BLOG | VIDA DIGITAL IDENTITY

Istilah Penting Seputar Tanda Tangan Digital

Written by VIDA | Dec 28, 2020 5:00:00 PM

Penggunaan tanda tangan digital beriringan dengan penggunaan sejumlah istilah baru bagi orang-orang yang awam terhadap istilah dunia kriptografi atau teknologi informasi. Bila Anda sedang meriset untuk penggunaan layanan digital signature Indonesia di kantor Anda, baik untuk kebutuhan tanda tangan kontrak digital maupun keperluan spesifik di bidang perbankan, atau institusi keuangan lain seperti pembiayaan hingga fintech, tulisan ini memperkenalkan sejumlah istilah yang bisa membuka mata mengenai cara kerja digital signature.

 

Saat ini, digital signature yang resmi diakui negara divalidasi oleh enam penyelenggara sertifikasi elektronik. Selain tiga badan/perusahaan negara, salah satu swasta adalah VIDA (PT Identitas Digital Indonesia) sebagai penyelenggara yang diakui dengan status Tersertifikat. Baca juga: Penggunaan Tanda Tangan Digital Meluas, Tak Perlu Cemas Sisi Keamanan dan Legalitasnya.

 

Tanda Tangan Digital

Regulasi di Indonesia, yaitu Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), mendefinisikan tanda tangan digital sebagai tanda tangan yang terdiri atas informasi elektronik yang dilekatkan, terasosiasi atau terkait dengan informasi elektronik lainnya.

 

Mengutip publikasi Mahkamah Agung,

 
“Setiap sistem elektronik instansi yang membutuhkan persetujuan atau tanda tangan digital dari pejabat yang terkait akan mengirimkan dokumen elektronik kepada sistem Tanda Tangan digital. Sistem tersebut kemudian mengirimkan notifikasi ke perangkat yang digunakan oleh pejabat yang bersangkutan dan pejabat tersebut dapat menandatangani secara elektronik dokumen yang telah diterima.”

Bentuk tanda tangan digital bisa secara visual mirip dengan tanda tangan basah (hasil pindai maupun hasil tanda tangan di perangkat elektronik), sidik jari, ataupun cap, hingga termasuk juga jenis yang menggunakan algoritma lebih rumit, yaitu tanda tangan digital.

 

Tanda tangan digital dalam definisi CISA (Cybersecurity & Infrastructure Security Agency AS) adalah salah satu jenis tanda tangan digital berupa algoritma matematis yang digunakan untuk memvalidasi otentisitas dan integritas sebuah pesan--misalnya email, transaksi kartu kredit, dokumen digital.

 

Tanda tangan digital tiap subjek/entitas (bisa individu atau organisasi) adalah unik, dan digunakan untuk mengidentifikasi sebuah individu/organisasi, melindungi informasi dalam pesan atau dokumen digital. Tanda tangan digital memiliki tingkat keamanan tinggi dibanding tanda tangan digital lainnya karena melibatkan proses enkripsi dan dekripsi menggunakan kunci-kunci unik.

 

Fungsi Hash/Hashing

Hash atau fungsi hash adalah rangkaian angka dan huruf yang dihasilkan dari algoritma matematis terhadap sebuah file, bisa berupa email, dokumen, media, dan lain-lain. Berapapun ukuran file itu, rangkaian/string angka dan huruf hash panjangnya selalu sama.

 

Rangkaian hash yang dihasilkan dari sebuah file selalu unik, dan merupakan fungsi satu arah yang artinya komputasinya tidak bisa dibalik untuk mencari atau menandai file lain yang mirip. Beberapa algoritma hashing yang populer saat ini adalah Secure Hash Algorithm-1 (SHA-1), keluarga Secure Hashing Algorithm-2 (SHA-2 dan SHA-256), dan Message Digest 5 (MD5).

 

Bila ada dua data yang hampir mirip, namun berbeda meski hanya satu bit saja, maka hasil hash-nya pasti akan berbeda. Contohnya, hasil hash kata “indonesia” dengan algoritma MD5 adalah cda2c99fbf5e19f20d331299c15a4491, sementara hasil hash “Indonesia” (dengan huruf i besar) adalah 4647d00cf81f8fb0ab80f753320d0fc9. Hasil keduanya unik dan tidak ada kemiripan meski data asalnya hanya berbeda kapitalisasi satu huruf.

 

Fungsi hashing ini terjadi di berbagai tahapan dalam proses tanda tangan digital sebuah dokumen.

 

Public Key Infrastructure (PKI)

Infrastruktur kunci publik adalah sekumpulan peran, kebijakan, perangkat keras, perangkat lunak, sistem, dan prosedur yang diperlukan untuk membuat, mengelola, mendistribusikan, menggunakan, menyimpan dan mencabut sertifikat digital dan mengelola enkripsi public-key/kunci publik, serta memvalidasi identitas suatu entitas.

 

Tujuan sebuah public key infrastructure adalah untuk memfasilitasi transfer informasi elektronik yang aman untuk berbagai aktivitas jaringan, khususnya yang membutuhkan konfirmasi identitas pihak-pihak yang terlibat dalam komunikasi; untuk memvalidasi informasi yang ditransfer, di mana sekadar kata sandi bukanlah metode autentikasi maupun pembuktian yang memadai. Contohnya pada aktivitas e-commerce, internet banking, dan email konfidensial.

 

Dalam kriptografi, public key infrastructure adalah pengaturan yang mengikat kunci publik dengan identitas tiap entitas, misalnya orang dan organisasi. Pengikatan ditetapkan melalui proses registrasi dan penerbitan sertifikat di dan oleh certificate authority (CA). Bergantung pada tingkat jaminan pengikatan, ini dapat dilakukan dengan proses otomatis atau di bawah pengawasan manusia.

