Postingan 8
Judul : Tinjauan Hukum Perjanjian
Dalam Transaksi Mobile Banking PT BCA di Kantor Cabang Pati
Pengarang : Suprihono, SH
Sumber :
TINJAUAN PUSTAKA
Sistem Pengamanan dalam Perjanjian Elektronik
Sistem pengamanan dalam perjanjian elektronik dapat diberikan oleh apa yang
disebut cryptography sebagaimana dijelaskan dibawah ini:17
Sistem pengamanan dalam perjanjian elektronik dapat diberikan oleh apa yang
disebut cryptography sebagaimana dijelaskan dibawah ini:17
1. Encryption dan Decryption
Apakah yang dimaksud dengan cryptography ? Dalam Oxford Advanced Learner’s Dictionary, crypthography diberi arti “the art of writing or solving codes”, yaitu seni untuk menulis dan memecahkan sandi.
Cryptography terdiri dari 2 ( dua ) unsur, yaitu encryption dan decryption. Encryption adalah proses untuk membuat informasi menjadi tidak dapat dipahami ( unintelligible ) bagi pembaca yang tidak berwenang. Decryption adalah proses untuk membalik encryption agar informasi tersebut dapat dibaca kembali. Secara tradisional, cryptography dilakukan oleh pengirim dengan menggunakan kode rahasia ( secret code ) atau kunci rahasia ( secret key ) untuk melakukan enkripsi ( encryption ) terhadap informasi tersebut. Dengan menggunakan kode rahasia atau kunci rahasia yang sama, penerima informasi tersebut melakukan dekripsi (decryption ) terhadap informasi tersebut.
Tehnik – tehnik cryptosystem bukan merupakan hal yang baru di dunia.
Teknik tersebut telah digunakan sejak Julius Caesar. Sandi Caesar
menggunakan cara mengubah suatu huruf dengan huruf lain. Caranya adalah
dengan memindahkan suatu huruf sebagai pengganti huruf lain pada urutan
tertentu yang disepakati di dalam alphabet. Misalnya suatu huruf
tertentu menggantikan huruf pada urutan ketiga dalam alphabet itu. Huruf
A menjadi D, C menjadi F dan T menjadi W. Dengan demikian CAT menjadi
tertulis FDW. Orang bank sudah terbiasa menggunakan kode – kode rahasia
atau kunci – kunci rahasia tersebut. Misalnya untuk pengiriman uang yang
dilakukan oleh satu cabang bank atas permintaan nasabahnya kepada
cabang lain untuk penerima kiriman uang dilakukan pengirimnya dengan
menggunakan test key. Atau pengiriman berita oleh kantor pusat bank
kepada seluruh cabang bank tersebut atau oleh suatu kantor cabang kepada
kantor cabang lainnya dilakukan dengan menyamarkan kata – kata dalam
berita itu, baik seluruh kata – katanya atau terbatas hanya kepada kata –
kata yang penting saja, dengan menggunakan Patterson code. Sebagaimana
telah dikemukakan diatas, pada zaman Romawi orang menggunakan Caesar
code untuk pengiriman informasi atau surat rahasia. Contoh – contoh
diatas merupakan contoh – contoh aplikasi yang sederhana dari apa yang
disebut cryptography.
Ada dua ( 2 ) jenis sistem cryptography ( cryptographic systems atau cryptosystem ). Kedua sistem itu ialah symmetric cryptosystem dan asymmetric cryptosystem.
a. Symmetric system atau yang disebut juga secret key ctyptosystem, didasarkan pada single secret key yang digunakan oleh kedua belah pihak yang terlibat dalam suatu hubungan komunikasi. Dengan kata lain, kunci yang sama digunakan oleh kedua belah pihak yaitu pihak pengirim menggunakan kunci itu untuk melakukan enkripsi ( enctyption ) sedangkan pihak penerima menggunakan kunci itu untuk melakukan dekripsi ( decryption )
b. Asymmetric cryptosystem atau yang disebut pula dengan sebutan public key cryptosystem adalah cryptosystem yang mendasarkan pada penggunaan sepasang kunci. Kedua kunci yang berpasangan itu adalah private key dan public key.
2. Symmetric cryptosystem
Sebagaimana telah dikemukakan diatas, bahwa pada symmetric cryptosystem atau secret key cryptisystem kedua belah pihak menggunakan kunci atau kode yang sama. Oleh karena dalam symmetric cryptosystem kunci yang sama digunakan oleh kedua belah pihak maka adalah penting untuk memastikan bahwa tukar menukar kunci yang digunakan harus tetap terjamin kerahasiaannya. Kebocoran kerahasiaan tersebut dapat terjadi karena ada orang yang tidak seharusnya mengetahui kunci rahasia tersebut, ternyata baik sengaja maupun tidak sengaja berhasil mengetahui kunci rahasia tersebut.
Dapat pula kebocoran itu terjadi karena pada waktu pengiriman kunci rahasia tersebut oleh salah satu pihak kepada pihak yang lain telah hilang dicuri di dalam pengirimannya. Misalnya berkenaan dengan test key arrangement antara Bank BNI dan Citibank. Untuk keperluan hubungan korespondensi dan transaksi antara Bank BNI dengan Citibank disusun suatu buku test key oleh Bank BNI. Pada waktu Kantor Besar Bank BNI di Jakarta mengirimkan buku test key tersebut kepada Kantor Pusat Citibank di New York untuk digunakan sebagai kode rahasia apabila Bank BNI, baik Kantor Besar maupun kantor – kantor cabang Bank BNI di seluruh dunia, mengirimkan dokumen transaksi kepada Citibank, baik kepada Kantor Pusatnya di New York maupun kantor – kantor cabangnya di seluruh dunia, maka pengiriman buku test key tersebut ternyata hilang ditengah jalan. Dengan demikian, buku ini berarti sudah jatuh ke tangan pihak lain yang tidak terkait, sehinggga dengan demikian test key tersebut sudah bocor.
