1

PENGEMBANGAN SISTEM KEAMANAN BERBASIS SERTIFIKAT DIGITAL UNTUK PELAKSANAAN E-GOVERNMENT OLEH LEMBAGA SANDI NEGARA

Oleh : Mohamad Endhy Aziz, S.S.T, S.Kom

Staf Deputi Bidang Pengkajian Persandian, Lemsaneg

Tata kelola pemerintahan merupakan salah satu area yang bertransformasi untuk dapat dilakukan secara elektronik, dinamakan dengan istilah e-government. Pada intinya, e-government adalah penggunaan teknologi informasi dan komunikasi yang bertujuan untuk meningkatkan kinerja dari fungsi dan layanan pemerintah konvensional. E-government menggunakan teknologi digital untuk mengubah pola ataupun pemerintah dengan tujuan untuk meningkatkan efektivitas, efisiensi, dan penyampaian layanan [1].

Beberapa manfaat mengapa e-government diperlukan antara lain:

1. Pelayanan servis yang lebih baik kepada masyarakat. Informasi dapat disediakan 24 jam sehari, 7 hari dalam seminggu, tanpa harus menunggu dibukanya kantor. Informasi dapat dicari dari kantor, rumah, tanpa harus secara fisik datang ke kantor pemerintahan.

2. Peningkatan hubungan antara pemerintah, pelaku bisnis, dan masyarakat umum. Adanya keterbukaan (transparansi) maka diharapkan hubungan antara berbagai pihak menjadi lebih baik.

3. Pemberdayaan masyarakat melalui informasi yang mudah diperoleh. Dengan adanya informasi yang mencukupi, masyarakat akan belajar untuk dapat menentukan pilihannya.

4. Pelaksanaan pemerintahan yang lebih efisien. Sebagai contoh, koordinasi pemerintahan dapat dilakukan melalui e-mail atau bahkan video conference. Tanya jawab, koordinasi, diskusi antara pimpinan daerah dapat dilakukan tanpa kesemuanya harus berada pada lokasi fisik yang sama.

Salah satu tantangan dalam implementasi e-government (tata pemerintahan yang dilaksanakan secara elektronik) adalah bagaimana menerapkan aspek-aspek keamanan untuk setiap informasi/dokumen yang disimpan atau dikirimkan melalui sistem elektronik pendukung e-government tersebut. Informasi atau dokumen elektronik yang dipertukarkan dalam proses e-government pada hakekatnya berisi data dan informasi yang meskipun bersifat terbuka, namun perlu diberikan jaminan keamanan agar data/informasi pada dokumen tersebut tidak dapat dimanipulasi, dirusak, atau disalahgunakan oleh pihak lain yang tidak bertanggung-jawab.

Sebagaimana diketahui, ancaman kejahatan komputer pada dasarnya dilakukan untuk mendapatkan informasi-informasi penting. Oleh karena itu, umumnya pelaku kejahatan komputer yang konvensional akan mengincar informasi tersebut untuk disalahgunakan. Adapula pelaku kejahatan komputer yang menggunakan media internet, biasanya disebut cybercrime. Berdasarkan statistik, penyalahgunaan atau kejahatan dalam penggunaan TIK meningkat dari tahun ke tahun. Sebagai ilustrasi, setiap harinya rata-rata terdapat satu sampai dengan puluhan buah website pemerintah Indonesia (website dengan akhiran .go.id) yang diserang/dibajak sehingga website tersebut tidak lagi menampilkan isi website yang seharusnya [2].

Oleh karena itu, pelaksanaan e-government yang diselenggarakan secara elektronik atau melalui media internet menuntut adanya mekanisme keamanan informasi yang dapat menjamin beberapa aspek, yakni :

keutuhan/integritas terhadap informasi/dokumen elektronik;

autentikasi (keaslian) pemilik atau pengirim informasi/ dokumen elektronik;

2

mekanisme nir-penyangkalan (memastikan bahwa pemilik informasi tidak dapat menyangkal bahwa informasi tersebut adalah miliknya atau telah disahkan olehnya); serta

kerahasiaan informasi/ dokumen elektronik.

