Root CA: Menjaga Rahasia Negara dari Mata Usil

Jakarta - Pagi itu, di gedung Auditorium BPPT Thamrin, Jakarta, ada tonggak sejarah bagi Indonesia. Pasalnya, di tempat itu diluncurkan Root CA - Root Certificate Authority yang dilakukan oleh Dirjen Aptika Kementerian Kominfo Bambang Heru Tjahyono bersama lembaga pemerintah lainnya.

Root CA adalah wadah dan fasilitas Public Key Infrastructure (PKI) encryption yang disediakan oleh pemerintah -- dalam hal ini Direktorat Keamanan Informasi -- sebagai penyedia layanan yang dapat digunakan oleh pemerintahan lainnya seperti pemerintah pusat, pemda dan kementerian lainnya yang akan melakukan pengiriman data dan informasi penting baik internal maupun external yang bersifat rahasia/confidential.

Layanan ini bersifat gratis dan sementara hanya dapat digunakan oleh unsur pemerintah. Root CA nantinya akan membawahi CA-CA yang telah ada dan telah digunakan oleh pemerintah, bukan menggantikan tetapi lebih banyak kepada mengatur dan berkoordinasi agar tidak tumpang tindih dalam menggunakan dan melakukan transaksi elektronik.

Root CA Nasional digunakan agar terjadi standarisasi keamanan penggunaan CA di antara pemerintah, agar tercapai 5 hal elemen keamanan informasi seperti confidentiality, integrity, availibility, authentication dan non repudiation.

Seperti yang dikatakan oleh Dirjen Aptika Kominfo Bambang Heru Tjahyono, agar informasi penting dan rahasia yang keluar dari pemerintah tidak ditambah dan dikurangi maka perlu jaminan keamanan CA terhadap dokumen rahasia tersebut.

Informasi penting dienkripsi, ditandatangani secara digital kemudian dikirim kepada yang berhak, dan informasi ini hanya bisa dibaca oleh yang berhak saja, tentu saja ada PKI (public key infrastructure) server dan aplikasi pendukungnya untuk dapat melayani dan menggunakan.

Dimana server ini berada, tidak dapat kami sebutkan keberadaannya, yang jelas server ada di NKRI dan PKI sangat dijamin keamanannya, karena telah lolos sertiikasi ISO 27001/ISMS standar internasional.

Root CA merupakan amanat dan implementasi dari Peraturan Pemerintah PP Nomor 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Apakah informasi sensitif ini disimpan atau disadap oleh pemerintah? Tentu saja tidak! Informasi sensitif dikirim dari pengirim diberikan password dan ditandatangani digital (digital certificate), digital certificate diterbitkan oleh CA, baru kemudian dikirim kepada yang berhak, tentu penerima memiliki public key dan private key untuk membukanya.

Bagaimana bila informasi sensitif ini jatuh kepada pihak lain? Tentu saja tidak akan bisa membukanya karena harus memiliki dua buah kunci untuk dapat menerjemahkan dokumen yang telah terenkripsi.

Penerbit CA dalam hal ini para operator CA secara nasional akan dinaungi oleh Root CA nasional, apakah Root CA bisa menjadi CA? Bisa saja, karena CA nasional sangat terbatas dan tidak menjual layanan, maka lembaga pemerintah lainnya dapat menggunakan Root CA untuk keamanan transaksi elektroniknya.

Acara pelepasan Root CA nasional ini banyak dihadiri oleh kalangan pemerintah dan pemda. Pelaku CA yang telah berhasil seperti Dirjen Pajak yang telah menggunakan CA untuk keamanan pengiriman faktur pajak para wajib pajak atau yang disebut e-faktur kepada Dirjen Pajak juga mendemontrasikan penggunaan CA ini, lembaga pemerintah yang lain seperti Bea Cukai sudah menggunakan CA untuk keamanan dokumen elektronik ekspor dan impor.

Acara yang cukup sukses karena biasanya acara kriptografi dan keamanan informasi hanya dihadiri oleh para ilmuwan, kali ini dihadiri oleh pemerintah, swasta dan akademisi, ditambah acara musik, di sela-sela diskusi ilmiah.

*) Penulis, IGN Mantra, Indonesia Academic CSIRT, Peneliti Cyber Security Nasional, Dosen Keamanan Informasi, Perbanas Institute.

(ash/ash)