma enkripsi RSA untuk menjaga keamanan transaksi SMS Banking. Platform aplikasi dibangun dengan teknologi J2ME. Hasil menunjukkan bahwa sistem berhasil menerapkan kombinasi kedua algoritma tersebut untuk menjaga transaksi sms banking yang disimulasikan. Naskah penelitian ini menerapakan kombinasi yang berbeda yaitu algoritma DSA sebagai algoritma otentifikasi dan SHA untuk enkripsinya. Kombinasi dua algoritma ini ditetapkan sebagai sebuah standar tanda tangan digital oleh National Institute of Standards and Technology (NIS.T). Standar ini diterapkan untuk menjaga keamanan layanan internet banking yang diujikan dengan website simulasi internet banking serta beberapa skenario pengujian. Sistem ini dibangun menggunakan PHP dan MySQL. Penelitian ini diharapkan bermanfaat sebagai literatur tambahan dalam penerapan algoritma keamanan data khususnya tanda tangan digital untuk kasus di dunia nyata. II. SECURE HASH ALGORITHM (SHA) SHA adalah fungsi hash satu arah yang dibuat oleh NIST [2]. NIST bersama dengan NSA mendesain SHA untuk digunakan sebagai komponen DSS. SHA didasarkan pada MD4 yang dibuat oleh Ronald L. Rivest dari MIT. Ketika pesan dengan sembarang panjang < 2 M bit dimasukkan, SHA menghasilkan 160 bit keluaran yang disebut sebagai message digest (MD). MD biasanya jauh lebih kecil dari pesan aslinya. Adapun langkah-langkah membuat MD dengan SHA akan dijelaskan sebagai berikut:" a) Message padding (penambahan bit-bit pengganjal) Pesan ditambah dengan sejumlah bit pengganjal sedemikian sehingga panjang pesan (dalam satuan bit) kongruen dengan 448 module 512. Pesan dengan panjang 448 bit pun ditambah dengan bitbit pengganjal. Jika panjang pesan 448 bit maka pesan tersebut ditambah dengan 512 bit menjadi 960 bit, Jadi panjang bit pengganjal adalah antara 1 sampai 512. Bit-bit pengganjal terdiri dari bit 1 diikuti sisanya 0 74

2 Seminar Nasional Pengaplikasian Telematika (SINAPTIKA 2012) b) c) d) Penambahan nilai panjang pesan semula Setelah pesan diberi bit-bit pengganjal maka akan ditambah lagi 64 bit yang menyatakan panjang pesan semula, setelah ditambah dengan 64 bit maka panjang pesan sekarang kelipatan 512. Contoh : = 1024 Inisialisasi penyangga (buffer) MD. SHA membutuhkan 5 buah penyangga (buffer) yang masing-masing panjangnya 32 bit. Total panjang penyangga adalah 5 x 32= 160 bit. Kelima penyangga ini menampung hasil antara dan hasil akhir, kelima penyangga tersebut diberi nama A, B, C, D, dan E. Setiap penyangga diinisialisasi dengan nilai-nilai (dalam notasi HEX) Pengolahan pesan dalam blok berukuran 512 bitseperti pada gambar 1. r. B, c D \ JMCDI~-fiA3COZ.T ZlJ A g C D r. *\ ABCDEf-jW^Qjir*J A b\ c\ pj 4 *C.t3CC t-f(,.iscde,r,.k,) ~) Gambar 2. Operasi dasar satu putaran SHA Pada proses b-1, c-1 dan d-1 terlebih dahulu melalui proses ft, adapun proses ft pada setiap putaran dijelaskan pada tabel 1. Tabel 1. Fungsi logikay? pada setiap putaran Putaran M. c.j) 0 19 (bnc)\j(~br\ d) b c d (bfic)\j(bnd)\i(cr\d) b c d Gambar 1. Pengelolaan blok 512 bit. Proses HsHAterdiri dari 80 putaran, dimana masingmasing putaran menggunakan bilangan penambah Ki yaitu : Putaran0</< 19 /0=5A Putaran 20 < t < 39 K,= 6ED9EBA1 Putaran 40 < t < 59 K,= 8F1BBCDC Putaran 60 < / < 79 K, = CA62C1D6 Adapun operasi dasar pada setiap putaran dijelaskan pada gambar 2. Nilai Wi sampai Wi6 berasal dari 16 word pada blok yang sedang diproses, sedangkan nilai Wt berikutnya didapat dari persamaan: Setelah melalui 4 proses maka akan diperoleh keluaran sebesar 160 bit HI. DIGITAL SIGNATURE ALGORITHM (DSA) DSA adalah algoritma kunci publik yang memiliki dua proses utama yaitu pembentukan tandatangan dan memeriksa keabsahan tandatangan [2]. DSA merupakan algoritma tanda tangan Schnorr dan EIGamal. Algoritma ini memiliki parameter-parameter sebagai berikut: P = bilangan primasepanjang L bit Lbemilai antara 512 sampai 1024 dan merupakan kelipatan dari 64 q = faktor prima dari p-1 sepanjang 160 bit. 75

