I.

Pendahuluan
Aplikasi seperti perbankan, perdagangan saham, dan perdagangan barang semakin
menekankan transaksi elektronik untuk meminimalkan biaya operasional dan meningkatkan
pelayanan. Hal ini telah menyebabkan kenaikan fenomenal jumlah dokumen elektronik yang
dihasilkan, diolah, dan disimpan di komputer dan ditransmisikan melalui jaringan. Infomasi
elektronik ini ditangani dalam aplikasi ini adalah berharga dan sensitif dan harus dilindungi
terhadap bahaya gangguan dari pihak ketiga . Secara tradisional, dokumen kertas yang divalidasi
dan disertifikasi oleh tanda tangan tertulis bekerja cukup baik sebagai sarana pembuktian
keaslian. Untuk dokumen elektronik, mekanisme serupa diperlukan. Tanda tangan digital yang
hanya berupa rangkaian kode biner satu dan nol yang dihasilkan dengan menggunakan
algoritma tanda tangan digital tujuannya untuk validasi dan otentikasi dokumen elektronik.
Validasi mengacu pada proses sertifikasi isi dokumen, sementara otentikasi mengacu pada
proses sertifikasi pengirim dokumen.

II. Karakteristik tanda tangan konvensional dan digital

Sebuah tanda tangan konvensional memiliki karakteristik yang menonjol sebagai berikut:
relatif mudah menetapkan bahwa tanda tangan itu asli, kesulitan pembuatan tanda tangan,
tanda tangan tidak bisa didelegasi, kesulitan mengubah tanda tangan, dan tanda tangan
nonrepudiation untuk memastikan bahwa signer tidak bisa menyangkal penandatanganan.
Sebuah tanda tangan digital harus memiliki semua fitur tersebut dari tanda tangan konvensional
ditambah beberapa lagi sebagai tanda tangan digital yang digunakan dalam aplikasi praktis,
tetapi sensitif, seperti e-mail dan kartu kredit transaksi aman melalui Internet. Sejak tanda
tangan digital hanya urutan nol dan satu, diinginkan untuk memiliki sifat-sifat berikut:
- Tanda tangan harus menjadi pola bit yang tergantung pada pesan yang ditandatangani
(dengan demikian, untuk pencetus yang sama, tanda tangan digital berbeda untuk dokumen
yang berbeda); tanda tangan harus menggunakan beberapa informasi yang unik dari
pengirim untuk mencegah pemalsuan dan penyangkalan;
- Harus relatif mudah digunakan;
- Harus relatif mudah untuk mengenali dan memverifikasi keaslian digital tanda tangan;
- Harus dapat menjamin bahwa tidak mungkin untuk membuat tanda tangan digital dengan
cara membuat pesan baru dari tanda tangan digital yang ada atau membangun sebuah
tanda tangan digital palsu dari pesan yang telah ditandatangani;

~1~
 - Harus praktis untuk mendapatkan salinan tanda tangan digital di penyimpanan untuk
menengahi perselisihan yang mungkin nanti terjadi.

Untuk memverifikasi bahwa dokumen yang diterima memang dari pengirim yang mengirim
pesan dan isi pesan tersebut tidak diubah, beberapa prosedur telah dikembangkan yaitu
disebut teknik otentikasi,.Namun, teknik otentikasi pesan tidak dapat langsung digunakan
sebagai tanda tangan digital karena kekurangan dari teknik otentikasi. Sebagai contoh, meskipun
otentikasi pesan melindungi kedua pihak bertukar pesan dari pihak ketiga, tidak melindungi
kedua pihak terhadap keaslian pesan itu sendiri.

