PENGEMBANGAN SISTEM KEAMANAN BERBASIS SERTIFIKAT DIGITAL

UNTUK PELAKSANAAN E-GOVERNMENT

Oleh :
Mohamad Endhy Aziz, S.S.T, S.Kom
Staf Deputi Bidang Pengkajian Persandian, Lemsaneg
Tata
kelola
pemerintahan
merupakan salah satu area yang
bertransformasi untuk dapat
dilakukan secara elektronik,
dinamakan dengan istilah egovernment. Pada intinya, egovernment adalah penggunaan
teknologi
informasi
dan
komunikasi yang bertujuan
untuk meningkatkan kinerja dari
fungsi dan layanan pemerintah
konvensional.
E-government
menggunakan teknologi digital
untuk mengubah pola ataupun
pemerintah dengan tujuan
untuk meningkatkan efektivitas,
efisiensi, dan penyampaian
layanan [1].
Beberapa manfaat mengapa egovernment diperlukan antara
lain:
1. Pelayanan servis yang lebih
baik kepada masyarakat.
Informasi dapat disediakan
24 jam sehari, 7 hari dalam
seminggu, tanpa harus
menunggu
dibukanya
kantor. Informasi dapat
dicari dari kantor, rumah,
tanpa harus secara fisik
datang
ke
kantor
pemerintahan.
2. Peningkatan
hubungan
antara pemerintah, pelaku
bisnis, dan
masyarakat
umum. Adanya keterbukaan
(transparansi)
maka
diharapkan
hubungan
antara
berbagai
pihak
menjadi lebih baik.

3. Pemberdayaan masyarakat
melalui informasi
yang
mudah diperoleh. Dengan
adanya
informasi
yang
mencukupi,
masyarakat
akan belajar untuk dapat
menentukan pilihannya.
4. Pelaksanaan pemerintahan
yang lebih efisien. Sebagai
contoh,
koordinasi
pemerintahan
dapat
dilakukan melalui e-mail
atau
bahkan
video
conference. Tanya jawab,
koordinasi, diskusi antara
pimpinan daerah dapat
dilakukan
tanpa
kesemuanya harus berada
pada lokasi fisik yang sama.
Salah satu tantangan dalam
implementasi
e-government
(tata
pemerintahan
yang
dilaksanakan secara elektronik)
adalah bagaimana menerapkan
aspek-aspek keamanan untuk
setiap informasi/dokumen yang
disimpan
atau
dikirimkan
melalui
sistem
elektronik
pendukung
e-government
tersebut.
Informasi
atau
dokumen
elektronik
yang
dipertukarkan dalam proses egovernment pada hakekatnya
berisi data dan informasi yang
meskipun bersifat terbuka,
namun perlu diberikan jaminan
keamanan agar data/informasi
pada dokumen tersebut tidak
dapat dimanipulasi, dirusak,
atau disalahgunakan oleh pihak
lain yang tidak bertanggungjawab.
1

Sebagaimana
diketahui,
ancaman kejahatan komputer
pada dasarnya dilakukan untuk
mendapatkan
informasiinformasi penting. Oleh karena
itu, umumnya pelaku kejahatan
komputer yang konvensional
akan
mengincar
informasi
tersebut untuk disalahgunakan.
Adapula
pelaku
kejahatan
komputer yang menggunakan
media
internet,
biasanya
disebut
cybercrime.
Berdasarkan
statistik,
penyalahgunaan atau kejahatan
dalam
penggunaan
TIK
meningkat dari tahun ke tahun.
Sebagai ilustrasi, setiap harinya
rata-rata terdapat satu sampai
dengan puluhan buah website
pemerintah Indonesia (website
dengan akhiran .go.id) yang
diserang/dibajak
sehingga
website tersebut tidak lagi
menampilkan isi website yang
seharusnya [2].
Oleh karena itu, pelaksanaan egovernment
yang
diselenggarakan
secara
elektronik atau melalui media
internet menuntut adanya
mekanisme keamanan informasi
yang dapat menjamin beberapa
aspek, yakni :
keutuhan/integritas terhadap
informasi/dokumen
elektronik;
autentikasi (keaslian) pemilik
atau pengirim informasi/
dokumen elektronik;

