Tanda Tangan Digital dan Sertifikat Digital – Panduan Sederhana

Sebelum dunia mulai mendigitalkan, ia sangat bergantung pada kertas yang ditandatangani untuk menyetujui, mengotentikasi, dan meminta pertanggungjawaban berbagai pihak dalam transaksi dan berbagai jenis perjanjian. Tanda tangan digital dan sertifikat digital hadir sebagai pengganti modern dari tanda tangan standar. 

Secara signifikan lebih cepat daripada mengirim kertas melalui pos dan mengirim dokumen melalui faks, tanda tangan digital telah membantu berbagai bisnis. 

Apa itu Tanda Tangan Digital? 

Tanda Tangan Digital adalah verifikasi elektronik dari pengirim dokumen, yang memungkinkan penerima untuk menentukan apakah konten asli telah diubah oleh perantara. 

Kunci pribadi dan kunci publik adalah dua elemen penting dari tanda tangan digital, yang dibuat oleh algoritma khusus pada saat yang bersamaan. Meskipun mereka diciptakan untuk berhubungan secara matematis, dalam penampilan, mereka akan berbeda. 

Tanda tangan digital memiliki tiga tujuan: 

1. Otentikasi – penerima dapat menetapkan kepengarangan pesan dan menentukan apakah pengirimnya adalah yang dia klaim. 
2. Non-penolakan – pengirim tidak dapat menyangkal telah mengirim pesan di kemudian hari dan dapat dimintai pertanggungjawaban atas pesan yang tidak diubah. 
3. Integritas - pesan tidak diubah. 

Dan faktanya, tanda tangan digital memiliki nilai hukum di Amerika Serikat, Uni Eropa, Swiss, Afrika Selatan, Aljazair, Turki, India, Brasil, Indonesia, Meksiko, Arab Saudi, Uruguay, dan Chili. 

Bagaimana Cara Membuat Tanda Tangan Digital? 

Untuk membuat tanda tangan digital, Anda perlu menandatangani pesan dengan kunci pribadi Anda.  

Kunci pribadi adalah elemen persamaan ini yang hanya Anda pegang, dan dengan memberikannya, Anda menunjukkan bukti bahwa Andalah yang menandatangani dokumen. 

Pertama, Anda meng-hash teks biasa untuk menyimpan catatan versi pesan yang tidak diubah yang akan Anda kirim.  

CATATAN:. Hashing adalah transformasi konten tertentu dengan panjang berapa pun menjadi nilai panjang tetap yang lebih pendek. 

Algoritma hashing yang paling disukai saat ini adalah SHA256 (Secure Hashing Algorithm). Perlu diingat bahwa hashing adalah proses satu arah, dan perubahan kecil pada input mengubah seluruh output.  

Selanjutnya, Anda mengenkripsi hash teks biasa dengan kunci pribadi Anda, yang akan menghasilkan tanda tangan digital. 

Anda melampirkan tanda tangan digital ke dokumen teks biasa dan mengirimkannya. 

Melalui enkripsi asimetris, penerima akan dapat mendekripsi tanda tangan digital Anda dan membandingkan hash teks biasa dengan hash yang Anda berikan.  

Jadi, Anda mungkin bertanya-tanya bagaimana Anda hash dokumen. Untungnya, sebuah program di komputer Anda akan melakukannya secara otomatis untuk Anda.  

Ini adalah bagaimana Anda dapat menghasilkan hash dokumen di Windows 7/8/10: 

1. Akses "Prompt Perintah";  
2. Ketik "certutil - hashfile" 
3. Jatuhkan dokumen di "Command Prompt." 
4. Tambahkan "SHA256" di akhir baris. 

Baris terakhir Anda akan terlihat seperti ini: 

certutil -hashfile "C:\User\Computer\Desktop\File.docx" SHA256 

Dengan melakukan itu, konsol akan menampilkan 256 bit / 64 kode karakter heksadesimal yang mewakili konten file Anda. 

Tapi di mana Anda mendapatkan kunci pribadi dan kunci publik? 

Itu cukup sederhana juga.  

Anda dapat membuatnya melalui perangkat lunak, platform online, atau melalui Infrastruktur Kunci Publik (PKI) yang terdaftar di Otoritas Sertifikat. 