Infrastruktur Kunci Publik, Sertifikat Digital dan Tanda Tangan Digital

Infrastruktur Kunci Publik (IKP) pada dasarnya merupakan pengembangan dari kriptografi kunci publik (public key cryptography), dimana sistem kriptografi ini memanfaatkan dua buah kunci yang berbeda namun saling berkaitan. Kriptografi kunci publik adalah sistem penyandian (enkripsi) yang bersifat asimetrik. Berbeda dengan sistem penyandian simetrik, dimana digunakan pasangan kunci yang sama untuk proses enkripsi-dekripsi, pada kriptografi kunci publik digunakan sepasang kunci yang berbeda untuk proses enkripsi-dekripsinya. Kunci untuk proses enkripsi dikenal dengan istilah public key (kunci publik). Public key dapat diberikan kepada siapa saja yang ingin mengirimkan pesan rahasia, atau dalam kata lain public key ini dapat diketahui atau dipublikasikan kepada siapa pun. Pasangan kunci lainnya adalah private key (kunci pribadi), yang digunakan untuk proses dekripsi. Private key harus dijaga kerahasiaannya, atau dalam kata lain hanya pemilik kunci saja yang dibolehkan mengetahui kunci tersebut.

Kepemilikan public key diatur melalui mekanisme dalam

Infrastruktur Kunci Publik. Agar kepemilikan public key oleh entitas atau individu menjadi jelas dan transparan, public key disimpan sebagai sertifikat digital yang di dalamnya juga memuat data identitas pemilik dan masa berlaku sertifikat digital, nomor seri, tanda tangan digital penerbit sertifikat digital, dan data/informasi lainnya yang diperlukan untuk proses verifikasi sertifikat digital tersebut.

Dalam penerapannya, sertifikat digital digunakan sebagai sebuah kredensial (informasi identitas) berbentuk elektronik yang ditujukan untuk mengamankan transaksi dan dokumen elektronik. Sertifikat digital dapat dianalogikan seperti KTP atau Paspor yang merupakan alat verifikasi identitas, hanya saja sertifikat digital digunakan dalam lingkup/domain elektronik.

Sertifikat digital diterbitkan oleh sebuah otoritas penerbit sertifikat digital yang disebut Certification Authority (CA), dimana CA merupakan entitas/pihak ketiga terpercaya (trusted third party) yang menjamin validitas informasi

dalam sertifikat digital tersebut. Dengan adanya validasi atau jaminan dari CA tersebut, pemilik sertifikat digital dapat menunjukkan/membuktikan identitasnya kepada orang lain atau kepada sistem elektronik, dan selanjutnya berkomunikasi secara aman dengan menggunakan metode enkripsi (penyandian). Layanan IKP, biasanya dilaksanakan oleh suatu entitas, baik itu dengan tujuan komersial, pemerintahan, ataupun hanya sebatas layanan pendukung di dalam perusahaan. Entitas pemberi layanan ini biasanya berupa merupakan pihak ketiga yang dipercaya oleh pihak-pihak yang saling berkomunikasi (trusted third party, seperti disebutkan di atas) untuk penanganan sertifikat digital dengan tujuan agar proses transaksi elektronik dapat dilakukan secara aman.

Pemanfaatan lain IKP adalah untuk tanda tangan digital (digital signature). Hampir sama dengan tanda tangan konvensional, tanda tangan digital berfungsi sebagai identitas kepemilikan atau sumber darimana data tersebut berasal. Namun, tanda tangan

Sumber : An Introduction to Cryptography.

ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf

3

digital memiliki tingkat keamanan yang jauh lebih tinggi, dimana mekanisme tanda tangan ini hampir tidak dapat dipalsukan. Tanda tangan digital memungkinkan penerima data (informasi) untuk memastikan bahwa data yang diterima adalah otentik dan terjaga integritasnya (tidak mengalami pengubahan/modifikasi selama data tersebut tersimpan atau dikirimkan).

Tanda tangan digital, selain memberikan jaminan keamanan informasi, juga sah secara hukum untuk menggantikan tanda tangan konvensional dengan dituangkannya peraturan mengenai pemanfaatan tanda tangan digital (elektronik) yakni pada UU Nomor 11/2008 tentang Informasi dan Transaksi Elektronik dan Peraturan Pemerintah Nomor 82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Dalam rangka memenuhi kebutuhan keamanan dalam pelaksanaan e-government, Lembaga Sandi Negara telah mengembangkan sistem Infrastruktur Kunci Publik untuk menunjang penggunaan sertifikat dan tanda tangan digital yang ditujukan untuk meningkatkan sisi keamanan informasi dan dokumen elektronik pada sistem elektronik yang diselenggarakan oleh pemerintah.

Implementasi Sertifikat Digital Untuk Mendukung Keamanan Transaksi Elektronik Dalam e-Government

Untuk mewujudkan praktek-praktek keamanan informasi dalam pelaksanaan e-Government, Lembaga Sandi Negara telah membantu beberapa institusi pemerintah dengan penerapan sertifikat digital dan tanda tangan digital, sebagai contoh yakni Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LKPP) untuk pengamanan dokumen elektronik pada e-Procurement dan Dirjen Anggaran Kementerian Keuangan untuk pengamanan dokumen elektronik DIPA.

