Tanda tangan elektronik maupun Digital Signature telah sering dipandang secara tradisional sebagai alat kontraktual yang bisa memberikan persetujuan memadai tanpa perlu pertemuan dua pihak secara fisik. Dengan sertifikat Digital Signing berkualitas, Anda bisa menegaskan identitas dan memverifikasi integritas keamanan dokumen dan email.
Tapi, apa yang membuat Digital Signature lebih dari sekadar kontrak keamanan? Bagaimana cara kerjanya?
Mari kita bahas bersama di bawah ini!
Kenapa Dikenal Sebagai Digital Signature?
Pada tahun 2000 Amerika Serikat mengesahkan ESIGN (Electronic Signatures in Global and National Commerce) dan mengubahnya sejak saat itu, yang mana mengesahkan tanda tangan elektronik dan digital secara virtual di semua bentuk konteks.
Kemudian disusul oleh Eropa yang menjalankan peraturan eIDAS (Electronic Identity and Trust Services) pada tahu 2016. Yang memberikan kerangka kerja bagi tanda tangan digital dan elektronik.
Di Indonesia sendiri regulasi terkait Digital Signature tercantum pada Undang-Undang No. 11 tahun 2008 yang menyebutkan sebagai Tanda Tangan Elektronik.
Akan tetapi, yang menjadi masalah di antara kedua keputusan di atas adalah tidak pernah disebutkan secara jelas penandatanganan digital dengan sebuah nama. Bukannya hal seperti ini jarang terjadi, banyak undang-undang dan peraturan ditulis menjadi teknologi, agar bisa bertahan secara relevan lebih lama. Dan hal tersebut menimbulkan kebingunga –seperti GDPR yang memberitahukan situs web untuk menggunakan HTTPS atau sertifikat SSL/TLS atau mekanisme yang digunakan untuk mengenkrip transmisi data.
Ini membuat bingung orang-orang mengenai apa perbedaan antara tanda tangan elektronik dan digital (e-Signature). Keduanya sering digunakan secara bergantian, namun ada nilai tambah yang diperoleh dari Digital Signature.
Apakah Digital dan Electronic Signature Adalah Hal Yang Sama?
Ya dan tidak.
Sebelum kita bahas lebih lanjut, silakan perhatikan gambar di bawah ini.
Bisa diketahui jika Digital Signature merupakan sejenis Electronic Signature, namun tidak semua Electronic Signature adalah Digital Signature.
1. Electronic Signature (Tanda tangan Elektronik)
Merupakan pengertian konvensional yang merujuk pada proses elektronik apapun yang menunjukan adanya persetujuan atau rekaman sah. Electronic Signature terdiri dari dua komponen:
- Metode otentikasi terhadap identitas
- Proses keamanan dengan Audit
Poin kedua memberikan arti sebuah metode yang mendemonstrasikan bukti email atau dokumen yang telah ditanda tangani (signed) benar secara aman dan bisA dipertanggungjawabkan melalui beberapa langkah proses audit. Dan ada juga berbagai mekanisme berbeda untuk mengotentikasi identitas. Sebuah e- Signature standar biasanya menggunakan single-factor authentication, yang melakukan verifikasi melalui email, ID sosmed, kata sandi, PIN telepon–memang tidak persis dengan metode otentikasi yang mutakhir, dan tidak semuanya dapat diandalkan.
Electronic Signature yang canggih, sebagaimana yang telah dijelaskan oleh eIDAS, akan menggunakan multi-factor authentication yang mampu meningkatkan keamanan.
