(Im) Membuktikan Chain of Custody dan Integritas Barang Bukti Digital

dengan Time Stamp

Jasmin osi and Miroslav Ba a

IT Section of Police Administration
Ministry of Interior of Una-sana canton
502.V.bbr br.2, Bihac, B&H
Phone: +387 61 790 484 E-mail: jascosic@bih.net.ba;

Faculty of Organization and Informatics

University of Zagreb
Pavlinska 2, Varazdin, RH
Phone: +385 98 552 235 E-mail: miroslav.baca@foi.hr

Abstaksi
Integritas (keadaan yang menunjukkan kesatuan yang utuh) dari barang
bukti digital memainkan peran penting dalam proses investigasi forensik
digital. Chain od Custody mesti mencakup informasi tentang bagaimana buktibukti dikumpulkan (collected), diangkut (transported), dianalisis (analyzed),
diawetkan (preserved), dan ditangani. Ada beberapa metode yang disesuaikan
untuk penandaan barang bukti digital agar integritas nya terjaga. Sangat
banyak tool forensik dan aplikasi menggunakan jenis algoritma hashing
tertentu untuk memungkinkan peneliti memverifikasi integritas dari disk /
gambar. Pada proses ini masalah terkait ke-integritas-an meningkat, baik
identitas serta tanggal dan waktu akses terhadap barang bukti.
Dalam paper ini penulis akan mempersembahkan sebuah metode Time
Stamp sebagai penandaan sah sebuah bukti digital dalam keseluruahan
tahapan penyidikan. Time stamp diperoleh dari pihak ketiga (Otoritas Time
Stamp). ini akan digunakan untuk membuktikan ketika staff mengakses
barang bukti digital pada setiap tahapan investigasi forensik.
I.

Pendahuluan
Chain of custody dan integritas barang bukti digital memainkan peran
penting dalam aturan proses investigasi forensik, karena fakta dari setiap
tahapan forensik seorang investigator mesti mengerti benar bagaimana bukti
digital ditemukan, dikumpulkan, ditangani, dalam berhubungan dengan
barang bukti. Penanganan Chain of custody mesti menyertakan jawaban atas
semua pertanyaan terkait integritas. Jika satu pertanyaan belum terjawab,
chain of custody dapat dipertanyakan dan validasi nya dapat terganggu.
Dalam hal ini ketika menyajikan barang bukti di pengadilan, jika satu
aturan/hubungan hilang maka pengadilan akan menerima barang bukti yang
tidak relevan seluruh proses investigasi akan sia-sia. Pertanyaan paling umum
dalam presentasi bukti digital adalah siapa, kapan, dimana dan alasan
melakukan kontak/hubungan dengan bukti digital?. Variable yang paling
sensitif adalah waktu melakukan kontak/hubungan dengan bukti digital.
Bukti digital bisa saja sebuah file dengan atau tanpa ekstensi, beberapa file,
sebuah partisi pada hardisk atau keseluruhan isi hardisk, flash disk,
CD/DVD/BlueRay Disk dan media penyimpanan lainnya.

Bagaimanapun pada investigasi forensik mengacu pada media

penyimpanan atau hardisk dengan tujuan penyelidikan adalah perangkat
komputer. Investigator mesti membuat identitas lengkap bit to bit dalam
salinan file yang asli ketika bukti digital yang asli ber-sirkulasi melalui
tahapan-tahapan investigasi, atau ketika melewati keseluruhan tahapan dari
investigasi bukti digital, staf yang menangani barak bukti akan selalu berganti,
oleh sebab itu dokumentasi tidak hanya pada perubahan tapi juga orang yang
melakukan kontak/hubungan.
II.

Chain of custody dan Live circle dari bukti digital.

Chain of Custody dapat didefinisikan sebagai "Sebuah peta jalan yang
menunjukkan bagaimana bukti-bukti dikumpulkan, dianalisis, dandiawetkan
dalam rangka untuk disajikan sebagai bukti di pengadilan ". (John Vacca, P154) [1]. Chain of custody memegang peranan yang sangat peranan penting
dalam proses penyidikan digital. Ini adalah frase yang mengacu pada audit
yang akurat dan kontrol barang bukti asli yang berpotensi dapat digunakan
untuk tujuan hukum. Tidak cukup hanya mengetahui lokasi saat ini, namun
harus ada juga log (sejarah akses) yang akurat dalam melacak setiap saat
pergerakan dan kepemilikan barang bukti Penyidik harus tahu bagaimana
untuk menjawab pertanyaan-pertanyaan tertentu dalam penyelidikan forensik
keseluruhan proses:
1. Apa barang bukti digital ?
2. Dimana bukti digital ditemukan, dikumpulkan, ditangani dan/atau
diperiksa?
3. Siapa saja yang berhubungan dengan barang bukti, menangani,
menemukan?
4. Kapan barang bukti digital ditemukan, diakses, diperiksa atau
dipindahkan (transfer).
5. Bagaimana barang bukti digital digunakan.
Chain of custody harus mencakup dokumentasi bagai mana data
dikumpulkan, diangkut, dianalisis, diawetkan dan ditangani (dengan
membayar lisensi, misalnya bukti Internasional).
Informasi ini penting dalam memverifikasi data elektronik
agar
melakukan pencegahan bila data diubah. Mempertahankan Chain of custody
adalah penting untuk orang yang melindungi data, serta otoritas dalam
hukum [1]. Mengadopsi Chain of custody akan membantu penyidik untuk
membuktikan bahwa bukti yang memberatkan tidak hancur atau bukti
terkontaminasi.
III. Integritas Barang Bukti Digital
Menurut Vastone [3], Integritas digital properti dimana data digital
belum diubah secara tidak sah sejak dibuat, ditransmisikan, atau disimpan
oleh sumber resmi. Integritas bukti digital memastikan bahwa informasi
disajikan lengkap dan tidak berubah dari waktu memperoleh disposisi hingga
akhir. Ada beberapa metode yang disesuaikan untuk bukti penandatanganan
digital untuk (im) membuktikan integritasnya. Saat ini sebagian besar

