Monday, January 16, 2012

Government CA

Seiring dengan majunya implementasi e-Government di banyak negara, ada semakin banyak negara yang mulai mempertimbangkan untuk membuat sendiri Government CA untuk keperluan G-G atau G-C. Government CA bisa berupa lembaga pemerintah, atau lembaga non pemerintah.

Pemerintah Indonesia memiliki keinginan juga untuk membuat sebuah Government CA untuk meningkatkan keamanan informasi transaksi elektronik di pemerintahan. Namun, untuk mewujudkan sebuah Government CA yang baik memang tidak mudah. Satu hal yang sangat penting untuk diperhatikan : Kontrol ultra ketat terhadap proses dan tata laksana dalam menerbitkan sertifikat – satu kesalahan kecil dapat menyebabkan kerusakan permanen yang tidak bisa diperbaiki lagi.

Kasus DigiNotar di Belanda

DigiNotar

 

Insiden DigiNotar merupakan CA dari Belanda sangat menarik dipelajari. DigiNotar patuh terhadap semua ketentuan teknis keamanan di atas kertas, dan juga lulus semua proses audit.

Namun praktek tidak semudah teori. Infrastruktur DigiNotar tidak memenuhi beberapa kriteria keamanan. DigiNotar diretas tanggal 10 Juli 2011, seseorang meletakkan sertifikat SSL palsu atas nama .google.com.

Apa yang bisa dilakukan terhadap sertifikat palsu ini ? Salah satunya adalah kita bisa menyamar sebagai Google. Caranya cukup sederhana, dan bisa dilakukan oleh semua ISP, dan semua pengguna ISP tersebut akan terkena imbasnya. Akibatnya semua data rahasia yang tersimpan di dalam Gmail atau Google Docs atau bahkan Google+ semua user ISP ini akan bisa diakses.

Kasus peretasan Diginotar ini menyebabkan lebih dari 300,000 email akun Gmail milik warga negara Iran bocor (karena kebetulan Iran tidak memiliki CA sendiri dan mengandalkan DigiNotar sebagai CA).

Kasus peretasan ini menyebabkan DigiNotar dinyatakan tutup dan bangkrut pada bulan September 2011.

Perancangan Government CA

Perancangan Government CA (atau semua organisasi CA) membutuhkan kerjasama dan pemikiran yang strategis.

Microsoft memiliki program kerjasama Microsoft Root Certificate Program untuk mewujudkan Government CA.

Perancangan Government CA memerlukan 3 hal penting :

  1. Ketentuan teknis
  2. Tata laksana : misalnya proses auditing yang ketat yang benar-benar dilaksanakan setelah pemeriksaan fisik infrastruktur yang sebenarnya (bukan sekedar cek list sederhana). Hal ini juga sangat tergantung kepada ketersediaan dokumen yang lengkap dan akurat
  3. Organisasi/Arsitektur : misalnya arsitektur layanan e- seperti : e-commerce, e-government, dsb. Arsitektur yang baik memungkinkan pemulihan layanan yang cepat jika ada peretasan

Dari kasus DigiNotar, kita mendapatkan pengalaman berharga, di mana ketentuan teknis mudah dipenuhi, namun tata laksana dan arsitektur ternyata sulit dipenuhi di lapangan.

No comments: