Pendekatan secure by design pada cluster resource allocation untuk pusat dataidsecconf
Mardhani Riasetiawan , Ahmad Ashari, Irwan Endrayanto, Shinta Nuraisya Arizki - "Pendekatan Secure by Design pada Cluster Resource Allocation untuk Pusat Data"
Pendekatan secure by design pada cluster resource allocation untuk pusat dataidsecconf
Mardhani Riasetiawan , Ahmad Ashari, Irwan Endrayanto, Shinta Nuraisya Arizki - "Pendekatan Secure by Design pada Cluster Resource Allocation untuk Pusat Data"
Pendekatan secure by design pada cluster resource allocation untuk pusat dataidsecconf
Mardhani Riasetiawan , Ahmad Ashari, Irwan Endrayanto, Shinta Nuraisya Arizki - "Pendekatan Secure by Design pada Cluster Resource Allocation untuk Pusat Data"
Pendekatan secure by design pada cluster resource allocation untuk pusat dataidsecconf
Mardhani Riasetiawan , Ahmad Ashari, Irwan Endrayanto, Shinta Nuraisya Arizki - "Pendekatan Secure by Design pada Cluster Resource Allocation untuk Pusat Data"
tugas ini tentang big data pada aplikasi Traveloka,yang dikerjakan oleh 2 orang yaitu Saya Jenie lois dan partner saya,Ia termasuk orang yang bisa diajak kerjasama dan tidak menunda-nunda pekerjaan sehingga pekerjaan kami menjadi lebih cepat dan terorganisir.Terimakasih kepada partner saya Cristable Banar Rivo
SI-PI, Mutiah Sari Indah, Hapzi Ali, Trend Platform Hardware dan Software Dal...mutiah indah
SI-PI, Mutiah Sari Indah, Hapzi Ali, Trend Platform Hardware dan Software Dalam Implementasi Sistem Informasi dan Pengendalian Internal, Mercu Buana, 2017
Cloud Managed Router merupakan hasil dari kombinasi antara perangkat router konvensional dengan teknologi cloud management, yang dikembangkan agar memudahkan pengguna untuk dapat mengatur perangkat router dari jarak jauh. Namun tentu saja dengan penerapan yang kurang tepat, maka hal ini bisa dimanfaatkan oleh orang yang tidak bertanggung jawab, bahkan dapat beresiko akses perangkat router diambil alih. Pada topik ini saya akan sedikit menceritakan bagaimana resiko tersebut bisa terjadi.
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf
Kesiapan infrastruktur terkadang menjadi kendala dalam melaksanakan red team exercise secara internal. Guna memperoleh hasil yang optimal terdapat beberapa strong points yang perlu diadopsi dalam pengembangan infrastruktur yakni rapid deployment, stealth, dan scalability. Melalui Infrastructure as code (IaC) yang dapat mendukung proses automation infrastruktur red team, operator dapat mereduksi waktu deployment dengan komponen yang bersifat disposable per engagement. Infrastruktur terbagi menjadi 4 segmen yakni segmen network memanfaatkan WireGuard yang disederhanakan melalui Headscale “Zero Config”. Segmen C2 dan Segmen Phishing merupakan core sections. Segmen SIEM bertujuan mengagregasi dan memproses log dari berbagai komponen seperti reverse proxy pada redirector ataupun C2 server. Manajemen multi-cloud environment memanfaatkan Terraform dengan provisioning yang di-handle menggunakan Ansible. Python sebagai wrapper kedua platform sehingga penggunaan tetap sederhana. Operator dapat secara fleksibel mendeskripsikan segmen yang hendak di deploy melalui sebuah YAML file.
Dalam dunia keamanan siber, sinergi antara berbagai proses memiliki peran yang sangat penting. Salah satu proses atau framework yang tengah menjadi sorotan dan menarik perhatian luas adalah Detection Engineering. Proses Detection Engineering ini bertujuan untuk meningkatkan struktur dan pengorganisasian dalam pembuatan detection use case atau rules di Security Operation Center (SOC). Detection Engineering bisa dikatakan masih baru dalam dunia keamanan siber, sehingga terdapat banyak peluang untuk membuat keseluruhan prosesnya menjadi lebih baik. Salah satu hal yang masih terlupakan adalah integrasi antara proses Detection Engineering dan Threat Modeling. Biasanya, Threat Modeling lebih berfokus pada solusi pencegahan dan mitigasi resiko secara langsung dan melupakanan komponen deteksi ketika pencegahan dan mitigasi tersebut gagal dalam menjalankan fungsinya. Dalam makalah ini, kami memperkenalkan paradigma baru dengan mengintegrasikan Detection Engineering ke dalam proses Threat Modeling. Pendekatan ini menjadikan Detection sebagai langkah proaktif tambahan, yang dapat menjadi lapisan pertahanan ekstra ketika kontrol pencegahan dan mitigasi akhirnya gagal dalam menghadapi ancaman sesungguhnya.
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdfidsecconf
Smart doorbell atau bel pintar telah menjadi populer dalam sistem keamanan rumah pintar. Namun, banyak dari perangkat ini masih menggunakan protokol yang tidak aman untuk berkomunikasi, protokol yang rentan terhadap serangan keamanan seperti jamming, sniffing dan replay attack. Penelitian ini bertujuan untuk menganalisis kelemahan penggunaan protokol komunikasi pada smart doorbell, serta menginvestigasi potensi pemanfaatan Software Defined Radio (SDR) dan modul arduino dalam mengamati komunikasi gelombang elektronik pada frekuensi 433 MHz. Selain itu penelitian ini ditujukan untuk mengidentifikasi potensi risiko yang dihadapi oleh pengguna pengkat IoT, serta memberikan pandangan tentang perlindungan yang lebih baik.
