Kalau Terjadi Organized Crime, Mungkin Baru Sadar Tanda Tangan Digital

Cyberthreat.id – Aktivitas digital yang kian masif, hadirnya platform-platform digital, menciptakan interaksi atau transaksi tanpa kehadiran fisik.

Lebih-lebih, di masa pandemi Covid-19 sekarang, rutinitas individu, perusahaan, dan pemerintahan beralih ke dunia internet. Kondisi “new normal” seperti ini, mau tak mau bakal menjadi “budaya baru”, meski di satu sisi juga menimbulkan kekhawatiran.

Kecemasan itu, misalnya, menyangkut keabsahan atau keautentikan di transaksi di dunia digital, yang seringkali masih disepelekan, tak sedikit pula yang mempertanyakan. Ini lantaran publik cenderung masih kuat berpijak pada bukti fisik ketimbang digital. Apalagi ancaman kejahatan dunia maya, seperti pemalsuan gambar, teks, atau video kian mudah dilakukan.

Di situlah, PrivyID, platform sertifikasi tanda tangan elektronik, mengisi celah untuk membantu meyakinkan keautentikan sebuah dokumen atau data digital. “Perlu ada suatu identitas digital yang tepercaya di dunia maya,” kata CEO dan Founder PrivyID, Marshall Pribadi dalam wawancara dengan Cyberthreat.id, Senin (20 Juli 2020).

Menurut Marshall, selama ini publik melihat identitas seseorang di dunia maya sebatas surel atau email. Seseorang bisa membuat email atas nama siapa saja, bahkan serupa dengan nama orang lain.

“Bahkan, saya juga mungkin bisa bikin email, misalnya, joko.widodo@yahoo.com.  Kalau masih ada, gitu kan, ya sudah saya bisa daftar ke e-commerce, daftar ke ride-sharing sebagai Joko Widodo dengan email itu kan,” ujar Marshall.

Skenario jahat di era digital seperti itu bisa saja terjadi. Bisa pula begini: ada tanda tangan seseorang dari sebuah kertas: dipotong, dipindai, lalu dicetak kembali dalam sebuah dokumen surat utang.

Padahal, yang tanda tangan tersebut belum tentu berutang, tapi seseorang dengan niat jahat, dengan sengaja menempelkan tanda tangan palsu di sebuah dokumen surat utang. Lalu, orang itu berpura-pura menagih utang kepada yang bertanda tangan di surat itu.

Lantaran transaksi di dunia maya semakin sering terjadi, maka dibutuhkan identitas yang tepercaya. Yaitu, tanda tangan digital atau elektronik.

Menurut Marshall, adanya tanda tangan digital akan memudahkan bukti sebuah dokumen. “Jadi, kenapa kami membuat PrivyID karena untuk memastikan identitas bisa dipercaya di dunia maya dan tanda tangannya bisa dibuktikan ketika disangkal,” kata dia.

Berikut ini nukilan wawancara wartawan Cyberthreat.id Nurlis Effendi, Andi Nugroho, dan Tenri Gobel dengan CEO dan Founder PrivyD Marshall Pribadi yang didampingi CIO PrivyID Krishna Chandra via telekonferensi video, Senin lalu.

Biasanya wilayah hukum itu wilayah tatap muka, apalagi pidana dengan data-data seperti tanda tangan ini. Pergerakan hukum inikan lebih lambat daripada proses sosial maupun teknologi...

Betul, betul. Kalau bicara tanda tangan elektronik kan sudah diatur di UU ITE, sedangkan saya mendirikan PrivyID ini saja 2014, PP-nya baru ada 2016. Cuma, ya memang saat itu kami masih jadi yang pertama. Jadi, lucu ini, kali ini hukumnya di depan.

Jadi, sampai hari ini pun ini, kami masih menemukan perusahaan-perusahaan, calon klien masih enggak percaya dengan tanda tangan digital. Masih maunya tanda tangan basah.

Sisi lain, mereka menerapkan dokumennya semua elektronik, tapi tadi tidak mau pakai dokumen elektronik tersertifikasi sesuai ketentuan Pasal 11 UU ITE tentang syarat sahnya tanda tangan elektronik.