2. Digital Signature (Tanda tangan Digital)
Jika Electronic Signature memerlukan kedua metode otentikasi identitas dan proses keamanan melalui audit, maka Digital Signature menggunakan sertifikat digital dan PKI (Public Infrastructure Key) untuk otentikasi dan enkripsi/hashing sebagai ganti keamanan dan audit. Digital Signature termasuk tanda tangan elektronik canggih–dan dalam kasus Qualified Electronic Signature, dan bisa disebut juga sebagai Digital Signing
eIDAS mendefinisikan tanda tangan elektronik canggih (Advanced Electronic Signature) sebagi:
- Terhubung ke Penandatangan yang unik
- Mampu mengidentifikasi si Penandatangan
- Mudah digunakan dengan kepercayaan yang tinggi oleh Penandatangan
- Terhubung ke data yang ditandatangani semisal apabila ada perubahan data yang terdeteksi.
Jelasnya, saat eIDAS menulis untuk menjadi technology-neutral, utamanya merujuk ke Electronic Signature yang menggunakan Public Key Infrastructure (PKI)–dengan kata lain Digital Signing.
Apa itu Qualified Electronic Signature?
Kualifikasi yang menentukan jenis tanda tangan digital, seringnya yang dikenal secara legal dalam istilah eidas. Eidas membagi tanda tangan elektronik menjadi 3 kategori:
- Basic Electronic Signature
- Advanced Electronic Signature
- Qualified Electronic Signature
Dua nomor terakhir; Advanced dan Qualified merupakan tanda tangan digital yang memerlukan pihak Otoritas Sertifikat (CA) untuk menerbitkan sertifikat digital. Namun, Qualified Electronic Signature pada dasarnya adalah sebuah Digital Signing EV (Extend Validation). Pihak CA harus melaksanakan pemeriksaan si Penandatangan dan kunci yang ditandatangani harus disimpan di penyimpanan fisik yang terkualifikasi seperti token usb, data card, atau HSM berbasis cloud.
Qualified Electronic Signature dianggap setara denga tanda tangan fisik dan bisa digunakan untuk seluruh bisnis.
Electronic Signature vs Digital Signature
Perhatikan tabel di bawah ini untuk memehami perbedaan antara tanda tangan elektronik dan digital.
Jenis-jenis Perbedaan Digital Signature
Kita sedang membahas Digital Signature dalam konteks document signing dalam artikel ini. Tetapi, perlu diingat Digital Signature bisa digunakan di sejumlah konteks berbeda. Akan sangat adil untuk digunakan sebagai argumen bahwa Digital Signing merupakan tulang punggung PKI.
Digital Signature bisa diimbuhkan pada:
- Dokumen atau file
- Aplikasi atau software
Biasanya digunakan untuk sertifikat PKI Digital Signature otentikasi X.509, sertifikat SSL/TLS, S/MIME, Code dan Document Signing. Digital Signature lebih dari sekadar mengotentikasi identitas si Penandatangan dan melindungi file dari perusakan. Bisa juga mengotentikasi web server dan aplikasi, email perusahaan, dan berbagai kebutuhan penandatanganan.
Meskipun kami fokus berdiskusi terkait Document atau Email Signing, Digital Signing adalah peran utama terhadap pandangan digital.
Pembagian Kelas Digital Signature
Pembahasan bagian ini tidak berhubungan dengan standar eIDAS dan menyinggung dengan kelas-kelas Digital Signature yang ada. Bisa dikatakan kelas-kelas document ataupun email signing ini sama seperti level validasi sertifikat SSL/TLS, begitu pula dengan persyaratannya.
A. Digital Signature Kelas I
Sama seperti dengan sertifikat DV (Domain Validation) dan menjadi pilihan yang mudah untuk mendapatkan Digital Signing dan sedikit penegasan identitas. Validasi yang digunakan sangat sederhana yaitu mengonfirmasi alamat email dan nama pengguna (username). Tetapi sayangnya, Digital Signature Kelas I tidak bisa digunakan untuk dokumen bisnis dan hanya direkomendasikan sebagai penggunaan di lingkungan internal.
B. Digital Signature Kelas II
Merupakan sertifikat digital OV (Organization Validation) dan mengotentikasi identitas di Penandatangan terhadap database pra-verifikasi. Cocok digunakan di lingkungan low-risk dan bisa digunakan untuk e-filling tax.