Sebagai jawaban terhadap kerentanan terhadap bentuk – bentuk symmetric cryptosystem yang tradisional, maka sistem – sistem modern telah dirancang untuk menggantikan sistem yang tradisional tersebut, yaitu dengan menggunakan teknik – teknik matematik ( mathematical techniques ). Salah satu generasi baru dari cryptographic technique tersebut mulai digunakan dalam dunia komersial pada tahun 1977 ketika Data Encryption Standard ( DES ) digunakan sebagai suatu United State Federal Standard. Data Encryption Standard ( DES ) bekerja berdasarkan konsep 1 ( satu ) kunci yang sama digunakan untuk kedua pihak yang melakukan komunikasi. Sebagaimana dikemukakan diatas, masalah yang sering dihadapi adalah pengamanan terhadap key tersebut. Hal itu tidak mudah dilakukan karena tingkat kebocorannya yang cukup tinggi. Bagimana symmetric cryptosystem bekerja, dibawah ini diberikan gambarannya dalam hal yang dipakai adalah Data Encryption Standard ( DES )
3. Asymmetric Cryptosystem
Suatu bentuk cryptography yang sama sekali baru, diperkenalkan pada tahun 1976 oleh 2 ( dua ) ahli matematik, Diffie dan Hellman. Bentuk baru tersebut disebut Asymmetric Cryptosystem atau disebut pula Public Key Cryptosystems. Asymmetric Cryptosystem dirancang berdasarkan penguasaan 2 ( dua ) kunci yang berpasangan yaitu public key dan private key atau secret key oleh masing – masing pihak yang melakukan komunikasi rahasia.
Public key cryptosystem adalah suatu sistem dimana pesan yang telah dienkripsi dengan menggunakan kunci yang satu tidak mungkin didekripsi apabila tidak menggunakan kunci kedua yang menjadi pasangannya, dengan pula sebaliknya. Dengan kata lain, apabila suatu pesan dienkripsi dengan menggunakan private key dari pengirim, maka pesan tersebut hanya mungkin didekripsi dengan menggunakan public key pengirim yang diketahui oleh penerima. Sebaliknya, apabila pesan tersebut dienkripsi dengan menggunakan publik key dari penerima, maka pesan tersebut hanya mungkin didekripsi dengan menggunakan private key dari penerima.
Kapan pengiriman pesan dienkripsi oleh pengirim dengan menggunakan private key-nya sendiri atau kapan dienkripsi dengan menggunakan public key penerima, adalah bergantung kepada isi dan sifat pesan yang akan dikirimkan dan bergantung pada pula pada bagaimana perjanjian diantara para pihak yang berkomunikasi. Konsep dari asymmetric cryptography atau public key yang telah dikembangkan oleh Diffie dan Hellman yang telah berhasil diaplikasikan oleh 3 ( tiga ) orang ahli matematik, Rivest, Shamir dan Adleman dengan menciptakan RSA system. Nama sistem tersebut diambil dari huruf depan nama mereka masing – masing. Sistem dengan menggunakan algoritma matematika ( mathematical algorithm ) yang sama telah digunakan pula oleh sistem yang diciptakan oleh Phil Zimmerman yang disebut Pretty Good Privacy ( PCP )
Seperti telah ditunjukkan oleh namanya, public key dapat dan boleh
diketahui oleh setiap orang, sedangkan private key hanya diketahui oleh pemiliknya saja. Prosedur yang digunakan untuk memperoleh kedua kunci tersebut adalah sedemikian rupa sehingga apabila salah satu kunci tersebut digunakan untuk mengenkripsi suatu pesan, hanya kunci lain pasangannya
yang dapat digunakan mendekripsi pesan tersebut. Dengan kata lain, menggunakan private key yang lain tidak dapat memecahkan kode tersebut. Meskipun kedua kunci tersebut berkaitan satu dengan yang lain dan meskipun public key-nya dapat diketahui oleh orang lain, namun tidak mungkin bagi
siapapun untuk dapat mengetahui atau memperoleh private key yang digunakan, kecuali pemiliknya sendiri. Dengan hanya mengetahui suatu public key, tidak mungkin dapat diketahui atau dipecahkan apa yang menjadi private key yang merupakan pasangan public key tersebut.
Demikian sulitnya orang untuk dapat memecahkan kunci rahasia berdasarkan public key cryptosystem atau asymmetric cryptosystem, sehingga telah diestimasi bahwa tidak ada 1 ( satu ) komputer pun yang mampu memecahkan kunci tersebut sekalipun dalam jangka waktu ribuan tahun. Memang pernah dilakukan demonstrasi yaitu pernah dicoba sebanyak 350 ( tiga ratus lima puluh ) komputer yang dihubungkan melalui jaringan internet untuk mencari kombinasi yang tepat. Komputer – komputer tersebut bekerja dengan kecepatan 1 ½ ( satu setengah ) triliun kunci kombinasi perjam. Ternyata baru dalam waktu 302 ( tiga ratus dua ) jam komputer – komputer tersebut berhasil menemukan kunci yang tepat. Dari penjelasan tersebut di atas dapat diketahui betapa lama waktu dan besarnya biaya yang dibutuhkan untuk mampu memecahkan public key atau asymmetric cryptosystem tersebut. Oleh karena itu sistem ini dianggap merupakan sistem yang paling aman.