III. Notasi dasar dan terminologi

Tanda tangan digital dibuat berdasarkan dokumen (pesan / informasi) yang perlu
ditandatangani dan beberapa informasi pribadi yang hanya diketahui oleh pengirim. Dalam
prakteknya, alih-alih menggunakan seluruh pesan, fungsi hash diterapkan pada pesan untuk
mendapatkan message digest. Sebuah fungsi hash, dalam konteks ini, mengambil arbitrary-sized
message sebagai masukan dan menghasilkan fixed-sized message digest sebagai output. Di
antara fungsi hash yang umum digunakan dalam praktek adalah MD-5 (message digest 5) dan
SHA (secure hash algorithm). Algoritma ini cukup canggih dan memastikan bahwa adalah sangat
tidak mungkin untuk dua pesan yang berbeda yang akan dipetakan ke nilai hash yang sama. Ada
dua teknik yang luas digunakan dalam tanda tangan digital, yaitu kriptografi kunci simetris
(symmetric key cryptosystem) dan kriptografi kunci public (public-key cryptosystem). Dalam
sistem kunci simetris, kunci rahasia yang hanya diketahui oleh pengirim dan penerima yang
berhak. Berarti, harus ada kunci yang unik antara dua pasang pengguna. Dengan demikian
menjadi sangat sulit untuk menghasilkan, mendistribusikan, dan melacak kunci rahasia , sebagai
akibat dari peningkatan jumlah pasangan pengguna.

Kriptografi kunci publik, di sisi lain, menggunakan sepasang kunci: kunci pribadi, yang hanya
diketahui pemiliknya, dan kunci publik, diketahui semua orang yang ingin berkomunikasi dengan
pemilik. Untuk kerahasiaan pesan yang akan dikirim ke pemilik, pesan tersebut akan dienkripsi
dengan kunci publik pemilik, yang kini hanya bisa didekripsi oleh pemilik dengan kunci
privatnya. Untuk keperluan otentikasi, pesan akan dienkripsi dengan kunci pribadi dari originator
atau pengirim, yang akan kita sebut sebagai A. Pesan ini bisa didekripsi oleh siapa saja yang
menggunakan kunci publik dari A. Jika ini menghasilkan pesan yang tepat, maka jelas bahwa

~2~
 pesan itu memang dienkripsi dengan kunci privat dari A, dan dengan demikian hanya A yang bisa
mengirimkannya.

IV. Membuat dan memverifikasi tanda tangan digital

Sebuah skema sederhana generik untuk menciptakan dan memverifikasi tanda tangan digital
ditunjukkan masing-masing pada Gambar. 1 dan 2. Sebuah fungsi hash diterapkan ke pesan yang
menghasilkan fixed-sized message digest. Fungsi tanda tangan menggunakan message digest
dan kunci pribadi pengirim untuk menghasilkan tanda tangan digital. Sebuah bentuk yang sangat
sederhana dari tanda tangan digital diperoleh dengan mengenkripsi pesan digest menggunakan
kunci privat pengirim. Pesan dan tanda tangan sekarang dapat dikirim ke penerima. Pesannya
adalah tidak terenkripsi dan dapat dibaca oleh siapa pun. Namun, tanda tangan memastikan
keaslian pengirim (sesuatu yang mirip dengan surat edaran yang dikirim oleh otoritas yang tepat
untuk dibaca oleh banyak orang, dengan tanda tangan membuktikan keaslian pesan). Pada
penerima, fungsi pembalik tanda tangan diterapkan pada tanda tangan digital untuk
mengembalikan message digest asli. Pesan yang diterima menggunakan fungsi hash yang sama
seperti yang digunakan oleh pesan asli. Message digest yang dihasilkan dibandingkan dengan
yang direcover dari tanda tangan digital. Jika mereka cocok, maka dipastikan bahwa pesan
memang telah dikirim oleh (diklaim) pengirim dan belum diubah.

~3~
V. Membuat dan membuka amplop digital membawa pesan ditandatangani
Proses membuat amplop digital berisi pesan yang ditandatangani ditunjukkan pada Gambar.
5. Sebuah tanda tangan digital dibuat oleh fungsi signature menggunakan message digest dari
pesan dan kunci privat pengirim. Pesan asli dan tanda tangan digital tersebut kemudian
dienkripsi oleh pengirim menggunakan kunci yang dihasilkan secara acak dan algoritma
symmetric-key. Kunci simetris itu sendiri dienkripsi menggunakan kunci publik penerima.
Kombinasi pesan terenkripsi dan tanda tangan, bersama-sama dengan kunci simetris dienkripsi,
membentuk amplop digital berisi pesan ditandatangani. Gambar 6 menunjukkan proses
membuka amplop digital, memulihkan pesan, dan memverifikasi tanda tangan. Pertama, kunci
simetris di-recover dengan menggunakan kunci pribadi penerima, kemudian digunakan untuk
mendekripsi dan me-recover pesan dan tanda tangan digital. Tanda tangan digital ini kemudian
diverifikasi seperti yang dijelaskan sebelumnya.

