MA Kelas XII Bab 1 materi musik mkontemnporerFase F.pdf
Kajian Perkembangan Teknologi Smart Card dari Segi Keamanan
1. Kajian Perkembangan Teknologi Smart Card dari Segi Keamanan dan
Implementasinya di Kehidupan Sehari-hari
Adhitya Agung Satria1 (13502009), Gamma2 (13502058), dan M. Yusuf Hamdan3 (1350213)
Departemen Teknik Informatika
Institut Teknologi Bandung
Jalan Ganesha 10 Bandung 40132
E-mail : if12009@students.if.itb.ac.id1, if21058@students.if.itb.ac.id2, dan
if12013@students.if.itb.ac.id3
Abstrak
Smart card adalah suatu penemuan di bidang IT yang telah mempermudah kehidupan manusia karena mempunyai
banyak fungsi dan kemampuannya menyimpan data cardholder. Penggunaannya juga sudah mencakup banyak bidang,
dari kesehatan, transportasi, dan keuangan. Perusahaan bisnis juga telah melihat potensi smart card ini dan telah
mengembangkan berbagai jenis smart card . Seiring dengan kegunaannya, smart card mempunyai masalah yang
penting untuk diperhatikan yaitu keamanannya. Dalam tulisan ini, penulis mencoba mengkaji perkembangan smart card
dari jenisnya, komponen dan teknologi yang dipakai, masalah keamanannya, solusi strategis penanganannya, dan
enkripsi yang sering dipakai dalam smart card.
Kata kunci: smart card , microprocessor, keamanan, enkripsi, kriptografi,
1. Pendahuluan kartu tersebut seulit untuk di-copy tetapi masih dapat
Perkembangan zaman menuntut manusia untuk dibaca manusia. Adanya teknik emboss (memberi
mengembangkan berbagai macam teknologi untuk semacam relief huruf di kartu) memudahkan pertukaran
membantu meningkatkan kehidupannya. Pada tahun informasi yang ada di kartu ke kertas karbon. Walaupun
1930-an, plastic card pertama kali diperkenalkan. proses ini masih memerlukan key-punch dalam sistem
Penggunaannya sendiri baru mulai terkenal pada terkomputerisasi.
tahun 1950-an. Kemudian kartu kredit yang termasuk Lalu muncul teknologi magnetic stripe. Teknologi
plastic card , yang sekarang ini sudah menjadi gaya ini memungkinkan seluruh proses sebelumnya yang
hidup di kebanyakan negara maju. Kartu kredit ini manual menjadi lebih otomatis. Tetapi hal ini tidak
pertama kali dibuat oleh Bank of America pada tahun menghilangkan fungsi kartu sebagai identitas dan sangat
1960. Banyak sekali kegunaan plastic card ini terhubung dengan pemegang kartu. Adanya tanda tangan
diantaranya sebagai identitas, untuk bepergian, dan foto juga sebagai salah satu cara otentifikasi,
mengakses gedung, mengambil dari bank, dan walaupun dinilai sangat tidak efektif.
membayar barang belanjaan. Diperkenalkan juga
berbagai macam dan bentuk plastic card tersebut. 2. Pendefinisian Masalah
Sudah banyak bukti aplikasi plastic card di Kondisi saat ini adalah diperlukannya suatu kartu
berbagai negara. Jepang sendiri telah yang bisa menyimpan lebih banyak data daripada kartu
menggunakannya sebagai kartu pembayaran, kartu magnetic stripe. Data ini mulai dari data kesehatan,
telepon, dan kartu bepergian. Di Afrika Selatan, belanja, dan koleksi data lainnya.
orang menggunakannya untuk pembayaran dengan Sejak pertama kali plastic card diperkenalkan,
pencocokan sidik jari sebagai otentifikasi. tingkat pengamanan selalu menjadi perhatian terpenting.
Plastic card yang pertama kali dibuat adalah Seberapa hebat keamanan kartu itu tersebut. Opini yang
berupa kartu bisnis biasa. Informasi yang terdapat di terbentuk di masyarakat adalah kartu yang mereka punya
1
2. melindungi gedung dan rekening bank mereka dari yang membuat kartu tersebut dan cardholder dan hak
kejahatan dan teknologi keamanannya hanya aksesnya..
diketahui oleh perusahaan keamanan. Opini ini benar Beberapa hal yang harus dipertimbangkan dalam
tetapi, perkembangan yang terjadi adalah faktor metode identifikasi kartu adalah: apakah kartu dapat:
manusia sebagai rantai terlemah dalam keamananan - Mengkonfirmasi identitas cardholder sebelum
telah menimbulkan banyak pelanggaran yang mengakses data
akhirnya memperparah tingkat keamanan. - Memberikan data untuk konfirmasi ke alat eksternal,
Hal ini terjadi ketika operator keamanan yang sistem atau perorangan.
