DEFINISI

Cryptography adalah suatu ilmu ataupun seni mengamankan pesan, dan dilakukan oleh cryptographer.

Cryptanalysis adalah suatu ilmu dan seni membuka (breaking) ciphertext dan orang yang melakukannya disebut cryptanalyst.

ELEMEN

CRYPTOSYSTEM

Cryptographic system atau cryptosystem adalah suatu fasilitas untuk mengkonversikan plaintext ke ciphertext dan sebaliknya. Dalam sistem ini, seperangkat parameter yang menentukan transformasi pencipheran tertentu disebut suatu set kunci. Proses enkripsi dan dekripsi diatur oleh satu atau beberapa kunci kriptografi.

1. Kriptografi dapat memenuhi kebutuhan umum suatu transaksi:

1. Kerahasiaan (confidentiality) dijamin dengan melakukan enkripsi (penyandian).

2. Keutuhan (integrity) atas data-data pembayaran dilakukan dengan fungsi hash satu arah.

3. Jaminan atas identitas dan keabsahan (authenticity) pihak-pihak yang melakukan transaksi dilakukan dengan menggunakan password atau sertifikat digital. Sedangkan keotentikan data transaksi dapat dilakukan dengan tanda tangan digital.

4. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital.

2. Karakteristik cryptosytem yang baik sebagai berikut :

1. Keamanan sistem terletak pada kerahasiaan kunci dan bukan pada kerahasiaan algoritma yang digunakan.
2. Cryptosystem yang baik memiliki ruang kunci (keyspace) yang besar.
3. Cryptosystem yang baik akan menghasilkan ciphertext yang terlihat acak dalam seluruh tes statistik yang dilakukan terhadapnya.
4. Cryptosystem yang baik mampu menahan seluruh serangan yang telah dikenal sebelumnya

3. MACAM CRYPTOSYSTEM

A. Symmetric Cryptosystem

Dalam symmetric cryptosystem ini, kunci yang digunakan untuk proses enkripsi dan dekripsi pada prinsipnya identik, tetapi satu buah kunci dapat pula diturunkan dari kunci yang lainnya. Kunci-kunci ini harus dirahasiakan. Oleh karena itulah sistem ini sering disebut sebagai secret-key ciphersystem. Jumlah kunci yang dibutuhkan umumnya adalah :

_nC₂ = n . (n-1)
——–
2

dengan n menyatakan banyaknya pengguna.
Contoh dari sistem ini adalah Data Encryption Standard (DES), Blowfish, IDEA.

B. Assymmetric Cryptosystem

Dalam assymmetric cryptosystem ini digunakan dua buah kunci. Satu kunci yang disebut kunci publik (public key) dapat dipublikasikan, sedang kunci yang lain yang disebut kunci privat (private key) harus dirahasiakan. Proses menggunakan sistem ini dapat diterangkan secara sederhana sebagai berikut : bila A ingin mengirimkan pesan kepada B, A dapat menyandikan pesannya dengan menggunakan kunci publik B, dan bila B ingin membaca surat tersebut, ia perlu mendekripsikan surat itu dengan kunci privatnya. Dengan demikian kedua belah pihak dapat menjamin asal surat serta keaslian surat tersebut, karena adanya mekanisme ini. Contoh sistem ini antara lain RSA Scheme dan Merkle-Hellman Scheme.

4. PROTOKOL CRYPTOSYSTEM

Cryptographic protocol adalah suatu protokol yang menggunakan kriptografi. Protokol ini melibatkan sejumlah algoritma kriptografi, namun secara umum tujuan protokol lebih dari sekedar kerahasiaan. Pihak-pihak yang berpartisipasi mungkin saja ingin membagi sebagian rahasianya untuk menghitung sebuah nilai, menghasilkan urutan random, atau pun menandatangani kontrak secara bersamaan.

Penggunaan kriptografi dalam sebuah protokol terutama ditujukan untuk mencegah atau pun mendeteksi adanya eavesdropping dan cheating.

5. JENIS PENYERANGAN PADA PROTOKOL

· Ciphertext-only attack. Dalam penyerangan ini, seorang cryptanalyst memiliki ciphertext dari sejumlah pesan yang seluruhnya telah dienkripsi menggunakan algoritma yang sama.

