Laporan Sertifikat Digital [PDF]

Citation preview

Topik Khusus II



Sertifikat Digital Disusun Oleh : 1. Grant Wilbert 2.Fransiska Agustina 3.Kelvin 4.Juandy Hartanto 5.Hans Liu Winarta



( 12.111.2465 ) ( 12.111.2333 ) ( 12.111.0651 ) ( 12.111.0669 ) ( 12.111.0570 )



BAB I PENDAHULUAN 1.1. Latar Belakang Internet bukanlah sebuah hal yang asing lagi untuk zaman sekarang ini. Pemanfaatan internet sudah mencakup berbagai bidang kehidupan. Walau internet menawarkan kemudahan dalam pengiriman data tetapi internet sendiri memiliki beberapa kelemahan seperti adanya kemungkinan tercurinya data pribadi seseorang yang mungkin akan digunakan untuk hal yang merugikan sang pemilik data pribadi tersebut. Untuk itu maka diperlukan sebuah sistem keamanan yang dapat memberi jaminan keamanan saat kita sedang berinternet ria. Sertifikat digital merupakan salah satu solusi keamanan untuk zaman teknologi ini. Sertifikat digital menawarkan beberapa keamanan yakni menjamin kepastian data, menjamin sumber pemberi data dan menjamin kepastian kepemilikan data.



1.2. Maksud dan Tujuan Adapun maksud dari pembuatan makalah tersebut adalah: a. Tujuan Subjektif guna memenuhi syarat untuk memperoleh nilai tugas dalam mata kuliah Topik Khusus II b. Tujuan Objektif, melalui makalah ini diharapkan agar kita semua dapat lebih memahami tentang Sertifikat digital, apak manfaat dan penerapannya.



1.3. Ruang Lingkup Batasan Masalah untuk makalah tersebut dimulai dari pengertian dari seritifkat digital, isi sertifikat digital, pembagian sertifikat digital, penerapan sertifikat digital, cara kerja sertifkat digital dan beberapa hukum yang berkaitan dengan sertifikat digital.



BAB II PEMBAHASAN 2.1. Definisi Sertifikat Digital Sertifikat digitat memungkinkan kamu untuk membangun kepercayaan ketika melakukan proses bisnis atau transaksi onlie. Kamu bisa menyediakan sertifikat digital yang secara elektronik membuktikan identitas atau hak untuk mengakses informasi atau layanan online. Sekarang ini, kebutuhan akan kerahasiaan informasi serta penjagaan atas keaslian suatu informasi dirasa semakin meningkat. Sertifikat digital memiliki sepasang kunci elektronik yang bisa digunakan untuk mengenkripsi dan menandai informasi digital. Sertifikat digital memungkinkan untuk memverifikasi claim seseorang yang memiliki hak untuk menggunakan kunci yang diberikan, membantu mencegah orangorang yang menggunakan kunci palsu untuk menyamar sebagai pengguna. Apabila digunakan bersamaan dengan enkripsi, sertifikat digital memberikan solusi keamanan yang lebih lengkap, memastikan keamanan identitas semua pihak yang terlibat dalam suatu transaksi. Sertifikat digital terdiri dari :      



Public key pemilik Nama pemilik Tanggal kadaluarsa public key Nama penerbit (CA yang mengeluarkan sertifikat digital) (CA = Certification Authority) Serial number sertifikat digital Logo penerbit



2.2. Pembagian Sertifikat Digital Sebuah sertifikat digital berisi nama organisasi atau individu, alamat bisnis, tanda tangan digital, public key, nomor seri, dan tanggal kedaluwarsa. Ketika Anda sedang online dan browser web Anda mencoba untuk mengamankan sambungan, maka sertifikat digital yang diterbitkan untuk website yang akan diperiksa oleh browser web untuk memastikan bahwa semuanya baik-baik saja dan dapat Anda telusuri dengan aman. Ada beberapa jenis utama sertifikat digital yang penting untuk membangun situs Web aman dan ini adalah server certificates dan personal certificates.