Asymmetric cryptosystem atau public key cryptosystems digunakan untuk menjamin confidentiality, authentication dari pesan yang dikirimkan. Menggunakan public key cryptosystem bukan tanpa resiko bagi penggunanya. Apabila kunci – kunci tersebut hilang, maka data yang sangat berharga menjadi tidak mungkin diakses. Bagaimana cara bekerjanya asymmetric cryptosystem dengan mengaplikasikan private key dan public key yang berpasangan adalah sebagaimana dijelaskan di bawah ini.
Ada 2 ( dua ) cara yang dapat diaplikasikan. Cara pertama ialah melakukan enkripsi oleh pengirim dengan menggunakan public key penerima dan dekripsi oleh penerima dilakukan dengan menggunakan private key penerima. Cara kedua ialah pengirim mengekripsi pesan yang akan dikirim dengan menggunakan private key pengirim dan ketika penerima melakukan dekripsi pesan yang diterimanya itu, penerima melakukan dekripsi itu dengan menggunakan public key pengirim.
Apabila pengirim menginginkan hanya penerima saja yang boleh mengetahui isi dari pesan yang dikirimkan, maka pengiriman pesan itu harus dilakukan dengan cara pertama yaitu pengirim mengekripsi pesan tersebut dengan menggunakan public key penerima, karena pesan tersebut hanya dapat dipahami oleh penerima saja dengan cara mendekripsi pesan tersebut dengan menggunakan private key penerima yang hanya dimiliki oleh penerima saja.
4. Digital Signature
Dalam kehidupan transaksi yang menggunakan kertas ( paper-based transaction ) sebagaimana yang selama ini kita kenal, dan banyak hal dokumen-dokumen yang digunakan untuk transaksi itu ditandatangani oleh atau untuk dan atas nama para pihak yang bertransaksi. Tujuan utama dari pembubuhan tanda tangan tersebut adalah untuk membuktikan bahwa dokumen tersebut adalah betul berasal dari atau telah disetujui oleh orang yang membubuhkan tanda tangan itu. Setelah adanya komputer, internet, dan telepon seluler, maka timbul masalah : bagaimana para pihak yang terlibat dalam transaksi elektronik dapat membubuhkan tanda tangan mereka masing – masing sebagai otentikasi dari dokumen – dokumen elektronik yang dibuat diantara mereka? Mungkinkan ada cara bagi para pihak itu untuk menggantikan fungsi tanda tangan di atas kertas dalam hal mereka melaksanakan transaksinya secara elektronik?
Implementasi dari pemecahan terhadap masalah – masalah pengamanan dalam bidang Informasi Tehnology sebagaimana telah dikemukakan di atas dan memecahkan masalah pembubuhan tanda tangan dari dokumen – dokumen elektronik dalam transaksi E-Commerce dipecahkan dengan cara menggunakan teknik – teknik cryptography sebagaimana telah diterangkan diatas. Selain pengamanan dilakukan dengan cara melakukan enkripsi terhadap pesan yang dikirimkan, pengirim dapat pula menyertakan digital signature dari pengirim pesan yang bersangkutan bersama dengan pengiriman pesan itu sendiri.
Apakah yang dimaksud dengan digital signature atau electronic signature? Kata “signature” dalam konteks ini sangat menyesatkan. Signature yang dimaksudkan dalam konteks ini bukan merupakan “digitized image of handwritten signature”. Signature disini bukan tanda tangan yang dibubuhkan oleh seseorang dengan tangannya di atas dokumen – dokumen, antara lain dokumen – dokumen kertas, seperti yang lazim dilakukan. Digital signature diperoleh dengan terlebih dahulu menciptakan suatu message digest atau hash, yaitu mathematical summary dari dokumen yang akan dikirimkan melalui cyberspace. Bagaimana proses penciptaan message digest atau hash, apa yang dimaksud dengan message digest atau hash, dan bagaimana kemudian dari message digest atau hash tersebut tercipta digital signature, akan diterangkan selanjutnya.
Pencantuman digital signature pada suatu electronic document ( dokumen elektronik ) oleh pengirim adalah untuk lebih memberikan kepastian kepada penerima mengenai otentikasi pengirim dari electronic document tersebut. Dengan demikian, penerima dokumen elektronik atau pesan tersebut tidak bimbang mengenai siapa pengirim yang sebenarnya dari dokumen elektronik atau pesan tersebut. Fungsi suatu digital siganature sama dengan fungsi sidik jari seseorang. Digital signature merupakan alat untuk mengidentifikasi suatu pesan yang dikirimkan. Dengan kata lain pembubuhan digital signature disamping bertujuan untuk memastikan bahwa pesan tersebut bukan dikirimkan oleh orang lain., melainkan memang dikirim oleh pengirim yang dimaksud, juga bertujuan untuk dapat dijadikan sebagai alat bukti kuat secara hukum bahwa isi dari pesan itu telah dikirimkan oleh pengirim itu disetujui oleh pengirimnya.
