Tanda tangan dan sertifikat digital: Suatu tinjauan dalam konteks hukum di Indonesia

Tanda tangan digital & sertifikat digital:
Apa itu?

Arrianto Mukti Wibowo, 1998

Artikel ini muncul pada Infokomputer edisi Internet Juni 1998

Anda mungkin sudah sering mengirim dokumen bisnis yang di-attach pada e-mail melalui Internet. Efisien, cepat dan murah. Tapi mungkin kita lupa bahwa Internet adalah suatu public network yang tidak aman. Saat pengiriman dokumen, seseorang bisa saja dengan ilegal mengubah isi dokumen itu tanpa diketahui pengirim atau penerima. Tanpa fasilitas keamanan yang baik, sang penerima akan menerima dokumen tersebut tanpa mencurigai adanya perubahan.

Namun jika pengirim membubuhkan tanda tangan digital pada dokumen itu, penerima dapat merasa yakin bahwa setelah ditandatangani pengirim, dokumen itu tidak ada yang memanipulasi saat dalam perjalanan.

Sifat dimiliki oleh tanda tangan digital adalah:

otentik, tak bisa/sulit ditulis/ditiru oleh orang lain. Pesan dan tanda tangan pesan tersebut juga dapat menjadi barang bukti, sehingga penandatangan tak bisa menyangkal bahwa dulu ia tidak pernah menandatanganinya.
hanya sah untuk dokumen (pesan) itu saja atau kopinya yang sama persis. Tanda tangan itu tidak bisa dipindahkan ke dokumen lainnya, meskipun dokumen lain itu hanya berbeda sedikit. Ini juga berarti bahwa jika dokumen itu diubah, maka tanda tangan digital dari pesan tersebut tidak lagi sah.
dapat diperiksa dengan mudah, termasuk oleh pihak-pihak yang belum pernah bertatap muka langsung dengan penandatangan.

Teknologi tanda tangan digital memanfaatkan teknologi kunci publik. Sepasang kunci publik-privat dibuat untuk keperluan seseorang. Kunci privat disimpan oleh pemiliknya, dan dipergunakan untuk membuat tanda tangan digital. Sedangkan kunci publik dapat diserahkan kepada siapa saja yang ingin memeriksa tanda tangan digital yang bersangkutan pada suatu dokumen. Proses pembuatan dan pemeriksaan tanda tangan ini melibatkan sejumlah teknik kriptografi seperti hashing (membuat ‘sidik jari’ dokumen) dan enkripsi asimetris. Meskipun tidak dijelaskan dalam tulisan ini, teknologi kunci publik juga bisa dipergunakan untuk menyandikan/ merahasiakan isi dokumen.

Namun sebenarnya ada masalah dalam pendistribusian kunci publiknya. Katakanlah Anto hendak mengirim kunci publiknya (Pb_A) kepada Badu. Tapi saat kunci itu dikirim lewat jaringan publik, Maling mencuri kunci Pb_A. Kemudian Maling menyerahkan kunci publiknya (Pb_M) kepada Badu, sambil mengatakan bahwa kunci itu adalah kunci publik milik Anto. Badu, karena tidak pernah memegang kunci publik Anto yang asli, percaya saja saat menerima Pb_M. Saat Anto hendak mengirim dokumen yang telah ditandatanganinya dengan kunci privatnya (Pv_A) kepada Badu, sekali lagi Maling mencurinya. Tanda tangan Anto pada dokumen itu lalu dihapus, dan kemudian Maling membubuhkan tanda tangannya dengan kunci privatnya (Pv_M). Maling mengirim dokumen itu ke Badu sambil mengatakan bahwa dokumen ini berasal dari Anto dan ditandatangani oleh Anto. Badu kemudian memeriksa tanda tangan itu, dan mendapatkan bahwa tanda tangan itu sah dari Anto. Tentu saja kelihatan sah, karena Badu memeriksanya dengan kunci publik Pb_M, bukan dengan Pb_A.

Gambar 1. Konsep sertifikat digital

Untuk mengatasi masalah sekuriti pendistribusian kunci publik, maka kunci publik itu ‘direkatkan’ pada suatu sertifikat digital. Sertifikat digital selain berisi kunci publik juga berisi informasi lengkap mengenai jati diri pemilik kunci tersebut, sebagaimana layaknya KTP, seperti nomor seri, nama pemilik, kode negara/perusahaan, masa berlaku dsb. Sama halnya dengan KTP, sertifikat digital juga ditandatangani secara digital oleh lembaga yang mengeluarkannya, yakni otoritas sertifikat (OS) atau certificate authority (CA). Dengan menggunakan kunci publik dari suatu sertifikat digital, pemeriksa tanda tangan dapat merasa yakin bahwa kunci publik itu memang berkorelasi dengan seseorang yang namanya tercantum dalam sertifikat digital itu.

Gambar 2. Dialog box untuk membuat sertifikat digital pada Microsot Outlook

Kini Internet tools versi terbaru dari Microsoft dan Netscape sudah menyediakan fasilitas bagi penggunaan sertifikat digital user. Dengan Outlook Express dari Microsoft Internet Explorer 4.0 misalnya, kita bisa memesan suatu sertifikat digital melalui menu Tools Options Security, lalu mengklik [Get Digital ID…]. Sedangkan pada Netscape Communicator 4.0, hal serupa dilakukan dengan menekan tombol Security pada toolbar, lalu mengklik Certificate Yours, lantas mengklik tombol [Get A Certificate…]. Sertifikat yang didapatkan itu kemudian disimpan di hard disk, dan diproteksi dengan password. Patut dicatat bahwa teknologi kunci publik dan sertifikat digital pada kedua produk ini juga dipergunakan untuk melakukan proses merahasiakan/menyandikan data, sehingga tidak ada pihak ketiga yang bisa membaca data yang sedang dikirimkan.

Gambar 3. Dialog box untuk membuat sertifikat digital pada Netscape Communicator

Sebenarnya perkakas terbaik yang digunakan untuk membuat tanda tangan digital adalah smart card. Di dalam smart card tersimpan kunci privat dan sertifikat digital, namun yang bisa dikeluarkan dari smart card hanya sertifikat digital saja (untuk keperluan verifikasi tanda tangan). Sedangkan kunci privat tidak bisa diintip oleh apapun dari luar smartcard, karena hanya dipakai untuk proses penandatanganan yang dilakukan di dalam smart card.

Untuk keterangan lebih jelas mengenai cara membuat dan memeriksa tanda tangan digital, CA dan validitas tanda tangan digital, silahkan menuju ke halaman berikut.