 mekanisme nir-penyangkalan
(memastikan bahwa pemilik
informasi
tidak dapat
menyangkal bahwa informasi
tersebut adalah miliknya atau
telah disahkan olehnya); serta
kerahasiaan
informasi/
dokumen elektronik.
Infrastruktur Kunci Publik,
Sertifikat Digital dan Tanda
Tangan Digital
Infrastruktur Kunci Publik (IKP)
pada dasarnya merupakan
pengembangan dari kriptografi
kunci
publik
(public
key
cryptography), dimana sistem
kriptografi ini memanfaatkan
dua buah kunci yang berbeda
namun
saling
berkaitan.
Kriptografi kunci publik adalah
sistem penyandian (enkripsi)
yang bersifat asimetrik. Berbeda
dengan sistem penyandian
simetrik, dimana digunakan
pasangan kunci yang sama
untuk proses enkripsi-dekripsi,
pada kriptografi kunci publik
digunakan sepasang kunci yang
berbeda untuk proses enkripsidekripsinya. Kunci untuk proses
enkripsi dikenal dengan istilah
public key (kunci publik). Public
key dapat diberikan kepada
siapa
saja
yang
ingin
mengirimkan pesan rahasia,
atau dalam kata lain public key
ini dapat diketahui atau
dipublikasikan kepada siapa
pun. Pasangan kunci lainnya
adalah private key (kunci
pribadi), yang digunakan untuk
proses dekripsi. Private key
harus dijaga kerahasiaannya,
atau dalam kata lain hanya
pemilik kunci saja yang
dibolehkan mengetahui kunci
tersebut.
Kepemilikan public key diatur
melalui
mekanisme
dalam

Sumber : An Introduction to Cryptography.

ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf

Infrastruktur Kunci Publik. Agar

kepemilikan public key oleh
entitas atau individu menjadi
jelas dan transparan, public key
disimpan sebagai sertifikat
digital yang di dalamnya juga
memuat data identitas pemilik
dan masa berlaku sertifikat
digital, nomor seri, tanda tangan
digital penerbit sertifikat digital,
dan data/informasi lainnya yang
diperlukan
untuk
proses
verifikasi
sertifikat
digital
tersebut.
Dalam penerapannya, sertifikat
digital
digunakan
sebagai
sebuah kredensial (informasi
identitas) berbentuk elektronik
yang
ditujukan
untuk
mengamankan transaksi dan
dokumen elektronik. Sertifikat
digital
dapat
dianalogikan
seperti KTP atau Paspor yang
merupakan
alat
verifikasi
identitas, hanya saja sertifikat
digital
digunakan
dalam
lingkup/domain elektronik.
Sertifikat digital diterbitkan oleh
sebuah
otoritas
penerbit
sertifikat digital yang disebut
Certification Authority (CA),
dimana
CA
merupakan
entitas/pihak ketiga terpercaya
(trusted third party) yang
menjamin validitas informasi
2

dalam sertifikat digital tersebut.

Dengan adanya validasi atau
jaminan dari CA tersebut,
pemilik sertifikat digital dapat
menunjukkan/membuktikan
identitasnya kepada orang lain
atau kepada sistem elektronik,
dan selanjutnya berkomunikasi
secara
aman
dengan
menggunakan metode enkripsi
(penyandian). Layanan IKP,
biasanya dilaksanakan oleh
suatu entitas, baik itu dengan
tujuan
komersial,
pemerintahan, ataupun hanya
sebatas layanan pendukung di
dalam perusahaan. Entitas
pemberi layanan ini biasanya
berupa merupakan pihak ketiga
yang dipercaya oleh pihak-pihak
yang
saling
berkomunikasi
(trusted third party, seperti
disebutkan di atas) untuk
penanganan sertifikat digital
dengan tujuan agar proses
transaksi
elektronik
dapat
dilakukan secara aman.
Pemanfaatan lain IKP adalah
untuk tanda tangan digital
(digital signature). Hampir sama
dengan
tanda
tangan
konvensional, tanda tangan
digital
berfungsi
sebagai
identitas kepemilikan atau
sumber darimana data tersebut
berasal. Namun, tanda tangan