RSA algoritma (RSA algorithm ) digunakan secara luas untuk mengimplementasikan digital signature. Algoritma lain yang juga populer digunakan adalah Digital Signature Algorithm ( DSA ) yang dikembangkan oleh the US National Institute of Standards and Technology. Dasar algoritma yang dipakai oleh Digital Signature algorithm ( DSA ) untuk memberikan aspek –aspek pengamanan berbeda apabila dibandingkan dengan RSA, namun metode implementasi digital signature dari keduanya boleh dikatakan sama. Untuk dapat menandatangani pesan ( message ), pertama – tama
pengirim harus menciptakan suatu message digest atau suatu hash. Hal ini dapat dilakukan antara lain dengan menggunakan RSA algoritma (RSA algorithm). Sebagaimana telah dikemukakan di atas bahwa RSA algoritma telah digunakan secara luas untuk mengimplimentasikan digital signature. Pesan yang asli, yaitu yang belum dienkripsi, dilewatkan melalui hash function, misalnya SHA-1. Hash function akan menyamarkan pesan asli itu.
Secure Hash Algorithm-1 atau SHA-1 adalah hash function yang pada saat ini digunakan oleh SET. SET atau Secure Electronic Transaction, adalah suatu protokol yang dikembangkan oleh Master Card dan Visa yang dirancang untuk memberikan kepastian kepada pedagang (merchants) dan pemegang kartu (cardholder) untuk dapat melaksanakan bisnis secara aman di internet. SET menggunakan cryptography untuk memberikan confidentiality dan security, untuk memastikan payment integrity, dan untuk memberikan otentikasi mengenai pedagang (merchant) dan pemegang kartu (cardholder) yang bertransaksi.
Dengan cara pesan asli tersebut dilewatkan hash function, seperti SHA-1 yang digunakan oleh SET, maka diperoleh message digest yang dimaksud. Dengan kata lain, suatu digital signature adalah message digest yang dienkripsi dengan menggunakan private signing key dari pengirimnya. Tegasnya, yang dienkripsi bukan pesan aslinya, melainkan message digest yang diperoleh dari pesan asli yang telah dilewatkan pada hash function. Mengenai siapa pengirim pesan yang ditandatangani dengan menggunakan private signing key, hanya dapat diverifikasi dengan menggunakan public signing key dari pengirim tersebut.
Dengan demikian, pembuatan suatu digital signature ditempuh melalui 2 (dua) tahap. Tahap pertama adalah membuat message digest dan tahap berikutnya mengenkripsi message digest tersebut dengan private key dari pengirim. Sedangkan untuk memverifikasi digital signature tersebut untuk memastikan bahwa digital signature itu memang benar merupakan bukti identitas dari pengirim pesan yang sebenarnya, artinya bukan orang lain yang mengirimkan pesan tersebut, hanya dapat dilakukan dengan menggunakan public key dari pengirim pesan.
Oleh karena pembuatan digital signature dilakukan dengan menggunakan teks asli dari pesan yang dikirimkan sebagai masukan (input) bagi algoritma enkripsi (encryption algorithm) yang digunakan, maka apabila pesan tersebut diubah sekalipun hanya sedikit saja perubahan yang dilakukan digital signature tersebut tidak mungkin dapat didekripsi dengan benar. Apabila hasil dekripsi tidak benar, maka berarti pesan tersebut telah diubah pada waktu berlangsungnya pengiriman atau bahwa digital signaturetersebut telah dipalsu dengan meng-copy digital signature itu dari suatu pesan yang lain. Suatu digital signature yang di-copy dari sesuatu message tidak dapat dipakai untuk mengotentikasi pesan lain, sekalipun pengirim pesan adalah orang yang sama. Hal itu disebabkan untuk setiap pesan yang berbeda, message digest-nya berbeda pula. Sebagaimana telah diterangkan di atas, message digest diperoleh dari teks dari pesan asli yang dikirimkan. Jadi apabila bunyi pesannya berbeda, maka sudah barang tentu message digest-nya akan berbeda, sehingga berbeda pula bentuk digital signature untuk pesan tersebut. Dengan kata lain, digital signature dari pengirim pesan yang sama, berbeda bentuknya bergantung kepada bunyi pesan yang dikirimkan.
Digital signature tidak hanya dipakai untuk memverifikasi otentisitas dari pesan yang dikirimkan dan identitas dari pengirimnya, tetapi juga untuk memverifikasi integritas dari pesan itu sendiri. Di dalam sistemnya, penerima pesan tersebut tidak boleh memiliki kemungkinan untuk dapat menggunakan digital signature yang diterimanya untuk secara palsu menandatangani pesanpesan yang dikirimkan seakan-akan dalam menandatangani itu dia bertindak untuk dan atas nama pengirim yang sesungguhnya memiliki tanda tangan itu. Mengirim suatu pesan dengan disertai digital signature dilakukan dengan menggunakan 2 (dua) pasang kunci asymmetric, yaitu 1 (satu) pasang dipakai untuk melakukan enkripsi dan dekripsi terhadap, dan 1 (satu) pasang yang lain dipakai untuk melakukan enkripsi dan dekripsi tanda tangan. Dengan kata lain, baik untuk pesan yang dikirimkan maupun untuk tanda tangan pengirim, pengamanannya dilakukan dengan menggunakan public key
cryptosystem atau asymetric cryptosystem.
5. Public Key Certificate
Pada public key cryptosystems, private key tidak digunakan bersama dengan pihak lain. Private key hanya diketahui, disimpan dan digunakan sendiri oleh pemilik kunci tersebut. Sedangkan public key yang merupakan pasang private key tersebut memang tidak perlu dirahasiakan. Artinya, siapa saja yang berhubungan atau berkomunikasi dengan pemilik private key tersebut, boleh mengetahui apa public key dari pemilik private key tersebut. Apa yang penting dalam public key system ialah bahwa pemakai public key itu harus yakin benar bahwa public key tersebut adalah memang public key dari
pihak dengan siapa dia berkomunikasi secara rahasia.