alat forensik dan aplikasi mengimplementasikan beberapa jenis

checksum atau hashing algoritma untuk memungkinkan peneliti kemudian
untuk memverifikasi integritas disk atau gambar [4]. Sebuah fungsi hashing
kriptografi atau algoritma memiliki karakteristik teknis sebagai berikut [Tabel
1].

IV.

Menggunakan Time Stamp Untuk Menandai Bukti Digital

Ada banyak definisi terkait Time Stamp (trjmh: Cap Waktu). Dalam
dunia nyata sebuah Time Stamp dapat di representasikan beberapa moment
waktu, didunia komputer (dunia digital), time stamp di representasikan
sebuah moment waktu dalam format digital. Time stamp dan Digital time
memainkan peran penting dalam forensika digital, karena adanya kebutuhan
untuk mengetahui waktu-waktu saat tertentu pada proses investigasi.
Hal ini sangat penting untuk mengetahui jawaban atas pertanyaan
diruang sidang. Kapan barang bukti diakses, berapa lama seorang staff
berhubungan dengan barang bukti? Pertanyaan berikutnya dapat berupa:
Berapa lama bukti digital dapat dibuktikan integritasnya saat ditandai.[7]
Waktu adalah faktor penting dalam menentukan pertanyaan. Kita harus
membuktikan integritas digital bukti. Kita perlu tahu waktu yang tepat saat
bukti digital diakses. Masalah besar lainnya adalah kepercayaan sumber
waktu, karena fakta bahwa dalam dunia nyata dan digital waktu selalu
tergantung pada pengaturan jam . Sebagai contoh, jika kita menggunakan
komputer pribadi yang jam salah, kita akan mendapatkan cap waktu yang
salah. Karena itu, waktu tidak bisa sepenuhnya diandalkan. Dalam kasus ini
Time Stamp tidak dapat menjadi sebagai faktor vital untuk merekonstruksi
peristiwa di digital forensik.
Masalah Time stamp telah menjadi subyek dari penelitian. Hosmer [7]
menekankan penggunaan waktu untuk membuktikan integritas dari bukti
digital, dan 3 langkah besar yang harus kita lakukan agar dapat secara efektif
menggunakan bukti digital untuk membuktikan motif, kesempatan dan
sarana kejahatan dunia maya:
Langkah 1: Lacak keabsahan Sumber waktu
Langkah 2: Distribusi Waktu
Langkah 3: Sumber Digital Time Stamp
Weil[2002]
dan
Boyd [2004] menganjurkan penggunaan metode
korelasi untuk penyimpanan Time Stamp yang tersimpan di komputer yang
dibuat oleh Jam lain (misalnya Time Stamp dalam Halaman web yang
dihasilkan secara dinamis)[8]. Dalam penelitian sinkronisasi jam jaringan
komputer mereka, Mohay and Clark [9] Menunjukkan bahwa jam/waktu dapat
dikurangi dengan menghubungkan Rime Stamp yang tersimpan dalam chance
web dari halaman web dengan record yang tersimpan di web server.
A.

Validitas Time Stamp

Menurut RFC 3161 standar [10], sebuah

Time Stamp valid adalah Time Stamp yang dikeluarkan oleh pihak ketiga
yang terpercaya (trusted third party (TTP)) bertindak sebagai otoritas stamping
waktu (time stamping authority (TSA)). Hal ini digunakan untuk membuktikan
adanya data tertentu sebelum titik tertentu (misalnya kontak dengan bukti
digital) tanpa kemungkinan bahwa pemilik dapat backdate Time Stamp. di
beberapa negara kita dapat menggunakan jasa TSA dalam kewenangan untuk