· Known-plaintext attack. Dalam tipe penyerangan ini, cryptanalyst memiliki akses tidak hanya ke ciphertext sejumlah pesan, namun ia juga memiliki plaintext pesan-pesan tersebut.

· Chosen-plaintext attack. Pada penyerangan ini, cryptanalyst tidak hanya memiliki akses atas ciphertext dan plaintext untuk beberapa pesan, tetapi ia juga dapat memilih plaintext yang dienkripsi.

· Adaptive-chosen-plaintext attack. Penyerangan tipe ini merupakan suatu kasus khusus chosen-plaintext attack. Cryptanalyst tidak hanya dapat memilih plaintext yang dienkripsi, ia pun memiliki kemampuan untuk memodifikasi pilihan berdasarkan hasil enkripsi sebelumnya. Dalam chosen-plaintext attack, cryptanalyst mungkin hanya dapat memiliki plaintext dalam suatu blok besar untuk dienkripsi; dalam adaptive-chosen-plaintext attack ini ia dapat memilih blok plaintext yang lebih kecil dan kemudian memilih yang lain berdasarkan hasil yang pertama, proses ini dapat dilakukannya terus menerus hingga ia dapat memperoleh seluruh informasi.

· Chosen-ciphertext attack. Pada tipe ini, cryptanalyst dapat memilih ciphertext yang berbeda untuk didekripsi dan memiliki akses atas plaintext yang didekripsi.

· Chosen-key attack. Cryptanalyst pada tipe penyerangan ini memiliki pengetahuan tentang hubungan antara kunci-kunci yang berbeda.

· Rubber-hose cryptanalysis. Pada tipe penyerangan ini, cryptanalyst mengancam, memeras, atau bahkan memaksa seseorang hingga mereka memberikan kuncinya.

6. JENIS PENYERANGAN PADA JALUR KOMUNIKASI

· Sniffing: secara harafiah berarti mengendus, tentunya dalam hal ini yang diendus adalah pesan (baik yang belum ataupun sudah dienkripsi) dalam suatu saluran komunikasi. Hal ini umum terjadi pada saluran publik yang tidak aman. Sang pengendus dapat merekam pembicaraan yang terjadi.

· Replay attack [DHMM 96]: Jika seseorang bisa merekam pesan-pesan handshake (persiapan komunikasi), ia mungkin dapat mengulang pesan-pesan yang telah direkamnya untuk menipu salah satu pihak.

· Spoofing [DHMM 96]: Penyerang – misalnya Maman – bisa menyamar menjadi Anto. Semua orang dibuat percaya bahwa Maman adalah Anto. Penyerang berusaha meyakinkan pihak-pihak lain bahwa tak ada salah dengan komunikasi yang dilakukan, padahal komunikasi itu dilakukan dengan sang penipu/penyerang. Contohnya jika orang memasukkan PIN ke dalam mesin ATM palsu – yang benar-benar dibuat seperti ATM asli – tentu sang penipu bisa mendapatkan PIN-nya dan copy pita magentik kartu ATM milik sang nasabah. Pihak bank tidak tahu bahwa telah terjadi kejahatan.

· Man-in-the-middle [Schn 96]: Jika spoofing terkadang hanya menipu satu pihak, maka dalam skenario ini, saat Anto hendak berkomunikasi dengan Badu, Maman di mata Anto seolah-olah adalah Badu, dan Maman dapat pula menipu Badu sehingga Maman seolah-olah adalah Anto. Maman dapat berkuasa penuh atas jalur komunikas ini, dan bisa membuat berita fitnah.

METODE CRYPTOGRAFI

1. METODE KUNO

a. 475 S.M. bangsa Sparta, suatu bangsa militer pada jaman Yunani kuno, menggunakan teknik kriptografi yang disebut scytale, untuk kepentingan perang. Scytale terbuat dari tongkat dengan papyrus yang mengelilinginya secara spiral.

