"Infrastruktur Keamanan e-Banking"

Amankah aplikasi Internet Banking (e-banking)? Pertanyaan ini, meskipun sangat mendasar, terus-menerus menjadi perhatian yang serius bagi para pengembang aplikasi e-banking. Pasalnya, keberhasilan teknologi e-banking bukan pada seberapa jauh teknologi pengaman yang dipakai atau seberapa tebal lapisan proteksi untuk melindungi data-data pengguna e-banking, tetapi lebih kepada seberapa jauh para pengguna tersebut dapat diyakinkan mengenai fasilitas keamanan yang terpasang.

Survei terkini yang dirilis oleh UCLA Center for Communication Policy (www.ccp.ucla.com) pada November 2001, menyebutkan 58,4 persen koresponden non-pengguna Internet menyatakan ‘sangat setuju’ kalau aktifitas online beresiko pada masalah privasi, dan 16,1 persen ‘setuju’. Sedangkan dari koresponden pengguna Internet, 29,4 persen menyatakan ‘sangat setuju’ dan 27,1 persen ‘setuju’. Untuk kondisi di Indonesia, berdasarkan hasil survei yang dirilis oleh MarkPlus & Co. Juni 2000, 28,7 persen dari total responden tidak pernah bertransaksi online. Dari mereka tersebut, 15,1 persen alasannya lantaran ‘kuatir’ tentang keamanan di Internet dan 13,6 persen lantaran ‘yakin’ Internet beresiko tinggi.

Beralasankah kekuatiran tersebut? Sebenarnya aplikasi e-banking telah dilengkapi dengan berlapis pengaman privasi dan sekuriti. Beberapa komponen pengaman e-banking yang akan dibahas di sini adalah Secure Sockets Layer, Public Key Cryptography, Digital Signature dan Certificate of Authority. Dengan pembahasan ini mudah-mudahan kekuatiran tersebut dapat berkurang.


"Secure Sockets Layer (SSL)"

SSL yang pada awalnya dikembangkan oleh Netscape (www.netscape.com), diakui oleh industri Internet di dunia sebagai sebuah layer berkemampuan khusus yang menjembatani network layer Transmission Control Protocol/Internet Protocol (TCP/IP) dengan application layer HyperText Transport Protocol (HTTP) dan Internet Messaging Access Protocol (IMAP). Kemampuan khusus SSL tersebut adalah pada sistem penyandian yang mampu menghasilkan kode angka acak sepanjang 128 bit. Mudahnya, TCP/IP ibarat sebuah pipa paralon yang fungsinya menghantarkan segala paket data dan informasi untuk aplikasi semisal web dan e-mail.

Berhubung pipa paralon TCP/IP itu mudah bocor, seperti diintip atau dibajak oleh hacker, maka peran SSL adalah melindung TCP/IP tersebut dengan cara menyelimuti lagi bagian luarnya dengan pipa besi yang kedua ujung diberi gembok khusus. Gembok khusus yang berupa kombinasi 128 bit tersebut hanya dapat dibuka oleh kombinasi kunci khusus yang hanya dimiliki oleh si pengirim dan si penerima paket. Begitu gembok terbuka, maka pipa tersebut dapat mengalirkan data dengan lancar dari pengirim ke penerima. Kombinasi kunci khusus tersebut dikenal dengan istilah Public Key Cryptography.


"Public Key Cryptography"

Metode Public Key Cryptography yang dikenal juga dengan istilah Enkripsi Asimetris tersebut dikembangkan oleh RSA Data Security (www.rsa.com). RSA sendiri diambil dari nama pencetus sistem tersebut, yaitu Professors Rivest, Shamir dan Adleman. Dalam ilmu komputer, untuk melakukan proses enkripsi dan dekripsi diperlukan sebuah kunci berupa sandi rahasia 128 bit. Sandi tersebut dibentuk dari serangkaian fungi matematis yang disebut proses algoritma kriptografi. Para ahli sekuriti dari RSA tersebut berpendapat bahwa kehandalan keamanan dalam proses enkripsi dan dekripsi sebuah data bukan lagi hanya berdasarkan pada kecanggihan proses algoritmanya, tetapi pada kepemilikan kombinasi kunci yang tepat untuk menjalankan proses algoritma tersebut.

Jadi singkatnya, proses enkripsi dan dekripsi data memerlukan proses algoritma kriptografi. Untuk menjalankan proses tersebut diperlukan kombinasi kunci khusus. Kalau seseorang mengetahui proses algoritma yang dipakai, tentu tidak sulit untuk melakukan enkripsi dan dekripsi. Namun dengan adanya metode Public Key Cryptography tersebut, proses enkripsi dan dekripsi tersebut hanya dapat dijalankan apabila seseorang memiliki kombinasi kunci yang tepat.

Kombinasi kunci tersebut memerlukan dua buah kunci, yaitu private key dan public key. Public key tersebut dikirim bersama-sama dengan data yang telah dienkripsi. Seandainya saja data atau informasi terinkripsi tersebut berhasil dibajak oleh oleh hacker, keselamatan data tersebut tetap terjamin. Karena hacker tersebut jangankan sampai ke proses dekripsi 128 bit, untuk memulai proses dekripsinya saja dia tidak akan bisa karena hanya punya public key. Private key dengan aman tetap berada di tangan pengirim atau penerima data saja.