bersangkutan bermasalah dengan prosedur dan - Menyediakan data ke sistem tanpa pengecekan orang
validasi. Merka secara sengaja mengabaikan proseur yang menggunakan.
dan lebih suka melakukan jalan pintas untuk Untuk itu harus didefinisikan tingkat keamanan yang
keamanan. Mereka tidak menyadari seberapa besar diperlukan. Tingkat keamanan paling tinggi, sedang, atau
pengaruh tindakan mereka ke tingkat keamanan. hanya cukup untuk mengatasi pencuri amatir saja.
Contoh: kartu dikembalikan sebelum tanda terima
ditanda tangan atau bagian depan kartu tidak pernah 4. Kebutuhan Keamanan dan Pemodelan
diperiksa untuk identifikasi. Sistem keamanan sendiri Sebenarnya tujuan paling realistis bisa dilakukan oleh
mungkin juga bermasalah ketika membiarkan desainer sistem keamanan adalah untuk menjamin bahwa
perilaku seperti ini tanpa ada tindak lanjut. usaha yang dilakukan untuk menyerang sistem itu lebih
Penyalahgunaan lain yang mungkin terjadi mahal dari hasil yang akan didapat. Hal ini akan
karena teknologi yang dipakai sudah diketahui membuat orang menjadi tidak tertarik untuk menyerang
banyak orang. Sekarang ini, pengetahuan mengenai sistemnya. Ada banyak cara untuk melakukannya, antara
teknologi kartu sudah dapat diakses dengan mudah. lain:
Dengan sedikit pengetahuan tentang sistem - Membatasi bagian sistem yang terpengaruh ketika
keamanan, teknologi yang dipakai, dan kemampuan diserang.harus ada pembagian sistem sehingga
programming para penjahat dapat menghasilkan kartu kehilangan satu data hanya memepengaruhi
tiruan atau transaksi kartu. subsistem saja
Memang harus diakui bahwa tidak ada sistem - Membatasi lifespan suatu sistem. Hal ini bisa dicapai
yang benar-benar aman. Selalu ada kesalahan, lubang dengan cara mengurangi jangka waktu kunci dan
yang tidak terdeteksi. Tetapi desainer sistem harus data kritis lainnya.
bisa meminimalisir kesalahan-kesalahan tersebut. - Membatasi jumlah resiko, dengan cara
Anehnya. sistem kartu di banyak negara termasuk mengasosiasikan tingkat akses data di sistem dengan
Amerika Serikat, telah menganggap tingkat keamanan yang dipunyai di kartu
serangan/kejahatan yang dilakukan termasuk biaya - Mengurangi motivasi penyerangan, dengan cara
yang sudah bisa diperkirakan dalam anggaran. hanya berhubungan dengan komunitas orang-orang
yang bisa dipercaya yang mempunyai sistem kontrol.
3. Arti dan Fungsi 4.1. Kriteria
Smart card sering disebut sebagai chip card Dalam usaha untuk membuat sistem keamanan yang
atau integrated circuit (IC) card . Definisi chip card baik, tentu saja perlu suatu perencanaan. Lalu hal yang
sendiri yaitu kategori umum yang mencakup smart pertama kali dilakukan dalam perencanaan adalah
card dan memory card . Smart card adalah plastic menentukan kebutuhan dasar keamanan yang diperlukan.
card yang mengandung memory chip dan Karena keamanan bisa mempunyai arti yang berbeda
microprocessor. Kartu ini bisa menambah, bagi tiap orang. Tapi berikut ini adalah beberapa kriteria
menghapus, mengubah informasi yang terkandung. yang bisa dipilih untuk menentukan tingkat keamanan
Keunggulannya adalah smart card tidak perlu yang diperlukan:
mengakses database di server karena sudah ada a. Safety, meliputi tingkat keselamatan manusia dan
sebagian terkandung di kartu. Sedangkan memory tindakan yang dilakukan untuk tiap resiko yang
card dipasangi memory silicon tanpa mungkin terjadi.
microprocessor. b. Nondelivery yaitu resiko kehilangan data (transaksi)
Fungsi dasar suatu smart card adalah untuk ketika terjadi komunikasi antar sistem. Perencanaan
mengidentifikasi card holder ke sistem komputer. mekanisme deteksi resiko ini sangat penting.
Cardholder disini adalah pemilik asli kartu tersebut. c. Accuracy, berurusan kemungkinan kesalahan yang
Identifikasi ini menyangkut otentifikasi organisasi terjadi ketika penyimpanan dan pertukaran data.