digital
memiliki
tingkat
keamanan yang jauh lebih
tinggi, dimana mekanisme tanda
tangan ini hampir tidak dapat
dipalsukan. Tanda tangan digital
memungkinkan penerima data
(informasi) untuk memastikan
bahwa data yang diterima
adalah otentik dan terjaga
integritasnya (tidak mengalami
pengubahan/modifikasi selama
data tersebut tersimpan atau
dikirimkan).
Tanda tangan digital, selain
memberikan jaminan keamanan
informasi, juga sah secara
hukum untuk menggantikan
tanda tangan konvensional
dengan
dituangkannya
peraturan
mengenai
pemanfaatan tanda tangan
digital (elektronik) yakni pada
UU Nomor 11/2008 tentang
Informasi
dan
Transaksi
Elektronik
dan
Peraturan
Pemerintah Nomor 82/2012
tentang
Penyelenggaraan
Sistem dan Transaksi Elektronik.
Dalam
rangka
memenuhi
kebutuhan keamanan dalam
pelaksanaan
e-government,
Lembaga Sandi Negara telah
mengembangkan
sistem
Infrastruktur Kunci Publik untuk
menunjang
penggunaan
sertifikat dan tanda tangan
digital yang ditujukan untuk
meningkatkan sisi keamanan
informasi
dan
dokumen
elektronik
pada
sistem
elektronik yang diselenggarakan
oleh pemerintah.

Sumber : An Introduction to Cryptography.

ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf

Implementasi Sertifikat Digital

Untuk Mendukung Keamanan
Transaksi Elektronik Dalam eGovernment
Untuk mewujudkan praktekpraktek keamanan informasi
dalam
pelaksanaan
eGovernment, Lembaga Sandi
Negara
telah
membantu
beberapa institusi pemerintah
dengan penerapan sertifikat
digital dan tanda tangan digital,
sebagai contoh yakni Lembaga
Kebijakan
Pengadaan
Barang/Jasa Pemerintah (LKPP)
untuk pengamanan dokumen
elektronik pada e-Procurement
dan
Dirjen
Anggaran
Kementerian Keuangan untuk
pengamanan
dokumen
elektronik DIPA.
Pemanfaatan sertifikat digital
dan tanda tangan digital
memungkinkan proses transaksi
informasi dan dokumen dalam
e-government
dapat
lebih
terjamin,
sehingga
meningkatkan
efektifitas
penerapan e-government dan
juga tingkat kepercayaan para
stakeholder
dalam
egovernment.
3

Pemanfaatan Sertifikat &

Tanda Tangan Digital Untuk
Mengamankan Transaksi
Elektronik Dalam EProcurement/LPSE
Dalam
rangka
mendukung
layanan
transaksi/pertukaran
dokumen secara aman pada
proses
e-procurement,
Lemsaneg melalui Deputi Bidang
Pengkajian Persandian telah
membangun
Sistem
Pengamanan
Komunikasi
Dokumen (Spamkodok) dan
Otoritas
Sertifikat
Digital
Pengadaan Barang/Jasa Secara
Elektronik (OSD PSE). Kedua
sistem tersebut diintegrasikan
dengan
Sistem
Pengadaan
Secara
Elektronik
(SPSE)
sehingga mewujudkan suatu
sistem pengadaan barang/jasa
secara
elektronik
yang
berprinsip
pada
Efisiensi,
Efektifitas,
Akuntabilitas,
Transparansi, Adil & nonDiskriminatif,
Terbuka
&
Persaingan
Sehat,
Interoperabilitas dan Jaminan
Keamanan Data.
Dari sisi LKPP, penggunaan
sertifikat digital untuk proses
transaksi
e-procurement

merupakan salah satu usaha

untuk meningkatkan trust dari
para stakeholder yang terlibat
dalam proses lelang secara
elektronik,
sesuai
dengan
peraturan perundang-undangan
yang berlaku yakni UU No.11
Tahun 2008 tentang Informasi
dan Transaksi Elektronik (ITE)
dan Peraturan Pemerintah
No.82 Tentang Penyelenggaraan
Sistem dan Transaksi Elektronik
(PSTE). Sedangkan dari sisi
Lemsaneg, selain merupakan
perwujudan dari salah satu misi
dalam pengamanan informasi,
penerapan OSD PSE merupakan
peluang
strategis
dalam
memberikan kontribusi dalam
bidang keamanan informasi
kepada sektor Publik, sektor
Privat dan masyarakat Indonesia
pada umumnya.
Kerjasama penerapan sertifikat
digital oleh Lemsaneg dan LKPP
dalam
proses
pengadaan
barang/jasa pemerintah telah
dituangkan ke dalam :

MoU (Nota Kesepahaman)

Antara LKPP dan Lemsaneg
Nomor
HK.104/PERJ.2798/2008

tentang
Pemanfaatan
Persandian di Lembaga
Kebijakan
Pengadaan
Barang/Jasa Pemerintah.