Fungsi penggunaan Public Key Cryptography terbagi atas dua bagian yang berjalan pararel, yaitu untuk konfidensialitas dan untuk otentifikasi identitas. Untuk fungsi konfidensialitas, pengirim mengenkripsi menggunakan public key milik penerima, lalu penerima mendekripsi data menggunakan private key milik penerima. Sedangkan untuk fungsi otentifikasi identitas, pengirim mengenkripsi data menggunakan private key milik pengirim, lalu penerima mendekripsi data menggunakan public key milik pengirim. Jika public key dan private key milik penerima dan pengirim cocok kombinasinya, barulah data-data tersebut dapat didekripsi untuk membuka gembok pipa.

Jika pipa saluran data sudah aman dan kunci gemboknya hanya Anda yang memegang, sekarang masalahnya siapa yang menjamin bahwa anda mendapatkan kiriman data memang dari orang yang Anda tunggu? Atau bagaimana meyakinkan pihak yang akan menerima kiriman data bahwa memang benar-benar Anda yang akan mengirimkan data tersebut? Untuk mengatasi validitas pengiriman tersebutlah maka digunakan teknologi Digital Signature.


"Digital Signature"

Digital Signature berfungsi untuk melakukan validasi terhadap setiap data yang dikirim. Dalam pengiriman data, secanggih apapun pipa dan gemboknya, tentu saja perlu diperhatikan validitasnya. Validitas tersebut berkaitan dengan pertanyaan apakah data yang sampai ke penerima dalam keadaan utuh sesuai dengan aslinya saat dikirim tanpa sedikitpun adanya gangguan-gangguan dari pihak lain. Digital Signature menggunakan fungsi algoritma yang disebut dengan istilah hashing algorithm. Fungsi tersebut akan menghasilkan sebuah kombinasi karakter yang unik yang disebut dengan hashed data.

Keunikannya adalah jika di tengah perjalanan data anda mengalami modifikasi, penghapusan maupun disadap diam-diam oleh hacker walapun hanya 1 karakter saja, maka hashed data yang berada si penerima akan berbeda dengan yang dikirimkan pada awalnya. Keunikan lainnya adalah hashed data tersebut tidak bisa dikembalikan lagi ke dalam bentuk awal seperti sebelum disentuh dengan fungsi algoritma, sehingga disebutlah sebagai one-way hash. Mekanisme kerja untuk menghasilkan Digital Signature tersebut adalah sebagai berikut (dicontohkan dalam proses kerja e-mail):

=====
a.
Proses hashing algorithm akan mengambil intisari dari isi e-mail yang akan dikirim, memprosesnya secara one-way hash dan menghasilkan hashed data. Kemudian hashed data tersebut di enkripsi menggunakan private key dan menghasilkan apa yang disebut dengan Digital Signature. Di dalam Digital Signature tersebut juga disertakan metode hashing algorithm yang digunakan.

b.
Kemudian Digital Signature tersebut dikirimkan bersama isi e-mail tersebut.

c.
Sesampainya di penerima, akan dilakukan proses hashing algorithm terhadap isi e-mail tersebut. Proses one-way hash persis seperti yang dilakukan saat pengiriman, karena algoritmanya turut dibawa dalam Digital Signature. Dari proses tersebut menghasilkan hashed-data sekunder.

d.
Secara pararel, Digital Signature yang diterima tadi langsung didekripsi oleh public key. Hasil dekripsi tersebut tentunya akan memunculkan hashed data yang serupa seperti hashed data sebelum dienkripsi oleh pengirim e-mail. Hashed data disebut hashed data primer.

e.
Proses selanjutnya adalah memperbandingkan hashed data primer dengan hashed data sekunder. Jika saja saat diperjalanan ada hacker yang mengubah atau menyadap isi e-mail, paka hashed data sekunder akan berbeda dengan hashed data primer. Segera mekanisme Digital Signature tersebut akan menyampaikan peringatan bahwa telah terjadi 'sesuatu' di tengah jalan.
=====

Setelah saluran data aman dengan menggunakan SSL, gembok terjamin dengan menggunakan Public Key Cryptography dan validitas data terjaga dengan menggunakan Digital Signature, kini tinggal satu masalah lagi. Siapakah yang bisa Anda percaya untuk menjamin kredibilitas ketiga faktor di atas (SSL, Public Key Cryptography dan Digital Signature)? Untuk itulah maka fungsi Certificate of Authority mengambil peranan.


"Certificate of Authority (CA)"

Certificate of Authority (CA) adalah sebuah dokumen elektronis yang digunakan untuk mengidentifikasikan individu, server, perusahaan atau entitas lainnya dan mengasosiasikannya identitas tersebut dengan public key. CA digunakan oleh Public Key Cryptography berkaitan dengan pertanyaan apakah data yang kita diterima benar-benar ldari pengirim yang kita percaya dan apakah data yang akan kita kirim akan benar-benar menuju ke penerima yang kita tuju. Masalah kepercayaan dan kredibilitas ini memang sangat diperlukan oleh sebuah entitas yang menjalankan suatu transaksi tertentu dengan pihak lain di Internet.

Jika sebuah entitas ingin menyelenggarakan sebuah transaksi di Internet, semisal e-commerce atau e-banking, maka setelah infrastrukturnya telah siap, dia tidak langsung beroperasi. Yang harus dilakukannya adalah mendaftarkan dirinya, server-nya dan perusahaannya ke sebuah institusi resmi untuk mendapatkan CA. CA tersebut dapat menjadi jaminan atas kredibilitas dan realibilitas infrastruktur yang dimilikinya. Beberapa institusi internasional di Internet yang menyediakan layanan CA ini adalah VeriSign, Inc (www.verisign.com), British Telecommunication (www.trustwise.com), GlobalSign (www.globalsign.net) dan Thawte Certification (www.thawte.com).