I. Bagaimana membuat dan memeriksa tanda tangan digital?

Meskipun ada banyak teknik penggunaan tanda tangan digital, ada baiknya kita tilik sebuah teknik yang umumnya dipakai. Tanda tangan digital memanfaatkan fungsi hash satu arah untuk menjamin bahwa tanda tangan itu hanya berlaku untuk dokumen yang bersangkutan saja. Tetapi bukan dokumen tersebut secara keseluruhan yang ditandatangani, namun biasanya yang ditandatangani hanyalah sidik jari dari dokumen itu beserta timestamp-nya, dengan menggunakan kunci privat. Timestamp berguna untuk menentukan waktu pengesahan dokumen.

Keabsahan tanda tangan digital itu dapat diperiksa oleh Badu. Pertama-tama Badu membuat lagi sidik jari dari pesan yang diterimanya. Lalu Badu mendekripsi tanda tangan digital Anto untuk mendapatkan sidik jari yang asli. Badu lantas membandingkan kedua sidik jari tersebut. Jka kedua sidik jari tersebut sama, maka dapat diyakini bahwa pesan tersebut ditandatangani oleh Anto.

II. Otoritas Sertifikat (Certificate Authority)

Sertifikat digital diterbitkan oleh otoritas sertifikat (OS). Seseorang atau suatu badan mendapatkan sertifikat digital jika sudah mendaftarkan diri mereka kepada otoritas sertifikat.

Otoritas sertikat tidak hanya menerbitkan sertifikat saja, namun juga memeriksa apakah suatu sertifikat digital masih berlaku atau tidak. Otoritas sertifikat selain memiliki daftar sertifikat digital yang telah diterbitkannya, juga memiliki apa yang disebut dengan daftar sertifikat yang dibatalkan (certificate revocation list). Daftar sertifikat terbatalkan (DSB) itu berisi sertifikat-sertifikat apa saja yang sudah tidak berlaku lagi karena tercuri, hilang atau ada perubahan identitas (misalnya perubahan alamat surat elektronik dan alamat rumah). Setiap kali ada pihak yang ingin memeriksa sertifikat digital, ia dapat menghubungi otoritas sertifikat secara on-line untuk memastikan bahwa sertifikat yang diterimanya masih berlaku. Jika semakin banyak sertifikat yang dibatalkan, tentu otoritas sertifikat akan terbebani dan akan memperlambat proses pemeriksaan sertifikat digital yang ingin diuji keabsahannya. Oleh karena itu, dalam sertifikat digital terdapat tanggal kadaluarsa. Sertifikat digital yang sudah melampaui tanggal kadaluarsa akan dihapus dari dalam DSB, karena tidak ada pihak manapun yang akan mau memeriksa sertifikat digital yang sudah kadaluarsa.

Otoritas sertifikat juga bisa dibuat secara hirarkis. Misalnya perusahaan Anda memiliki 1000 pegawai yang tersebar di 27 propinsi. Jika setiap pegawai harus mengurus sertifikat digitalnya sendiri-sendiri, tentu ini akan sangat merepotkan pegawai itu. Tentu lebih baik kalau sistem administrator perusahaan Anda membuatkan sertifikat bagi para pegawai. Nah, dalam kasus ini, sistem administrator bertindak sebagai otoritas sertifikat. Nah, sebuah otoritas sertifikat publik di luar perusahaan, sebelumnya akan memberikan izin kepada sistem administrator Anda untuk menjadi otoritas sertifikat. Dengan demikian, sebenarnya secara tidak langsung, sertifikat digital setiap pegawai Anda ditandatangani oleh otoritas sertifikat publik. Otoritas sertifikat publik yang memberikan izin kepada pihak lain untuk menjadi otoritas sertifikat sering disebut otoritas sertifikat utama (root certificate authority).

Pada sistem perdagangan di Internet yang menggunakan sertifikat digital, bagian rentan adalah keabsahan sertifikat milik otoritas sertifikat utama yang didistribusikan kepada konsumen. Oleh karena itu umumnya sertifikat digital milik OS utama (yang berisi kunci publik OS utama) dijadikan bagian yang integral dalam program aplikasi. Kalau diperhatikan lebih jeli lagi, sebenarnya yang penting adalah bagaimana pihak pengembang perangkat lunak bisa mendapatkan sertifikat digital milik OS utama yang terjamin keasliannya.

VeriSign, sebuah otoritas sertifikat publik yang didirikan pada bulan Mei 1995, menyediakan sertifikat digital untuk produk-produk terkenal dari Netscape dan Microsoft. Visa juga telah memilih VeriSign sebagai otoritas sertifikat yang dipergunakannya dalam implementasi protokol Secure Electronic Transaction (SET) yang dirancang oleh Visa dan MasterCard. Namun pihak MasterCard dan American Express memilih GTE CyberTrust sebagai otoritas sertifikat yang dipercaya. GTE memang memiliki pengalaman 10 tahun dalam membuat sertifikat digital untuk pemerintah federal Amerika Serikat. Berbeda dengan GTE, VeriSign lebih mengkonsentrasikan dirinya pada pemberian sertifikat digital untuk individu atau badan usaha umum.

III. Validitas teknologi kunci publik

Sebenarnya, teknologi kunci publik yang mendasari tanda tangan digital dan sertifikat digital tidaklah 100% kebal peluru. Secara teoritis sebenarnya sertifikat digital dapat dipalsukan atau dicuri. Bahkan, ada aksioma yang mengatakan bahwa tidak ada teknologi sekuriti apapun yang tidak bisa dijebol. Tapi ada dua faktor yang menjadi pertimbangan mengapa berbagai teknologi sekuriti (termasuk sertifikat digital) masih dipergunakan: (1) kenyataan bahwa biaya yang dikeluarkan oleh pemalsu untuk memecahkan kunci yang tepat relatif sangat tinggi (2) celah yang dapat dimanfaatkan untuk mencuri kunci sangat sempit sehingga sulit dicari oleh pencuri.

Masalah kedua adalah bahwa teknologi berkembang sedemikian pesat, dimana menurut hukum Moore, setiap 18 bulan, kemampuan komputer berlipat dua kali lipat pada harga komputer yang sama. Hal ini berimplikasi bahwa para pemalsu memiliki kemampuan memecah kunci dua kali lebih cepat setiap 18 bulan. Pada implementasi komersilnya, dalam melakukan penandatanganan kita tidak bisa menggunakan kunci yang terlalu panjang demi keamanan, karena akibatnya proses pemeriksaan terhadap tanda tangan menjadi lama. Meskipun demikian, teknologi tanda tangan digital tetap dapat dipakai karena waktu untuk membuat dan memeriksa tanda tangan jauh lebih singkat dari pada waktu memecahkan kunci secara ilegal. Bruce Schneier dalam bukunya Applied Cryptography, memberikan rekomendasi untuk menentukan panjang kunci yang akan dipakai agar tidak bisa dipalsukan sampai waktu tertentu.

Yang ketiga adalah kemungkinan munculnya teknologi revolusioner yang tidak mengindahkan kaidah hukum Moore. Jika dapat dibuat sebuah nanoprosesor pada skala molekuler (misalnya dengan DNA) atau skala atomik, tentu terjadi waktu yang dibutuhkan para pemalsu untuk memecahan kunci secara tidak legal menjadi sangat singkat, bahkan bisa jauh lebih cepat dari pada proses pemeriksaan tanda tangan dengan menggunakan teknologi mikroprosesor. Hal ini akan membuat seluruh perjanjian yang dibuat sebelumnya menjadi usang.

Kembali