Jadi, bagi mereka cukup yang namanya tanda tangan basah itu digantikan dengan menggambar tanda tangan di layar gadget, atau ya tanda tangan di atas kertas kemudian di-crop, di-scan, ditempel gitu.

Menyangkut data, sejauh mana keterlibatan PrivyID dengan data publik? Kemudian, keamanan dari PrivyID untuk menjamin kenyamanan pengguna, bagaimana?

Data itu mungkin ada dua ya. Pertama, kita bicara data pribadi penandatangan. Karena Permenkominfo No 11/2018 mengamanatkan kami sebagai penyelenggara sertifikasi elektronik harus diverifikasi identitasnya dulu dari calon penandatangan.

Kami meminta upload foto selfie, foto KTP, nomor HP, dan alamat email. Itu semua dienkripsi ketika diisi di aplikasi kami. Lalu, ke server juga dienkripsi.

Yang kedua, dokumen. Dokumen yang ditandatangani melalui aplikasi PrivyID, gi mana kerahasiaannya? Kami menggunakan teknologi transparan enkripsi. Pihak-pihak yang tanda tangan  ketika login mereka bisa lihat dokumen di dasbor, bisa dibuka plain text-nya.

Kami di database buka bisa, tetapi posisinya encrypted. Jadi, kami tidak bisa baca sama sekali dokumen yang di-upload dan ditandatangani oleh para pengguna PrivyID. Hanya mereka sendiri yang bisa tanda tangan.

Krishna Chandra:

Kurang lebih seperti ini: kami punya namanya SIEM (Security Information and Event Management). Ini semacam log (catatan) ketika ada pengguna yang mengakses ke dalam sistem PrivyID.

Kemudian, ada namanya data secure manager. Di sini bisa dilihat dalam server: ada pengguna, aplikasi, basis data, ada storage, dan segala macam. Basis data ini dienkripsi di data secure manager sehingga penyedia cloud, katakanlah admin, akses ke basis data, [tapi] basis data datanya terkunci, dia tidak bisa baca.

Krishna juga menjelaskan bahwa PrivyID juga menerapkan SSL/TLS untuk pengamanan komunikasi antara server dengan client (perangkat).

Soal verifikasi data, seperti KTP, apakah PrivyID terkoneksi ke Ditjen Dukcapil?

Iya. Kami punya perjanjian kerja sama dengan Ditjen Dukcapil Kemendagri. Kami punya koneksi antarmuka pemrograman aplikasi (API) bukan lewat internet ya. Kami tarik kabel ke data center mereka dan kami memang tidak dapat apa-apa dari mereka.

Jadi, yang memberikan data, misal, Mbak Tenri daftar PrivyID, masukkan KTP, data selfie. Data-data itu yang kami kirim ke Dukcapil, dari Dukcapil memberikan balasan: match (cocok) atau tidak.

Yang muncul cocok atau tidaknya saja, ya?

Iya, betul.

Marshall menjelaskan bahwa pengguna tidak setiap kali memakai tanda digital harus melakukan verifikasi, tapi cukup autentikasi. Sebab, proses verifikasi telah berjalan saat registrasi. Autentikasi itu berupa nama pengguna dan kata sandi.

Begitu login diminta verifikasi dua faktor, bisa OTP (one-time password) ke HP atau suruh selfie lagi. Selfie-nya dibandingkan dengan hasil selfie pertama kali daftar.

Apakah verifikasi dua faktor itu wajib?

Wajib. Karena di PP 71/2019 diharuskan, tapi salah satu, tidak dua-duanya.

Marshall menjelaskan, platformnya mempermudah autentikasi. Misal, ketika pengguna menggunakan HP A ketika registrasi dan login pertama, sistem PrivyID akan mencatat data perangkat. Selama pengguna tidak mengganti perangkat dan tiga keluar dari aplikasi, setiap tanda tangan elektronik tidak perlu OTP. “Cukup pakai verifikasi biometrik HP-nya, misal, Samsung kan ada yang pakai mata, ada yang pakai fingerprint,” ujar dia.

Kalau ponsel hilang dan dipegan orang lain, bagaimana?

Ketika HP hilang, tidak dikunci pula, kalau SMS OTP juga lari ke situ, itu memang menjadi risiko si penanda tangan.