membuktikan konsistensi dan integritas bukti digital dalam setiap tahap

keberadaannya. Hal ini sangat penting dalam standar internasional
pertukaran bukti digital dan Investigasi digital internasional. Ketika sebuah
Time Stamp Authority (TSA), yang kami hubungi untuk mendapatkan Time
Stamp, melanjutkan permintaan kami, ada beberapa "Auditor eksternal"
bertindak sebagai saksi. Dalam beberapa hal ada satu, dalam beberapa dua
auditor [12] mana bukti chain document.
Proses mendapatkan Time stamo dari TSA, yang akan membuktikan
keberadaan dan kontak dengan bukti digital oleh semua staf di setiap saat,
terdiri dari beberapa langkah dibagi dalam dua bagian yang terpisah:
Pada sisi klien:
Proses pembuatan pengenal unik, sidik jari (menciptakan hash) bukti
digital (SHA-256,MD5, dll)
Proses kewenangan pengiriman sidik jari untuk Time Stamp
Proses verifikasi dengan Public Key dan lokal menyimpan
Di sisi TSA:
Proses mendapatkan waktu resmi dari server
Proses menambahkan Time stanmp untuk sidik jari
Proses melindungi (penandatanganan) dengan Private Key
Proses pengiriman tanda tangan digital untuk klien
Proses ini diilustrasikan dalam gambar 1. pertama, peneliti (atau staf
lain yang menangani bukti digital) harus menghasilkan sebuah identifikasi
unik - sidik jari bukti digital. Dalam proses ini beberapa metode sebelumnya,
fungsi hash atau, untuk keamanan yang lebih baik, beberapa hash fungsi
dapat digunakan. Hal ini diusulkan untuk menggunakan- SHA / MD
algoritma. Setelah menghasilkan hash bukti digital, ini "beberapa bit" dikirim
ke "pihak ketiga" TSA. Hal ini penting untuk menyebutkan bahwa hanya
sidik jari (hash) adalah ditransmisikan ke TSA, pernah file asli. TSA tidak
dapat melihat dokumen yang sebenarnya (tidak file apapun). Selanjutnya apa
yang terjadi adalah bahwa TSA menerima hash dengan menambahkan Time
stamp, menghitung hash baru dan digital menandatangani berkas dengan
kunci penandatanganan dilindungi. Tujuan dari dokumen ini adalah untuk
menunjukkan sebuah metode Time stamp yang sah untuk menandatangani
bukti digital dalam setiap tahapan proses penyidikan.

TSA kemudian mengirimkan file ini kembali ke klien (penyidik), yang

memiliki sepasang kunci penandatanganan. Pada tahap berikutnya dari
penyelidikan forensik persis proses yang sama terjadi. Pada cara ini kita bisa
membuktikan waktu membawa bukti digital pada setiap tahap penyelidikan
forensik.
V.

Kesimpulan dan Penelitian lebih lanjut

Karena perkembangan TIK yang luas, khususnya internet dan
komunikasi digital, membawa bukti lebih besar dari sebelumnya. Seperti bukti
digital ke dalam bentuk bit/byte. Salah satu hal yang sangat penting dalam
proses forensik adalah pemeliharaan dari chain of custody bukti digital.
Penelitian lebih lanjut akan difokuskan pada masalah lanjutan dari
chain of custody-pada proses bukti digital, dan bagaimana dapat
dikembangkan keamanan Framework manajemen bukti Digital Itu akan
membantu peneliti untuk aman menangani bukti, dan menyimpan hash file
dalam bentuk digital, serta biometric tanda tangan, cap waktu, dan
karakteristik tempat di mana semua bukti diakses.
REFERENCES
[1]
[2]
[3]
[4]
[5]

M.G.Nagaraya, Investigators chain of custody in digital

R. Yeager,, Criminal Computer Forensics Management, InfoSecCD,
ACM, Kennesaw, USA, 2006
S.Vanstone, P. Van Oorschot,, & A. Menezes, Handbook of Applied
Criptografy, CRC Press, 1997
C. Brown, Digital evidence: Collecting and Preservation, 2006
Cryptographic
hash
function,
http://en.wikipedia.org/wiki/
Cryptographic_hash_function#cite_note-13, (accessed: 04.12.2010)

[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]

J. osi , M.Ba a, Steganography and its implication on forensic

investigation, INFOTEH 2010, Jahorina, B&H, in press
C. Hosmer, Proving the Integrity of Digital Evidence with Time ,
International Journal of Digital Evidence, Spring 2002, Vol.1, Issue 1
S. Willassen, Hypothesis based investigation of Digital Time stamps,
IFIP, Advances in Digital Forensic IV, pp.75-86, 2008
B. Schatz, G. Mohay, A. Clark, A correlation method for establishing
the provenance of time stamps in digital evidence , Digital
Investigation, vol 3, 98-107,2006
Internet X.509 PKI, Time Stamp Protocol (TSP),
http://tools.ietf.org/html/rfc3161 accessed: 01.01.2010
Financial Agency of Croatia, http://www.fina.hr/ accessed: 31.12.2009
E-TimeStamp, An Internet Notary,
http://www.digistamp.com/evidence.htm, accessed: 02.01.2010
M. Ba a, Introduction in computer security, Narodne novine, Zagreb,
2004, (on Croatian)