a. Server certificates Sertifikat server hanya memungkinkan pengunjung website untuk aman mentransfer informasi pribadi mereka seperti kartu kredit dan informasi rekening bank tanpa khawatir tentang pencurian atau gangguan. Sertifikat



server juga bertanggung jawab untuk memvalidasi identitas pemilik website sehingga pengunjung dapat merasa seolah-olah mereka berhadapan dengan sumber yang sah saat membuat atau memasukkan password, rincian rekening bank, atau nomor kartu kredit ke dalam situs web.



b. Personal Certificates Personal Certificates sedikit berbeda dari Server Certificates karena memungkinkan Anda untuk memvalidasi identitas pengunjung situs Web dan bahkan membatasi akses mereka kepada bagian-bagian tertentu dari website.



c. Sertifikat Penerbit Menjelaskan bahwa Microsoft Authenticode tidak menjamin bahwa kode ditandatangani adalah aman untuk dijalankan, tetapi menginformasikan pengguna apakah atau tidak penerbit adalah berpartisipasi dalam infrastruktur penerbit terpercaya dan CA. Sertifikat ini digunakan untuk menandatangani perangkat lunak untuk didistribusikan melalui Internet.



d. Sertifikat Otoritas Sertifikat Internet Explorer 5 CA membagi ke dalam dua kategori, Root Sertifikasi Sertifikasi Wewenang dan Menengah Wewenang. Root sertifikat yang ditandatangani sendiri, yang berarti bahwa subjek sertifikat juga merupakan penandatangan sertifikat. Root Sertifikasi Pihak berwenang memiliki kemampuan untuk menetapkan sertifikat untuk Intermediate Sertifikasi Otoritas. Sebuah Intermediate Sertifikasi Otoritas memiliki kemampuan untuk mengeluarkan sertifikat server, sertifikat pribadi, sertifikat penerbit, atau sertifikat untuk lainnya Intermediate Sertifikasi Otoritas.



2.3. Penerapan Sertifikat Digital Sertifikat digital pada umumnya banyak diterapkan diberbagai keamanan standar yang berbasis internet seperti seperti :



a. SSL ( Secure Socket Layer ) SSL adalah protokol keamanan yang digunakan pada hampir semua transaksi aman pada internet. SSL mengubah suatu protokol transport seperti TCP menjadi sebuah saluran komunikasi aman yang cocok untuk transaksi yang sensitif seperti Paypal, Internet Banking, dan lainlain. Keamanan dijamin dengan menggunakan kombinasi dari kiptografi kunci publik dan kriptografi kunci simetri bersamaan dengan sebuah infrastruktur sertifikat. Sebuah sertifikat adalah sebuah kumpulan data identifikasi dalam format yang telah distandardisasi. Data tersebut digunakan dalam proses verifikasi identitas dari sebuah entitas (contohnya sebuah web server) pada internet. SSL menyediakan otentikasi (pada sisi client, dan opsional pada sisi server) terhadap pihak-pihak yang berkomunikasi. SSL dapat