3 Seminar Nasional Pengaplikasian Telematika (SINAPTIKA ' g h qm p, hmerupakan bilangan yang kurang dari p-1 sedemikian sehingga h'p"'^ modp>. x= bilangan yang kurang dari q y =g"mod p m, pesan yangakan diberi tanda tangan. Berikut proses-proses yang dilalui DSA : a) Pembangkitan sepasang kunci 1. Pilih bilangan prima p dan q, yang dalam hal ini (p-1) mod q = 0 2. Hitung g= h(p-,yi1 mod p, dalam hal ini 1< h<p-l danh(p"ivqmodp>l 3. Tentukan kunci private x, dimana x<q 4. Hitung kunci public y=gx mod p Jadi dapat diambil kesimpulan bahwa kunci public adalah (p, q, g, y), dan kunci priva/eadalah (p, q, g, x). b) Pembentukan tandatangan disisi pengirim 1. Pesan mdiubah terlebih dahulu menjadi message digest dengan algoritma SHA. j2. Lalu tentukan bilangan acak k<q 3. Cari modulo invers dari k yaitu k'1 4. Tanda tangan dari pesan m adalah bilangan r dan s. Lalu hitung r dans sebagai berikut: - r =(g mod p) mod q -s=(k_l (H(m) +x*r)) mod q 5. Kirim pesan mbeserta tanda tangan r &s c)verifikasi tandatangan disisi penerima 1. Hitung - w=s"1 mod q -ul = (H(m) * w) mod q - u2 = (r * w) modq -v =((gul*yu2)modp)modq) 2. Jika v- r, maka tanda tangan sah, yang berarti bahwa pesan tersebut asli dan pengirimnya benar. IV. PERANCANGAN SISTEM Sistem dibangun berbasis web dengan dua eksternal entity yaitu nasabah dan pihak bank. Dalam bussines rule implementasi account internet banking nasabah didaftarkan terlebih dahulu oleh bank bukan melalui pendaftaran online. Proses transaksi yang ditangani oleh sistem hanya cek saldo serta transfer Berdasarkan survei lapangan diperoleh skenario bahwa sebuah account internet banking bisa merepresentasikan beberapa account nasabah pada bank tersebut. Pada beberapa bank yang disurvei ditemu. model-model keamanan yang digunakan dalam layanan internet banking mereka antara lain : a) SSL 128 bitencryption. Seluruh data di Internet banking BCA dikirimkan melalui Secure Socket Layer (SSL) yang mulai diaktifkan sejak user login ke internet banking. SSL akan mengacak data yang dikirim menjadi kode-kode rahasia dengan menggunakan 128-bit encryption yang artinya terdapat 2 pangkat 128 kombinasi angka kunci tetapi hanya satu kombinasi yang dapat membuka kode-kode tersebut. Pada sistem teknik ini tidak diterapkan. b) User ID dan PIN User harus memasukkan User ID dan PIN internet banking setiap kali User login ke internet banking. c) Otomatis Logout. Sistem akan melakukan logout secara otomatis bila user tidak melakukan transaksi selama 10 menit. d) Notifikasi. User akan medapat surat pemberitahuan yang dikirim ke alamat user sebagai konfirmasi atas transaksi finansial yang telah user lakukan melalui internet banking. e) Token Token pada dasarnya adalah alat untuk otentikasi. Otentikasi ini bertujuan untuk membuktikan siapa user sebenarnya, apakah user benar-benar orang yang user klaim sebagai dia (who you claim to be). Pada otentikasi pada online banking menggunakan Two Factor Authentication yang menggunakan 2 dari factor (metode) yang berbeda dengan tujuan untuk meningkatkan keamanan. Otentikasi pada e-banking mengkombinasikan ''Something You Know" Berupa PIN dan "Something You Have" berupa banking token itv sendiri. Pada internet banking, token berfungsi untuk generate password/pin menjadi sebuah sandi yang dinamis dimana sandi ini akan dihasilkan setiap satuan waktu tertentu. Semakin pendek rentang waktu dalam pembuatan sandi ini maka tingkat keamanan sistem akan semakin tinggi. Pada sistem hal ini tidak diterapkan dan digantikan dengan penggunaan tanda tangan digital. Pemodelan fungsi sistem digambarkan lewat context diagram seperti pada gambar 3. Hasil dekomposisi dari gambar 3terlampir. Pemodelan data sistem terlampir Nasabah datalogin pesan dan tanda tai data validasi login data status transaksi jjslem Internet Banking \./ \ pesandan tandatam * data verifikasi data user Gambar 3.Context Diagram Sistem Bank 76