Public key cryptosystem tidak akan bekerja dengan baik kecuali apabila
ada suatu otoritas yang ditugasi untuk memverifikasi identitas dari orang yang memiliki public key tersebut dan otoritas itu mempublikasi identitas dari pemilik public key tersebut. Otoritas tersebut harus merupakan pihak ketiga yang independen. Pihak ketiga yang independen yang bertindak sebagai otoritas yang dimaksud disebut Certificate Authorities atau CA.
Biasanya public key dibagikan dalam bentuk sertifikat (certificate) yang diterbitkan oleh Certificate Authorities atau CA. Certificate Authorities yang bersangkutan “menandatangani” sertifikat tersebut yang secara yuridis mengikat sebagai bukti bagi kepemilikan dari public key oleh pemiliknya yang sesungguhnya. Hanya mereka yang dapat menunjukkan sertifikat tersebut adalah pemilik yang sesungguhnya dari public key itu dan yang bersangkutan adalah pemilik dan penyimpan private key yang menjadi pasangan dari public key dalam sertifikat itu. Perlunya sertifikat itu adalah untuk mencegah pihak yang tidak bertanggung jawab untuk dapat bertindak seakan-akan adalah dia yang menjadi pihak yang berhak. Sertifikat tersebut memastikan bahwa hanya public key yang berasal dari sertifikat itu saja yang merupakan public key yang benar.
NAMA : LESTARI WAHYUNI
NPM : 24211088
Ada dua ( 2 ) jenis sistem cryptography ( cryptographic systems atau cryptosystem ). Kedua sistem itu ialah symmetric cryptosystem dan asymmetric cryptosystem.
a. Symmetric system atau yang disebut juga secret key ctyptosystem, didasarkan pada single secret key yang digunakan oleh kedua belah pihak yang terlibat dalam suatu hubungan komunikasi. Dengan kata lain, kunci yang sama digunakan oleh kedua belah pihak yaitu pihak pengirim menggunakan kunci itu untuk melakukan enkripsi ( enctyption ) sedangkan pihak penerima menggunakan kunci itu untuk melakukan dekripsi ( decryption )
b. Asymmetric cryptosystem atau yang disebut pula dengan sebutan public key cryptosystem adalah cryptosystem yang mendasarkan pada penggunaan sepasang kunci. Kedua kunci yang berpasangan itu adalah private key dan public key.
2. Symmetric cryptosystem
Sebagaimana telah dikemukakan diatas, bahwa pada symmetric cryptosystem atau secret key cryptisystem kedua belah pihak menggunakan kunci atau kode yang sama. Oleh karena dalam symmetric cryptosystem kunci yang sama digunakan oleh kedua belah pihak maka adalah penting untuk memastikan bahwa tukar menukar kunci yang digunakan harus tetap terjamin kerahasiaannya. Kebocoran kerahasiaan tersebut dapat terjadi karena ada orang yang tidak seharusnya mengetahui kunci rahasia tersebut, ternyata baik sengaja maupun tidak sengaja berhasil mengetahui kunci rahasia tersebut.
Dapat pula kebocoran itu terjadi karena pada waktu pengiriman kunci rahasia tersebut oleh salah satu pihak kepada pihak yang lain telah hilang dicuri di dalam pengirimannya. Misalnya berkenaan dengan test key arrangement antara Bank BNI dan Citibank. Untuk keperluan hubungan korespondensi dan transaksi antara Bank BNI dengan Citibank disusun suatu buku test key oleh Bank BNI. Pada waktu Kantor Besar Bank BNI di Jakarta mengirimkan buku test key tersebut kepada Kantor Pusat Citibank di New York untuk digunakan sebagai kode rahasia apabila Bank BNI, baik Kantor Besar maupun kantor – kantor cabang Bank BNI di seluruh dunia, mengirimkan dokumen transaksi kepada Citibank, baik kepada Kantor Pusatnya di New York maupun kantor – kantor cabangnya di seluruh dunia, maka pengiriman buku test key tersebut ternyata hilang ditengah jalan. Dengan demikian, buku ini berarti sudah jatuh ke tangan pihak lain yang tidak terkait, sehinggga dengan demikian test key tersebut sudah bocor.
Sebagai jawaban terhadap kerentanan terhadap bentuk – bentuk symmetric cryptosystem yang tradisional, maka sistem – sistem modern telah dirancang untuk menggantikan sistem yang tradisional tersebut, yaitu dengan menggunakan teknik – teknik matematik ( mathematical techniques ). Salah satu generasi baru dari cryptographic technique tersebut mulai digunakan dalam dunia komersial pada tahun 1977 ketika Data Encryption Standard ( DES ) digunakan sebagai suatu United State Federal Standard. Data Encryption Standard ( DES ) bekerja berdasarkan konsep 1 ( satu ) kunci yang sama digunakan untuk kedua pihak yang melakukan komunikasi. Sebagaimana dikemukakan diatas, masalah yang sering dihadapi adalah pengamanan terhadap key tersebut. Hal itu tidak mudah dilakukan karena tingkat kebocorannya yang cukup tinggi. Bagimana symmetric cryptosystem bekerja, dibawah ini diberikan gambarannya dalam hal yang dipakai adalah Data Encryption Standard ( DES )
3. Asymmetric Cryptosystem
Suatu bentuk cryptography yang sama sekali baru, diperkenalkan pada tahun 1976 oleh 2 ( dua ) ahli matematik, Diffie dan Hellman. Bentuk baru tersebut disebut Asymmetric Cryptosystem atau disebut pula Public Key Cryptosystems. Asymmetric Cryptosystem dirancang berdasarkan penguasaan 2 ( dua ) kunci yang berpasangan yaitu public key dan private key atau secret key oleh masing – masing pihak yang melakukan komunikasi rahasia.