mengamankan koneksi antara dua titik, dan tidak ada pihak yang dapat melakukan hal-hal yang bersifat destruktif atau mengakses informasi yang bersifat sensitif. SSL menyediakan sebuah saluran komunikasi yang aman tanpa perlu adanya pertemuan kedua pihak yang berkomunikasi untuk melakukan proses pertukaran kunci. Fungsi SSL pada komunikasi aman sama seperti fungsi TCP pada komunikasi normal, yaitu menyediakan sebuah infrastruktur komunikasi standar di mana sebuah aplikasi dapat menggunakannya dengan mudah dan hampir tidak dapat terlihat (invisible). SSL menyediakan sebuah komponen penting pada sistem yang aman. Mekanisme otentikasi dasar seperti password Telnet dan otentikasi HTTP dasar menjadi sangat kuat ketika dieksekusi dengan SSL dibandingkan dengan TCP, di mana pada SSL password tidak lagi dikirim dalam bentuk plainteks. SSL mengenkripsi koneksi, bukan data pada kedua pihak yang berkomunikasi, dan tidak mengandung mekanisme untuk otentikasi user ataupun perlindungan password (hanya koneksi yang diotentikasi, keamanannya akan gagal jika mesin pada kedua pihak yang berkomunikasi compromised). Implementasi SSL paling pertama dikembangkan oleh Netscape Communications Corporation pada awal tahun 1990-an untuk mengamankan HTTP. Pada akhir tahun 1990-an, semakin terlihat dengan jelas bahwa SSL 2.0 tidaklah aman. Netscape memulai untuk membangun SSL 3.0. Dengan bantuan Netscape, Internet Engineering Task Force (IETF, badan yang mengatur untuk standar internet) memulai untuk menstandardisasi SSL, sebuah proyek yang kemudian dikenal dengan nama TLS (Transport Layer Security). SSL 3.0 tidak dikembangkan seteliti TLS, sehingga SSL 3.0 dapat dirilis lebih dahulu dan menggantikan SSL 2.0 sebagai standar industri. TLS yang akhirnya diselesaikan pada tahun 2000, menyediakan protokol terstandardisasi yang pertama untuk SSL. Walaupun SSL 3.0 masih digunakan secara luas, untuk pengembangan terbaru termasuk sudah tertinggal karena saat ini hampir semua browser modern mendukung TLS. SSL terdiri dari 2 sub protokol yaitu :   SSL Handshaking, yaitu sub-protokol untuk membangun koneksi yang aman untuk berkomunikasi. 



SSL record, yaitu sub-protokol yang menggunakan koneksi yang sudah aman. SSL record membungkus seluruh data yang dikirim selama koneksi.



Cara Kerja SSL



b. S/MIME ( Secure Multipurpose Internet Mail Extentions ) S/MIME adalah kependekan dari Secure/Multipurpose Internet Mail Extensions. S/MIME adalah standar untuk enkripsi publik key dan sign untuk MIME data. S/MIME menyediakan layanan keamanan kriptografi untuk pesan elektronik yang mencakup beberapa hal : autentikasi, integrity terhadap pesan yang di kirim, non-repudiation origin (menggunakan digital signatures), privacy dan data security (menggunakan enkripsi). Untuk dapat menggunakan S/MIME, seseorang harus medapatkan dan menginstall individual key / certificate dari penyedia CA (Certificate Authority).



c. SET ( Secure Electronic Transaction ) Secure Electronic Transaction (SET) adalah sebuah protokol komunikasi perdagangan elektronik di Internet. Protokol ini menawarkan keamanan transaksi pembayaran dengan memanfaatkan sertifikat digital untuk menjamin autentikasi, kerahasiaan, dan integritas data transaksi yang dikirimkan melalui internet. SET adalah teknologi pengaman transaksi yang berdasarkan pada teknologi enkripsi yang dikembangkan oleh RSA Data Security. SET juga membuat transaksi on-line lebih aman karena menggunakan sertifikat digital untuk membuktikan bahwa konsumen dan pedagang memiliki hak untuk menggunakan dan menerima kartu. Visa juga sudah menggunakan instrumen itu.