 

Certificate Authority (CA)/Penyelenggara Sertifikasi Elektronik (PSrE)

CA—atau PSrE dalam istilah resmi Indonesia, adalah pihak ketiga yang menerbitkan sertifikat elektronik berdasarkan teknologi yang menjamin autentikasi pemilik data dan integritas data yang dikirim.

 

CA/PSrE memvalidasi identitas seseorang, bisa membuat pasangan kunci publik/privat atas nama seseorang, atau mengasosiasikan kunci publik yang sudah ada dengan pemiliknya yang sah. Ketika PSrE memvalidasi identitas seseorang, PSrE mengeluarkan sertifikat digital yang dibubuhi tanda tangan digital oleh PSrE itu. Sertifikat digital tersebut bisa dipakai untuk memverifikasi orang yang diasosiasikan dengan kunci publiknya.

 

Demi kepastian hukum, di Indonesia saat ini pemerintah mengakui enam PSrE termasuk tiga perusahaan swasta, salah satunya VIDA (PT Identitas Digital Indonesia). Pengakuan resmi itu agar pemakai jasa PSrE mengetahui dan meyakini legalitas tanda tangan digital dan sertifikat elektronik yang dikelola dan dikeluarkan penyelenggara.

 

Di UU ITE, Penyelenggara Sertifikasi Elektronik didefinisikan sebagai “badan hukum yang berfungsi sebagai pihak yang layak dipercaya, yang memberikan dan mengaudit Sertifikat Elektronik”.

 

Public Key (Kunci Publik) dan Private Key (Kunci Privat)

Public key cryptography adalah metode kriptografi yang memakai sistem pasangan kunci. Satu kunci disebut public key atau kunci publik, yang bisa didistribusikan untuk dipakai pengirim maupun penerima pesan/dokumen. Pasangannya adalah private key atau kunci privat yang, sesuai namanya, hanya dimiliki dan digunakan satu pihak saja.

 

Disebut juga enkripsi asimetris karena bila kunci privat pengirim dipakai mengenkripsi, maka pasangan kunci publiknya dipakai untuk mendekripsi. Demikian juga sebaliknya bila kunci publik penerima dipakai untuk mengenkripsi, maka harus didekripsi dengan kunci privat si penerima.

 

Kriptografi kunci publik bisa menjamin kerahasiaan, integritas, dan otentisitas dengan cara:

 
  • Menjamin integritas dengan membuat tanda tangan digital dari sebuah pesan menggunakan kunci privat si pengirim. Ini dilakukan dengan menjalankan fungsi hash terhadap pesan, lalu meng enkripsi nilai hash itu memakai kunci privat. Dengan cara ini, perubahan sesedikit apapun terhadap pesan tersebut akan menghasilkan nilai hash yang berbeda.

  • Menjamin kerahasiaan dengan cara mengenkripsi keseluruhan pesan dengan kunci publik si penerima. Artinya hanya si penerima yang dituju, dengan kepemilikan kunci privatnya, yang bisa membaca pesan itu.

  • Memverifikasi identitas pengguna menggunakan kunci publiknya, dan memeriksakannya ke Certificate Authority/Penyelenggara Sertifikat Elektronik terkait.

Sertifikat Elektronik/Sertifikat Digital

Seperti KTP, sertifikat elektronik bertujuan untuk mengidentifikasi pemegang sertifikat, yaitu subjek hukum sebuah transaksi elektronik. Sertifikat ini mengandung kunci publik individu atau organisasi terkait, dan memuat juga tanda tangan digital sebuah PSrE/CA. Sertifikat digital seringkali juga memuat informasi lainnya seputar individu atau organisasi terkait dan PSrE yang merilis.

 

Dalam definisi UU ITE: “Sertifikat Elektronik adalah sertifikat yang bersifat elektronik yang memuat Tanda Tangan Digital dan identitas yang menunjukkan status subjek hukum para pihak dalam Transaksi Elektronik yang dikeluarkan oleh Penyelenggara Sertifikasi Elektronik”.

 

Transaksi Elektronik

Menurut UU ITE, Transaksi Elektronik adalah perbuatan hukum yang dilakukan dengan menggunakan komputer, jaringan komputer, dan/atau media elektronik lainnya.

 

Artinya, transaksi elektronik mencakup banyak sekali jenis kegiatan seperti perjanjian elektronik melalui internet, perniagaan elektronik di situs e-commerce, bahkan bisa mencakup pengiriman pesan di media sosial, dan lain-lain.

 

Cara Kerja Digital Signature

Tanda tangan digital membuktikan sebuah pesan digital atau dokumen digital tidak dimodifikasi—sengaja atau tidak—sejak ia ditandatangani.

 

Caranya, proses tanda tangan digital diawali dengan membuat hash unik dari sebuah pesan/dokumen, dan mengenkripsinya memakai kunci privat pengirim. Perubahan secuil apapun ke pesan atau dokumen, tentu akan mengubah nilai hash. Setelah itu, pesan digital atau dokumen digital tersebut diberi tanda tangan digital dan dikirim ke penerima.

 

Penerima lalu membuat sendiri hash dari pesan/dokumen yang ia terima, sambil mendekripsi hash dari si pengirim memakai kunci publik si pengirim. Penerima membandingkan hash yang ia buat sendiri dengan hash dari si pengirim yang sudah didekripsi tadi. Bila nilai kedua hash tersebut identik, maka dipastikan pesan/dokumen digitalnya tidak dimodifikasi dan pengirimnya juga autentik.

 

 

 

Baca juga: FAQ VIDA.