Modern organizations are facing the severe challenge of effectively countering threats and mitigating Indicators of Compromise (IOCs) within their network environments. The increasing complexity and volume of cyber threats has highlighted the urgency of building robust mechanisms to block specific IOCs independently. While some organizations have adopted Endpoint Detection and Response (EDR) systems, these solutions often have limitations and require manual processes to collect and examine IOCs from multiple sources. These operational barriers prevent organizations from achieving a proactive and efficient defense posture, an obstacle that is particularly important due to the critical role that IOC blocking plays in containing the spread of threats and limiting potential damage. Hence, the need for a solution that orchestrates automated IOC blocking, utilizing tools such as AlienVault Open Threat Exchange (OTX), VirusTotal, CrowdStrike, and Slack. In this presentation, we examine the importance of automated IOC blocking and its potential to strengthen network security, while highlighting the critical role that these tools play in mitigating evolving cyber threats.
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...idsecconf
Pembahasan ini bertujuan untuk memberikan edukasi tentang mekanisme perlindungan yang diterapkan pada aplikasi android seperti root detection, ssl pinning, anti emulation, tamper detection dan bagaimana teknik yang digunakan untuk melakukan mekanisme bypass proteksi yang diimplementasikan dengan bantuan reverse engineering menggunakan tool seperti frida, ghidra, objection, magisk, dan sebagainya.
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...idsecconf
Adversary Simulation pada lingkungan cloud memiliki karakteristik unik sehingga memerlukan pendekatan khusus. Stratus menawarkan fleksibilitas dalam melakukan simulasi attack secara native pada lingkungan cloud. Presentasi ini akan memberikan penjelasan tentang penggunaan Stratus dalam adversary simulation dan bagaimana mengembangkan skenario khusus sesuai kebutuhan.
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfidsecconf
Semakin berkembangnya teknologi di aplikasi Desktop terdapat celah keamanan yang dapat menyebabkan dampak langsung atau tidak langsung pada kerahasiaan, Integritas Data yang di bangun menggunakan Framework dari Electron khusus nya aplikasi Desktop di Sistem Operasi MAC. Dalam materi yang di persentasikan akan membahas celah keamanan Security Misconfiguration,RCE,Code Injection, Bypass File Quarantine dan juga bagaiman cara intercept Aplikasi Electron Desktop di system operasi macOS
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...idsecconf
Amazon Web Service (AWS) menjadi pemain besar dalam industri provider cloud, AWS menawarkan berbagai macam layanan yang mempermudah pengguna untuk operasional dan manajemen administrasi cloud computing. Dengan banyaknya layanan yang disediakan oleh Amazon Web Service membuat pengguna lupa akan keamanan dari service yang digunakan, karena bukan hanya Simple Storage Service (S3) saja yang bisa secara tidak sengaja mengekspos data sentitif seperti kredensial Database, SSH Private Key, Source code aplikasi atau bahkan data pribadi lain yang bersifat rahasia. Terdapat banyak service yang secara tidak sengaja terekspos ke public seperti EBS Snapshot, RDS Snapshot, SSM Document, SNS topic dan sebagainya. Malicious Actor bisa memanfaatkan Public shared atau exposed untuk melakukan Initial Access ke lingkungan Amazon Web Service pengguna lalu melakukan eksfiltrasi data internal yang rahasia.
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdfidsecconf
Near Field Communication (NFC) saat ini adalah teknologi yang umumnya di gunakan untuk media pembayaran serta akses kontrol untuk keamanan ruangan dan gedung. Tidak terbatas untuk hal itu saja, teknologi NFC juga kerap di implementasikan untuk perangkat IoT. Beberapa perangkat menggunakan NFC tag untuk menyimpan informasi guna sinkronisasi dengan perangkat smartphone. Penggunaan teknologi NFC awalnya dianggap aman karna mengharuskan alat baca dengan tag berada dalam poisisi yang sangat dekat. Sehingga dianggap sulit untuk melakukan penyadapan informasinya. Seiring waktu banyak penilitian mengungkapkan bahwa komunikasi ISO 1443-3 ini bisa di intip dan di terjemahkan ke dalam bentuk perintah serta respon aslinya. Proxmark3 adalah salah satu alat yang dikembangkan untuk keperluan tersebut. Namun ada kondisi dimana perangkat proxmark tidak dapat di fungsikan maksimal lantaran berkurangnya sensititifitas pembaca dan tag ketika ada objek berada diantara keduanya. Di paper ini saya ingin menyajikan hasil penelitian saya tentang penggunaan Dynamic Instrumentation Frida untuk memantau penggunaan modul java nfc dalam platform Android dan menggunakannya untuk melakukan lockpicking pada gembok pintar berbasis NFC.
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...idsecconf
This paper is a documentation of proposed security management for Electronic Health Records which includes security planning and policy, security program, risk management, and protection mechanism. Planning and policy are developed to provide a basic principle of security management at a hospital. The security program in this document includes Risk-Adaptable Access Control (RAdAC) and the implementation of security education, training and awareness (SETA). Regarding risk management, we perform risk identification, inventory of assets, information assets classification, and information assets value assessment, threat identification, and vulnerability assessment. For protection mechanism, we propose biometrics and signature as the authentication methods. The use of firewalls, intrusion detection system and encrypted data transmission is also suggested for securing data, application and network.