Kerjasama Teknis Antara

Dit. e-Procurement LKPP
dan Puskaji Komunikasi
Sandi Lemsaneg Nomor
PERJ.D3/LSN/HK.701/11/20
11 tentang Pengembangan
dan Pengelolaan Sistem
Pengamanan
Komunikasi
Dokumen Serta OSD PSE.

OSD PSE yang terintegrasi

dengan
Sistem
Pengadaan
Secara Elektronik (SPSE) dan
Sistem
Pengamananan
Komunikasi
Dokumen
(Spamkodok) memenuhi aspekaspek keamanan informasi yang
diperlukan
untuk
praktek
pengadaan barang/jasa secara
elektronik, yakni :
1) Integritas Data. Proses
pengiriman data secara
digital akan mengakibatkan
jumlah data digital yang
dikirim tersebut menjadi
bertambah, identik atau
berkurang. Hal tersebut
terjadi karena pengiriman
4

data
secara
digital
merupakan
proses
penyalinan data dari suatu
sumber data ke alamat
tujuan melalui suatu media
transmisi.
Permasalahan
akan timbul pada saat
menentukan apakah salinan
data yang telah diterima
alamat
tujuan
melalui
media transmisi tersebut
adalah data yang identik
dengan
sumber
data
pengirim. Untuk mengatasi
permasalahan
tersebut,
digunakan suatu fungsi
hash (fungsi satu arah
berbasis matematika) yang
akan menghasilkan suatu
nilai yang unik (disebut
digest) untuk setiap data.
Digest akan mengalami
perubahan yang signifikan
apabila terjadi perubahan
pada data, sehingga untuk
menentukan bahwa setiap
file hasil salinan adalah
identik dengan file original
yang disalin, maka nilai
digest tersebut harus sama.
2) Autentikasi
Identitas
Pengirim. Proses lelang
secara elektronik tidak
mengharuskan pertemuan
tatap muka antara peserta
lelang dengan panitia lelang
untuk menyerahkan datadata teknis penawaran.
Proses
tersebut
mengakibatkan seseorang
dapat mengatas-namakan
orang
lain
untuk
mengirimkan data teknis
penawaran.
Untuk
mengatasi
permasalahan
tersebut, digunakan suatu
Identitas
Digital
yang
disertakan pada setiap data
yang dikirim. Identitas
Digital tersebut berlaku

sebagai tanda tangan digital

yang menyatakan Identitas
Pengirim.
3) Kerahasiaan
Informasi
Lelang. Data penawaran
dan data teknis peserta
lelang,
harus
dijaga
kerahasiannya baik pada
saat pengiriman maupun
penyimpanan
pada
perangkat server. Tidak
dapat dihindari bahwa
adanya potensi penyadapan
saat
pengiriman
dan
pembobolan
server
penyimpanan data yang
dilakukan oleh hacker atau
pihak-pihak ketiga yang
tidak
berkepentingan
lainnya. Meskipun rentang
waktu
kerahasiaan
informasi data penawaran
dan data teknis peserta
lelang relatif pendek, yaitu
dimulai
dari
tahap
pengiriman sampai dengan
tahap pembukaan dokumen
lelang,
namun
kerahasiannya harus tetap
terjaga. Untuk mengatasi
permasalahan
tersebut,
digunakan
suatu
mekanisme yang dapat
mengakomodasi
perlindungan
data
penawaran dan data teknis,
yaitu
menggunakan
algoritma
kriptografi
simetrik yang dibuat oleh
Lembaga Sandi Negara.
Kunci serta data sensitif
tersimpan di perangkat
server
dalam keadaan
tersandi.
Hal
tersebut
bertujuan
untuk
memberikan
kepastian
keamanan data apabila
server berhasil diakses oleh
pihak-pihak yang tidak
berkepentingan.