Kunci dari scytale adalah diameter tongkat yang digunakan oleh pengirim harus sama dengan diameter tongkat yang dimiliki oleh penerima pesan, sehingga pesan yang disembunyikan dalam papyrus dapat dibaca dan dimengerti oleh penerima.

b. Julius Caesar, seorang kaisar terkenal Romawi yang menaklukkan banyak bangsa di Eropa dan Timur Tengah juga menggunakan suatu teknik kriptografi yang sekarang disebut Caesar cipher untuk berkorespondensi sekitar tahun 60 S.M. Teknik yang digunakan oleh Sang Caesar adalah mensubstitusikan alfabet secara beraturan, yaitu oleh alfabet ketiga yang mengikutinya, misalnya, alfabet ‘’A” digantikan oleh “D”, “B” oleh “E”, dan seterusnya. Sebagai contoh, suatu pesan berikut :

Gambar 2. Caesar Cipher

Dengan aturan yang dibuat oleh Julius Caesar tersebut, pesan sebenarnya adalah “Penjarakan panglima divisi ke tujuh segera”.

2. TEKNIK DASAR KRIPTOGRAFI

a. Substitusi

Salah satu contoh teknik ini adalah Caesar cipher yang telah dicontohkan diatas. Langkah pertama adalah membuat suatu tabel substitusi. Tabel substitusi dapat dibuat sesuka hati, dengan catatan bahwa penerima pesan memiliki tabel yang sama untuk keperluan dekripsi. Bila tabel substitusi dibuat secara acak, akan semakin sulit pemecahan ciphertext oleh orang yang tidak berhak.

A-B-C-D-E-F-G-H-I-J-K-L-M-N-O-P-Q-R-S-T-U-V-W-X-Y-Z-1-2-3-4-5-6-7-8-9-0-.-,

B-F-1-K-Q-G-A-T-P-J-6-H-Y-D-2-X-5-M-V-7-C-8-4-I-9-N-R-E-U-3-L-S-W-,-.-O-Z-0

Gambar 3. Tabel Substitusi

Tabel substitusi diatas dibuat secara acak. Dengan menggunakan tabel tersebut, dari plaintext “5 teknik dasar kriptografi” dihasilkan ciphertext “L 7Q6DP6 KBVBM 6MPX72AMBGP”. Dengan menggunakan tabel substitusi yang sama secara dengan arah yang terbalik (reverse), plaintext dapat diperoleh kembali dari ciphertext-nya.

b. Blocking

Sistem enkripsi terkadang membagi plaintext menjadi blok-blok yang terdiri dari beberapa karakter yang kemudian dienkripsikan secara independen. Plaintext yang dienkripsikan dengan menggunakan teknik blocking adalah :

Gambar 4. Enkripsi dengan Blocking

Dengan menggunakan enkripsi blocking dipilih jumlah lajur dan kolom untuk penulisan pesan. Jumlah lajur atau kolom menjadi kunci bagi kriptografi dengan teknik ini. Plaintext dituliskan secara vertikal ke bawah berurutan pada lajur, dan dilanjutkan pada kolom berikutnya sampai seluruhnya tertulis. Ciphertext-nya adalah hasil pembacaan plaintext secara horizontal berurutan sesuai dengan blok-nya. Jadi ciphertext yang dihasilkan dengan teknik ini adalah “5K G KRTDRAEAIFKSPINAT IRO”. Plaintext dapat pula ditulis secara horizontal dan ciphertextnya adalah hasil pembacaan secara vertikal.

c. Permutasi

Salah satu teknik enkripsi yang terpenting adalah permutasi atau sering juga disebut transposisi. Teknik ini memindahkan atau merotasikan karakter dengan aturan tertentu. Prinsipnya adalah berlawanan dengan teknik substitusi. Dalam teknik substitusi, karakter berada pada posisi yang tetap tapi identitasnya yang diacak. Pada teknik permutasi, identitas karakternya tetap, namun posisinya yang diacak. Sebelum dilakukan permutasi, umumnya plaintext terlebih dahulu dibagi menjadi blok-blok dengan panjang yang sama.

Untuk contoh diatas, plaintext akan dibagi menjadi blok-blok yang terdiri dari 6 karakter, dengan aturan permutasi sebagai berikut :

Gambar 5. Permutasi

Dengan menggunakan aturan diatas, maka proses enkripsi dengan permutasi dari plaintext adalah sebagai berikut :

Gambar 6. Proses Enkripsi dengan Permutasi

Ciphertext yang dihasilkan dengan teknik permutasi ini adalah “N ETK5 SKD AIIRK RAATGORP FI”.

d. Ekspansi

Suatu metode sederhana untuk mengacak pesan adalah dengan memelarkan pesan itu dengan aturan tertentu. Salah satu contoh penggunaan teknik ini adalah dengan meletakkan huruf konsonan atau bilangan ganjil yang menjadi awal dari suatu kata di akhir kata itu dan menambahkan akhiran “an”. Bila suatu kata dimulai dengan huruf vokal atau bilangan genap, ditambahkan akhiran “i”. Proses enkripsi dengan cara ekspansi terhadap plaintext terjadi sebagai berikut :

Gambar 7. Enkripsi dengan Ekspansi

Ciphertextnya adalah “5AN EKNIKTAN ASARDAN RIPTOGRAFIKAN”. Aturan ekspansi dapat dibuat lebih kompleks. Terkadang teknik ekspansi digabungkan dengan teknik lainnya, karena teknik ini bila berdiri sendiri terlalu mudah untuk dipecahkan.

e. Pemampatan (Compaction)

Mengurangi panjang pesan atau jumlah bloknya adalah cara lain untuk menyembunyikan isi pesan. Contoh sederhana ini menggunakan cara menghilangkan setiap karakter ke-tiga secara berurutan. Karakter-karakter yang dihilangkan disatukan kembali dan disusulkan sebagai “lampiran” dari pesan utama, dengan diawali oleh suatu karakter khusus, dalam contoh ini digunakan “&”. Proses yang terjadi untuk plaintext kita adalah :

Gambar 8. Enkripsi dengan Pemampatan

Aturan penghilangan karakter dan karakter khusus yang berfungsi sebagai pemisah menjadi dasar untuk proses dekripsi ciphertext menjadi plaintext kembali.

Dengan menggunakan kelima teknik dasar kriptografi diatas, dapat diciptakan kombinasi teknik kriptografi yang amat banyak, dengan faktor yang membatasi semata-mata hanyalah kreativitas dan imajinasi kita. Walaupun sekilas terlihat sederhana, kombinasi teknik dasar kriptografi dapat menghasilkan teknik kriptografi turunan yang cukup kompleks, dan beberapa teknik dasar kriptografi masih digunakan dalam teknik kriptografi modern.

BERBAGAI SOLUSI ENKRIPSI MODERN

1. Data Encryption Standard (DES)

Pejelasan :

DES adalah salah satu metode penyandian dengan sistem block cipher. Yaitu sistem penyandian yang pengacakannya dilakukan secara blok demi blok dengan blok input (teks asli) 64 bit dan menghasilkan output (teks sandi) yang juga per blok 64 bit, algoritma yang digunakan adalah kunci simetris dengan panjang kunci 56 bit.

Saat ini panjang kunci 56 bit dianggap terlalu kecil karena dengan cepat dapat dipecahkan dengan metode analisis brute force attacks. Sehingga sebagai solusinya perlu dibuat algoritma sandi DES dengan kunci yang lebih panjang.

Ciri – ciri :

· standar bagi USA Government

· didukung ANSI dan IETF

· popular untuk metode secret key

· terdiri dari : 40-bit, 56-bit dan 3×56-bit (Triple DES)

1. Advanced Encryption Standard (AES)

Pejelasan :

AES (Advanced Encryption Standard) adalah lanjutan dari algoritma enkripsi standar DES (Data Encryption Standard) yang masa berlakunya dianggap telah usai karena faktor keamanan. Kecepatan komputer yang sangat pesat dianggap sangat membahayakan DES, sehingga pada tanggal 2 Maret tahun 2001 ditetapkanlah algoritma baru Rijndael sebagai AES.