C. Digital Signature Kelas III
Termasuk sertifikat EV (Extended Validation). Untuk memperoleh sertifikat Digital Signature kelas III Anda perlu menyerahkan langsung legalitas bisnis kepada CA untuk membuktikan identitas mereka. Sertifkat ini aman digunakan di berbagai lingkungan karena nilai otentikasi yang memuaskan dan sangat disarankan digunakan untuk perusahaan besar (high-risk).
Siapa yang Menggunakan Digital Signature?
Teknologi ini sudah banyak digunakan di sektor bisnis dan pemerintahan – mungkin penggunaan Digital Signing hampir mencakup seluruh industri, namun belum diadopsi secara luas, di antaranya:
- Industri Finansial – sektor keuangan di berbagi dunia menggunakan Digital Signature untuk berbagai kebutuhan; kontrak, online banking, asuransi, pinjaman, yang semuanya diatur dalam standar masing-masing.
- Pemerintahan – Di Indonesia, pemerintah mulai menggerakan penggunaan Digital Signature (Tanda Tangan Elektronik) pada awal 2010 untuk budget organisasi, laporan penilaian, data lelang, hingga tagihan kongres. Namun, masih pemerintahan di daerah lain masih jauh untuk mempraktikannya. Dan di Eropa, mereka mengikuti standar eidas yang mencakup luas penggunaan Digital Signing.
- Kesehatan – menjadi salah satu industri yang banyak menggunakan teknologi Digital Signature. Karena sebagian besar catatan medis telah beralih ke online dan kebutuhan akan identitas serta keaslian dalam konteks medis.
- Manufaktur – industri manufaktur memiliki cakupan yang luas untuk menggunakan Digital Signing. Mereka adalah alat besar yang menghabiskan kegiatan pemrosesan seperti desain produk, QA, pemasaran, dan penjualan.
Dan tentu saja kita juga termasuk, karena Digital Signing tidak lepas dari keamanan siber, jaringan, dan lainnya.
Bagaimana Untuk Menandatangani Dokumen Secara Digital?
Hal pertama yang Anda perlukan sebelum menandatangani dokumen adalah memiliki sertifikat Document Signing sesuai kelas yang di bahas sebelumnya. Dan tidak ada sertifikat Document Signing gratis–seperti yang dimiliki oleh SS/TLS–karena validasinya benar-benar mengandalkan identitas.
Dan sama seperti Code Signing, platform berbeda yang memiliki persyaratan tidak berbeda jauh yaitu menggunakan sertifikat digital X.509, namun cara yang digunakan baik klien, format file, tetap berbeda bagaimana pun juga.
Platform terbesar untuk Document Signing adalah Adobe dan Microsoft dan tidak mengejutkan bahwa mereka adalah platform proses dokumen yang paling dominan.
1. Adobe
Adobe memiliki 2 jenis tanda tangan:
- Sertifikasi (Certified)
- Persetujuan (Approval)
Certified Signature adalah Digital Signature, yang menunjukan identitas pemilik dokumen dan tajuk biru di atas yang memberitahukan informasi bahwa sertifikat yang digunakan telah ditandatangani untuk (dokumen) itu. Informasi tersebut mencakup Nama Pemilik dan Penerbit Sertifikat (CA).
Sebaliknya, tanda tangan persetujuan dimaksudkan untuk memverifikasi tanda tangan fisik dan informasi lainnya yang dibutuhkan.
Sebelum Anda mulai menandatangani dokumen, diperlukannya seorang Admin mengaplikasikannya. Berikut panduan pendek untuk menandatangani dokumen pada Adobe:
- Pada Dashboard Adobe, pilih tool Fill & Sign
- Buka dokumen yang hendak ditandatangani
- Klik tool Sign > Add Digital Signature
- Pilih Cloud-Base Digital ID Certificate > Apply
- Pilih CA yang ingin Anda tunjuk sebagai penerbit sertifikat atau klik tautan untuk mendapatkan ID Digital baru
- Ikuti saran yang ada untuk memperoleh sertifikat Document Signing (bisa berbeda dari satu CA ke CA lain) dan aktivasikan.