Public key cryptosystem adalah suatu sistem dimana pesan yang telah dienkripsi dengan menggunakan kunci yang satu tidak mungkin didekripsi apabila tidak menggunakan kunci kedua yang menjadi pasangannya, dengan pula sebaliknya. Dengan kata lain, apabila suatu pesan dienkripsi dengan menggunakan private key dari pengirim, maka pesan tersebut hanya mungkin didekripsi dengan menggunakan public key pengirim yang diketahui oleh penerima. Sebaliknya, apabila pesan tersebut dienkripsi dengan menggunakan publik key dari penerima, maka pesan tersebut hanya mungkin didekripsi dengan menggunakan private key dari penerima.
Kapan pengiriman pesan dienkripsi oleh pengirim dengan menggunakan private key-nya sendiri atau kapan dienkripsi dengan menggunakan public key penerima, adalah bergantung kepada isi dan sifat pesan yang akan dikirimkan dan bergantung pada pula pada bagaimana perjanjian diantara para pihak yang berkomunikasi. Konsep dari asymmetric cryptography atau public key yang telah dikembangkan oleh Diffie dan Hellman yang telah berhasil diaplikasikan oleh 3 ( tiga ) orang ahli matematik, Rivest, Shamir dan Adleman dengan menciptakan RSA system. Nama sistem tersebut diambil dari huruf depan nama mereka masing – masing. Sistem dengan menggunakan algoritma matematika ( mathematical algorithm ) yang sama telah digunakan pula oleh sistem yang diciptakan oleh Phil Zimmerman yang disebut Pretty Good Privacy ( PCP )
Seperti telah ditunjukkan oleh namanya, public key dapat dan boleh
diketahui oleh setiap orang, sedangkan private key hanya diketahui oleh pemiliknya saja. Prosedur yang digunakan untuk memperoleh kedua kunci tersebut adalah sedemikian rupa sehingga apabila salah satu kunci tersebut digunakan untuk mengenkripsi suatu pesan, hanya kunci lain pasangannya
yang dapat digunakan mendekripsi pesan tersebut. Dengan kata lain, menggunakan private key yang lain tidak dapat memecahkan kode tersebut. Meskipun kedua kunci tersebut berkaitan satu dengan yang lain dan meskipun public key-nya dapat diketahui oleh orang lain, namun tidak mungkin bagi
siapapun untuk dapat mengetahui atau memperoleh private key yang digunakan, kecuali pemiliknya sendiri. Dengan hanya mengetahui suatu public key, tidak mungkin dapat diketahui atau dipecahkan apa yang menjadi private key yang merupakan pasangan public key tersebut.
Demikian sulitnya orang untuk dapat memecahkan kunci rahasia berdasarkan public key cryptosystem atau asymmetric cryptosystem, sehingga telah diestimasi bahwa tidak ada 1 ( satu ) komputer pun yang mampu memecahkan kunci tersebut sekalipun dalam jangka waktu ribuan tahun. Memang pernah dilakukan demonstrasi yaitu pernah dicoba sebanyak 350 ( tiga ratus lima puluh ) komputer yang dihubungkan melalui jaringan internet untuk mencari kombinasi yang tepat. Komputer – komputer tersebut bekerja dengan kecepatan 1 ½ ( satu setengah ) triliun kunci kombinasi perjam. Ternyata baru dalam waktu 302 ( tiga ratus dua ) jam komputer – komputer tersebut berhasil menemukan kunci yang tepat. Dari penjelasan tersebut di atas dapat diketahui betapa lama waktu dan besarnya biaya yang dibutuhkan untuk mampu memecahkan public key atau asymmetric cryptosystem tersebut. Oleh karena itu sistem ini dianggap merupakan sistem yang paling aman.
Asymmetric cryptosystem atau public key cryptosystems digunakan untuk menjamin confidentiality, authentication dari pesan yang dikirimkan. Menggunakan public key cryptosystem bukan tanpa resiko bagi penggunanya. Apabila kunci – kunci tersebut hilang, maka data yang sangat berharga menjadi tidak mungkin diakses. Bagaimana cara bekerjanya asymmetric cryptosystem dengan mengaplikasikan private key dan public key yang berpasangan adalah sebagaimana dijelaskan di bawah ini.
Ada 2 ( dua ) cara yang dapat diaplikasikan. Cara pertama ialah melakukan enkripsi oleh pengirim dengan menggunakan public key penerima dan dekripsi oleh penerima dilakukan dengan menggunakan private key penerima. Cara kedua ialah pengirim mengekripsi pesan yang akan dikirim dengan menggunakan private key pengirim dan ketika penerima melakukan dekripsi pesan yang diterimanya itu, penerima melakukan dekripsi itu dengan menggunakan public key pengirim.
Apabila pengirim menginginkan hanya penerima saja yang boleh mengetahui isi dari pesan yang dikirimkan, maka pengiriman pesan itu harus dilakukan dengan cara pertama yaitu pengirim mengekripsi pesan tersebut dengan menggunakan public key penerima, karena pesan tersebut hanya dapat dipahami oleh penerima saja dengan cara mendekripsi pesan tersebut dengan menggunakan private key penerima yang hanya dimiliki oleh penerima saja.