Kriteria pemilihan AES didasarkan pada 3 kriteria utama yaitu : keamanan, harga, dan karakteristik algoritma beserta implementasinya. Keamanan merupakan faktor terpenting dalam evaluasi (minimal seamana triple DES), yang meliputi ketahanan terhadap semua analisis sandi yang telah diketahui dan diharapkan dapat menghadapi analisis sandi yang belum diketahui. Di samping itu, AES juga harus dapat digunakan secara bebas tanpa harus membayar royalti, dan juga murah untuk diimplementasikan pada smart card yang memiliki ukuran memori kecil. AES juga harus efisien dan cepat (minimal secepat Triple DES) dijalankan dalam berbagai mesin 8 bit hingga 64 bit, dan berbagai perangkat lunak.

Ciri – ciri :

· untuk menggantikan DES (launching akhir 2001)

· menggunakan variable length block chipper

· key length : 128-bit, 192-bit, 256-bit

· dapat diterapkan untuk smart card.

1. Digital Certificate Server (DCS)

Sebuah file yang diengkripsi, berisi informasi informasi tentang user dan identitas organisasi, digunakan untuk pengecekan identitas; disebut juga dengan authentication certificate. Jika dimaksudkan untuk user, maka sertifikat digital tersebut disebut dengan client certificate. Jika digunakan untuk administrator dari suatu server, disebut dengan server certificate.

Ciri – ciri :

· verifikasi untuk digital signature

· autentikasi user

· menggunakan public dan private key

· contoh : Netscape Certificate Server

1. IP Security (IPSec)

PSec (singkatan dari IP Security) adalah sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis TCP/IP. IPSec mendefiniskan beberapa standar untuk melakukan enkripsi data dan juga integritas data pada lapisan kedua dalam DARPA Reference Model (internetwork layer). IPSec melakukan enkripsi terhadap data pada lapisan yang sama dengan protokol IP dan menggunakan teknik tunneling untuk mengirimkan informasi melalui jaringan Internet atau dalam jaringan Intranet secara aman. IPSec didefinisikan oleh badan Internet Engineering Task Force (IETF) dan diimplementasikan di dalam banyak sistem operasi. Windows 2000 adalah sistem operasi pertama dari Microsoft yang mendukung IPSec.

IPSec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan. IPSec umumnya diletakkan sebagai sebuah lapsian tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara pengirim dan penerima. Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.

Dalam sistem operasi Windows 2000, Windows XP, dan Windows Server 2003, kebijakan keamanan tersebut dibuat dan ditetapkan pada level domain Active Directory atau pada host individual dengan menggunakan snap-in IPSec Management dalam Microsoft Management Console (MMC). Kebijakan IPSec tersebut, berisi beberapa peraturan yang menentukan kebutuhan keamanan untuk beberapa bentuk komunikasi. Peraturan-peraturan tersebut digunakan ntuk memulai dan mengontrol komunikasi yang aman berdasarkan sifat lalu lintas IP, sumber lalu lintas tersebut dan tujuannya. Peraturan-peraturan tersebut dapat menentukan metode-metode autentikasi dan negosiasi, atribut proses tunneling, dan jenis koneksi.

Untuk membuat sebuah sesi komunikasi yang aman antara dua komputer dengan menggunakan IPSec, maka dibutuhkan sebuah framework protokol yang disebut dengan ISAKMP/Oakley. Framework tersebut mencakup beberapa algoritma kriptografi yang telah ditentukan sebelumnya, dan juga dapat diperluas dengan menambahkan beberapa sistem kriptografi tambahan yang dibuat oleh pihak ketiga. Selama proses negosiasi dilakukan, persetujuan akan tercapai dengan metode autentikasi dan kemanan yang akan digunakan, dan protokol pun akan membuat sebuah kunci yang dapat digunakan bersama (shared key) yang nantinya digunakan sebagi kunci enkripsi data. IPSec mendukung dua buah sesi komunikasi keamanan, yakni sebagai berikut:

protokol Authentication Header (AH): menawarkan autentikasi pengguna dan perlindungan dari beberapa serangan (umumnya serangan man in the middle), dan juga menyediakan fungsi autentikasi terhadap data serta integritas terhadap data. Protokol ini mengizinkan penerima untuk merasa yakin bahwa identitas si pengirim adalah benar adanya, dan data pun tidak dimodifikasi selama transmisi. Namun demikian, protokol AH tidak menawarkan fungsi enkripsi terhadap data yang ditransmisikannya. Informasi AH dimasukkan ke dalam header paket IP yang dikirimkan dan dapat digunakan secara sendirian atau bersamaan dengan protokol Encapsulating Security Payload.

