Hi There!

Nyambung lagi di postingan yang kedua kali ini, masih tentang hal yang sama seperti postingan sebelumnya, yaitu tentang Seputar Cyber Crime, Digital Signature, dan Network Security. Semoga postingan kali ini nggak bersambung lagi kayak Cinta Fitri Season 1-7 ya. #gubrak

Secara mudahnya Digital Signature adalah bentuk tiruan tanda tangan konvensional ke dalam bentuk digital. Tetapi bukan file scan tanda tangan di kertas. Sebutan digital signature ini sebenarnya konsep. Dalam dunia nyata, tanda tangan digital itu bentuknya adalah rangkaian byte-byte yang jika diperiksa bisa digunakan untuk memeriksa apakah suatu dokumen digital, juga termasuk email, benar berasal dari orang tertentu atau tidak.

Dalam digital signature, suatu data/pesan akan dienkripsi dengan menggunakan kunci simetris yang diciptakan secara acak (randomly generated symmetric key). Kunci ini kemudian akan dienkripsi dengan menggunakan kunci publik dari calon penerima pesan. Hasil dari enkripsi ini kemudian dikenal/disebut sebagai “digital envelope” yang kemudian akan dikirimkan bersama pesan/data yang telah dienkripsi. Setelah menerima digital envelope penerima kemudian akan membuka/mendekripsi dengan menggunakkan kunci kunci prifatnya. Hasil yang ia dapatkan dari dekripsi tersebut adalah sebuah kunci simetris yang dapat digunakannya untuk membuka data/pesan tersebut.

Maksud dari menandatangani secara digital adalah memberikan suatu ciri khas terhadap suatu pesan. Message digest adalah suatu besaran (value) yang berasal dari suatu data/pesan yang memiliki sifat yang unik yang menandai bahwa pesan tersebut mempunyai suatu besaran tertentu. Messages digest diciptakan dengan melakukan enkripsi terhadap suatu data dengan menggunakan menggunakan kriptografi satu arah (one way crypthography), yaitu suatu tehnik kriptografi yang terhadapnya tidak dapat dilakukan proses pembalikan (reversed). Pada saat message digests dienkripsi dengan menggunakan kunci privat dari pengirim dan “ditambahkan” kepada data/pesan yang asli maka hasil yang didapat adalah digital signature dari pesan tersebut.

Penerima dari digital signature akan dapat mempercayai bahwa data/pesan benar berasal pengirim. Dan karena apabila terdapat perubahan suatu data/pesan akan menyebabkan akan merubah message digests dengan suatu cara yang tidak dapat diprediksi (in unpredictible way) maka penerima akan merasa yakin bahwa data/pesan tersebut tidak pernah diubah setelah message digest diciptakan. Sebelum kedua belah pihak (pengirim/penerima) hendak melakukan komunikasi diantaranya dengan menggunakan kriptografi kunci publik, masing-masing pihak harus merasa yakin akan keberaan mereka. Mereka kemudian akan melakukan otentifikasi terhadap keberadaan masing-masing pihak. Agar mereka dapat melakukan otentifikasi terhadap keberadaan mereka masing-msing maka mereka menunjuk pihak ketiga yang akan memberikan otentifikasi terhadap kunci publik mereka. Pihak ketiga ini kita kenal sebagai Certification Authorithy. Certification authorithy ini kemudian akan memberikan suatu sertifikat (certificate) yang berisi identitas dari pengguna, sertifikat ini ditandatangani secara digital oleh Certification authority tersebut. Isi dari sertifikat tersebut selain identitas ia juga berisi kunci publik dari pemiliknya.

Misalnya, Kuma mengirimkan dokumen penting kepada John melalui email. Ternyata, Vladimir yang tahu kabar ini kemudian mencoba memalsukan email Kuma. Dokumen attachment Kuma diganti. Ketika John terima email Kuma (yang attachmentnya sudah diganti oleh Vladimir), dia merasa aneh, karena isinya tidak sesuai dengan pembicaraan sebelumnya. John curiga. John memeriksa (mem-verifikasi) digital signature pada email tersebut. John tahu, ternyata surat itu tanda tangannya tidak cocok.

Bagaimana membuat tanda tangan digital?

1. Kuma mengambil nilai hash dari pesan/data. Fungsi hash yang bisa pakai misalnya MD5 atau SHA1
2. Kuma mengenkrip nilai hash tersebut dengan algoritma enkripsi public key, contohnya RSA (dipakai di S/MIME; sedangkan PGP pakai algoritma El Gamal). Hasil enkripsi hash dengan private key pengirim inilah yang disebut digital signature.
3. Kuma menempelkan (concat) digital signature ke pesan/data.
4. Kuma mengirim pesan/data yang sudah ditempeli digital signature tersebut kepada John

Bagaimana mem-verifikasi tanda tangan digital?

1. John mengambil emailnya, kemudian memisahkan bagian tanda tangan digital dengan bagian pesan/datanya
2. John mendekrip digital signature pesan tersebut dengan public key Kuma. Public key Kuma sudah pernah diberikan oleh Kuma sebelumnya, atau bisa diambil dari website Kuma.
3. Hasil dekripsi digital signature kemudian dicocokkan dengan nilai hash bagian pesan/data email tersebut
4. Jika hasilnya sama, berarti tanda tangan digital dinilai valid sedangkan bila beda, berarti digital signature tidak valid (dokumen telah dipalsukan atau pengirimnya pasti bukan Kuma).

Konsep Digital Signature