4. Digital Signature
Dalam kehidupan transaksi yang menggunakan kertas ( paper-based transaction ) sebagaimana yang selama ini kita kenal, dan banyak hal dokumen-dokumen yang digunakan untuk transaksi itu ditandatangani oleh atau untuk dan atas nama para pihak yang bertransaksi. Tujuan utama dari pembubuhan tanda tangan tersebut adalah untuk membuktikan bahwa dokumen tersebut adalah betul berasal dari atau telah disetujui oleh orang yang membubuhkan tanda tangan itu. Setelah adanya komputer, internet, dan telepon seluler, maka timbul masalah : bagaimana para pihak yang terlibat dalam transaksi elektronik dapat membubuhkan tanda tangan mereka masing – masing sebagai otentikasi dari dokumen – dokumen elektronik yang dibuat diantara mereka? Mungkinkan ada cara bagi para pihak itu untuk menggantikan fungsi tanda tangan di atas kertas dalam hal mereka melaksanakan transaksinya secara elektronik?
Implementasi dari pemecahan terhadap masalah – masalah pengamanan dalam bidang Informasi Tehnology sebagaimana telah dikemukakan di atas dan memecahkan masalah pembubuhan tanda tangan dari dokumen – dokumen elektronik dalam transaksi E-Commerce dipecahkan dengan cara menggunakan teknik – teknik cryptography sebagaimana telah diterangkan diatas. Selain pengamanan dilakukan dengan cara melakukan enkripsi terhadap pesan yang dikirimkan, pengirim dapat pula menyertakan digital signature dari pengirim pesan yang bersangkutan bersama dengan pengiriman pesan itu sendiri.
Apakah yang dimaksud dengan digital signature atau electronic signature? Kata “signature” dalam konteks ini sangat menyesatkan. Signature yang dimaksudkan dalam konteks ini bukan merupakan “digitized image of handwritten signature”. Signature disini bukan tanda tangan yang dibubuhkan oleh seseorang dengan tangannya di atas dokumen – dokumen, antara lain dokumen – dokumen kertas, seperti yang lazim dilakukan. Digital signature diperoleh dengan terlebih dahulu menciptakan suatu message digest atau hash, yaitu mathematical summary dari dokumen yang akan dikirimkan melalui cyberspace. Bagaimana proses penciptaan message digest atau hash, apa yang dimaksud dengan message digest atau hash, dan bagaimana kemudian dari message digest atau hash tersebut tercipta digital signature, akan diterangkan selanjutnya.
Pencantuman digital signature pada suatu electronic document ( dokumen elektronik ) oleh pengirim adalah untuk lebih memberikan kepastian kepada penerima mengenai otentikasi pengirim dari electronic document tersebut. Dengan demikian, penerima dokumen elektronik atau pesan tersebut tidak bimbang mengenai siapa pengirim yang sebenarnya dari dokumen elektronik atau pesan tersebut. Fungsi suatu digital siganature sama dengan fungsi sidik jari seseorang. Digital signature merupakan alat untuk mengidentifikasi suatu pesan yang dikirimkan. Dengan kata lain pembubuhan digital signature disamping bertujuan untuk memastikan bahwa pesan tersebut bukan dikirimkan oleh orang lain., melainkan memang dikirim oleh pengirim yang dimaksud, juga bertujuan untuk dapat dijadikan sebagai alat bukti kuat secara hukum bahwa isi dari pesan itu telah dikirimkan oleh pengirim itu disetujui oleh pengirimnya.
RSA algoritma (RSA algorithm ) digunakan secara luas untuk mengimplementasikan digital signature. Algoritma lain yang juga populer digunakan adalah Digital Signature Algorithm ( DSA ) yang dikembangkan oleh the US National Institute of Standards and Technology. Dasar algoritma yang dipakai oleh Digital Signature algorithm ( DSA ) untuk memberikan aspek –aspek pengamanan berbeda apabila dibandingkan dengan RSA, namun metode implementasi digital signature dari keduanya boleh dikatakan sama. Untuk dapat menandatangani pesan ( message ), pertama – tama
pengirim harus menciptakan suatu message digest atau suatu hash. Hal ini dapat dilakukan antara lain dengan menggunakan RSA algoritma (RSA algorithm). Sebagaimana telah dikemukakan di atas bahwa RSA algoritma telah digunakan secara luas untuk mengimplimentasikan digital signature. Pesan yang asli, yaitu yang belum dienkripsi, dilewatkan melalui hash function, misalnya SHA-1. Hash function akan menyamarkan pesan asli itu.
Secure Hash Algorithm-1 atau SHA-1 adalah hash function yang pada saat ini digunakan oleh SET. SET atau Secure Electronic Transaction, adalah suatu protokol yang dikembangkan oleh Master Card dan Visa yang dirancang untuk memberikan kepastian kepada pedagang (merchants) dan pemegang kartu (cardholder) untuk dapat melaksanakan bisnis secara aman di internet. SET menggunakan cryptography untuk memberikan confidentiality dan security, untuk memastikan payment integrity, dan untuk memberikan otentikasi mengenai pedagang (merchant) dan pemegang kartu (cardholder) yang bertransaksi.