2
3. Pengaruhnya tergantung dari jenis data yang - Teknik menggunakan pengecekan biometris untuk
bersangkutan. tingkat keamanan yang lebih baik.
d. Data Integrity, mengatur integritas data yang
disimpan dari pengubahan data baik yang sengaja 5. Tipe dan Karakteristik
maupun tidak. Pengubahan ini kemungkinan Smart card dapat dikelompokan berdasarkan:
besar akan terjadi. Oleh karena itu, sistem harus - Function, yang merupakan perbedaan paling
bisa menananganinya dengan baik. mendasar antara memory card dan microprocessor
e. Confidentiality, menangani keamanan card
kerahasiaan informasi yang terkandung baik di - Access mechanism, yaitu contact dan contactless
kartu dan sistem yang berhubungan dengannya. - Physical characteristic, dilihat dari ukuran dan
Kebocoran yang terjadi mungkin karena bentuk
kesalahan logic sistemnya atau ada kelemahan Berikut ini adalah macam-macam jenis smart card
dalam sistem yang akhirnya disalahgunakan. yang ada:
f. Impersonation, resiko yang terjadi jika ada orang 5.1. Memory Card
yang tidak mempunyai hak akses tetapi Smart card yang paling sederhana. Kartu ini hanya
menggunakan kartu tersebut. mengandung memory circuit yang dapat diakses melalui
g. Repudiation, harus ada meknisme pembuktian kontak dengan synchronous protocol. Dalam memory itu
bahwa suatu transaksi terjadi dengan terdapat protected area yang hanya bisa diakses jika
menggunakan kartu ayng bersangkutan. menerima kode keamanan tertentu. Ada juga pembatasan
Mekanisme ini biasanya dilakukan dengan digital jika ada aplikasi luar yang ingin mengakses memory .
signature menggunakan kriptografi kunci publik. Ada juga beberapa jenis memory card yang
4.2. Model menyediakan layanan otentifikasi. Ukuran data yang bisa
Sistem keamanan sendiri bisa dimodelkan tingkat disimpan di dalamnya tidak terlalu besar, sekitar 100 bits
keamanannya berdasarkan proses yang dialami oleh – 10 kb. Kartu ini banyak digunakan untuk aplikasi
suatu data yaitu Storage, Transmission, dan Use. accounting seperti kartu telepon, transportation card
4.2.1. Storage dan vending card .
Jika suatu data harus bisa diakses secara offline 5.2. Microprocessor Card
dan harus portable, maka sebaiknya disimpan di Smart card ini mempunyai memory circuit dan
smart card . Sebaliknya data lainnya lebih baik microprocessor dalam satu chip. Semua akses ke kartu
disimpan di komputer dan smart card dapat akan melalui microprocessor. Datanya sendiri baru bisa
digunakan untuk mengaksesnya. Data dibuat agar diakses jika telah melewati semacam security logic.
tidak dapat dimengerti oleh orang lain dengan Terdapat sebuah interface untuk I/O yang bisa
enkripsi. Data juga harus dicek apakah tidak terjadi mempunyai bentuk yang berbeda antar kartu. Dari segi
perubahan yang tidak diinginkan atau kesalahan baik keamanan, microprocessor bisa dibilang sulit untuk
fungsi dan operasi di sistem dipalsukan.
4.2.2. Transmission Perkembangannya sekarang ini adalah
Proses pengiriman data juga harus dicek untuk microprocessor diganti dengan State change. Hal ini
menjaga tidak adanya perubahan baik sengaja atau dilakukan karena microprocessor sudah tidak terbatas
tidak. Pengecekan ini biasanya dilakukan dengan dalam hal kecepatan dan kapasitas memori. State change
cyclic redundancy check (CRC), transaction counter, berisi Programmable Gate Array (PGA) yang berukuran
dan message authentication check (MAC). lebih kecil dan dapat mengemulasikan fungsi
4.2.3. Use microprocessor dengan kecepatan yang lebih baik.
Harus ada pengecekan untuk menjamin bahwa orang Sekarang ini, kartu ini juga diberi kemampuan untuk
yang menggunakan adalah cardholder sebenarnya. melakukan kriptografi seperti memory-adddress
Ada berbagai macam cara antara lain: srambling, auto-detection hacking, power-circuit
- Tanda tangan dan foto digunakan untuk manipulation, dan electron microscopy.
pengecekan secara manual untuk kondisi dimana 5.3. Contact Card
terjadi komunikasi tatap muka Kartu ini merupakan versi awal dari smart card
- Teknik menggunakan Personal Identification yang beredar di Eropa. Kartu ini adalah smart card yang
Number (PIN). Walaupun mempunyai banyak mempunyai contact chip. Kartu ini harus dimasukkan ke
keterbatasan, teknik ini mempunyai catatan yang reader untuk melakukan transaksi atau menyampaikan
baik karena teknik ini mudah diimplementasikan informasi dari kartu ke reader. Kekurangannya adalah:
dan diterima dengan baik oleh konsumen..
3
4. - Titik contact-nya dapat rusak karena sering 5.6. Subscriber Identity Module (SIM) Card
digunakan, reader yang jelek, atau tergesek di Smart card kecil dan dapat diprogram berisi kunci
kantong identitas subscriber ke layanan selular. Kunci ini
- Ujung microcircuit dapat rusak jika kartu digunakan untuk identitas ke digital mobile service dan
bengkok atau ditekan terlalu keras jenis layanan yang dipakai. SIM card ini bisa dipasang
- Mudah diserang melalui titik contact kartu permanent ke teleponnya atau yang removable. SIM ini
- Kerusakan yang terjadi di alat contact reader berguna untuk kunci keamanan yang dipakai oleh
yang merupakan alat mekanis karena pemakaian jaringan GSM.
yang tidak baik atau karena serangan fisik 5.7. Removable User Identity Modul (R-UIM) Card
5.4. Contactless Card Smart card yang fungsinya sama dengan SIM card
Kartu ini adalah jenis smart card yang tetapi untuk telepon dengan teknologi CDMA. Kartu ini
menggunakan frekuensi radio (RF) untuk bertukar memungkinkan komunikasi antar kedua jaringan.
informasi. Jadi kartu ini tidak perlu kontak fisik ke 5.8. Universal subscriber Identity Module (USIM)
reader/terminal untuk bertukar informasi. Kartu ini Card
mengandung microcircuit yang tertutup di dalam Pengembangan dari SIM card yang akan digunakan
kartu, sehingga kartu ini hanya perlu didekatkan di teknologi jaringan 3G. kartu ini akan dimasukan di
dengan reader tanpa kontak langsung untuk bertukar peralatan 3G dan digunakan untuk otentifikasi jaringan
informasi. dan fungsi lainnya
Kontak antar kartu dan reader tergantung pada
kepekaan reader. Banyak dipakai untuk transaksi 6. Komponen
yang menekankan pada unsur kecepatan, terutama di Pembahasan komponen akan dibagi berdasarkan
industri transportasi. komponen-komponen dasar smart card
Kelebihannya adalah: 6.1.Carrier
- Lebih dapat diandalkan Material dasar yang digunakan untuk pembuatan
- Maintenance lebih sedikit daripada contact card smart card adalah polyvinyl chloride (PVC) atau
- Lifespan-nya lebih lama daripada contact card thermoplastic sejenis. Bahan ini digunakan karena murah
Sedangkan kekurangannya antara lain: dan dapat di-emboss. Bahan lain yang dapat digunakan
- Tidak cocok untuk pertukaran data yang besar adalah Acrylonitrile butadiene styrene (ABS) yang lebih
- Ukurannya lebih besar daripada contact card dan tahan suhu tinggi, Polycarbonate yang digunakan untuk
belum ada ukuran standar kartu mobile-telephone, dan Polyethylene terephthalate
- Jumlah manufaktur pembuat sedikit sehingga (PETP) yang banyak digunakan di Jepang karena
jenis kartunya terbatas fleksibel dan ringan. Kriteria dalam pemilihan bahan
- Harganya relative lebih mahal daripada contact adalah reliabilitasnya yang tahan lama/tidak mudah rusak
card dan tahan panas lebih baik
5.5. Hybrid Card 6.2. Chip
Smart card yang menggunakan dua teknologi Kompenen utama kartu yaitu IC yang dipasang di
yang ada di contact card dan contactless card . dalam kartu. Isi chip ini bisa teridiri dari memory ,
Sehingga terdapat alat contact dan antena dalam satu microprocessor atau PGA chip.
kartu. Kartunya sendiri ada yang menggunakan satu 6.2.1. Micoprosessor
microprocesor dan ada juga yang menggunakan dua Kebanyakan smart card mempunyai 8-bit
microprocessor. Kartu jenis ini dibuat untuk microprocessor, dengan desain Motorola 6805 atau Intel
membuat pengguna bisa memakai kartunya di banyak 8051 denga clock speed tertinggi 5 MHz.. Tetapi sudah
aplikasi. ada microprocessor 16-bit dan mungkin kedepannya
Ada pula istilah combi card yang sejenis dengan makin banyak yang lebih cepat. RISC microcontroller
hybrid card tapi membutuhkan suatu alat yang banyak digunakan di smart card untuk aplikasi yang
dinamakan pouch untuk mengubah fungsi contact perlu kecepatan proses daripada multifunctions.