SET alat elektronik yang berfungsi untuk memverifikasi pedagang di layar, dan juga berfungsi bagi merchants untuk memeriksa tanda tangan konsumen pada bagian belakang kartu Visa. Sekarang ini pedagang yang mencakup seluruh dunia mengadopsi SET dalam kegiatan bisnis mereka. SET memiliki cara bagi pemegang kartu dan pedagang untuk mengenal atau mengidentifikasi satu sama lain sebelum melakukan transaksi. Dengan cara itu, maka kedua pihak menjamin pembayaran akan tertangani dengan cara yang sama seperti apa yang terjadi jika bertemu langsung. Keotentikan proses ini menggunakan format identifikasi elektronik yang dikenal dengan nama digital sertificates yang dikabarkan kepada pemegang kartu dan pedagang oleh lembaga keuangan yang tergabung dalam keanggotaan Visa. SET menggunakan kunci pengamanan lain, yakni memiliki kata-kata sandi untuk melindungi konsumen. Si pedagang tak dapat membaca informasi konsumen karena visa menampilkannya di layar pedagang dalam bentuk kata-kata sandi. Dalam berhadapan langsung, pedagang paling tidak tahu nama dan nomor kartu. Lewat SET, informasi seperti itu tidak diketahui merchants saat pembayaran dilakukan konsumen. Dengan SET, pemegang kartu juga dapat memvalidasi legitimasi Internet pedagang melalui digital certifictes pedagang. Software SET dengan otomatis memeriksa apakah hubungan pedagang dengan lembaga keuangan benar atau valid. Dengan ini mereka menyakinkan konsumen bahwa pembayaran akan dilakukan dengan cara yang sama dengan perjanjian Visa yang mereka yakini saat ini Ada 4 langkah untuk melakukan transaksi kartu kredit yang aman di internet. 1. Pemegang kartu harus memiliki perangkat lunak browser SET. 2. Pemegang kartu harus mengajukan permohonan untuk memperoleh sertifikat digital dari certificate authority yang biasanya adalah bank. Sertifikat digital akan berada dalam hard drive dan mengandung seluruh informasi detail pemegang kartu, sehingga pemegang kartu tidak perlu mengetik nomor kartu kreditnya. 3. Pemegang kartu memilih sebuah site yang menggunakan SET. 4. Selanjutnya memilih cara pembayaran atau transaksi. 2.4.



Cara Kerja Sertifikat Digital a. Proses Registrasi Langkah pembentukan sertifikat digital: 1. diperlukan sebagai identifikasi sebelum seorang pelanggan dapat melakukan akses/transaksi pada suatu aktifitas kegiatan berbasis WEB (B2B, B2C, G2C) yang menggunakan pengamanan dan enkripsi dengan metoda Public Key Infrastructure (PKI). 2. Setiap orang/pelanggan yang akan berkomunikasi/bertransaksi harus terlebih dahulu mendaftar (registrasi) untuk memperoleh Identifikasi dalam bentuk Elektronik Identification Number.



3. Setelah Elektronik Identification Number (E-ID) diterbitkan dan diterima oleh pelanggan, selanjutnya Elektronik Identification Number (E-ID) tersebut oleh provider yang bersangkutan akan dikirimkan ke Certificate Authority Server untuk di registrasikan. 4. Selanjutnya pelanggan melalui komputer yang dimiliki (personal) akan melakukan koneksi secara on line menggunakan komunikasi yang khusus/secure (menuju address WEB site yang telah ditentukan) untuk melalukan verifikasi dengan cara mengirimkan Elektronik Identification Number (E-ID) yang telah diperoleh sebelumnya, dalam rangka memperoleh Digital Certificate. 5. Selanjutnya Certificate Authority Server akan melakukan verifikasi terhadap kebenaran dan keabsahan Elektronik Identification Number (E-ID) yang telah dikirimkan oleh pelanggan. 6. Jika Elektronik Identification Number (E-ID) tersebut benar dan absah, maka selanjutnya Certificate Authority Server akan menerbitkan Digital Certificate, dengan disertai Public Key dan Private Key. b. Proses pengiriman 1. diperlukan sebagai identifikasi sebelum seorang pelanggan dapat melakukan akses/transaksi pada suatu aktifitas kegiatan berbasis WEB (B2B, B2C, G2C) yang menggunakan pengamanan dan enkripsi dengan metoda Public Key Infrastructure (PKI). 2. Setelah Elektronik Identification Number (E-ID) diterbitkan dan diterima oleh pelanggan, selanjutnya Elektronik Identification Number (E-ID) tersebut oleh provider yang bersangkutan akan dikirimkan ke Certificate Authority Server untuk di registrasikan. 3. Selanjutnya pelanggan melalui komputer yang dimiliki (personal) akan melakukan koneksi secara on line menggunakan komunikasi yang khusus/secure (menuju address WEB site yang telah ditentukan) untuk melalukan verifikasi dengan cara mengirimkan Elektronik Identification Number (E-ID) yang telah diperoleh sebelumnya, dalam rangka memperoleh Digital Certificate. 4. Selanjutnya Certificate Authority Server akan melakukan verifikasi terhadap kebenaran dan keabsahan Elektronik Identification Number (E-ID) yang telah dikirimkan oleh pelanggan. 5. Jika Elektronik Identification Number (E-ID) tersebut benar dan absah, maka selanjutnya Certificate Authority Server akan menerbitkan Digital Certificate, dengan disertai Public Key dan Private Key. 6. Digital Certificate tersebut akan dikirimkan ke pelanggan dengan menggunakan komunikasi yang khusus/secure untuk selanjutnya Digital Certificate tersebut diinstall di komputer pelanggan. Cara Kerja Seritifkat Digital digambarkan dengan ilustrasi berikut.