Dengan cara pesan asli tersebut dilewatkan hash function, seperti SHA-1 yang digunakan oleh SET, maka diperoleh message digest yang dimaksud. Dengan kata lain, suatu digital signature adalah message digest yang dienkripsi dengan menggunakan private signing key dari pengirimnya. Tegasnya, yang dienkripsi bukan pesan aslinya, melainkan message digest yang diperoleh dari pesan asli yang telah dilewatkan pada hash function. Mengenai siapa pengirim pesan yang ditandatangani dengan menggunakan private signing key, hanya dapat diverifikasi dengan menggunakan public signing key dari pengirim tersebut.
Dengan demikian, pembuatan suatu digital signature ditempuh melalui 2 (dua) tahap. Tahap pertama adalah membuat message digest dan tahap berikutnya mengenkripsi message digest tersebut dengan private key dari pengirim. Sedangkan untuk memverifikasi digital signature tersebut untuk memastikan bahwa digital signature itu memang benar merupakan bukti identitas dari pengirim pesan yang sebenarnya, artinya bukan orang lain yang mengirimkan pesan tersebut, hanya dapat dilakukan dengan menggunakan public key dari pengirim pesan.
Oleh karena pembuatan digital signature dilakukan dengan menggunakan teks asli dari pesan yang dikirimkan sebagai masukan (input) bagi algoritma enkripsi (encryption algorithm) yang digunakan, maka apabila pesan tersebut diubah sekalipun hanya sedikit saja perubahan yang dilakukan digital signature tersebut tidak mungkin dapat didekripsi dengan benar. Apabila hasil dekripsi tidak benar, maka berarti pesan tersebut telah diubah pada waktu berlangsungnya pengiriman atau bahwa digital signaturetersebut telah dipalsu dengan meng-copy digital signature itu dari suatu pesan yang lain. Suatu digital signature yang di-copy dari sesuatu message tidak dapat dipakai untuk mengotentikasi pesan lain, sekalipun pengirim pesan adalah orang yang sama. Hal itu disebabkan untuk setiap pesan yang berbeda, message digest-nya berbeda pula. Sebagaimana telah diterangkan di atas, message digest diperoleh dari teks dari pesan asli yang dikirimkan. Jadi apabila bunyi pesannya berbeda, maka sudah barang tentu message digest-nya akan berbeda, sehingga berbeda pula bentuk digital signature untuk pesan tersebut. Dengan kata lain, digital signature dari pengirim pesan yang sama, berbeda bentuknya bergantung kepada bunyi pesan yang dikirimkan.
Digital signature tidak hanya dipakai untuk memverifikasi otentisitas dari pesan yang dikirimkan dan identitas dari pengirimnya, tetapi juga untuk memverifikasi integritas dari pesan itu sendiri. Di dalam sistemnya, penerima pesan tersebut tidak boleh memiliki kemungkinan untuk dapat menggunakan digital signature yang diterimanya untuk secara palsu menandatangani pesanpesan yang dikirimkan seakan-akan dalam menandatangani itu dia bertindak untuk dan atas nama pengirim yang sesungguhnya memiliki tanda tangan itu. Mengirim suatu pesan dengan disertai digital signature dilakukan dengan menggunakan 2 (dua) pasang kunci asymmetric, yaitu 1 (satu) pasang dipakai untuk melakukan enkripsi dan dekripsi terhadap, dan 1 (satu) pasang yang lain dipakai untuk melakukan enkripsi dan dekripsi tanda tangan. Dengan kata lain, baik untuk pesan yang dikirimkan maupun untuk tanda tangan pengirim, pengamanannya dilakukan dengan menggunakan public key
cryptosystem atau asymetric cryptosystem.
5. Public Key Certificate
Pada public key cryptosystems, private key tidak digunakan bersama dengan pihak lain. Private key hanya diketahui, disimpan dan digunakan sendiri oleh pemilik kunci tersebut. Sedangkan public key yang merupakan pasang private key tersebut memang tidak perlu dirahasiakan. Artinya, siapa saja yang berhubungan atau berkomunikasi dengan pemilik private key tersebut, boleh mengetahui apa public key dari pemilik private key tersebut. Apa yang penting dalam public key system ialah bahwa pemakai public key itu harus yakin benar bahwa public key tersebut adalah memang public key dari
pihak dengan siapa dia berkomunikasi secara rahasia.
Public key cryptosystem tidak akan bekerja dengan baik kecuali apabila
ada suatu otoritas yang ditugasi untuk memverifikasi identitas dari orang yang memiliki public key tersebut dan otoritas itu mempublikasi identitas dari pemilik public key tersebut. Otoritas tersebut harus merupakan pihak ketiga yang independen. Pihak ketiga yang independen yang bertindak sebagai otoritas yang dimaksud disebut Certificate Authorities atau CA.
Biasanya public key dibagikan dalam bentuk sertifikat (certificate) yang diterbitkan oleh Certificate Authorities atau CA. Certificate Authorities yang bersangkutan “menandatangani” sertifikat tersebut yang secara yuridis mengikat sebagai bukti bagi kepemilikan dari public key oleh pemiliknya yang sesungguhnya. Hanya mereka yang dapat menunjukkan sertifikat tersebut adalah pemilik yang sesungguhnya dari public key itu dan yang bersangkutan adalah pemilik dan penyimpan private key yang menjadi pasangan dari public key dalam sertifikat itu. Perlunya sertifikat itu adalah untuk mencegah pihak yang tidak bertanggung jawab untuk dapat bertindak seakan-akan adalah dia yang menjadi pihak yang berhak. Sertifikat tersebut memastikan bahwa hanya public key yang berasal dari sertifikat itu saja yang merupakan public key yang benar.
NAMA : LESTARI WAHYUNI
NPM : 24211088
Tidak ada komentar:
Posting Komentar