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdfidsecconf
Menceritakan pengalaman bug hunting kerentanan clickjacking pada beberapa produk Google dan membahas beberapa teknik untuk melakukan bypass terhadap kerentanan tersebut. Serta menjelaskan clickjacking yang benar berdasarkan pengalaman pribadi
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...idsecconf
Pelanggaran privasi merupakan suatu hal yang sering ditemui dewasa ini. Salah satu penyebab pelanggaran privasi adalah adanya data privat milik pengguna yang dikirimkan pada server milik aplikasi tanpa seizin pengguna atau adanya pengumpulan data tertentu tanpa izin. Pada penelitian ini, kami menganalisis aplikasi-aplikasi yang didapatkan dari Google Play Store Indonesia untuk dicari apakah ada data privat milik pengguna yang dilanggar privasinya. Penelitian ini menggunakan tiga jenis metode yang utamanya berbasis static analysis; pendekatan reverse-engineering dengan static analysis untuk melihat apakah ada data yang berpotensi mengganggu privasi pengguna, analisis perizinan dan tracker yang dimiliki oleh aplikasi untuk melihat apakah perizinan dan tracker yang dimiliki oleh aplikasi memang tepat sesuai dengan use-case dari aplikasi tersebut, dan analisis regulasi data dengan mengambil data mengenai keamanan data yang diberikan developer ke Google Play Store. Hasil studi menunjukkan bahwa ada beberapa aplikasi yang memang mengambil data privat pengguna yang tidak relevan dengan use-case aplikasi dan mengirimnya ke server milik aplikasi dan pihak ketiga
Utian Ayuba - Profiling The Cloud Crime.pdfidsecconf
Cloud service is often part of broader strategic initiatives, principally digital transformation (DX) and cloud-first. Despite the continued rapid adoption of cloud services, security remains a crucial issue for cloud users. A majority of organizations confirm they are at least moderately concerned about cloud security. However, there is still a gap between using the cloud and the implementation of cloud security by organizations, so retains the rate of cloud crime high. Eliminating or narrowing the gap is necessary so that organizations can continue to take advantage of the cloud securely. Understanding cloud crime would aid in both cloud crime prevention and protection. The purpose of this presentation is to identify how cloud security incidents can occur from both attacker and victim sides. Organizations can use this presentation's results as a reference to develop or improve cloud security programs and eliminate or narrow the gap between cloud utilization and cloud security implementation.
Proactive cyber defence through adversary emulation for improving your securi...idsecconf
Organization using Adversary Emulation plan to develop an attack emulation and/or simulation and execute it against enterprise infrastructure. These activities leverage real-world attacks and TTPs by Threat Actor, so you can identify and finding the gaps in your defense before the real adversary attacking your infrastructure. Adversary Emulation also help security team to get more visibility into their environment. Performing Adversary Emulation continuously to strengthen and improve your defense over the time.
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidadaidsecconf
UU-ITE pasal 11 melegalkan Tanda Tangan Elektronik, membuat kedudukannya setara dengan tanda tangan basah. Implementasinya mengandalkan Infrastruktur Kunci Publik yang melibatkan beberapa organisasi dan jalinan trust. Akan di bahas gambaran umum implementasi IKP di Indonesia dan berbagai layanan yang telah beroperasi, serta sebagian aspek keamanannya.
Pentesting react native application for fun and profit - Abdullahidsecconf
React Native merupakan framework yang digunakan untuk membuat aplikasi mobile baik itu Android maupun IOS (multi platform). Framework ini memungkinkan developer untuk membuat aplikasi untuk berbagai platform dengan menggunakan basis kode yang sama, yaitu JavaScript.
Dikarenakan aplikasi ini berbasis JavaScript (client side), banyak developer yang tidak memperhatikan celah keamanan pada aplikasi. Terdapat berbagai macam celah keamanan meliputi client side dan server side. Presentasi ini memuat pengalaman saya dalam menemukan celah keamanan pada saat melakukan Penetration Testing pada aplikasi mobile berbasis React Native
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabellaidsecconf
Pandemi covid-19 melonjak pada gelombang ke-2 di. Untuk mengantisipasi itu pemerintah membagikan oximeter ke puskesmas. Oximeter yang ada dipasaran mengharuskan tenaga kesehatan untuk kontak langsung dengan pasien. Dengan menggunakan Hacked Oxymeter ini dapat mengurangi intensitas bertemu dengan pasien dan mengurangi resiko terpapar covid-19. Secara metodologi, hacking oximeter ini membaca output komunikasi serial pada alat oximeter untuk kemudian diolah oleh mikrokontroler dan dikirim ke MQTT broker untuk diteruskan ke klien yang membutuhkan. Alat ini digunakan oleh pasien yang sedang isoman di hotel, fasilitas Kesehatan atau rumah sakit darurat/lapangan
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...idsecconf
Eksploitasi kerentanan pada hypervisor semakin banyak diperbincangkan di beberapa tahun ini, dimulai dari kompetisi hacking Pwn2Own pada 2017 yang mengadakan kategori Virtual Machine dalam ajang lombanya, dan juga teknologi-teknologi terkini yang banyak menggunakan hypervisor seperti Cloud Computing, Malware Detection, dll. Hal tersebut menjadi ketertarikan bagi sebagian hacker, security researcher untuk mencari kelemahan dan mengeksploitasi hypervisor. Tulisan ini menjelaskan mengenai proses Vulnerability Research dan VM Escape exploitation pada VirtualBox.
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwiantoidsecconf
Proses DevSecOps saat ini banyak digunakan dikalangan industri yang membutuhkan kecepatan baik dalam pengembangan maupun implementasi. Setiap tahapan pada pipeline DevSecOps merupakan tahapan yang harus diperhatikan dan masuk kedalam pantauan SOC (Security Operation Center). Untuk itu diperlukan kemampuan SOC untuk bisa memantau setiap pipeline DevSecOps sehingga dapat memberikan gambaran kondisi keamanan pada organisasi
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
(paper) Implementasi Digital Signature pada E-Government
1. 1
Practical Issue : Implementasi Digital Signature pada Dokumen Output Perizinan
Sebagai Bentuk Perwujudan Nyata Good Governance dan E-Goverment
Sandromedo Christa Nugroho
Lembaga Sandi Negara
sandromedo.christa@bssn.go.id || major.ruft@gmail.com
Pendahuluan
Instansi pemerintah (baik badan/lembaga maupun kementrian) memiliki peraturan dan
kebijakan yang berbeda-beda dalam melakukan pengolahan berkas dan penerbitan dokumen
output perizinan. Badan Koordinasi Penanaman Modal (BKPM) merupakan salah satu instansi
pemerintah yang memiliki tugas untuk melaksanakan Pelayanan Terpadu Satu Pintu (PTSP)
dalam rangka memberikan pelayanan dan aplikasi untuk pembuatan dokumen output perizinan
pada bidang penanaman modal, baik modal dalam negeri (PMDN), maupun modal luar negeri
(PMA). Secara umum PTSP bertujuan untuk mengefesiensikan dan mengefektifkan
pelaksanaan dan pengurusan dokumen output perizinan dengan mengintegrasikan dokumen
output perizinan dan koordinasi antara Instansi Teknis pengolah dan penerbit dokumen output
perizinan baik secara online, maupun offline. Dokumen output perizinan merupkan dokumen
resmi (official documents) yang diterbitkan oleh suatu instansi pemerintah kepada suatu pihak
(dapat berupa perseorangan dan/atau perusahaan) untuk dapat melaksanakan kegiatan dan/atau
usaha (umumnya perdagangan baik barang maupun jasa) tertentu. Pengolahan dan penerbitan
dokumen output perizinan di PTSP saat ini masih diprint/dicetak dalam media kertas.
Penggunaan media kertas selain tidak ramah lingkungan juga tidak dapat bertahan lama (dapat
kusam atau rusak seiring dengan berjalannya waktu), memerlukan tempat
pengarsipan/penyimpanan secara fisik yang tidak efektif dan semakin membesar seiring
dengan bertambahnya dokumen, proses pencarian dan tracking dokumen yang relatif sulit,
memiliki tingkat perawatan yang mahal, mudah tercecer/terselip/hilang jika penyimpanannya
tidak dilakukan dengan baik dan benar, serta beberapa kekurangan dan permasalahan lainnya.
Selain itu dokumen output perizinan pada media kertas juga dapat
dimanipulasi/diubah/dimodifikasi dengan sangat mudah oleh orang-orang yang ingin berbuat
curang maupun pihak-pihak yang tidak berwenang tanpa dapat dideteksi dan diketahui oleh
siapapun, sehingga data dan informasi yang terdapat pada dokumen output perizinan tersebut
menjadi tidak sah dan tidak valid. Bahkan secara ekstrim dokumen output perizinan pada media
kertas dapat dipalsukan dengan hanya mengetahui format dokumen, menyediakan sebuah
printer, tiruan tandatangan pejabat berwenang dan cap instansi penerbit dokumen tanpa harus
2. 2
datang dan mengajukan pengurusan dan penerbitan dokumen output perizinan di PTSP,
BKPM. Oleh karena itu pada tulisan ini akan dibahas mengenai hasil rancang bangun aplikasi
yang dapat menjaga keutuhan isi (integritas) dan keaslian (otentikasi) dokumen output
perizinan dengan menerapkan teknik kriptografi, yaitu tandatangan dan validasi secara digital
(digital signature).
Algoritma Fungsi Hash SHA-2 Family
Algoritma SHA-2 Family dikembangkan oleh National Security Agency (NSA) dan
merupakan salah satu algoritma fungsi hash standar Amerika Serikat berdasarkan pada
dokumen National Institute of Standards and Technology (NIST) Federal Information
Processing Standard (FIPS) 180-4. Algoritma SHA-2 merupakan rancang bangun algoritma
fungsi hash yang dibuat untuk mengantikan algoritma SHA-1 yang telah diclaim tidak aman
lagi untuk digunakan (http://arstechnica.com/security/2012/10/sha1-crypto-algorithm-could-
fall-by-2018/). Secara fungsi algoritma SHA-2 dapat menghash pesan dengan panjang
sembarang (arbitrary message) menjadi message digest dengan panjang tetap 224/256/384/512
bit (tergantung pada tingkat keamanan yang ingin dicapai). Algoritma SHA-2 dipublikasikan
pada tahun 2001 dan dipatenkan di Amerika Serikat dengan nomor paten 6829355. Pada
dasarnya disain algoritma SHA-2 masih mirip dengan disain algoritma pendahulunya
(algoritma SHA-1) dengan beberapa pengembangan dan perubahan. Pada tahun 2011 Mario
Lamberger dan Florian Mendel menemukan serangan yang dapat diterapkan pada algoritma
SHA-2, namun serangan tersebut masih diangap serangan teoritis dan belum dapat dilakukan
secara praktis, sehingga algoritma SHA-2 diclaim masih layak dan aman untuk tetap
digunakan. Tabel dibawah menunjukkan spesifikasi algoritma fungsi hash SHA-2 family.
Spesifikasi Algoritma Fungsi Hash SHA-2 Family.
No. Keterangan Deskripsi
1. Pengembang/Pempublikasi National Security Agency
(NSA)
2. Tahun Publikasi 2001
3. Ukuran Pesan Input Arbitrary
4. Ukuran Message Digest 224 Bit/256 Bit/ 384 Bit/
512 Bit
5. Round 64 (Enam Puluh Empat)
80 (Delapan Puluh)
6. Struktur Merkle-Damgard
3. 3
7. Dokumen Standar NIST FIPS 180-4,
CRYPTREC, dan NESSIE
Algoritma Public Key RSA
Algoritma RSA dibuat oleh tiga ilmuwan dari Massachussets Institute of Technology
(MIT), Ron Rivest, Adi Shamir dan Leonard Adleman pada tahun 1977. Algoritma RSA
merupakan salah satu algoritma asimetrik standar berdasarkan pada dokumen PKCS#1, ANSI
X9.31 dan IEEE 1363 yang dapat digunakan secara luas oleh khalayak umum. Algoritma RSA
memiliki ukuran kunci 1024 bit sampai dengan 4096 bit (tergantung pada tingkat keamanan
yang ingin dicapai) dan dapat digunakan untuk beberapa tujuan, seperti enkripsi dan dekripsi
pesan rahasia (umumnya distribusi kunci pada algoritma simetrik), tandatangan dan verifikasi
dokumen secara digital, serta tujuan lainnya. Secara umum kekuatan matematis algoritma RSA
terdapat pada masalah faktorisasi bilangan bulat besar (Integer Factorization Problem),
dimana dalam perkembangannya terdapat beberapa algoritma asimetrik lain yang memiliki
dasar kekuatan matematis yang mirip dengan algoritma RSA, seperti algoritma Rabin,
algoritma Williams, algoritma LUC, algoritma Goldwaser-Micali dan algoritma-algoritma
asimetrik lainnya. Terdapat beberapa serangan kriptanalisis yang dapat diterapkan pada
algoritma RSA, antara lain : general number field sieve dan algoritma shor’s, namun serangan-
serangan tersebut tidak optimal berdasarkan polinomial waktu terukur, sehingga algoritma
RSA diclaim masih layak dan aman untuk tetap digunakan.
Public Key Cryptography Standars (PKCS)#12
Public Key Cryptography Standars (PCKS) merupakan salah satu dokumen standar
yang bertujuan untuk menstandarkan sintaks pesan (message syntax) dan algoritma khusus
(specific algorithm) agar perbedaan perangkat atau sistem yang digunakan oleh pengguna tetap
dapat terkoneksi dan dimengerti satu sama lain. Sebagai contoh penerimaan konsep algoritma
asimetrik dalam implementasi dan kehidupan sehari-hari telah mendorong banyak perusahaan
untuk menyediakan dan membuat fasilitas algoritma asimetrik ataupun hal-hal yang
berhubungan dengan penerapan algoritma asimetrik pada masing-masing perangkat hasil
produksinya, dimana hal tersebut dapat menyebabkan ketidaksamaan prosedur dan standar
algoritma asimetrik pada perangkat disediakan. Oleh karena itu dibuatlah format standar agar
antara pengguna, pengembang, perusahaan dan aplikasi yang ada, memiliki format standar
yang sama, sehingga tetap dapat saling berkomunikasi satu dengan yang lainnya meskipun
merk komputer (hardware) dan perangkat pendukung (software) yang digunakan berbeda.
4. 4
Dokumen standar PKCS untuk format pengiriman data/informasi adalah PKCS#12. PKCS#12
medeskripsikan sintaks untuk informasi, seperti identitas pribadi (termasuk private keys,
sertifikat, dan informasi rahasia lainnya). Aplikasi-aplikasi yang mendukung format PKCS#12
akan mengijinkan pengguna untuk mengimport dan mengeksport informasi mengenai identitas
pengguna pada komputer/perangkat yang sedang dipakainya. PKCS#12 juga dilengkapi
dengan Protocol Data Unit (PDU) sebagai format standar data/informasinya.
Sertifikat Digital
Sertifikat digital dapat dianalogikan sebagai sebuah passport atau KTP elektronik
(bersifat unik) yang dapat mengijinkan dan mengotentikasikan sebuah entitas atau seorang
pengguna (secara pribadi atau mewakili institusi) untuk melakukan pertukaran informasi
(dokumen) secara utuh dan aman dengan pihak lainnya melalui jalur publik (internet)
menggunakan teknik Public Key Infrastructure (PKI). Terdapat beberapa penyedia sertifikat
digital komersil terpercaya yang menjual layanan dalam menerbitkan sampai dengan
menghancurkan sertifikat digtal, antara lain : VeriSign, GeoTrust, Comodo, Digicert, Thawte,
GoDaddy dan Network Solutions. Sedangkan institusi pemerintah yang memiliki tugas pokok
dan fungsi untuk menyediakan layanan dan penerbitan sertifikat digital terpercaya kepada
institusi pemerintah lainnya, yaitu Lembaga Sandi Negara. Gambar dibawah menunjukkan
contoh sertifikat digital terpercaya.
Gambar Contoh Sertifikat Digital Terpercaya.
5. 5
Penyelengaraan Pemerintahan
Seiring dengan perkembangan dan tuntutan masyarakat serta transparansi anggaran,
saat ini pemerintah Indonesia sedang mencanangkan penerapan Good Governance dan E-
Goverment pada setiap lini layanan dan pemerintahannya, baik institusi pusat, maupun institusi
daerah. Good Governance adalah suatu peyelegaraan manajemen pembangunan yang solid dan
bertanggung jawab yang sejalan dengan prinsip demokrasi dan pasar yang efisien,
penghindaran salah alokasi dana investasi dan pencegahan korupsi baik secara politik maupun
secara administratif, menjalankan disiplin anggaran, serta penciptaan legal dan politican
framework bagi pertumbuhan aktifitas usaha. Good Governance pada dasarnya adalah suatu
konsep yang mengacu kepada proses pencapaian keputusan dan pelaksanaannya yang dapat
dipertanggungjawabkan secara bersama. Sebagai suatu konsensus yang dicapai oleh
pemerintah, warga negara dan sektor swasta bagi penyelenggaraan pemerintahaan dalam suatu
negara. Good Governance di Indonesia mulai dirintis dan diterapkan sejak era Reformasi,
dimana pada era tersebut telah terjadi perombakan sistem pemerintahan yang menuntut proses
demokrasi yang bersih sehingga Good Governance merupakan salah satu alat Reformasi yang
mutlak diterapkan dalam pemerintahan baru. Kunci utama pelaksanaan Good Governance
adalah pemahaman terhadap prinsip-prinsip di dalamnya. Bertolak dari prinsip-prinsip tersebut
maka akan didapatkan tolak ukur kinerja suatu pemerintahan, dimana baik-buruknya
pemerintahan bisa dinilai bila pemerintahan tersebut telah bersinggungan dengan semua unsur
prinsip-prinsip Good Governance, adapun prinsip-prinsip Good Governance, antara lain :
1. Partisipasi Masyarakat (Participation)
2. Tegaknya Supremasi Hukum (Rule of Law)
3. Transparansi (Transparency)
4. Peduli pada Stakeholder/Dunia Usaha
5. Berorientasi pada Konsensus (Consensus)
6. Kesetaraan (Equity)
7. Efektifitas dan Efisiensi (Effectiveness and Efficiency)
8. Akuntabilitas (Accountability)
9. Visi Strategis (Strategic Vision)
Sedangkan E-Goverment adalah penggunaan teknologi informasi oleh pemerintah untuk
memberikan informasi dan pelayanan bagi masyarakat (warganya), urusan bisnis, serta hal-hal
lain yang berkenaan dengan pemerintahan. E-Government dapat diaplikasikan pada legislatif,
yudikatif maupun administrasi publik, untuk meningkatkan efisiensi internal, menyampaikan
6. 6
pelayanan publik dan memberikan proses kepemerintahan yang demokratis. Terdapat 3 (tiga)
tujuan utama diterapkannya E-Goverment, antara lain :
1. Untuk meningkatkan kualitas dan kuantitas dari layanan ke masyarakat berbasis
teknologi informasi;
2. Untuk mendukung terjadinya proses pemerintahan yang bersih dan transparan, hal ini
terkait dengan disediakannya layanan yang memungkinkan masyarakat mengakses
informasi dan kebijakan-kebijakan pemerintah;
3. Membantuk memperbaiki terhadap organisasi pemerintahan (birokrasi), perbaikan
manajemen waktu untuk kedisiplinan serta produktifitas pegawai, serta manajemen
keuangan pada pemerintahan yang terintegrasi.
E-Goverment dapat diimplementasikan dengan menggunakan 3 (tiga) model penyampaian,
antara lain : Government-to-Citizen atau Government-to-Customer (G2C), Government-to-
Business (G2B) dan Government-to-Government (G2G). Diterapkannya Good Governance
dan E-Goverment di Indonesia tidak hanya membawa dampak positif dalam sistem
pemerintahan saja akan tetapi hal tersebut juga mampu membawa dampak positif terhadap
badan usaha non-pemerintah yaitu dengan lahirnya Good Corporate Governance. Dengan
landasan yang kuat diharapkan akan membawa bangsa Indonesia kedalam suatu pemerintahan
yang lebih bersih, adil, transparan dan amanah.
Skema Penerapan Sertifikat Digital
Skema penerbitan dokumen output perizinan yang ditandatangani dengan
menggunakan sertifikat digital diawali dari investor yang datang ke BKPM untuk mengajukan
penerbitan izin dengan membawa kelengkapan berkas dan persyaratan. Berkas dan persyaratan
tersebut kemudian diperiksa oleh Front End PTSP di BKPM, jika tidak lengkap maka berkas
dan persyaratan pengajuan izin dikembalikan ke investror untuk dilengkapi, sedangkan jika
sudah lengkap maka berkas dan persyataran akan diinputkan kedalam sistem informasi
(spipise) yang dimaintain oleh Back End PTSP. Berkas dan persyaratan pengajuan izin yang
telah diinputkan kedalam sistem informasi kemudian akan diperiksa oleh Kepala Seksi sampai
dengan Kepala Direktorat pada Deputi Bidang Pelayanan Penanaman Modal, jika sudah sesuai
maka akan dibuatkan draf dokumen output perizinan sesuai dengan pengajuan yang dilakukan
oleh investor, untuk kemudian diperiksa kembali oleh Deputi Pelayanan Penanaman Modal,
jika dokumen output perizinan ditolak, maka akan dikembalikan ke proses sebelumnya untuk
diperbaiki dan diperiksa kembali, namun jika diterima, maka akan disahkan dengan
menandatangani dokumen tersebut secara digital. Proses selanjutnya adalah dokumen output
7. 7
perizinan yang telah ditandatangani disimpan kedalam folder perusahaan agar dapat di
download oleh investor pengaju izin dan dikirimkan secara broadcast ke institusi pemerintah
yang memiliki keterkaitan dengan penerbitan dokumen output perizinan melalui email, hal
tersebut dilakukan agar dapat mengatasi masalah tidak sampainya atau terselipnya dokumen
output perizinan pada saat proses pengiriman.
Skema Verifikasi Dokumen
Skema verifiaksi dokumen output perizinan milik investor yang telah ditandatangani
dengan menggunakan sertifikat digital dapat dilakukan oleh siapapun, kapanpun dan
dimanapun, khususnya oleh pihak-pihak yang memiliki keperluan dan wewenang terhadap
dokumen tersebut, yaitu dengan cara mengunjungi halaman verifikasi lalu melakukan input
nomor dokumen output perizinan dan file *.pdf nya kemudian mengklik tombol verifikasi,
selain itu proses verifikasi juga dapat dilakukan dengan cara drag and drop dokumen output
perizinan yang telah ditandatangani kedalam website layanan verifikasi.
Implementasi Aplikasi
Implementasi penerapan sertifikat digital pada dokumen output perizinan dilakukan
dengan menggunakan bahasa pemrograman Java, dengan framework Spring dan Thymeleaf.
Aplikasi digital signing memiliki beberapa form dan fitur. Fitur yang pertama adalah form login
merupakan form untuk memberikan batasan hak akses (baik penggunaan fitur, maupun
penentuan role) kepada pengguna, dimana hanya pengguna yang memiliki wewenang saja
yang dapat mengakses aplikasi digital signing ini. Password pengguna pada aplikasi digital
signature telah diamankan dengan menggunakan teknik kriptografi. Gambar dibawah
menunjukkan form login.
8. 8
Gambar Form Login.
Form daftar dokumen merupakan form untuk merekap dokumen output perizinan final dari
sistem informasi BKPM yang talah siap untuk ditandatangani oleh pejabat berwenang, namun
apabila masih terdapat kesalahan baik redaksional maupun substansial pada dokumen, maka
pejabat yang berwenang berhak untuk menolak dokumen tersebut. Gambar dibawah
menunjukkan form daftar dokumen.
Gambar Form Daftar Dokumen.
Form monitoring dokumen merupakan form untuk melakukan tracking, pemantauaan dan
pengiriman dokumen ke instansi atau pejabat pemerintah yang memiliki kaitan terhadap
9. 9
dokumen output perizinan yang telah ditandatangani oleh pejabat yang berwenang. Gambar
dibawah menunjukkan monitoring dokumen.
Gambar Form Monitoring Dokumen.
Form grafik bulanan dan tahunan merupakan form untuk menampilkan data dan hasil
rekapitualsi kepada pimpinan, terkait dengan dokumen yang dikirimkan dari sistem informasi
BKPM ke aplikasi digital signing, dokumen disetujui (ditandatangan oleh pejabat berwenang),
dokumen ditolak dan dokumen belum diperiksa (belum ditandatangani atau belum ditolak,
dalam hal ini statusnya masih kosong). Form grafik juga dapat berfungsi sebagai bahan akurat
dalam melakukan summary pemrosesan dokumen output perizinan untuk evaluasi kinerja dan
pengambilan keputusan pimpinan. Gambar dibawah menunjukkan form grafik bulanan dan
tahunan.
