|
|||||||
|
|
|
|||||
|
|
|||||||
Tandatangan dan Sertifikat Digital
Kunci Aman Bisnis di Internet
Anda tentu terbiasa kirim-mengirim dokumen bisnis yang di-attach pada e-mail melalui Internet. Efisien, cepat dan murah. Tetapi mungkin Anda lupa bahwa Internet adalah public network yang tidak aman. Saat pengiriman dokumen, seseorang bisa saja secara ilegal mengubah isi dokumen itu tanpa sepengetahuan pengirim atau penerima.
Tanpa fasilitas keamanan yang baik, sang penerima tak akan pernah mencurigai perubahan ilegal yang terjadi. Lain masalahnya, bila pengirim membubuhkan tandatangan digital pada dokumen itu, penerima akan merasa yakin bahwa setelah ditandatangani pengirim, dokumen itu tidak ada yang memanipulasi saat dalam perjalanan. Beberapa sifat tandatangan digital :
- Otentik, tak bisa/sulit ditulis/ditiru orang lain. Pesan dan tandatangan pesan tersebut juga dapat menjadi barang bukti, sehingga penandatangan tak bisa menyangkal bahwa dulu ia tidak pernah menandatanganinya
- Hanya sah untuk dokumen (pesan) itu saja atau salinannya yang sama persis. Tandatangan itu tidak isa dipindahkan ke dokumen lainnya, meskipun dokumen lain itu hanya berbeda sedikit. Ini juga berarti bahwa jika dokumen itu diubah, tandatangan digital dari pesan tersebut tidak lagi sah.
- Dapat diperiksa dengan mudah, termasuk oleh pihak - pihak yang belum pernah bertatap muka langsung dengan penandatangan.
Teknologi tandatangan digital memanfaatkan teknologi kunci publik. Sepasang kunci publik-privat dibuat guna keperluan seseorang. Kunci privat disimpan oleh pemiliknya, dan digunakan untuk membuat tandatangan digital.
Sedangkan kunci publik dapat diserahkan kepada siapa saja yang ingin memeriksa tandatangan digital yang bersangkutan pada suatu dokumen. Proses pembuatan dan pemeriksaan tandatangan ini melibatkan sejumlah teknik kriptografi seperti hashing (membuat 'sidik jari' dokumen) dan enkripsi asimetris. Lebih jauh, teknologi kunci publik juga digunakan untuk menyandi/merahasiakan isi dokumen.
Namun sebenarnya ada masalah dalam pendistribusian kunci publik. Katakanlah Anto hendak mengirim kunci publiknya (PbA) kepada Badu. Tetapi saat kunci itu dikirim lewat jaringan publik seorang Maling mencuri kunci PbA. Kemudian Maling menyerahkan kunci publiknya (PbM) kepada Badu, sambil mengatakan bahwa kunci itu adalah kunci milik Anto.
Badu, karena tidak pernah memegang kunci publik Anto yang asli, percaya saja saat menerima PbM. Saat Anto hendak mengirim dokumen yang telah ditandatanganinya dengan kunci privatnya (PvA) kepada Badu, sekali lagi Maling mencurinya. Tandatangan Anto pada dokumen itu dihapus, kemudian Maling membubuhkan tandatangannya dengan kunci privatnya (PvM).
Maling mengirim dokumen itu ke Badu sambil mengatakan bahwa dokumen ini berasal dari Anto dan ditandatangani oleh Anto. Badu, kemudian memeriksa tandatangan itu, dan mendapatkan bahwa tandatangan itu sah dari Anto. Tentu saja kelihatan sah, karena Badu memeriksanya dengan kunci publik PbM, bukan dengan PbA.
Untuk mengatasi masalah sekuriti pendistribusian kunci publik, kunci publik itu 'direkatkan' pada suatu sertifikat digital. Sertifikat digital selain berisi kunci publik juga berisi informasi lengkap mengenai jati diri pemilik kunci tersebut, sebagaimana layaknya KTP, seperti nomor seri, nama pemilik, kode negara/perusahaan, masa berlaku dsb.