Krishna Chandra:

Kami penyelenggara sertifikasi elektronik (PsRE) punya beberapa layer keamanan. Sebagai PSRE ada Certificated Authority (CA). Jadi setelah kami memeriksa identitas, kemudian kami akan menerbitkan sertifikat digital untuk nanti digunakan sebagai tanda tangan digital, gitu ya.

Kemudian, ada Register Authority (RA) dan Validation Authority (VA). Saya tidak akan fokus ke RA, saya akan fokus ke VA. Ketika HP hilang atau kebobolan, sama saja kayak Anda punya kartu kredit hilang. Kemudian, Anda akan telepon perbankan agar minta diblokir.

Nah, tanda tangan digital juga punya konsep seperti itu, namanya Certificate Revocation List (CRL) dan Online Certificate Status Profile (OCSP). Ketika pengguna kehilangan HP atau aksesnya dia, bisa menelepon kami untuk melakukan pencabutan sertifikat itu.

Ketika status sertifikatnya dicabut, maka transaksinya tidak akan terjadi. Karena kami mengecek ke VA tadi.

Marshall Pribadi:

[Yang dijelaskan Krishna] itu di level sertifikat. Di level depan, Anda bisa menghubungi customer service kami, akun bisa kami blokir juga. Jadi, memang penanda tangan itu wajib menjaga kerahasiaan akses terhadap data pembuatan tanda tangan elektroniknya.

Kalau data tanda tangan elektroniknya terkompromi, maka harus sesegera menghubungi penyelenggaranya.

Kalau lalai, segala akibat hukum dan kerugian itu ditanggung oleh si penandatangan. Itu sama persis sama kartu kredit. Kalau sudah hilang, kita tidak telepon bank, tidak diblokir, transaksi ada terus.

Bagaimana Anda melihat tren tanda tangan elektronik ini di kalangan bisnis atau pemerintahan di Indonesia?

Sejujurnya sih dari awal kami berdiri, sampai sekarang saya belum bisa bilang tinggi. Korporat klien kami, setelah  lima tahun ini, baru 400-an]. Untuk lima tahun itu sedikit sekali karena memang kami menghadapi “ekstrem kiri dan kanan”.

“Ekstrem kiri” tidak percaya dengan tanda tangan digital, tetap mau pakai tanda tangan basah, ada tipe perusahaan atau orang yang seperti itu. “Ekstrem kanan” yaitu beberapa perusahaan termasuk institusi keuangan besar merasa, “Oh pengguna cukup masukkan OTP saja atau suruh gambar tanda tangannya dilayar gadget saja atau diatas kertas difoto”.

Bagaimana menyadarkan tentang keamanan data ini? Apakah tipikal masyarakat Indonesia, ya, karena tidak dipegang tangan, jadi merasa masih aman pakai tanda tangan basah...

Sejak booming transaksi keuangan di dunia maya, kan baru dua tahun terakhirlah, sepertinya memang belum ada organized crime (kejahatan terogranisasi) yang mengeksploitasi celah ini.

Kalau itu sampai, amit-amit terjadi, ya mungkin baru sadar. Jadi, yang perlu kita lakukan sekarang ya edukasi, bahwa skenario [kejahatan pemalsuan tanda tangan di medium digital, red] itu sangat mungkin terjadi di masa depan, dari waktu yang tidak jauh dari hari ini.

Anda melihat pemerintah sudah mendorong soal keamanan data atau dokumen dengan tanda tangan elektronik ini?

Kebetulan kan memang UU mengamanatkan tanda tangan elektronik. Sertifikasi elektronik ini memang dikelola oleh Kementerian Komunikasi dan Informatika. Mereka sih sudah melakukan banyak sosialisasi ya, acara-acara fisik sebelum Covid-19, undang bank-bank besar.

Masuk ke soal ancaman, mungkin enggak tanda tangan digital ini dipalsukan?

Tanda tangan digital dipalsukan kita bisa mengetahui dari private key penandatangan. Karena inti dari tanda tangan digital adalah si penandatangan mengenkripsi tanda tangannya menggunakan private key.

Sesuai namanya, private key ini seharusnya tidak ada yang boleh tahu. Tetapi, bermodalkan publik key orang tersebut dan bermodalkan dokumen yang pernah ditandatangani atau dienkripsi dengan private key orang tersebut, secara teori pasti bisa dibobol, pasti private key-nya bisa diketahui.

Pertanyaannya: dengan kekuatan komputasi seberapa besar dan waktu berapa lama [untuk membobol itu]?

Kami sekarang menggunakan algoritma RSA 2496 (enkripsi public key), sedangkan pengguna menggunakan algoritma RSA 2048. [Dengan algoritma tersebut], itu baru bisa dibobol dengan kekuatan komputasi yang ada sekarang: berapa lama ya Pak Krishna?

Krishna Chandra:

Untuk sekarang sih belum bisa ada yang nge-bobol. Kalau berapa lamanya belum ada yang bisa jawab juga, kecuali nanti mungkin ada quantum computing atau ada pembuatan komputasi yang baru ya.

Marshall Pribadi:

Kalau sudah ada quantum computing, tentunya kita harus ganti dengan algoritma yang kuantum.

Krishna Chandra

Kalau soal ancaman, kami melihat pilar dasarcybersecurity ya: people, process, dan technology.

Prosedur mungkin sudah ada, tapi kalau kita ngomong people sekarang, misalnya, Anda instal antivirus atau enggak di HP? Nah, balik lagi orang yang mungkin aware dengan keamanan, belum tentu dalam kehidupan sehari-hari menerapkan hal itu.

Benar kata Pak Marshall tadi memang harus ada sebuah organized crime yang cukup masif, kalau ada kebobolan internet banking segala macam...

Jadi, ya memang edukasinya masih harus lebih ditingkatkan.

Kira-kira butuh berapa tahun ini tanda tangan digital ini menjadi kesadaran bagi perusahaan atau lembaga pemerintah?

Sebenarnya tergantung seberapa jitu apa yang kita lakukan sih. Misal, kalau kita bisa convience Mahmakah Agung untuk buat surat edaran kepada semua hakim bahwa tanda tangan elektronik tersertifikasi atau digital signature itu, cara pembuktiannya gimana sih, itu mungkin bisa lebih cepat.

Mungkin 1-2 tahun lagi orang jadi percaya nih. Jadi, orang yang takut tadi, takut beralih dari kertas ke tanda tangan digital, mungkin akan hilang kalau Mahkamah Agung bisa terbitkan itu.

Sekarang UU mengatur [tanda tangan digital], tapi tidak dijelaskan cara verifikasinya. Kan tidak ada juknis-nya. Tapi, sampai hari ini, kami belum dapat kesempatan audiensi dengan Mahkamah Agung.

Jadi, lebih ke sosialisasi. Tapi, ini kan butuh dana yang besar juga untuk reaching out ke masyarakat yang besar. Makanya kami senang sekali dengan Cyberthreat.id mau mewawancarai kami seperti ini itu sungguh sangat membantu.

Tanda tangan basah di bidang hukum, salah satunya, terkait dengan notaris. Apakah tanda tangan digital sudah mulai masuk ke kalangan notaris?

Kebetulan beberapa notaris dan kantornya sih sudah menggunakan PrivyID untuk menandatangani salinan akta. Jadi, tanda tangan para pihak [yang terlibat] tetap harus basah, tapi kan biasanya nanti sekian hari setelahnya, kami diberikan salinan dari notaris. Kemudian ditandatangani secara digital oleh notarisnya menggunakan PrivyID.

Bahkan, Ikatan Notaris Indonesia itu menerbitkan sertifikat bahwa para notaris ini sudah lulus pelatihan tertentu. Baru sebatas itu.

Kalau kita bicara mau mengubah agar kita benar-benar tanda tangan akta bisa tidak basah, bisa pakai digital signature, mau tidak mau harus mengubah UU, termasuk UU ITE itu sendiri.

Karena UU ITE sendiri yang mengecualikan surat yang harus dibuat tertulis dan yang dibuat oleh pejabat pembuat akta sebagai alat bukti elektronik yang sah.

Mau enggak mau teknologi akan berbicara seperti itu, tanda tangan digital ini sangat luar biasa jika masuk kalangan notaris...

Setuju. Tapi, akan lebih leluasa kalau UU-nya diubah.[]