10. 10
Gambar Form Grafik Bulanan.
Gambar Form Grafik Tahunan.
Form peta merupakan form untuk menampilkan data kepada pimpinan dalam bentuk peta,
terkait dengan penyebaran daerah-daerah (PTSP daerah) yang belum (berwarna merah) dan
telah (berwarna hijau) menggunakan aplikasi digital signing. Gambar dibawah menunjukkan
form peta.
11. 11
Gambar Form Peta.
Selain form-form diatas terdapat juga form daftar akses merupakan form untuk menyimpan
role (peran) atau hak akses pengguna terhadap aplikasi digital signing, dalam hal ini role akan
disesuaikan dengan wewenang dan jabatan pengguna, Form daftar email merupakan form
untuk menyimpan email instansi atau pejabat terkait yang akan dikirimkan dokumen output
perizinan yang telah ditandatangani oleh pejabat yang berwenang dan form jenis izin
merupakan form untuk menyimpan jenis izin yang dapat dikirimkan untuk diolah pada aplikasi
digital signing, dimana data tersebut dapat diupdate berdasarkan pada situasi dan kondisi
sebenarnya.
Implementasi Tandatangan Digital
Dokumen output perizinan yang telah disetujui untuk diterbitkan oleh Deputi Bidang
Pelayanan Penanaman Modal disahkan akan ditandatangani secara digital dengan
menggunakan aplikasi digital signing. Gambar dibawah menunjukkan dokumen output
perizinan sebelum dan setelah dilakukan tandatangan secara digital.
12. 12
(a) (b)
Gambar (a) Dokumen Output Perizinan Sebelum Ditandatangani Secara Digital
(b) Dokumen Output Perizinan Setelah Ditandatangani Secara Digital.
Secara fisik / hasil print (hardcopy) tidak akan terlihat perbedaan yang signifikan antara
dokumen output perizinan yang belum ditandatangani, dengan dokumen output perizinan yang
telah ditandatangani, dimana perbedaan hanya terdapat pada watermark dikolom tandatangan
dokumen output perizinan yang telah ditandatangani. Namun secara sistem, terdapat beberapa
pebedaan yang cukup signifikan, antara lain dari segi ukuran file, dimana dokumen output
perizinan yang telah ditandatangani berukuran lebih besar (karena dokumen tersebut
merupakan gabungan antara dokumen output perizinan dengan 1 (satu) atau lebih lembar
pengesahan dan gambar (watermark)). Selain itu perbedaan juga terdapat pada properties
dokumen output perizinan yang telah ditandatangani, dimana akan terdeteksi adanya
tandatangan digital pada dokumen output perizinan tersebut. Gambar dibawah menunjukkan
informasi mengenai properties sertifikat digital pada dokumen yang telah ditandatangani.
13. 13
Gambar Informasi Sertifikat Digital pada Dokumen
Output Perizinan yang Telah Ditandatangani.
Pengujian
Pengujian dokumen output perizinan yang telah ditandatangani secara digital dilakukan
secara sederhana, yaitu dengan melakukan perubahan/modifikasi secara langsung,
perubahan/modifikasi secara tidak langsung dan usaha untuk menghilangkan (remove)
tandatangan digital pada dokumen output perizinan. Perubahan/modifikasi pertama dilakukan
dengan menggunakan tools pdf editor terhadap dokumen output perizinan. Namun ternyata
dokumen tersebut tidak dapat dirubah, baik menambahkan teks, gambar, stabilo (highlight),
menghilangkan 1 (satu) atau lebih halaman, maupun perubahan kebijakan keamanan (security
properties). Gambar dibawah menunjukkan notifikasi bahwa dokumen output perizinan tidak
dapat dirubah secara langsung.
14. 14
Gambar Notifikasi Dokumen Output Perizinan
Tidak Dapat Dirubah Secara Langsung
Berdasarkan gambar diatas dapat diketahui, bahwa pengguna yang tidak berwenang tidak akan
dapat melakukan perubahan pada dokumen output perizinan yang telah ditandatangani,
sehingga keabsahan (validity) dan keutuhan data (data integrity) dari dokumen dapat terjaga
dengan baik. Teknik perubahan/modifikasi kedua adalah dengan melakukan perubahan secara
tidak langsung menggunakan tools teks editor terhadap dokumen output perizinan. Gambar
dibawah menunjukkan dokumen output perizinan yang telah ditandatangani jika dilihat dengan
menggunakan teks editor.
Gambar Dokumen Output Perizinan yang Telah
Ditandatangani pada Teks Editor (Sebelum Dirubah).
Perubahan dokumen output perizinan secara tidak langsung dilakukan dengan cara
menghilangkan 1 (satu) atau lebih baris string yang dipilih secara acak, dalam penulisan ini
string yang akan dihilangkan adalah pada baris ke-71. Gambar dibawah menunjukkan string
baris ke-71 pada dokumen output perizinan dan hasil perubahannya.
15. 15
Gambar String Baris ke-71 pada Dokumen Output Perizinan yang Telah Ditandatangani.
Gambar Dokumen Output Perizinan yang Telah
Ditandatangani pada Teks Editor (Setelah Dirubah).
Hasil dari perubahan secara tidak langsung pada dokumen output perizinan dengan
menggunakan teks editor tetap dapat dibuka dan dibaca menggunakan tools pdf reader namun
akan menghilangkan atau merusak visible watermark yang teradapat pada kolom tandatangan
dokumen output perizinan, selain itu perubahan tidak langsung juga akan memberikan
notifikasi tambahan, bahwa terdapat error pada format tandatangan digital dan dokumen output
perizinan. Gambar dibawah menunjukkan dokumen output perizinan dan propertiesnya,
setelah dilakukan perubahan secara tidak langsung dengan menggunakan teks editor.