card menjadi contactless card . Dan alat contact-nya 6.2.2. Memory
adalah antena yang terdapat dari pouch sedangkan Memory memakan tempat terbesar di IC smart card
media transmisi yang digunakan adalah gelombang . Memory ini dibagi menjadi 5 area berdasarkan tipe
radio. semiconduktor memory yang dipakai:
Tingkat keamanan hybrid card lebih baik - Read-only memory (ROM), yang berisi program
daripada combi card karena gelombang radio sangat permanen yang harus ada dalam kartu, yang disebut
mudah untuk disusupi dan hal ini akan mengurangi mask.
tingkat keamanan kartu.
4
5. - Programmable ROM (PROM) digunakan untuk Mask melakukan fungsi aplikasi seperti mengurangi
me-load nomor seri kartu dan nilai permanent nilai, membandingkan tanda tangan digital dan pola yang
lain ada. Jenis smart card sendiri tergantung dari mask yang
- Flash memory, sebagai tempoat program ada walaupun menggunakan microprocessor yang sama.
tambahan. Mask diprogram ketika pertama kali chip dibuat,
- E2PROM, merupakan bagian terbesar memory sehingga keamanannya tergantung proses
untuk data storage manufakturnya.
- Random Access Memory (RAM), digunakan
untuk tempat penyimpanan data sementara ketika 7. Teknologi
kartu sedang dipakai 7.1. Sejarah
- Ferro-electric RAM (FRAM), RAM yang bisa Pembuat pertama kali teknologi awal smart card
menyimpan data nonvolatile. adalah orang Jepang bernama Kunitaka Arimura pada
Komposisi tiap bagian memory tergantung dari tahun 1970. Dia mematenkan ciptaannya yang hanya
penggunaan kartu yang dipakai terbatas penggunaannya hanya di Jepang saja. Dan
6.2.3. Coprocessor pembuatannya harus dengan lisensi Arimura.
Bagian chip yang dibuat untuk melakukan Pada tahun 1974-1976, Rolang Moreno di Perancis
operasi aritmatika dalam fungsi kriptografi sepertri membuat hak paten beberapa aspek fungsional smart
enkripsi DES atau RSA. card dan menjual lisensinya ke perusahaan bernama Bull
6.2.4.Memory Management. dan perusahaan lain. Lalu Bull mengembangkan aspek
Digunakan untuk mengontol memory dan microprocessor di smart card dan memegang lisensi
menyediakan proteksi hardware dari akses yang tidak teknologi yang berhubungan dengan microprocessor
valid. Proteksi ini menggunakan metode hirarki file smart card .
data. Sementara itu, Innovatron, perusahaan milik
6.2.5. I/O Moreno, berusaha menempuh jalur hukum dan kebijakan
Microprocessor smart card menggunakan single agresif untuk melisensikan smart card di dunia sehingga
bidirectional serial input-output interface. Metode ini membatasi jumlah perusahaan yang mengembangkan
sesuai dengan standar ISO 7816-3 tentang protokol teknologi ini. Tetapi hak paten paling penting tentang
komunikasi. smart card telah kadaluarsa di tahun 1996.
6.3. Contact Sesuai dengan opini Moreno, aspek paling penting
Contact card mempunyai kurang lebih delapan smart card adalah fungsi kontrol akses ke informasi
titik kontak. Posisi dan desainnya disesuaikan dengan yang terkandung dalam smart card dengan teknik
ISO 7816-2. Walaupun begitu masih banyak orang password atau fungsi internal lainnya untuk menjaga
terutama di Perancis, yang menggunakan desain keamanan informasi. Fungsi ini akan membuat chip logic
posisi transisi (pojok kiri atas). Contact ini dibuat dari makin sulit tapi akan menyederhanakan kerja sistem lain
emas atau bahan berkonduksi lainnya. Kontak ini yang berhubungan terkait dengan enkripsi dan
dihubungkan dengan chip dengan kabel yang sangat manajemen kunci.