Pemanfaatan Tanda Tangan

Digital
Untuk
Pengesahan
Dokumen Elektronik Daftar
Isian Pelaksanaan Anggaran
(DIPA) 2013
Direktorat Jenderal Anggaran
(DJA) Kementerian Keuangan
melaksanakan tugas distribusi
dokumen DIPA T.A. 2013
kepada para stakeholder, yakni
seluruh satuan kerja (Satker)
setingkat Eselon I dan kantor
KPPN di seluruh wilayah
Indonesia (tugas distribusi DIPA
sebelumnya dilaksanakan oleh
Dirjen Perbendaharaan, namun
mulai
untuk
T.A.
2013
dilaksanakan oleh DJA). Proses
bisnis dalam distribusi dokumen
DIPA meliputi pengesahan oleh
Satker setingkat Eselon I terkait
(pemilik
DIPA),
kemudian
dilanjutkan dengan verifikasi
kembali (untuk memastikan
tidak
ada
pengubahan
dokumen),
pencetakan
dokumen
dan
publikasi
dokumen DIPA secara online.
Titik berat aspek keamanan
yang ingin dicapai adalah
terjaminnya keaslian dokumen
yang berasal dari DJA, dan
karena dokumen DIPA tersebut
dialirkan kepada entitas-entitas
lain,
maka
dikhawatirkan
terdapat
upaya-upaya
pengubahan pada isi dokumen
oleh pihak-pihak yang tidak
bertanggung jawab.
Terkait
dengan
kebutuhan
keamanan
tersebut,
DJA
menerapkan sistem barcode
untuk
meningkatkan
sisi
keamanan dokumen, khususnya
untuk
menjaga
integritas
dokumen yang dikirimkan dari
DJA ke seluruh Satker setingkat
Eselon I dan KPPN wilayah
Indonesia.
Barcode
yang
5

digunakan sedikit berbeda dari

sistem barcode pada umumnya,
dimana barcode yang akan
digunakan oleh DJA berisi kode
yang di-generate berdasarkan isi
dari dokumen (mirip dengan
hash yang merupakan kode
intisari dari dokumen). Namun,
karena
masih
terbatasnya
awareness tentang transaksi
elektronik, baik dalam hal
keamanan maupun sisi legalitas
hukum, pihak DJA belum
memahami bahwa transaksi
elektronik yang sah adalah
dimana dokumen elektronik
yang dikirimkan harus terdapat
komponen
legalitas,
salah
satunya adalah dengan adanya
tanda tangan elektronik.
Lemsaneg telah memberikan
solusi serta dukungan secara
sistem kepada DJA, agar selain
penggunaan barcode, digunakan
pula
mekanisme
digital
timestamping dan tanda tangan
digital pada dokumen DIPA yang
didistribusikan.
Digital
timestamping dan tanda tangan
digital, selain melindungi dalam
hal keamanan (integritas dan
otentikasi dokumen), juga sah
secara hukum untuk digunakan
dalam transaksi melalui media
elektronik (sesuai dengan yang
diamanatkan pada UU Nomor
11/2008 tentang Informasi dan
Transaksi Elektronik, serta PP
Nomor
82/2012
tentang
Penyelenggaraan Sistem dan
Transaksi Elektronik.).
Dokumen DIPA yang telah
dibubuhi digital timestamping
akan diberikan rekam waktu
kapan dokumen tersebut dibuat
dan jika terjadi perubahan isi
dokumen
dapat
diketahui
dengan memeriksa timestamp
dari
dokumen
tersebut.

Selanjutnya,
tanda
tangan
digital pada dokumen DIPA akan
melindungi dokumen tersebut
dari
upaya
pengubahan/
modifikasi oleh pihak-pihak
yang tidak bertanggung jawab.

Sumber :
[1] Penerapan e-Government
Modul Akademi Esensi
Teknologi Informasi dan
Komunikasi untuk Pimpinan
Pemerintahan.
http://www.unapcict.org.

[2] http://www.zone-h.org/
archive.
[3] An Introduction to
Cryptography.
ftp://ftp.pgpi.org/pub/pgp/6
.5/docs/english/IntroToCrypt
o.pdf