Keamanan Kartu Berbasis Magnetic Stripe
Dari perspektif keamanan TI, kartu ATM dan PIN merupakan sarana yang digunakan untuk melakukan otentikasi. Kartu ATM membuktikan bahwa pengguna/nasabah memiliki sarana otentikasi tertentu (what do you have) dan PIN membuktikan bahwa pengguna/nasabah mengetahui data atau informasi tertentu (what do you know). Sehingga dari sisi otentikasi transaksi, sistem ini menggunakan otentikasi dua faktor. Faktor what do you have berisiko untuk disalahgunakan jika orang yang tidak berhak dapat menggunakan kartu ATM asli tanpa ijin atau memalsukannya. Faktor what do you know, yang meningkatkan keamanan sistem otentikasi, juga dapat disalahgunakan ketika PIN diketahui oleh orang yang tidak berhak.
Hingga saat ini, Indonesia masih menggunakan kartu ATM berteknologi magnetic stripe. Bagaimana gambaran aspek keamanan dari teknologi ini? Apakah pembobolan ATM yang terjadi akhir-akhir ini mutlak disebabkan oleh teknologi tersebut?
Teknologi kartu magnetic ini secara inheren tidak aman karena kartu menyimpan data-data secara plain atau tanpa enkripsi sehingga dapat dibaca oleh alat pembaca (magnetic stripe reader) manapun. Sekali terbaca, maka dengan menggunakan perangkat magnetic stripe writer, kartu baru yang memiliki fungsi yang identik dengan kartu asli dapat dibuat dengan mudah (kloning). Pelaku pemalsuan kartu melakukan teknik skimming untuk mencuri data-data kartu magnetik untuk selanjutnya dituliskan secara identik ke dalam kartu baru. Teknik skimming ini dilakukan dengan cara memasang magnetic stripe reader tambahan ke terminal ATM atau POS (point of sales) yang sah.
Kartu hasil kloning dapat digunakan untuk bertransaksi secara penuh jika PIN juga diketahui. Pencurian PIN dilakukan dengan cara memasang kamera mini tersembunyi dalam ruang ATM untuk mengintip PIN yang dari balik badan nasabah. Jika PIN tidak diketahui, setidaknya pelaku pemalsuan atau pencurian kartu dapat melakukan transaksi belanja dengan kartu debit.
Fitur Keamanan Kartu Chip (Smart Card)
Apa saja fitur keamanan dari kartu Chip yang menjadi kelebihan di bandingkan dengan Kartu Magnetik? Apa saja kriteria keamanan yang dapat dipenuhi oleh teknologi ini? Chip yang tertanam dalam kartu ini memungkinnya melakukan berbagai proses komputasi yang tidak dapat dilakukan oleh kartu berbasis magnetic stripe. Dengan kemampuan ini, kartu chip dapat menjalankan berbagai algoritma dan protokol keamanan yang cukup kompleks untuk memenuhi beberapa kriteria keamanan yang diantaranya mencakup: (1) kerahasiaan data dengan menerapkan algoritma enkripsi dan mekanisme kendali akses, (2) integritas data dengan menerapkan algoritma fungsi hash dan tanda tangan dijital, (3) otentikasi dengan menerapkan protokol otentikasi yang berbasis algoritma enkripsi simetris ataupun asimetris, (4) non-repudiasi dengan menerapkan tanda tangan dijital dan (5) ketersediaan (availability) dengan dimungkinkannya pelaksanaan transaksi secara offline. Tingkat keamanan yang disediakan oleh kartu chip dalam sistem pembayaran sangat ditentukan oleh jenis kartu dan standar yang digunakan.
Berikut ini adalah penjelasan singkat mengenai fitur keamanan dari kartu chip dan sekaligus perbandingannya dengan kartu berbasis magnetic stripe:
Fitur keamanan
Kartu Chip
Kartu Magnetic Stripe
Enkripsi dalam komunikasi data Kartu chip dan terminal mempertukarkan data yang telah dienkripsi. Kartu chip dan terminal mempertukarkan data plain.
Kerahasiaan data yang tersimpan dalam kartu Data dilindungi dengan mekanisme akses kontrol atau dengan enkripsi. Semua data disimpan di kartu dalam bentuk plain
Otentikasi Terminal melakukan otentikasi terhadap kartu dengan menggunakan mekanisme static data authentication (SDA) atau dynamic data authentication (DDA). Data yang diperlukan untuk otentikasi dilindungi oleh mekanisme akses kontrol. Terminal melakukan otentikasi terhadap kartu dengan cara membaca data-data dalam magnetic stripe. Data-data ini tidak dilindungi dengan mekanisme akses kontrol.
Mekanisme otentikasi timbal balik dapat dilakukan, yaitu terminal mengotentikasi kartu dan kartu mengotentikasi terminal. Tidak memungkinkan mekanisme otentikasi timbal-balik.
Non repudiasi Mekanisme non-repudiasi dapat dilakukan karena terdapat data-data (kunci) yang dilindungi oleh mekanisme akses kontrol. Mekanisme biasanya berbasis asymmetric encryption. Tidak terdapat mekanisme non-repudiasi karena kartu tidak memiliki mekanisme akses kontrol.
Transaksi secara offline Dalam transaksi offline, terminal tetap dapat melakukan otentikasi terhadap kartu (dengan SDA atau DDA) dan memeriksa integritas data otentikasi. Terminal tidak dapat memastikan integritas data otentikasi.
Apakah teknologi kartu chip ini benar-benar aman? Apakah saat ini sudah ada contoh kasus mengenai pembobolan kartu chip?
Sumber
0 comments