tipis. Terdapat bermacam-macam jenis teknologi yang
6.4. Antenna digunakan dalam smart card , antara lain:
Contactless card menggunakan sinyal dengan 7.2. Standard
frekuensi radio (RF) sebagai media transmisi I/O. Beberapa organisasi memperkenalkan standar untuk
antena sehingga antena dipasang di kartu sebagai coil. agar saling kompatibel dan dapat dipakai secara umum,
Antena juga berfungsi untuk mendapatkan energi dari diantaranya:
RF, selain baterai yang ada di kartu. - ISO 7816 yang mendefinisikan contact card
Sinyal yang digunakan mempunyai frekuensi 135 - EMV (Europay, Mastercard , Visa) hasil kerjasama
kHz atau 13,56 MHz. Jika menggunakan frekuensi tiga perusahaan kartu kredit untuk mengembangkan
yang rendah, energi yang diperluakan rendah dan bisa ISO 7816 dengan menambahkan fungsi yang
mencapai jangkauan 1m, tapi kecepatan transfer data berhubungan dengan bank lebih detail
rendah. Sedangkan jika menggunakan frekuensi - ETSI (European Telecommunication Standard
tinggi, maka akan memakan energi lebih tinggi, tapi Institute) berisi standar pemakaian smart card
kecepatan transfernya tinggi. publik dan sistem telepon selular.
6.5. Mask 7.3. Hybrid
Mask adalah program permanaen yang ada di Smart card mempunyai banyak teknologi agar dapat
ROM, sering disebut sebagai OS smart card. digunakan secara umum. Contoh: smart card yang
Perbedaannya dengan OS PC pada umumnya adlah
5
6. menggunakan teknologi magnetic stripe. Hal yang h. Kelompok yang paling berbahaya adalah orang-
harus diperhatikan adalah adanya faktor orang yang berusaha untuk menghancurkan sistem
keamanannya dan prioritas penggunaan teknologi yang ada apapun resiko dan biaya yang diperlukan
yang ada tergantung situasi dan kondisi . karen alasan pribadi.
7.4. PCMCIA Card 8.2. Bahaya Serangan
Teknologi ini dipicu oleh perkembangan laptop Tingkat bahaya serangan bisa dikelompokan
yang menginginkan adanya portable memory dan menjadi:
interface card yang berukuran lebih kecil dan a. Grade I, dimana serangan ini mengakibatkan bahaya
terstandarisasi. Sehingga Personal Computer Memory kematian
Card Industry Association (PCMCIA) mengeluarkan b. Grade II, dimana serangannya membahayakan
tiga standar pembuatan memory card kecil dan kelangsungan hidup perusahaan/bisnis
hardisk dengan tebal 10,5 mm. c. Grade III, dimana serangan mengakibatkan
7.5. Barcoding kerusakan yang cukup parah dan biaya kompensasi
Teknologi ini banyak dipakai karena produksinya tambahan
murah dan banyak reader yang mendukung. Tetapi d. Grade IV, dimana serangan mengakibtakan
tingkat keamanannya kurang baik. Barcode ini tambahan kerja dan keterlambatan
menggunakan infra red dan hanya bersifat read-only. e. Grade V, dimana serangan hanya berupa gangguan
7.6. Radio Frequency Identification (RFID) kecil
RFID digunakan untuk kontrol akses, lalulintas, 8.3. Faktor Penyebab Serangan
dan aplikasi industri lainnya. Tag di alatnya, yang Penyebab masalah keamanan sering terjadi karena:
mempunyai berbagai macam bentuk, mempunyaii - Masalah hardware
antena. Jika dekat dengan reader, antena ini akan - Masalah software
membangkitkan tenga untuk menyalakan circuit di - Masalah jaringan komunikasi
tag dan mentransmisikan ID number ke tag. - Kesalahan prosedur
Sebagian besar RFID juga bersifat read-only. - Serangan untuk mengeksploitasi penyebab masalah
keamanan lainnya
8. Serangan dan Manajemen Resiko 8.4. Manajemen Resiko
8.1. Sumber Serangan Setelah mengetahui sumber serangan, penyebab
Sumber-sumber serangan yang mungkin masalah, dan tingkat serangan keamanan, kita harus
dilakukan adalah dari: merencanakan tindakan apa yang harus dilakukan. Hal
a. Normal cardholder, yang berusaha mencoba pertama yang harus dilakukan adalah fokus pada masalah
melakukan hal-hal yang tidak sesuai dengan yang mempunyai probabilitas kejadian dan nilai
prosedur sistem. Serangan ini lebih bersifat tidak tertinggi. Masalah inilah yang akan menyebabkan
sengaja karena ketidaktahuan pemegang kartu. kerugian terbesar dan memerlukan usaha yang besar
b. Careless cardholder, yang sering menghilangkan untuk diperbaiki. Selanjutnya, melihat biaya yang harus
atau merusak kartu atau mesin terminal. dikeluarkan untuk membuat solusi keamanannya.