~4~
VI. Skema model aplikasi digital signature
Berbagai model telah diusulkan untuk tanda tangan digital yang jatuh ke dalam dua kategori
dasar: langsung (Direct) dan tidak langsung (Arbitrated). Tanda tangan digital langsung
melibatkan hanya berkomunikasi pihak, pengirim dan penerima. Ini adalah jenis yang paling
sederhana dari tanda tangan digital. Hal ini diasumsikan bahwa penerima mengetahui kunci
publik pengirim. Dalam skema sederhana, tanda tangan digital dapat dibentuk dengan

~5~
mengenkripsi seluruh pesan atau kode hash dari pesan dengan kunci privat pengirim.Keamanan
dapat ditingkatkan dengan mengenkripsi seluruh pesan ditambah tanda tangan baik dengan
enkripsi kunci publik penerima atau kunci rahasia bersama, yang merupakan enkripsi
konvensional. Pengirim kemudian mungkin menyangkal telah mengirim pesan tertentu dengan
alasan bahwa kunci pribadi hilang atau dicuri dan orang lain telah memalsukan tanda tangannya.
Salah satu cara untuk mengatasi hal ini adalah dengan menyertakan cap waktu (time stamp)
pada setiap pesan dan membutuhkan pemberitahuan kehilangan kunci kepada otoritas yang
tepat. Dalam kasus sengketa, pihak ketiga yang terpercaya dapat melihat pesan dan tanda
tangan untuk menengahi sengketa.
Dalam skema tanda tangan arbitrated, ada pihak ketiga yang terpercaya disebut arbiter.
Setiap pesan yang ditandatangani dari pengirim A ke penerima B dikirim ke arbiter T ( pihak yang
men-subjek pesan dan tanda tangan untuk sejumlah tes untuk memeriksa asal-usul dan konten)
terlebih dahulu. Pesan tersebut kemudian ditandai tanggal dan kemudian dikirim ke B dengan
indikasi bahwa telah diverifikasi arbiter. Kehadiran T memecahkan masalah yang dihadapi oleh
skema tanda tangan langsung, yaitu bahwa A mungkin menyangkal telah mengiirim pesan.
Arbiter memainkan peran sensitif dan penting dalam skema ini, dan harus semua pihak percaya
bahwa mekanisme arbitrase bekerja dengan benar. Ada banyak variasi dari arbitrated skema
digital signature. Beberapa skema memungkinkan arbiter untuk melihat pesan, sementara yang
lainnya tidak. Skema tertentu yang digunakan tergantung pada kebutuhan aplikasi.

~6~
VII. Tanda tangan digital dari sudut pandang kunci publik dan kunci pribadi
Cara lain untuk mengklasifikasikan skema tanda tangan digital didasarkan pada apakah
sistem private-key atau sistem kunci publik digunakan. Sistem berbasis tanda tangan digital
kunci publik memiliki beberapa keunggulan dibandingkan sistem berbasis randa tangan digital
kunci private. Kedua sistem kunci publik berdasarkan skema tanda tangan digital yang paling
populer dan umum digunakan adalah RSA (dinamai Rivest, Shamir, dan Adleman, penemu dari
RSA skema enkripsi kunci publik) dan pendekatan Digital Signature Algorithm (DSA). DSA
dimasukkan ke dalam Digital Signature Standard (DSS), yang diterbitkan oleh Institut Nasional
Standar dan Teknologi sebagai Informasi Pengolahan Standar Federal. DSA pertama kali
diusulkan pada tahun 1991, direvisi pada tahun 1993, dan selanjutnya direvisi dengan
perubahan kecil pada tahun 1996. RSA adalah skema yang biasa digunakan untuk tanda tangan
digital. Secara garis besar pendekatan RSA, pesan yang akan ditandatangani adalah input ke
fungsi hash yang menghasilkan kode hash aman dari panjang tetap. Kode hash ini kemudian
dienkripsi menggunakan kunci pribadi pengirim untuk membentuk tanda tangan. Kedua tanda
tangan dan pesan kemudian digabungkan dan ditransmisikan. Penerima mengambil pesan dan
menghasilkan kode hash. Penerima juga mendekripsi tanda tangan menggunakan kunci publik
pengirim. Jika kode hash dihitung sesuai dengan signature didekripsi, tanda tangan diterima
sebagai valid. Hal ini karena hanya pengirim tahu kunci pribadi, dan dengan demikian hanya
pengirim bisa menghasilkan tanda tangan valid. Proses pembuatan tanda tangan dan verifikasi
menggunakan RSA identik dengan skema yang ditunjukkan pada Gambar. 1 dan 2, masing-
masing.
Proses penandatanganan di DSS (menggunakan DSA) ditunjukkan pada Gambar. 7.
Pendekatan DSA juga menggunakan fungsi hash. Kode hash disediakan sebagai masukan untuk
fungsi signature bersama dengan nomor acak yang dihasilkan untuk tanda tangan khusus ini.
Fungsi tanda tangan juga menggunakan kunci privat pengirim dan satu set parameter diketahui
sekelompok pihak yang berkomunikasi, disebut kunci publik sebagai global. Keluaran Tanda
tangan terdiri dari dua komponen. Proses verifikasi tanda tangan ditunjukkan pada Gambar. 8.
Pada akhir penerimaan, kode hash dari pesan yang masuk dihasilkan dan masukan untuk fungsi
verifikasi, bersama dengan dua komponen dari tanda tangan. Fungsi verifikasi menggunakan
kunci publik global serta kunci publik pengirim dan menciptakan (salah satu dari dua komponen)
tanda tangan digital asli. Perbandingan antara tanda tangan yang di rekonstruksi dengan tanda
tangan asli menunjukkan keaslian tanda tangan. Fungsi tanda tangan adalah seperti yang
memastikan penerima bahwa hanya pengirim, yang mengetahui kunci pribadi, bisa