2.5. Hukum yang berkaitan dengan sertifikat digital Landasan Hukum untuk tanda tangan digital di indonesia adalah UU ITE. UU ITE dibagi menjadi 2 bagian besar, yaitu : 1. Pengaturan mengenai informasi dan transaksi elektronik 2. Pengaturan mengenai perbuatan yang dilarang : a. konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE) b. akses ilegal (Pasal 30) c. intersepsi ilegal (Pasal 31) d. gangguan terhadap data (data interference, Pasal 32 UU ITE) e. gangguan terhadap sistem (system interference, Pasal 33 UU ITE) f. penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE)



Landasan Hukum yang bersifat internasional adalah UNCITRAL Model law on Electronic Signature. UNCITRAL Sebagai salah satu organisasi internasional yang memiliki fokus dalam perkembangan TI dan merupakan organisasi yang pertama kali membahas mengenai dampak penting TI terhadap Perniagaan Elektronik. Hasil UNCITRAL Berupa Model law ini sesungguhnya ditujukan untuk



menawarkan model hukum kepada negara-negara yang sudah ataupun belum mempunyai peraturan perundang-undangan terhadap materi ini. Namun model law sifatnya bebas, artinya negara-negara dibiarkan bebas mau mengikutinya atau tidak. Berkat model law ini, banyak negara di dunia berbenah-benah diri, mereka memandang bahwa hukum pembuktian tradisional tidak mampu lagi beradaptasi dengan model perdagangan elektronik, pemerintahan elektronik serta pertukaran yang terdematerialisasi. Oleh karena itu, sangat dibutuhkannya produk hukum yang bertujuan untuk meningkatkan keamanan dari transaksi-transaksi elektronik melalui jaringan elektronik, serta untuk memberikan pengakuan terhadap kekuatan hukum dari alat bukti elektronik dan tanda tangan elektronik, misalnya Komunitas Eropa dengan Directive communautaire 1999/93/CE du 13 décembre 1999 tentang “tanda tangan elektronik”, Perancis dengan Loi du 13 mars 2001 tentang “pengadaptasian hukum pembuktian dalam Code civil français terhadap teknologi informasi dan tentang tanda tangan elektronik”, Malaysia dengan Digital signature act 1997, Singapura dengan Electronic transaction act 1998 dan Electronic signatures in global and National Commerce Act 30 juin 2000.



BAB III KESIMPULAN 3.1. Kesimpulan Sertifikat digital digunakan untuk menjaga integritas berkas program atau perangkat lunak yang diletakkan didalam situs web. Integritas perangkat lunak atau berkas menyangkut 3 hal yakni Otentifikasi ( Keaslian berkas ) , Integritas ( Keutuhan Berkas ), dan Kepemilikan berkas ( Non-repudanci ). Sertifikat digital melakukan identifikasi pemilik dari kunci pribadi tertentu dan kunci publiknya yang sesuai, serta memastikan waktu validitas sertifikasinya. Sertifikasi digital dikeluarkan oleh pihak ketiga yang handal, yaitu yang disebut sebagai pihak yang berwenang untuk memberikan sertifikasi, seperti : Verisign, Entrust, Digital Signature Trust Tanda tangan digital pihak yang berwenang untuk memberikan sertifikasi juga dimasukkan ke dalam sertifikasi digital agar validasi sertifikat dapat diverifikasi.