Serangan ini juga bersifat tidak sengaja Desainer sistem keamanan harus yakin bahwa biaya
c. Malicious cardholder, yang mempunyai akses implementasi solusi lebih murah dari kerugian yang
terbesar ke sistem, atau menyediakan kartu dan mungkin diderita. Jika sebaliknya, maka implementasi
kode untuk analisis. solusi tersebut bisa dibilang sia-sia.
d. Insider, biasanya adalah karyawan perusahaan
yang mengeluarkan kartu yang mempunyai 9. Enkripsi
kesempatan menyalin, menganalisis atau mencuri Ketika berurusan dengan keamanan data, dalam hal
data untuk diberikan ke orang lain. ini informasi yang terkandung di smart card , harus ada
e. Outsider, yang mempunyai akses ke sistem. teknik pembuktian bahwa identitas orang yang memakai
f. Card thieves, pencuri kartu yang telah smart card itu valid.
mendapatkan beberapa informasi penting untuk Sistem pengamanan yang digunakan di smart card
menggunakan kartu yang didapat. adalah sistem kunci simetris dan sistem kunci publik.
g. Criminal gangs, yang secara berkelompok dan Metode/algoritma yang banyak digunakan di sistem
sitematis mendapatkan banyak kartu dan akses ke kunci simetri adalah Data Encryption Standard (DES).
sistem sehingga bisa menciptakan rekening dan Sedangkan algoritma yang digunakan di sistem kunci
bisnis palsu publik adalah RSA. Berikut ini disajikan algoritma DES
dan RSA secara singkat
6
7. 9.1. DES melakukan algoritma DES tiga kali. Hasilnya
Algoritma simetri menggunakan kunci yang meningkatkan efektivitas kunci dan kekuatan enkripsi.
sama untuk enkripsi dan dekripsi. DES adalah Dilihat dari segi banyak perhitungan yang
algoritma kriptografi yang disebut sebagai algoritma dilakukakan, DES itu lebih sederhana daripada RSA.
modern pertama yang dipakai untuk keperluan Algoritma DES sendiri telah tersedia di hardware dan
komersial dengan detail implementasi yang lengkap beberapa chip smart card. Tetapi adanya kunci khusus
dan terbuka yang harus diketahui oleh kartu dan alat dekripsi reader,
Algoritma ini pertama kali diperkenalkan di membuat algoritma ini tidak cocok untuk otentifikasi
Amerika Serikat dan telah disetujui oleh National kartu di sistem terbuka karena alasan efektivitas.
Bereau of Standard (NBS) setelah diuji oleh National 9.2. RSA
Security Agency (NSA). Algoritma ini sendiri Sistem kunci asimetris menggunakan kunci yang
dikembangkan dalam sebuah riset yang dipimpin oleh berbeda untuk enkripsi dan dekripsi.kunci yang boleh
W.L. Tuchman pada tahun 1972 di IBM. diketahui adalah kunci publik. Sedangkan kunci yang
Desain algoritma DES sangat terkait dengan dua harus tetap dijaga kerahasiaannya adalah kunci privat.
konsep utama dalam algoritma yaitu product cipher Algoritma asimetris yang banyak digunakan adalah
dan algoritma Lucifer (diciptakan oleh Horst Feistel). algoritma RSA. Algoritma ini dibuat oleh tiga orang
Maksud dari product cipher adalah menciptakan peneliti di Massachussets Institute of Technology (MIT)
fungsi enkripsi kompleks dengan cara pada tahun 1976. Nama RSA sendiri diambil dari inisial
menggabungkan beberapa operasi enkripsi dasar nama penemunya yaitu Ron (R)ivest, Adi (S)hamir, dan
sederhana yang saling melengkapi. Sehingga Leonard (A)dleman.
keduanya melibatkan operasi bolak-balik yang Keamanan algoritma RSA terletak pada sulitnya
berulang. Operasi dasarnya termasuk transposisi, memfaktorkan bilangan yang besar menjadi faktor-faktor
translasi, operasi aritmatika, substitusi, dan prima. Pemfaktoran dilakukan untuk memperoleh
transformasi linier. DES sendiri termasuk golongan pasangan kunci privat-publik. Berikut ini adalah
cipher block karena algoritma ini beroperasi pada algoritma RSA2):
plaintext/ciphertext dalam bentuk blok bit yang 9.2.1. Pembangkitan kunci
panjangnya sudah ditentukan. Kunci dibangkitkan dengan langkah sebagai berikut:
DES sendiri beroperasi pada blok dengan ukuran 1. Bangkitkan dua bilangan prima besar berbeda, p dan
64 bit. DES mengenkripsikan plaintext menjadi q, yang sama jumlah digitnya.
cipherteks dengan menggunakan internal key atau 2. Hitung n = pq (1)
subkey berukuran 56 bit. Internal key dibangkitkan 3. Hitung φ = (p − 1)(q − 1). (2)
dari external key yang panjangnya 64 bit. 4. Pilih bilangan integer acak e, 1 < e < φ, sedemikian
Skema global dari algoritma DES1) adalah sehingga gcd(e, φ) = 1. (3)
sebagai berikut: 5. Gunakan perhitungan untuk mendapatkan satu lagi
1. Blok plaintext dipermutasi dengan matriks initial bilangan integer d, 1 < d < φ, sedemikian sehingga
permutation atau IP ed ≡ 1 (mod φ). (4)
2. Hasil permutasi awal kemudian di-encipher Maka kunci publiknya adalah (n,e) dan kunci
sebanyak 16 kali (16 putaran). Setiap putaran privatnya adalaah d. nilai e disebut encryption exponent
menggunakan kunci internal yang berbeda. dan nilai d disebut decryption exponent. Sedangkan n
3. Hasil encipher kemudian dipermutasi dengan disebut modulus.
matriks invers initial permutation atau IP-1 Contoh kasus: B mengenkripsikan pesan ke A dan
menjadi blok ciphertext. mendekripsikannya
Skema DES sangat tergantung pada kerahasiaan 9.2.2. Proses Enkripsi
kunci. Oleh karena itu, terdapat dua situasi terkait Maka ketika enkripsi, B harus melakukan langkah-
dengan smart card , yaitu: langkah sebagai berikut:
- Ketika kunci dapat didistribusikan dan disimpan 1. Dapatkan kunci pblik A (n,e)
secara terpisah dan aman 2. Ubah bentuk pesan menjadi bilangan intger m,
- Ketika kunci dipertukarkan antara dua sistem dengan 0 < m < n-1.
yang telah saling mengotentifikasikan diri dan 3. Hitung c = me mod n (5)
pertukaran tersebut tidak berlanjut di luar 4. Kirim ciphertext c ke A
transaksi atau session pertukaran lain. 9.2.3. Proses Dekripsi
DES sering kali digunakan untuk melindungi Untuk mengambil pesan m dari ciphertext c, A dapat
data dari eavesdropping. ketika transmisi pertukaran. menggunakan kunci privat d untuk dengan perhitungan
Triple-DES adalah proses enkripsi data asli dengan m = cd (mod n.) (6)
7
8. Bentuk perhitungan aritmatika ini sangat lambat
jika dijalankan di byte-oriented processor. Terutama
8-bit microprocessor yang terdapat di banyak smart
card . Sehingga walaupun RSA menyediakan fungsi
otentifikasi dan enkripsi, dalam sistem smart card,
algoritma ini hanya digunakan untuk mengotentifikasi
pengahasil pesan, pembuktian bahwa data belum
diubah sejak tanda tangan dibangkitkan, dan enkripsi
kunci.
Walaupun begitu kemampuannya
mendistribusikan satu kunci secara publik dan kunci
lainnya tetap rahasaia dalam kartu/host system
membuatnya sering dipakai di open system.
10. Kesimpulan
Perkembangan smart card sebagai alat Bantu
dalam pertukaran data semakin banyak aplikasinya,
seiring dengan hal tersebut, muncul masalah baru
yuang dihadapi yaitu keamanan. Kebutuhan
keamanan untuk otentifikasi, kerahasiaan data, dan
integritas data harus dipertimbangkan secara terpisah.
Otentifikasi dapat dilakukan dengan algoritma sistem
simetri atau asimetri. Data yang disimpan dalam kartu
dapat dikatakan rahasia jika dilindungi oleh chip yang
cocok dan mekanisme kontrol akses. Jika
data/informasi perlu ditransmisi keluar, maka perlu
dienkripsi menggunakan DES atau algoritma asimetri
lainnya. Integritas data dapat dijamin dengan
menggunakan standar MAC.
Referensi
[1] Hendry, Mike. 1997. Smart card Security
and Application. London:Artech House.
[2] Munir, Renaldi. 2005. Diktat Kuliah
Kriptografi. Bandung:Departemen Teknik
Informatika, ITB
[3] Gartner. 2004. Gartner Glossary of
Information Technology, Gartner Inc.
[4] Menezes,A. dkk. 1996. Handbook of
Applied Cryptography. CRC Press.
[5] Frank, J.N. 1996. Smart Cards Meet
Biometrics. Card Technology. Card
Technology.
[6] Glass, A. S. 1991. Why Would Secure
Cards Be Smart?” Smart Card 2000
Conferece Proceedings. Amsterdam.
[7] Mondex International. 1995. Mondex:
Security by Design. London
[8] Scheneir, B. 1995. Applied Cryptography:
Protocols, Algorithms, dan Source Code in
C. New York: Wiley
8