protokol Encapsulating Security Payload (ESP): Protokol ini melakukan enkapsulasi serta enkripsi terhadap data pengguna untuk meningkatkan kerahasiaan data. ESP juga dapat memiliki skema autentikasi dan perlindungan dari beberapa serangan dan dapat digunakan secara sendirian atau bersamaan dengan Authentication Header. Sama seperti halnya AH, informasi mengenai ESP juga dimasukkan ke dalam header paket IP yang dikirimkan.

Beberapa perangkat keras serta perangkat lunak dapat dikonfigurasikan untuk mendukung IPSec, yang dapat dilakukan dengan menggunakan enkripsi kunci publik yang disediakan oleh Certificate Authority (dalam sebuah public key infrastructure) atau kunci yang digunakan bersama yang telah ditentukan sebelumnya (skema Pre-Shared Key/PSK) untuk melakukan enkripsi secara privat.

Ciri – ciri :

· enkripsi public/private key

· dirancang oleh CISCO System

· menggunakan DES 40-bit dan authentication

· built-in pada produk CISCO

· solusi tepat untuk Virtual Private Network (VPN) dan Remote Network Access

1. Kerberos

a. Sejarah dan perkembangan

Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah metode untuk melakukan autentikasi terhadap pengguna dalam sebuah jaringan yang besar dan terdistribusi. Kerberos menggunakan enkripsi kunci rahasia/kunci simetris dengan algoritma kunci yang kuat sehingga klien dapat membuktikan identitas mereka kepada server dan juga menjamin privasi dan integritas komunikasi mereka dengan server. Protokol ini dinamai Kerberos, karena memang Kerberos (atau Cerberus) merupakan seekor anjing berkepala tiga (protokol Kerberos memiliki tiga subprotokol) dalam mitologi Yunani yang menjadi penjaga Tartarus, gerbang menuju Hades (atau Pluto dalam mitologi Romawi).

b. Operasi

Protokol Kerberos memiliki tiga subprotokol agar dapat melakukan aksinya:

Authentication Service (AS) Exchange: yang digunakan oleh Key Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada klien dan membuat kunci sesi logon.

Ticket-Granting Service (TGS) Exchange: yang digunakan oleh KDC untuk mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya.

Client/Server (CS) Exchange: yang digunakan oleh klien untuk mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.

Sesi autentikasi Kerberos yang dilakukan antara klien dan server adalah sebagai berikut:

Cara kerja protokol Kerberos

Informasi pribadi pengguna dimasukkan ke dalam komputer klien Kerberos, yang kemudian akan mengirimkan sebuah request terhadap KDC untuk mengakses TGS dengan menggunakan protokol AS Exchange. Dalam request tersebut terdapat bukti identitas pengguna dalam bentuk terenkripsi.

KDC kemudian menerima request dari klien Kerberos, lalu mencari kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna dalam layanan direktori Active Directory (dalam Windows 2000/Windows Server 2003) untuk selanjutnya melakukan dekripsi terhadap informasi identitas yang terdapat dalam request yang dikirimkan. Jika identitas pengguna berhasil diverifikasi, KDC akan meresponsnya dengan memberikan TGT dan sebuah kunci sesi dengan menggunakan protokol AS Exchange.

Klien selanjutnya mengirimkan request TGS kepada KDC yang mengandung TGT yang sebelumnya diterima dari KDC dan meminta akses tehradap beberapa layanan dalam server dengan menggunakan protokol TGS Exchange.

KDC selanjutnya menerima request, malakukan autentikasi terhadap pengguna, dan meresponsnya dengan memberikan sebuah tiket dan kunci sesi kepada pengguna untuk mengakses server target dengan menggunakan protokol TGS Exchange.

