chaeruddin.com official sites

Publickey Infrastructure : Gambaran Keamanan Bertransaksi

Kunci publik tidak mempunyai suatu kode identifikasi kepemilikan. Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk (impersonation attack ).
Contoh: client perlu mengotentikasi server (via tanda-tangan digital dan menggunakan kunci publik server) , Kasus menarik: peniruan website BCA.

Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital. Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA). Analog dengan sertifikat rumah/tanah (dikeluarkan oleh Pemkot/Pemda). CA biasanya adalah institusi keuangan (seperti bank) atau institusi yang terpercaya.  Contoh CA terkenal: Verisign (www.verisign.com).

Seseorang yang memiliki kunci publik CA dapat memverifikasi tanda tangan di dalam sertifikat. Sertifikat digital tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories. Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat.

Sertifikat digital adalah dokumen digital yang berisi informasi sebagai berikut:
-    nama subjek (perusahaan/individu yang disertifikasi)
-    kunci publik si subjek
-    waktu kadaluarsa sertifikat (expired time)
-    informasi relevan lain seperti nomor seri sertifikat, dll

CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA),
Kemudian, CA menandatangani nilai hash tersebut dengan menggunakan kunci privat CA. Contoh: Bob meminta sertifikat digital kepada CA untuk kunci publik:

198336A8B03030CF83737E3837837FC387092827FFA15C76B01

CA memmbuat sertifikat digital untuk Bob lalu menandatanganinya dengan kunci prvat CA.

Jadi, sertifikat digital mengikat kunci publik dengan identitas pemilik kunci publik. Sertifikat ini dapat dianggap sebagai ‘surat pengantar’ dari CA. Supaya sertifikat digital itu dapat diverifikasi (dicek kebenarannya), maka kunci publik CA harus diketahui secara luas.

Seseorang yang memiliki kunci publik CA dapat memverifikasi tanda tangan di dalam sertifikat. Sertifikat digital tidak rahasia, tersedia secara publik, dan disimpan oleh CA di dalam certificate repositories. Salinan (copy) sertifikat tersebut juga dimiliki oleh pemohon sertifikat.