CATATAN. PKI adalah format yang diterima untuk mengelola enkripsi kunci publik yang memberikan tingkat keamanan tertinggi dan penerimaan universal.  

Lalu, bagaimana Anda menambahkan tanda tangan digital dengan kunci pribadi ke dokumen? 

Untuk itu, sekali lagi Anda harus menggunakan software khusus seperti Sign Server, Safe pdf, atau DocuSign. 

Bagaimana itu membantu? 

Mari kita ambil skenario fiktif tentang bagaimana tanda tangan digital dapat melindungi Anda.  

Anda secara digital menandatangani kontrak dengan penyedia di luar negeri untuk layanan outsourcing.  

Setelah menyetujui syarat dan ketentuan dan tarif $20/jam, Anda meng-hash dokumen dan menandatanganinya, lalu mengirimkannya kembali ke penyedia. 

Dan inilah masalahnya.  

Kontrak yang ditandatangani harus sampai ke manajer perusahaan outsourcing, tetapi seorang penjual yang rakus mengubah tarifnya menjadi $30/jam sehingga dia dapat memperoleh komisi yang lebih besar. Ketika tiba waktunya untuk membayar, Anda tiba-tiba menemukan bahwa tarifnya lebih besar dari yang Anda setujui. 

Bagaimana Anda membuktikan bahwa dokumen itu telah dipalsukan?  

Manajer tidak menyadari tetapi bersedia untuk mengklarifikasi situasi. Jadi, Anda memintanya untuk menggunakan kunci publik untuk mendekripsi tanda tangan Anda dan memeriksa hash. Dengan melakukan itu, dia akan dapat melihat perbedaan dalam output hash dan menentukan bahwa kontrak telah diubah.  

Dan bahkan jika manajer tidak mau bekerja sama, Anda dapat membawa mereka ke pengadilan, membuktikan bahwa Anda benar, dan meminta pertanggungjawaban mereka. 

Tanda Tangan Digital di Blockchain 

Blockchain Bitcoin menggunakan algoritma SHA256 dan tanda tangan digital untuk memastikan kekekalan informasi yang tersimpan di blockchain. Tanda tangan digital membantu melacak transaksi dan mencegah pengeluaran ganda. 

Transaksi diambil sebagai input dan dijalankan melalui algoritma hashing, kemudian dikembalikan sebagai output dengan panjang tetap. Data tersebut kemudian ditambahkan ke dalam blok. Blok juga berisi pointer hash yang menunjuk ke blok sebelumnya.  

Pointer hash berisi hash dari semua data di dalam blok sebelumnya. Sedikit modifikasi dari data yang terkandung dalam blok akan membawa perubahan drastis pada hash. Modifikasi tidak hanya berlaku pada saat ini tetapi juga pada semua blok sebelumnya, sehingga meniadakannya. 

Apa itu Sertifikat Digital? 

Seperti yang mungkin sudah Anda duga, tidak terlalu rumit untuk membuat tanda tangan digital dan menggunakannya. Di sinilah letak kelemahannya.  

Pihak jahat mungkin mencoba membuat tanda tangan digital dan kunci publik untuk berpura-pura menjadi orang lain. Jika seseorang menerima pesan yang ditandatangani secara digital dan menyimpulkan bahwa dokumen tersebut sah, orang tersebut akan terkena serangan informasi dari pihak jahat.  

Tanda tangan digital saja tidak memverifikasi identitas sebenarnya dari pengirim dan kunci publiknya, oleh karena itu, tidak memiliki otentikasi. 

Namun, masalah ini diselesaikan dengan sertifikat digital. Sertifikat digital adalah kredensial elektronik yang dikeluarkan oleh Otoritas Sertifikasi.  

Otoritas sertifikasi mendaftarkan melalui PKI identitas pemilik dan juga memverifikasi bahwa pemilik benar-benar memiliki kunci publik. 

Sertifikat digital biasanya berisi nama pemilik, kunci publik, otoritas sertifikasi, dan tanda tangan digital. Dengan cara ini, risiko menerima tanda tangan digital dari pihak jahat berkurang secara signifikan. 

Bagaimana Cara Membuat Sertifikat Digital? 