Pemanfaatan sertifikat digital dan tanda tangan digital memungkinkan proses transaksi informasi dan dokumen dalam e-government dapat lebih terjamin, sehingga meningkatkan efektifitas penerapan e-government dan juga tingkat kepercayaan para stakeholder dalam e-government.

Pemanfaatan Sertifikat & Tanda Tangan Digital Untuk Mengamankan Transaksi Elektronik Dalam E-Procurement/LPSE

Dalam rangka mendukung layanan transaksi/pertukaran dokumen secara aman pada proses e-procurement, Lemsaneg melalui Deputi Bidang Pengkajian Persandian telah membangun Sistem Pengamanan Komunikasi Dokumen (Spamkodok) dan Otoritas Sertifikat Digital Pengadaan Barang/Jasa Secara Elektronik (OSD PSE). Kedua sistem tersebut diintegrasikan dengan Sistem Pengadaan Secara Elektronik (SPSE) sehingga mewujudkan suatu sistem pengadaan barang/jasa secara elektronik yang berprinsip pada Efisiensi, Efektifitas, Akuntabilitas, Transparansi, Adil & non-Diskriminatif, Terbuka & Persaingan Sehat, Interoperabilitas dan Jaminan Keamanan Data.

Dari sisi LKPP, penggunaan sertifikat digital untuk proses transaksi e-procurement

Sumber : An Introduction to Cryptography.

ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf

4

merupakan salah satu usaha untuk meningkatkan trust dari para stakeholder yang terlibat dalam proses lelang secara elektronik, sesuai dengan peraturan perundang-undangan yang berlaku yakni UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) dan Peraturan Pemerintah No.82 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). Sedangkan dari sisi Lemsaneg, selain merupakan perwujudan dari salah satu misi dalam pengamanan informasi, penerapan OSD PSE merupakan peluang strategis dalam memberikan kontribusi dalam bidang keamanan informasi kepada sektor Publik, sektor Privat dan masyarakat Indonesia pada umumnya.

Kerjasama penerapan sertifikat digital oleh Lemsaneg dan LKPP dalam proses pengadaan barang/jasa pemerintah telah dituangkan ke dalam :

MoU (Nota Kesepahaman) Antara LKPP dan Lemsaneg Nomor HK.104/PERJ.2798/2008

tentang Pemanfaatan Persandian di Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah.

Kerjasama Teknis Antara Dit. e-Procurement LKPP dan Puskaji Komunikasi Sandi Lemsaneg Nomor PERJ.D3/LSN/HK.701/11/2011 tentang Pengembangan dan Pengelolaan Sistem Pengamanan Komunikasi Dokumen Serta OSD PSE.

OSD PSE yang terintegrasi dengan Sistem Pengadaan Secara Elektronik (SPSE) dan Sistem Pengamananan Komunikasi Dokumen (Spamkodok) memenuhi aspek-aspek keamanan informasi yang diperlukan untuk praktek pengadaan barang/jasa secara elektronik, yakni :

1) Integritas Data. Proses pengiriman data secara digital akan mengakibatkan jumlah data digital yang dikirim tersebut menjadi bertambah, identik atau berkurang. Hal tersebut terjadi karena pengiriman

data secara digital merupakan proses penyalinan data dari suatu sumber data ke alamat tujuan melalui suatu media transmisi. Permasalahan akan timbul pada saat menentukan apakah salinan data yang telah diterima alamat tujuan melalui media transmisi tersebut adalah data yang identik dengan sumber data pengirim. Untuk mengatasi permasalahan tersebut, digunakan suatu fungsi hash (fungsi satu arah – berbasis matematika) yang akan menghasilkan suatu nilai yang unik (disebut digest) untuk setiap data. Digest akan mengalami perubahan yang signifikan apabila terjadi perubahan pada data, sehingga untuk menentukan bahwa setiap file hasil salinan adalah identik dengan file original yang disalin, maka nilai digest tersebut harus sama.

2) Autentikasi Identitas Pengirim. Proses lelang secara elektronik tidak mengharuskan pertemuan tatap muka antara peserta lelang dengan panitia lelang untuk menyerahkan data-data teknis penawaran. Proses tersebut mengakibatkan seseorang dapat mengatas-namakan orang lain untuk mengirimkan data teknis penawaran. Untuk mengatasi permasalahan tersebut, digunakan suatu Identitas Digital yang disertakan pada setiap data yang dikirim. Identitas Digital tersebut berlaku

5

sebagai tanda tangan digital yang menyatakan Identitas Pengirim.