Sama halnya dengan KTP, sertifikat digital juga ditandatangani secara digital oleh lembaga yang mengeluarkannya yakni otoritas sertifikat (OS) atau certificate authority. Dengan menggunakan kunci publik dari suatu sertifikat digital, pemeriksa tandatangan dapat merasa yakin bahwa kunci publik itu memang berkorelasi dengan seseorang yang namanya tercantum dalam sertifikat digital itu.
VeriSign, sebuah otoritas sertifikat publik yang berdiri sejak Mei 1995, menyediakan sertifikat digital untuk produk - produk Internet tools terkenal seperti Netscape dan Microsoft. Visa juga telah memilih VeriSign sebagai otoritas sertifikat yang digunakannya dalam implementasi protokol Secure Electronic Transaction (SET) yang dirancang oleh Visa dan MasterCard. Namun pihak MasterCard dan American Express memilih GTE CyberTrust sebagai otoritas sertifikat yang dipercaya. GTE memang memiliki pengalaman 10 tahun dalam membuat sertifikat digital untuk pemerintah federal Amerika Serikat.
Dengan Outlook Express dari Microsoft Internet Explorer 4.0 misalnya, kita bisa memesan suatu sertifikat digital melalui menu Tools Options Security, lalu mengklik [Get Digital ID...]. Sedangkan pada Netscape Communicator 4.0, dilakukan dengan menekan tombol Security pada toolbar, lalu mengklik Certificate Yours, dan mengklik tombol [Get A Certificate...]. Sertifikat yang didapatkan itu kemudian disimpan di harddisk, dan diproteksi dengan password.
Patut dicatat bahwa teknologi kunci publik dan sertifikat digital pada kedua produk ini juga digunakan untuk melakukan proses merahasiakan/menyandikan data, sehingga tidak ada pihak ketiga yang bisa membaca data yang sedang dikirimkan. Ada perkakas cukup baik yang digunakan untuk membuat tandatangan digital adalah smart card. Di dalam smart card tersimpan kunci privat dan sertifikat digital, namun yang bisa dikeluarkan dari smart card hanya sertifikat digital (untuk keperluan verifikasi tandatangan). Sedangkan kunci privat tidak bisa diintip oleh apapun di luar smart card, karena hanya dipakai untuk proses penandatanganan yang dilakukan di dalam smart card.
Alasan Perlunya Sertifikat Digital. Tidak ada teknologi kunci publik yang mendasari tandatangan digital dan sertifikat digital 100% kebal peluru. Secara teoritis, sertifikat digital dapat dipalsukan atau dicuri. Tapi ada dua faktor yang menjadi pertimbangan mengapa berbagai teknologi sekuriti termasuk sertifikat digital itu sangat diperlukan :
1. Kenyataan bahwa biaya yang dikeluarkan oleh pemalsu untuk memecahkan kunci yang tepat relatif sangat tinggi
2. Celah yang dapat dimanfaatkan untuk mencuri kunci sangat sempit sehingga sulit dicari oleh pencuri.
Masalah lain adalah bahwa teknologi berkembang sedemikian pesat, di mana menurut hukum Moore, setiap 18 bulan, kemampuan komputer berlipat dua kali lipat pada harga komputer yang sama. Hal ini berimplikasi bahwa para pemalsu memiliki kemampuan memecah kunci dua kali lebih cepat setiap 18 bulan. Pada implementasi komersilnya, dalam melakukan penandatanganan kita tidak bisa menggunakan kunci yang terlalu panjang demi keamanan, karena akibatnya proses pemeriksaan terhadap tandatangan menjadi lama. Meskipun demikian, teknologi tandatangan digital tetap dapat dipakai karena waktu untuk membuat dan memeriksa tandatangan jauh lebih singkat daripada waktu memecahkan kunci secara ilegal.
Selain itu, kemungkinan munculnya teknologi revolusioner yang tidak mengindahkan kaidah hukum Moore. Jika dapat dibuat sebuah nanoprosesor pada skala molekuler (misalnya dengan DNA) atau skala atomik, tentu terjadi waktu yang dibutuhkan para pemalsu untuk memecahkan kunci secara tidak legal menjadi sangat singkat, bahkan bisa jauh lebih cepat dari proses pemeriksaan tandatangan dengan menggunakan teknologi mikroprosesor. Hal ini akan membuat seluruh perjanjian yang dibuat sebelumnya menjadi usang.
(K105)