(gambar diambil dari siaran pers Kominfo: NO. 209/HM/KOMINFO/10/2017)

Beberapa hari ini banyak yg meributkan tentang keamanan data (dan perlunya melakukan) registrasi kartu SIM. Saya coba bahas dari aspek keamanan aja, karena kebetulan saya meneliti di bidang ini 🙂

Sebelum membahas registrasinya, kita coba bahas tentang kartu SIM ini terlebih dahulu. Kartu SIM (Subscriber Identity Module) adalah kartu akses agar kita sebagai pelanggan bisa terhubung dengan jaringan suatu operator. Jadi bisa dikatakan kartu SIM adalah kunci untuk bisa bergabung dengan jaringan operator, entah Telkomsel, XL, Indosat, atau operator lainnya. Karena menjadi kunci akses, maka kartu SIM harus menyimpan informasi penting seperti:

• nomor khusus dan unik:
  • serial number ICCID (integrated circuit card identifier) yg bersifat unik dan diberikan oleh pabrik pembuat kartu tersebut (bukan oleh operator)
  • nomor telpon IMSI (international mobile subscriber identity) yg diberikan oleh operator khusus hanya untuk 1 kartu tersebut,
• informasi keamanan (autentikasi dan enkripsi),
• dua buah password: PIN dan PUK,

dan karena sisa memory di kartu SIM masih cukup banyak (biasanya 64 kB), maka sisanya bisa digunakan untuk:

• menyimpan konten SMS,
• menyimpan kontak (phone-book), dan
• beberapa informasi tambahan khusus yg didesain oleh masing2 operator (beda operator beda informasi tambahan).

Karena SIM berfungsi menyimpan informasi, maka kartu SIM adalah smart card yg bisa disetarakan dengan flash disk yg sering kita gunakan untuk menyimpan file.

Sekarang mari kita bahas registrasi kartu SIM. Kalau dilihat dari skenario registrasi yang ada di website Kominfo, maka urutannya spt ini:

1. kita mengirimkan SMS ke 4444 yg berisi nomor KTP dan nomor KK (tidak perlu mengirimkan informasi lain selain nomor KTP dan KK)
2. server 4444 di dalam jaringan operator anda akan menerima SMS ini dan mengirimkan isi SMS ke server Dukcapil (Kependudukan dan Catatan Sipil) lewat Internet
3. jika nomor KTP sesuai dengan nomor KK maka server dukcapil akan mengirimkan balasan semacam “Okay” ke server 4444, tapi jika kedua nomor  teb tidak sesuai maka server dukcapil akan mengirimkan balasan semacam “Tidak okay”
4. pesan “Okay” atau “Tidak okay” ini akan diteruskan ke kita sebagai pelanggan

Sekarang yuk kita analisa skenario tsb. Kita coba analisa dari kekawatiran yg berkembang di masyarakat.

Ada beberapa kekawatiran di masyarakat terkait registrasi kartu SIM ini:

• Gimana kalau data KTP dan KK kita dicuri?
  analisa: okay, kita analisa berdasarkan sudut pandang orang yg ingin mencuri data nomor KTP dan KK. Jika dilihat tahapan registrasi, data nomor KTP dan KK akan melewati server 4444 dan server dukcapil melalui Internet.
  1. Jaringan operator anda bisa kita asumsikan aman, karena jaringan ini private (dikendalikan penuh oleh operator ybs)
  2. Bagaimana dengan server 4444? Bisa kita asumsikan aman juga karena server tsb juga masih ada di jaringan private operator
  3. Bagaimana dengan server Dukcapil? Seluruh data nomor KTP dan KK sudah ada di sini, jadi kalau seseorang ingin mencuri data nomor KTP dan KK ya mestinya diarahkan ke sini. Jadi mau ada acara registrasi kartu SIM atau nda ya nda ada hubungannya dengan kekawatiran data nomor KTP dan KK akan dicuri dari server Dukcapil. Berarti nda ada kaitannya dg registrasi kartu SIM, lha wong datanya udah ada di server Dukcapil tsb kok
  4. Bagaimana dengan Internet? Koneksi antara server 4444 dg server Dukcapil sudah pasti aman, karena hanya server 4444 yg boleh “bertanya” pada server Dukcapil dan ini sudah pasti diamankan melalui berbagai mekanisme:
     1. server 4444 harus mengirimkan credential tertentu ke server Dukcapil untuk bisa bertanya. Credential disini bisa mencakup username, password, dan informasi keamanan lainnya (spt misalnya session key, random ID, kunci enkripsi, dll)
     2. alamat IP dari server 4444 dikunci di server Dukcapil, sehingga hanya server2 tertentu saja yg bisa “bertanya” ke server Dukcapil
     3. alamat MAC dari server 4444 dikunci di server Dukcapil, sehingga hanya server2 tertentu saja yg bisa “bertanya” ke server Dukcapil (cat: mekanisme ini cukup sulit diterapkan, karena alamat MAC biasanya akan hilang kalau melewati router)
     4. tunneling spt VPN, sehingga hanya server2 tertentu yg bisa “bertanya” ke server Dukcapil

• Kesimpulan: data nomor KTP dan KK dapat diasumsikan aman selama proses registrasi kartu SIM

• Gimana kalau data KTP dan KK kita dipakai untuk membuat KTP palsu?

  analisa: okay, kita analisa berdasarkan pihak yg ingin membuat KTP palsu. Siapa yg ingin membuat KTP palsu? Pemerintah? Lha data nomor KTP dan KK kan sudah tersedia semuanya di server Dukcapil. Jadi mau ada acara registrasi kartu SIM atau nda ya nda ada hubungannya dengan kekawatiran data nomor KTP dan KK akan dicuri dari server Dukcapil

• Kesimpulan: proses registrasi kartu SIM ini hanya menambahkan nomor hape kita ke data Dukcapil, yang tadinya sudah ada nomor KTP dan nomor KK, sekarang ditambahkan nomor hape

Jadi menurut saya kekawatiran masyarakat terhadap acara registrasi kartu SIM ini belum cukup kuat. Justru dengan adanya nomor hape di data Dukcapil akan lebih banyak manfaatnya, spt misalnya:

• Tidak akan ada lagi penipu berbasis hape, spt minta pulsa, keluarga ada di rumah sakit dan perlu biaya tambahan dg cepat, menang undian, minta transfer, dll
• Sosial media akan lebih tenang dan kondusif untuk diskusi dan berbagi karena berkurangnya informasi yang salah (hoax, framing, disinformasi, dll)

Memang ada beberapa hal yg perlu diperhatikan:

• Karena 1 nomor KTP bisa menyimpan sampai 3 nomor hape, sebaiknya kuota tersebut dihabiskan agar tidak ada orang lain yg menggunakan nomor KTP kita
• Agar diingat juga, registrasi ini berlaku khusus untuk kartu prabayar, jadi yg pasca bayar belum perlu kuatir
• Keamanan selama proses data harus diaudit untuk memberikan rasa aman dan nyaman pada masyarakat

Silahkan jika ada yg ingin ditambahkan atau diklarifikasi  🙂