3) Kerahasiaan Informasi Lelang. Data penawaran dan data teknis peserta lelang, harus dijaga kerahasiannya baik pada saat pengiriman maupun penyimpanan pada perangkat server. Tidak dapat dihindari bahwa adanya potensi penyadapan saat pengiriman dan pembobolan server penyimpanan data yang dilakukan oleh hacker atau pihak-pihak ketiga yang tidak berkepentingan lainnya. Meskipun rentang waktu kerahasiaan informasi data penawaran dan data teknis peserta lelang relatif pendek, yaitu dimulai dari tahap pengiriman sampai dengan tahap pembukaan dokumen lelang, namun kerahasiannya harus tetap terjaga. Untuk mengatasi permasalahan tersebut, digunakan suatu mekanisme yang dapat mengakomodasi perlindungan data penawaran dan data teknis, yaitu menggunakan algoritma kriptografi simetrik yang dibuat oleh Lembaga Sandi Negara. Kunci serta data sensitif tersimpan di perangkat server dalam keadaan tersandi. Hal tersebut bertujuan untuk memberikan kepastian keamanan data apabila server berhasil diakses oleh pihak-pihak yang tidak berkepentingan.

Pemanfaatan Tanda Tangan Digital Untuk Pengesahan Dokumen Elektronik Daftar Isian Pelaksanaan Anggaran (DIPA) 2013

Direktorat Jenderal Anggaran (DJA) Kementerian Keuangan melaksanakan tugas distribusi dokumen DIPA T.A. 2013 kepada para stakeholder, yakni seluruh satuan kerja (Satker) setingkat Eselon I dan kantor KPPN di seluruh wilayah Indonesia (tugas distribusi DIPA sebelumnya dilaksanakan oleh Dirjen Perbendaharaan, namun mulai untuk T.A. 2013 dilaksanakan oleh DJA). Proses bisnis dalam distribusi dokumen DIPA meliputi pengesahan oleh Satker setingkat Eselon I terkait (pemilik DIPA), kemudian dilanjutkan dengan verifikasi kembali (untuk memastikan tidak ada pengubahan dokumen), pencetakan dokumen dan publikasi dokumen DIPA secara online. Titik berat aspek keamanan yang ingin dicapai adalah terjaminnya keaslian dokumen yang berasal dari DJA, dan karena dokumen DIPA tersebut dialirkan kepada entitas-entitas lain, maka dikhawatirkan terdapat upaya-upaya pengubahan pada isi dokumen oleh pihak-pihak yang tidak bertanggung jawab.

Terkait dengan kebutuhan keamanan tersebut, DJA menerapkan sistem barcode untuk meningkatkan sisi keamanan dokumen, khususnya untuk menjaga integritas dokumen yang dikirimkan dari DJA ke seluruh Satker setingkat Eselon I dan KPPN wilayah Indonesia. Barcode yang

digunakan sedikit berbeda dari sistem barcode pada umumnya, dimana barcode yang akan digunakan oleh DJA berisi kode yang di-generate berdasarkan isi dari dokumen (mirip dengan hash yang merupakan kode intisari dari dokumen). Namun, karena masih terbatasnya awareness tentang transaksi elektronik, baik dalam hal keamanan maupun sisi legalitas hukum, pihak DJA belum memahami bahwa transaksi elektronik yang sah adalah dimana dokumen elektronik yang dikirimkan harus terdapat komponen legalitas, salah satunya adalah dengan adanya tanda tangan elektronik.

Lemsaneg telah memberikan solusi serta dukungan secara sistem kepada DJA, agar selain penggunaan barcode, digunakan pula mekanisme digital timestamping dan tanda tangan digital pada dokumen DIPA yang didistribusikan. Digital timestamping dan tanda tangan digital, selain melindungi dalam hal keamanan (integritas dan otentikasi dokumen), juga sah secara hukum untuk digunakan dalam transaksi melalui media elektronik (sesuai dengan yang diamanatkan pada UU Nomor 11/2008 tentang Informasi dan Transaksi Elektronik, serta PP Nomor 82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.).

Dokumen DIPA yang telah dibubuhi digital timestamping akan diberikan rekam waktu kapan dokumen tersebut dibuat dan jika terjadi perubahan isi dokumen dapat diketahui dengan memeriksa timestamp dari dokumen tersebut.

6

Selanjutnya, tanda tangan digital pada dokumen DIPA akan melindungi dokumen tersebut dari upaya pengubahan/ modifikasi oleh pihak-pihak yang tidak bertanggung jawab.

Sumber :

[1] Penerapan e-Government – Modul Akademi Esensi Teknologi Informasi dan Komunikasi untuk Pimpinan Pemerintahan. http://www.unapcict.org.

[2] http://www.zone-h.org/ archive.

[3] An Introduction to Cryptography. ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf