Anda mungkin sudah sering mengirim dokumen bisnis yang
di-attach pada e-mail melalui Internet. Efisien, cepat dan murah. Tapi mungkin
kita lupa bahwa Internet adalah suatu public network yang tidak aman. Saat
pengiriman dokumen, seseorang bisa saja dengan ilegal mengubah isi dokumen itu
tanpa diketahui pengirim atau penerima. Tanpa fasilitas keamanan yang baik,
sang penerima akan menerima dokumen tersebut tanpa mencurigai adanya perubahan.
Namun jika pengirim membubuhkan tanda tangan digital pada
dokumen itu, penerima dapat merasa yakin bahwa setelah ditandatangani pengirim,
dokumen itu tidak ada yang memanipulasi saat dalam perjalanan.
Sifat dimiliki oleh tanda tangan digital adalah:
- otentik, tak bisa/sulit ditulis/ditiru oleh orang lain. Pesan dan tanda tangan pesan tersebut juga dapat menjadi barang bukti, sehingga penandatangan tak bisa menyangkal bahwa dulu ia tidak pernah menandatanganinya.
- hanya sah untuk dokumen (pesan) itu saja atau kopinya yang sama persis. Tanda tangan itu tidak bisa dipindahkan ke dokumen lainnya, meskipun dokumen lain itu hanya berbeda sedikit. Ini juga berarti bahwa jika dokumen itu diubah, maka tanda tangan digital dari pesan tersebut tidak lagi sah.
- dapat diperiksa dengan mudah, termasuk oleh pihak-pihak yang belum pernah bertatap muka langsung dengan penandatangan.
Teknologi tanda tangan digital memanfaatkan teknologi kunci
publik. Sepasang kunci publik-privat dibuat untuk keperluan seseorang. Kunci
privat disimpan oleh pemiliknya, dan dipergunakan untuk membuat tanda tangan
digital. Sedangkan kunci publik dapat diserahkan kepada siapa saja yang ingin
memeriksa tanda tangan digital yang bersangkutan pada suatu dokumen. Proses
pembuatan dan pemeriksaan tanda tangan ini melibatkan sejumlah teknik
kriptografi seperti hashing (membuat ‘sidik jari’ dokumen) dan enkripsi
asimetris. Meskipun tidak dijelaskan dalam tulisan ini, teknologi kunci publik
juga bisa dipergunakan untuk menyandikan/ merahasiakan isi dokumen.
Namun sebenarnya ada masalah dalam pendistribusian kunci
publiknya. Katakanlah Anto hendak mengirim kunci publiknya (PbA) kepada Badu.
Tapi saat kunci itu dikirim lewat jaringan publik, Maling mencuri kunci PbA.
Kemudian Maling menyerahkan kunci publiknya (PbM) kepada Badu, sambil
mengatakan bahwa kunci itu adalah kunci publik milik Anto. Badu, karena tidak
pernah memegang kunci publik Anto yang asli, percaya saja saat menerima PbM.
Saat Anto hendak mengirim dokumen yang telah ditandatanganinya dengan kunci
privatnya (PvA) kepada Badu, sekali lagi Maling mencurinya. Tanda tangan Anto
pada dokumen itu lalu dihapus, dan kemudian Maling membubuhkan tanda tangannya
dengan kunci privatnya (PvM). Maling mengirim dokumen itu ke Badu sambil
mengatakan bahwa dokumen ini berasal dari Anto dan ditandatangani oleh Anto.
Badu kemudian memeriksa tanda tangan itu, dan mendapatkan bahwa tanda tangan
itu sah dari Anto. Tentu saja kelihatan sah, karena Badu memeriksanya dengan
kunci publik PbM, bukan dengan PbA.
Gambar 1. Konsep sertifikat
digital
Untuk mengatasi masalah sekuriti pendistribusian kunci
publik, maka kunci publik itu ‘direkatkan’ pada suatu sertifikat digital.
Sertifikat digital selain berisi kunci publik juga berisi informasi lengkap
mengenai jati diri pemilik kunci tersebut, sebagaimana layaknya KTP, seperti
nomor seri, nama pemilik, kode negara/perusahaan, masa berlaku dsb. Sama halnya
dengan KTP, sertifikat digital juga ditandatangani secara digital oleh lembaga
yang mengeluarkannya, yakni otoritas sertifikat (OS) atau certificate authority
(CA). Dengan menggunakan kunci publik dari suatu sertifikat digital, pemeriksa
tanda tangan dapat merasa yakin bahwa kunci publik itu memang berkorelasi
dengan seseorang yang namanya tercantum dalam sertifikat digital itu.
Gambar 2. Dialog box
untuk membuat sertifikat digital pada Microsot Outlook
Kini Internet tools versi terbaru dari Microsoft dan
Netscape sudah menyediakan fasilitas bagi penggunaan sertifikat digital user.
Dengan Outlook Express dari Microsoft Internet Explorer 4.0 misalnya, kita bisa
memesan suatu sertifikat digital melalui menu Tools Options Security, lalu
mengklik [Get Digital ID…]. Sedangkan pada Netscape Communicator 4.0, hal
serupa dilakukan dengan menekan tombol Security pada toolbar, lalu mengklik
Certificate Yours, lantas mengklik tombol [Get A Certificate…]. Sertifikat yang
didapatkan itu kemudian disimpan di hard disk, dan diproteksi dengan password.
Patut dicatat bahwa teknologi kunci publik dan sertifikat digital pada kedua
produk ini juga dipergunakan untuk melakukan proses merahasiakan/menyandikan
data, sehingga tidak ada pihak ketiga yang bisa membaca data yang sedang
dikirimkan.
Gambar 3. Dialog box
untuk membuat sertifikat digital pada Netscape Communicator
Sebenarnya perkakas terbaik yang digunakan untuk membuat
tanda tangan digital adalah smart card. Di dalam smart card tersimpan kunci
privat dan sertifikat digital, namun yang bisa dikeluarkan dari smart card
hanya sertifikat digital saja (untuk keperluan verifikasi tanda tangan).
Sedangkan kunci privat tidak bisa diintip oleh apapun dari luar smartcard,
karena hanya dipakai untuk proses penandatanganan yang dilakukan di dalam smart
card.
Arrianto Mukti Wibowo, S.Kom © 1998, asisten dosen Fakultas
Ilmu Komputer / Pusat Ilmu Komputer Universitas Indonesia
No comments :
Post a Comment