4 .:- Seminar Nasional Pengaplikasian Telematika (SINAPTIKA 2012) V. HASIL DAN PENGUJIAN Pengujian sistem dilakukan untuk mengetahui apakah tanda tangan digital dapat menjaga kerahasiaan dan keamanan transaksi. Aplikasi yang dirancang terbukti mampu membentuk sepasang kunci dan tanda tangan digital, Hasil potongan ditampilkan pada gambar antarmuka aplikasi 4. Selain membangun sistem internet bangking untuk sisi nasabah, sistem juga menyediakan antarmuka bagi pihak bank, sebagai admin sistem. Jika tombol ujicoba diklik akan ditampilkan beberapa value data transaksi yang bisa dirubah dari nilai sebenamya sehingga verifikasi akan gagal, seperti diperlihatkan pada gambar 7. Data transaksi sendiri terdiri atas beberapa field yaitu : rekening pengirim, rekening penerima, nama penerima, jumlah. Data-data tersebut dikirim bersama dengan dan dua buah bilangan yang merepresentasikan tandatangan digital untuk transaksi tersebut. NuuPmniai KtaciMEc - -. Ti&ia Tangan r. Tioii Tanpa1 210O0OMO5 Jioooocob} Alnir»Dn»i :w Haslr- -i M»m»js! t> Pubityay -* 'Signattfo ID^r-n.^k.xi ICck X'enciiiiu Ktki'onprima. Name» Jmtih.b Kunci Public rrmjj riuiami j : -.inl.i T^i<ll>U\ I Gambar 4. Potongan data transaksi detail :4cSebagai skenario pengujian dilakukan- dengan melakukan manipulasi pesan yang tengah dikirim di jaringan. Data yang akan dieksekusi di database server (bank) adalah data yang telah lulus uji verfikasi. Untuk itu diabuat sebuah antarmukauntuk uj coba penyerangan dengan mengubah data transaksi yang masih berada di database temporary sebelum dieksekusi secara permanen ke database server sesungguhnya. [is po. : '''fay K-1 ;.'-' "~;.^j*nt**+-^pfe'~, r Gambar 5. Antarmuka untuk verifikasi atau ujicoba manipulasi pesan Jika tombol verifikasi diklik maka sistem akan menampilkan proses verifikasi yang berjalan normal 3O02S : Gambar 7. Data transaksi yang akan dirubah dalam skenario uji coba Pada dasarnya mengubah data transaksi berarti akan mengubah nilai message digest dari proses enkripsi SHA yang sudah dilakukan sebelumnya disisi pengirim. Perubahan satu karakter saja dari pesan akan merubah total nilai message digest yang dihasilkannya. Mengingat bahwa message digest adalah inputan bagi proses pembentukan tanda tangan digital, maka inputan yang berbeda akan membentuk nilai tanda tangan yang berbeda pula. Hal inilah yang akan membuat proses pengecekan keabsahan tanda tangan atau verifikasi menjadi gagal, sehingga sisi bank bisa memblok transaksi karena data transaksi telah dimanipulasi.. ' It.!.,, ^L*i "ii ATA VERIFIKASI, ' ' ;1! ~ "-".""" "-!'""" -. ui4iumiiwlittuuiummm Data Fidnk Sesuni, V«ifiliiiS. Gngtd! JSCMXiV Rrk Vr igmm - 21ftO00fi0O0 ' "." R«L,F«.-rimj '; Nam-. MiJuranid fci-i Jumlah 'J-WOOOO rill:.; y 2 Nilai r :' -4%l'.p&:: NJoj, 6 <-B»i&-.- j '1 19 Gambar 8. Verifikasi gagal karena tanda tangan tidak sesuai Gambar 6. Pesan Verifikasi sukses VI. KESIMPULAN Dari penelitian yang dilakukan, dipcroleh beberapa kesimpulan sebagai berikut, diantaranya: 77

5 Seminar Nasional Pengaplikasian Telematika (SINAPTIKA 2012) I Penelitian berhasil menerapkan standar tanda tangan digital DSS untuk kasus keamanan transaksi internet banking khususnya transaksi transfer. Beberapa model internet banking pada dunia nyata diadopsi di sistem ini sebagai fitur pelengkap dengan fokus pengujian dilakukan dengan skenario mengubah data transaksi. Operasional sistem diharapkan mampu menjadi efisiensi kinerja dalam dunia LAMPIRAN Pemodelan Fungsi DFD Level I perbankan dikarenakan untuk memperoleh level keamanan yang bagus tidak membutuhkan lebih banyak media yang lain. Daftar Pustaka [1] Budiono (2007). Penerapan Tanda TanganDigital untuk Keamanan Transaksi SMSBanking. Bandung [2] Kurniawan, Yusuf. (2004). Kriptografi Keamanan Internet dan Jaringan Komunikasi. Bandung: Informatika data login / 1 \ -*\ Leg.il v--.._--' datatocjin data login Djsauser HmMi data pesan dan tod private Msiginn famfck fransate hni pufcfcdan tanfatang*, \TJ Bank tata status transaksi / 3 \ Membuka ft data transaksi status transiksi tsuuser data verifiasi CXitai>ansika "4\ Input datav~ data user 78

6 Seminar Nasional Pengaplikasian Telematika (SINAPTIKA 2012) Pemodelan Data ERD RokCfllHQ, - i I : : : 79