Anda mungkin sudah sering mengirim dokumen bisnis yangdi-attach pada e-mail melalui Internet. Efisien, cepat dan murah. Tapi mungkinkita lupa bahwa Internet adalah suatu public network yang tidak aman. Saatpengiriman dokumen, seseorang bisa saja dengan ilegal mengubah isi dokumen itutanpa diketahui pengirim atau penerima. Tanpa fasilitas keamanan yang baik,sang penerima akan menerima dokumen tersebut tanpa mencurigai adanya perubahan.
Namun jika pengirim membubuhkan tanda tangan digital padadokumen itu, penerima dapat merasa yakin bahwa setelah ditandatangani pengirim,dokumen itu tidak ada yang memanipulasi saat dalam perjalanan.
Sifat dimiliki oleh tanda tangan digital adalah:
- otentik, tak bisa/sulit ditulis/ditiru oleh orang lain. Pesan dan tanda tangan pesan tersebut juga dapat menjadi barang bukti, sehingga penandatangan tak bisa menyangkal bahwa dulu ia tidak pernah menandatanganinya.
- hanya sah untuk dokumen (pesan) itu saja atau kopinya yang sama persis. Tanda tangan itu tidak bisa dipindahkan ke dokumen lainnya, meskipun dokumen lain itu hanya berbeda sedikit. Ini juga berarti bahwa jika dokumen itu diubah, maka tanda tangan digital dari pesan tersebut tidak lagi sah.
- dapat diperiksa dengan mudah, termasuk oleh pihak-pihak yang belum pernah bertatap muka langsung dengan penandatangan.
Teknologi tanda tangan digital memanfaatkan teknologi kuncipublik. Sepasang kunci publik-privat dibuat untuk keperluan seseorang. Kunciprivat disimpan oleh pemiliknya, dan dipergunakan untuk membuat tanda tangandigital. Sedangkan kunci publik dapat diserahkan kepada siapa saja yang inginmemeriksa tanda tangan digital yang bersangkutan pada suatu dokumen. Prosespembuatan dan pemeriksaan tanda tangan ini melibatkan sejumlah teknikkriptografi seperti hashing (membuat ‘sidik jari’ dokumen) dan enkripsiasimetris. Meskipun tidak dijelaskan dalam tulisan ini, teknologi kunci publikjuga bisa dipergunakan untuk menyandikan/ merahasiakan isi dokumen.
Namun sebenarnya ada masalah dalam pendistribusian kuncipubliknya. Katakanlah Anto hendak mengirim kunci publiknya (PbA) kepada Badu.Tapi saat kunci itu dikirim lewat jaringan publik, Maling mencuri kunci PbA.Kemudian Maling menyerahkan kunci publiknya (PbM) kepada Badu, sambilmengatakan bahwa kunci itu adalah kunci publik milik Anto. Badu, karena tidakpernah memegang kunci publik Anto yang asli, percaya saja saat menerima PbM.Saat Anto hendak mengirim dokumen yang telah ditandatanganinya dengan kunciprivatnya (PvA) kepada Badu, sekali lagi Maling mencurinya. Tanda tangan Antopada dokumen itu lalu dihapus, dan kemudian Maling membubuhkan tanda tangannyadengan kunci privatnya (PvM). Maling mengirim dokumen itu ke Badu sambilmengatakan bahwa dokumen ini berasal dari Anto dan ditandatangani oleh Anto.Badu kemudian memeriksa tanda tangan itu, dan mendapatkan bahwa tanda tanganitu sah dari Anto. Tentu saja kelihatan sah, karena Badu memeriksanya dengankunci publik PbM, bukan dengan PbA.
Gambar 1. Konsep sertifikatdigital
Untuk mengatasi masalah sekuriti pendistribusian kuncipublik, maka kunci publik itu ‘direkatkan’ pada suatu sertifikat digital.Sertifikat digital selain berisi kunci publik juga berisi informasi lengkapmengenai jati diri pemilik kunci tersebut, sebagaimana layaknya KTP, sepertinomor seri, nama pemilik, kode negara/perusahaan, masa berlaku dsb. Sama halnyadengan KTP, sertifikat digital juga ditandatangani secara digital oleh lembagayang mengeluarkannya, yakni otoritas sertifikat (OS) atau certificate authority(CA). Dengan menggunakan kunci publik dari suatu sertifikat digital, pemeriksatanda tangan dapat merasa yakin bahwa kunci publik itu memang berkorelasidengan seseorang yang namanya tercantum dalam sertifikat digital itu.
Gambar 2. Dialog boxuntuk membuat sertifikat digital pada Microsot Outlook
Kini Internet tools versi terbaru dari Microsoft danNetscape sudah menyediakan fasilitas bagi penggunaan sertifikat digital user.Dengan Outlook Express dari Microsoft Internet Explorer 4.0 misalnya, kita bisamemesan suatu sertifikat digital melalui menu Tools Options Security, lalumengklik [Get Digital ID…]. Sedangkan pada Netscape Communicator 4.0, halserupa dilakukan dengan menekan tombol Security pada toolbar, lalu mengklikCertificate Yours, lantas mengklik tombol [Get A Certificate…]. Sertifikat yangdidapatkan itu kemudian disimpan di hard disk, dan diproteksi dengan password.Patut dicatat bahwa teknologi kunci publik dan sertifikat digital pada keduaproduk ini juga dipergunakan untuk melakukan proses merahasiakan/menyandikandata, sehingga tidak ada pihak ketiga yang bisa membaca data yang sedangdikirimkan.
Gambar 3. Dialog boxuntuk membuat sertifikat digital pada Netscape Communicator
Sebenarnya perkakas terbaik yang digunakan untuk membuattanda tangan digital adalah smart card. Di dalam smart card tersimpan kunciprivat dan sertifikat digital, namun yang bisa dikeluarkan dari smart cardhanya sertifikat digital saja (untuk keperluan verifikasi tanda tangan).Sedangkan kunci privat tidak bisa diintip oleh apapun dari luar smartcard,karena hanya dipakai untuk proses penandatanganan yang dilakukan di dalam smartcard.
Arrianto Mukti Wibowo, S.Kom © 1998, asisten dosen FakultasIlmu Komputer / Pusat Ilmu Komputer Universitas Indonesia
Tidak ada komentar:
Posting Komentar