- Saatnya waktu untuk tanda tangan, pilih Click to Sign dan masukan PIN (tambahan validasi mungkin diperlukan)
Adobe akan membuatkan dokumen dengan versi yang sudah ditandatangani.
2. Microsoft
Microsoft memiliki opsi tanda tangan yang sama, hanya saja dengan perbedaan nama yang tipis:
- Invisible
- Signature Line
Invisible pada dasarnya sama seperti Certified Signature, yang sama-sama memberikan otentikasi dan mengindikasi keadaan dokumen yang dirusak.
Signature Line digunakan untuk memverifikasi tanda tangan, Anda bisa menandatangani Signature Line dengan Document Signing.
Sebelum Anda mulai menandatangani dokumen, diperlukannya seorang Admin mengaplikasikannya. Berikut panduan pendek untuk menandatangani dokumen pada Microsoft:
- Buka dokumen Anda dan klik tab File
- Pada section Info > Protect Document
- Di menu drop-down > Add a Digital Signature
- Pilih Commitment Type (menjelaskan apa dan mengapa Anda menandatangani)
- Masukan token atau usb fisik dimana private key tersimpan
- Masukan PIN > OK
Anda akan mendapati Signature Confirming Box yang menunjukan bahwa proses penandatanganan berhasil.
Keamanan Kunci Digital Signature Sangat Penting
Semua kunci dalam konteks sertifikat digital akan menimbulkan bencana apabila hilang atau dirusak, karena Private Key menjadi tumpuan kapabilitas bagi sertifikat digital menjadi lebih kuat dan aman. Demikian, pihak CA membutuhkan validasi ketat sebelum menerbitkan sertifikat digital Document Signing Anda. Saat kunci digunakan untuk mengamankan sesuatu yang penting, maka di situ juga adanya bahaya besar apabila kunci jatuh ke tangan orang yang salah.
Demikian itu, tanda tangan digital yang dikualifikasi perlu disimpan di penyimpanan fisik atau token usb. Ada yang bilang, lebih mudah menghancurkan jaringan perusahaan dibandingkan kantor itu sendiri yang mengartikan Anda bisa fokus untuk menjaga sumber fisik dengan safeguard internal seperti menggunakan control card dan semacam kunci tradisional lainnya.
Selain kritikalnya penggunaan sertifikat Digital Signing di era industri 4.0 saat ini, ada beberapa manfaat yang akan Anda terima setelah menggunakan sertifika ini, antara lain:
- Identitas – Digital Signature membantu dalam menegaskan identitas dan siapa diri Anda selama mengirimkan email maupun dokumen menyebranginternet. Ini akan mencegah Anda dari aksi peniuan.
- Validasi yang Kuat – Pihak Otoritas Sertifikat diwajibkan untuk menjalankan verifikasi terhadap sertifikat Anda. Dengan begitu tidak ada informasi yang salah dari Digital Signing.
- Keaslian – Dengan fungsi hash yang di dalam sertifikat Digital Signing maka dokumen yang dikirimkan tidak akan bisa dimodifikasi isinya oleh pihak yang tidak terotorisasi.
- Otentikasi 2 Faktor – termasuk sebagai lapisan keamanan tambahan yang meliputi password, nomor PIN, dan kredensial lainnya yang dibutuhkan saat menandatangani email atau file.
- Time Stamping – Mengetahui kapan dokumen atau email ditandatangani bisa menjadi hal yang penting untuk mengetahui keaslian dokumen yang diterima.
Terlepas dari seluruh poin di atas, bisa mengidentifikasi dokumen si pengirim dalam keadaan asli maupun dirusak akan menghindari Anda dari aksi phising, payload berbahaya, malware infection, dan kejahatan siber lainnya. Tidak ad yang lebih penting saat ini melainkan keaslian file atau pesan yang diam-diam dikirimkan oleh tangan jahat.