~7~
 menghasilkan tanda tangan yang valid.DSA hanya menyediakan fungsi signature dimana skema
RSA bisa menyediakan fungsi tambahan yaitu enkripsi dan pertukaran kunci.

VIII. Dasar Regulasi Tanda tangan digital dan sertifikasi digital

Regulasi untuk tanda tangan digital ini diatur di UU RI Nomor 11 Tahun 2008 dan Peraturan
Pemerintah RI nomor 82 tahun 2012. Pada Pasal 11 ayat (1) butir (a) dan (b) RUU ITE
menentukan sebagai berikut :
a. Data pembuatan tanda tangan terkait hanya kepada Penandatangan saja;
b. Data pembuatan tanda tangan elektronik pada saat proses penandatanganan elektronik
hanya berada dalam kuasa Penandatangan;
c. […]
d. [..]
e. Terdapat cara tertentu yang dipakai untuk mengidentifikasi siapa penandatangannya;

~8~
 f. Terdapat cara tertentu untuk menunjukkan bahwa Penandatangan telah memberikan
persetujuan terhadap informasi elektronik yang terkait.

Ketentuan-ketentuan Pasal 11 merupakan syarat-syarat minimal yang harusdipenuhi sebuah

tanda tangan elektronik supaya terpenuhinya “asas praduga kehandalan” (présomption de
fiabilité) yang memberikan kekuatan hukum dan akibat hukum yang sama dengan tanda tangan
tradisional. Menurut penulis pada Pasal 11 huruf (f) tidak perlu dicantumkan, karena seharusnya
pasal pembuktian yang dimaksud sudah dibuktikan oleh pasal 11 huruf (e) secara teknis. Untuk
pembuktian bahwa apakah yang menggunakan tanda tangan digital merupakan pemiliknya atau
bukan, atau adanya unsur paksaan dalam untuk menggunakan tanda tangan digital, dapat
dibuktikan oleh pihak yang berwenang.
Sertifikat elektronik tidak dapat dipisahkan dari praktek tanda tangan elektronik, ia
membawa kekuatan hukum yang kuat karena dapat meyakinkan identitas Penandatangan.
Sertifikat elektronik mempunyai sebuah struktur internal, artinya ada beberapa bagian yang
diwajibkan untuk diinformasikan atau dilekatkan pada sertifikat tersebut untuk memberikan
kekuatan hukum pada sertifikat tersebut Syarat-syarat tanda tangan digital dan penyelenggara
sertifikat elektronik ini akan diatur lebih lanjut di Peraturan Pemerintah berdasarkan Pasal 11
ayat (2) dan pasal 13 ayat (2) RUU ITE. Didalam RUU ITE tidak mempresisikan keterangan-
keterangan apa saja yang harus dimuat dalam sebuah sertifikat elektronik, tetapi RUU
menyerahkan kepada Peraturan Pemerintah untuk menentukan lebih lanjut mengenai
penyelenggaraan sertifikasi elektronik. Pada saat ini Peraturan Pemerintah No 82 tahun 2012
belum memuat ketentuan ini.
Namun sebagai bahan pertimbangan, dapat kita baca tentang dambil acuan dari standarisasi
X.509 dari ITU-T yang memuat keterangan sebagai berikut:

 Certificate
o Version Number
o Serial Number
o Signature Algorithm ID
o Issuer Name
o Validity period
 Not Before
 Not After
o Subject name
o Subject Public Key Info

~9~
  Public Key Algorithm
 Subject Public Key
o Issuer Unique Identifier (optional)
o Subject Unique Identifier (optional)
o Extensions (optional)
 ...
 Certificate Signature Algorithm
 Certificate Signature

Teknologi-teknologi dan media-media baru semakin luas dipergunakan dalam praktik

perdagangan, baik di tingkat nasional maupun di tingkat internasional37, sehingga Organisasi-
organisasi internasional semakin memikirkan pengakuan hukum terhadap akta
terdematerialisasi dan tanda tangan elektronik. Akhirnya, dorongan datang dari Komisi
Perserikatan Bangsa-Bangsa untuk hukum dagang internasional (selanjutnya disebut UNCITRAL)
yang mengeluarkan UNCITRAL Model Law on Electronic Commerce pada tanggal 16 Desember
1996. Model law ini sesungguhnya ditujukan untuk menawarkan model hukum kepada negara-
negara yang sudah ataupun belum mempunyai peraturan perundang-undangan terhadap materi
ini. Namun model law sifatnya bebas, artinya negara-negara dibiarkan bebas mau mengikutinya
atau tidak. Berkat model law ini, banyak negara di dunia berbenah-benah diri, mereka
memandang bahwa hukum pembuktian tradisional tidak mampu lagi beradaptasi dengan model
perdagangan elektronik, pemerintahan elektronik serta pertukaran yang terdematerialisasi38.
Oleh karena itu, sangat dibutuhkannya produk hukum yang bertujuan untuk meningkatkan
keamanan dari transaksi-transaksi elektronik melalui jaringan elektronik, serta untuk
memberikan pengakuan terhadap kekuatan hukum dari alat bukti elektronik dan tanda tangan
elektronik, misalnya Komunitas Eropa dengan Directive communautaire 1999/93/CE du 13
décembre 1999 tentang “tanda tangan elektronik”, Perancis dengan Loi du 13 mars 2001
tentang “pengadaptasian hukum pembuktian dalam Code civil français terhadap teknologi
informasi dan tentang tanda tangan elektronik”, Malaysia dengan Digital signature act 1997,
Singapura dengan Electronic transaction act 1998 dan Electronic signatures in global and
National Commerce Act 30 juin 2000.

~ 10 ~
IX. Kesimpulan
Banyak bisnis tradisional, bisnis masa kini dan aplikasi baru-baru ini melakukan sejumlah besar
penggunaan transaksi elektronik, yang mengakibatkan meningkatnya kebutuhan untuk
melindungi informasi dari perubahan yang tidak diinginkan dan untuk memastikan keaslian.
Sama seperti tanda tangan memfasilitasi validasi dan verifikasi keaslian dokumen kertas, tanda
tangan digital melayani tujuan validasi dan otentikasi dokumen elektronik. Teknologi ini masih
agak baru dan baru muncul dan diperkirakan akan mengalami pertumbuhan dan digunakan
secara luas di tahun-tahun mendatang. Oleh karena itu, perlu adanya otoritas dan hukum yang
mengatur secara jelas dan mendetail tentang hal ini.

~ 11 ~
X. Referensi
[1] Digital Siignature, IEEE POTENTIALS, S.R. SUBRAMANYA AND BYUNG K. YI
[2] Cyberlaw – Tanda Tanda Tangan dan Sertifikat Digital, http://fairuzelsaid.wordpress.com
[3] Regulasi Penyelenggaraan Sertifikasi Elektronik, http://evoting.bppt.go.id
[4] Undang-undang Republik Indonesia Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik
[5] Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 Tentang Penyelenggaraan
Sistem dan Transaksi Elektronik.

~ 12 ~