17. 17
Pengujian selanjutnya adalah dengan melakukan usaha untuk menghilangkan (remove)
tandatangan digital pada dokumen output perizinan. Terdapat beberapa teknik/metode
untuk melakukan penghilangan tandatangan digital, salah satunya adalah dengan
melakukan save as ulang dokumen dari *.pdf menjadi *.ps untuk kemudian dikembalikan
menjadi *.pdf. Tabel dibawah menunjukkan usaha untuk menghilangkan tandatangan
digital pada dokumen output perizinan.
Tabel Menghilangkan Tandatangan Digital pada Dokumen Output Perizinan.
No. Aplikasi/Website Notifikasi Hasil Keterangan
1. Adobe Destiller
XII
Gagal
2. https://online2pdf.
com/convert-ps-
to-pdf
Gagal
3. https://ps2pdf.com
/convert.htm
Berhasil, namun
akan menghilangkan
tandatangan digital
dan propertiesnya
4. http://www.zamza
r.com/convert/ps-
to-pdf/
Berhasil, namun
akan menghilangkan
tandatangan digital
dan propertiesnya
5. http://www.pdfcon
vertonline.com/ps-
to-pdf-online.html
Gagal
Berdasarkan pada tabel diatas dapat diketahui, bahwa usaha untuk menghilangkan
tandatangan digital pada dokumen output perizinan dengan menggunakan teknik
konversi (*.ps) gagal untuk beberapa situs dan berhasil untuk beberapa situs. Namun
konversi pemulihan kembali file *.ps menjadi *.pdf akan menghilangkan tandatangan
digital dan propertiesnya (dalam hal ini kembali menjadi file *.pdf biasa), sehingga
secara sistem tidak dapat diverifikasi integritas dan keaslian datanya. Secara keseluruhan
perubahan/modifikasi pada dokumen output perizinan yang telah ditandatangani baik
18. 18
langsung maupun tidak langsung ataupun dihilangkan tandatangannya akan gagal
divalidasi oleh sistem, sehingga pegawai atau atasan dapat mengetahui adanya perubahan
pada dokumen output perizinan yang telah ditandatangani. Sedangkan berdasarkan pada
ukuran file, perubahan ukuran tidak akan terlihat pada dokumen output perizinan yang
dirubah secara langsung, karena perubahan secara langsung tidak dapat dilakukan,
sedangkan ukuran file pada dokumen output perizinan yang dirubah secara tidak
langsung tidak terlalu terlihat perubahan ukuran yang signifikan (walaupun dokumen
yang dihasilkan merupakan dokumen yang tidak valid). Perubahan ukuran file baru
terlihat pada usaha menghilangkan tandatangan digital dengan teknik konversi, dimana
saat dikonversikan ke *.ps ukuran file dokumen akan naik menjadi 3.512 KB (naik 0.975
%) dan saat dikonversi kembali ke *.pdf ukuran file dokumen akan turun menjadi 263
KB (turun 12,17 %). Gambar 4.17. dibawah menunjukkan perbandingan ukuran file
dokumen output perizinan.
Gambar Perbandingan Ukuran File Dokumen Output Perizinan.
Secara keseluruhan perubahan/modifikasi pada dokumen output perizinan yang telah
ditandatangani baik langsung maupun tidak langsung akan gagal divalidasi oleh sistem,
sehingga pegawai atau atasan dapat mengetahui adanya perubahan pada dokumen output
perizinan yang telah ditandatangani.
Kesimpulan
Berdasarkan pada hasil rancang bangun dan pengujian aplikasi yang telah dilakukan,
dapat disimpulkan hal-hal sebagai berikut :
1. Dokumen output perizinan yang diterbitkan oleh BKPM berbentuk media kertas,
penggunaan media kertas tidak ramah lingkungan, tidak dapat bertahan lama
(menguning dan rusak), memerlukan tempat pengarsipan/penyimpanan secara fisik
yang tidak efektif, proses pencarian dan tracking dokumen yang relatif sulit, memiliki
tingkat perawatan yang mahal dan mudah tercecer/terselip/hilang jika penyimpanannya
tidak dilakukan dengan baik dan benar.
19. 19
2. Dokumen output perizinan pada media kertas juga dapat
dimanipulasi/diubah/dimodifikasi dengan sangat mudah oleh orang-orang yang tidak
berwenang tanpa dapat dideteksi dan diketahui oleh siapapun, sehingga data dan
informasi yang terdapat pada dokumen output perizinan tersebut menjadi tidak sah dan
tidak valid.
3. Implementasi tandatangan digital pada dokumen output perizinan yang diterbitkan oleh
BKPM dapat mengatasi kekurangan dan kelemahan penggunaan media kertas, menjaga
integritas (data integrity), serta keaslian (authentication) dokumen output perizinan,
sehingga proses pengolahan dokumen output perizinan yang diterbitkan oleh BKPM
dapat lebih terkontrol, efektif dan efisien.
Referensi
[1] Mcleod, R., Schell, G., Stonehill, A. I. & Moffet, M. H. 2001. Management Information
System eight edition. Terjemahan oleh Teguh, Hendra. 2004. Jakarta : PT. INDEKS.
[2] Menezes, Alfred J., Ooschot, Paul C. Van. & Vanstone, Scott A. 1997. Handbook of
Applied Cryptography. Boca Raton : CRC press LLC.
[3] Munir, Rinaldi. 2006. Kriptografi. Informatika. Bandung.
[4] National Institute of Standards and Technology (NIST). Federal Information Processing
Standart Publication (FIPS) 197. 2001. Advanced Encryption Standart (AES).
[5] National Institute of Standards and Technology (NIST). Federal Information Processing
Standart Publication (FIPS) 180-2. 2002. Secure Hash Standard.
[6] Moriarty. Nystrom. Parkinson. Rusch. Scott. PKCS #12: Personal Information Exchange
Syntax v1.1. Internet Engineering Task Force. RFC 7292.
[7] Rivest Ronald. Shamir Adi. Adleman Leonard. 1977. RSA Patent as filed with the U.S.
Patent Office. U.S. Patent 4,405,829.