Terutama ada dua cara untuk membuat sertifikat digital: 

1. Anda membuat sertifikat yang ditandatangani sendiri. 
2. Anda memintanya dari Otoritas Sertifikasi (CA). 

1. Sertifikat yang ditandatangani sendiri 

Ada beberapa metode untuk membuat sertifikat yang ditandatangani sendiri, tetapi untuk memahami prosesnya, kami akan merujuk ke sertifikat X509 yang ditandatangani sendiri. Anda dapat membuat semuanya sendiri di OpenSSL. 

Cukup buka command prompt dan ketik 'openssl.' 

Selanjutnya, ketik 'OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem'. 

Dan sementara bagi sebagian dari Anda, ini mungkin terlihat seperti omong kosong, mari kita lihat apa artinya semua itu: 

• 'Req' berarti bahwa itu adalah permintaan sertifikat; 
• 'x509' menunjukkan jenis sertifikat; 
• '365' menunjukkan jumlah hari validitas; 
• 'newkey' berarti itu akan menjadi sertifikat baru;
• 'Keyout' akan menjadi file kunci.

Setelah itu, Anda akan dapat membuat kunci pribadi dan menambahkan informasi identifikasi.  

Anda dapat menemukan panduan langkah demi langkah di sini. 

Namun, sertifikat digital yang ditandatangani sendiri hanya menyediakan enkripsi tetapi tidak ada kepercayaan. Sertifikat semacam itu merupakan sasaran empuk bagi peretas. Mereka dapat menirunya dan berpura-pura menjadi 'penerbit' dan mulai melakukan phishing untuk informasi pribadi. 

Faktanya, situs web yang menggunakan sertifikat SSL yang ditandatangani sendiri ditandai sebagai 'tidak dipercaya' oleh browser internet. 

2. CA mengeluarkan sertifikat 

Sertifikat digital yang divalidasi oleh otoritas sertifikasi adalah metode yang lebih dapat dipercaya dan lebih aman. Ini juga lebih mudah diperoleh, tetapi mungkin menyiratkan biaya.  

Otoritas sertifikasi biasanya memerlukan biaya untuk menerbitkan sertifikat, dan Anda dapat meminta sertifikat mereka saja atau meminta mereka untuk menangani semua PKI. 

Jika Anda memerlukan sertifikat sederhana, Anda dapat menghubungi mereka melalui telepon atau email. Mereka akan memverifikasi identitas Anda, kemudian memberi Anda sertifikat yang harus berisi kunci publik, identifikasi otoritas sertifikasi, dan identifikasi pengguna. 

Selain sertifikasi digital, Anda dapat meminta beberapa perusahaan untuk menangani semua aspek PKI, token akses, dan otentikasi multi-faktor untuk pengguna, perangkat, dan mesin. 

Dalam kasus situs web, permintaan penandatanganan sertifikat datang sebagai perintah dengan server web. 

Pengambilan Kunci 

• Tanda Tangan Digital adalah verifikasi elektronik pengirim. Itu bergantung pada enkripsi asimetris dan menggunakan kunci pribadi untuk mengenkripsi pesan dan kunci publik untuk mendekripsinya. 
• Isi pesan di-hash untuk menjaga integritas. Namun, hash adalah proses satu arah dan digunakan untuk memvalidasi bahwa konten tidak diubah. 
• Pesan yang diterima didekripsi dengan kunci publik, dan hash konten harus sesuai dengan nilai hash yang diberikan oleh pengirim. Jika tidak, penerima memiliki alasan untuk meyakini bahwa konten telah diubah. 
• Tanda tangan digital saja tidak memiliki otentikasi. Oleh karena itu, perlu didukung dengan sertifikat digital yang dikeluarkan oleh otoritas sertifikasi. 

* Informasi dalam artikel ini dan tautan yang disediakan hanya untuk tujuan informasi umum dan bukan merupakan nasihat keuangan atau investasi. Kami menyarankan Anda untuk melakukan riset sendiri atau berkonsultasi dengan profesional sebelum membuat keputusan keuangan. Harap diketahui bahwa kami tidak bertanggung jawab atas kerugian apa pun yang disebabkan oleh informasi apa pun yang ada di situs web ini.