Klien selanjutnya mengirimkan request terhadap server target yang mengandung tiket yang didapatkan sebelumnya dengan menggunakan protokol CS Exchange. Server target kemudian melakukan autentikasi terhadap tiket yang bersangkutan, membalasnya dengan sebuah kunci sesi, dan klien pun akhirnya dapat mengakses layanan yang tersedia dalam server.

Meski terlihat rumit, pekerjaan ini dilakukan di balik layar, sehingga tidak terlihat oleh pengguna.

Ciri – ciri :

· solusi untuk user authentication

· dapat menangani multiple platform/system

· free charge (open source)

· IBM menyediakan versi komersial : Global Sign On (GSO)

1. Point to point Tunneling Protocol(PPTP), Layer Two Tunneling Protocol (L2TP)

1. Point to point Tunneling Protocol(PPTP)

Point-to-Point Tunneling Protocol (PPTP) adalah sebuah protokol yang mengizinkan hubungan Point-toPoint Protocol (PPP) melewati jaringan IP, dengan membuat Virtual Private Network (VPN). Microsoft mengimplementasikan protokol dan algoritmanya untuk mendukung PPTP. Implementasi dari PPTP ini disebut Microsoft PPTP, yang digunakan untuk mendukung perluasan dalam mengkomersilkan produk VPN khususnya yang telah terdapat pada Microsoft Windows 95, 98 dan NT.

Protokol autentifikasi didalam Microsoft PPTP adalah Microsoft Challenge/ Reply Handshake Protocol (MS-CHAP); protokol enkripsinya adalah Microsoft Point to Point Encryption (MPPE). Setelah Microsoft PPTP dianalisis kriptografi dan terdapat beberapa kelemahan signifikan yang dipublikasikan secara luas, Microsoft mengupgrade protokol mereka dengan versi yang baru yang disebut MS-CHAP versi 2; menggantikan versi sebelumnya MS-CHAP versi 1. MS-CHAPv2 bisa digunakan dengan mengupgrade versi yang terdapat pada windows 95, windows 98, dan windows NT. Walaupun versi sebelumnya bisa diupgrade menggunakan versi yang baru namun masih banyak implementasi PPTP menggunakan MS-CHAPv1.

Dalam paper ini akan dibahas perubahan autentifikasi dan turunan kunci enkripsi yang terdapat pada MS-CHAPv2, dan juga membahas tentang peningkatannya dan mencari kelemahannya pada implementasi Microsoft PPTP.

2 Layer Two Tunneling Protocol (L2TP)

L2TP adalah suatu standard IETF (RFC 2661) pada layer 2 yang merupakan kombinasi dari keunggulan-keunggulan fitur dari protokol L2F (dikembangkan oleh Cisco) dan PPTP (dikembangkan oleh Microsoft), yang didukung oleh vendor-vendor : Ascend, Cisco, IBM, Microsoft dan 3Com. Untuk mendapatkan tingkat keamanan yang lebih baik , L2TP dapat dikombinasikan dengan protocol tunneling IPSec pada layer 3.

Ciri – ciri :

· dirancang oleh Microsoft

· autentication berdasarkan PPP(Point to point protocol)

· enkripsi berdasarkan algoritm Microsoft (tidak terbuka)

· terintegrasi dengan NOS Microsoft (NT, 2000, XP)

1. Remote Authentication Dial-In User Service (RADIUS)

Remote Authentication Dial-In User Service (sering disingkat menjadi RADIUS) adalah sebuah protokol keamanan komputer yang digunakan untuk melakukan autentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses jaringan. RADIUS didefinisikan di dalam RFC 2865 dan RFC 2866, yang pada awalnya digunakan untuk melakukan autentikasi terhadap akses jaringan secara jarak jauh dengan menggunakan koneksi dial-up. RADIUS, kini telah diimplementasikan untuk melakukan autentikasi terhadap akses jaringan secara jarak jauh dengan menggunakan koneksi selain dial-up, seperti halnya Virtual Private Networking (VPN), access point nirkabel, switch Ethernet, dan perangkat lainnya.

Radius banyak dipakai oleh Provider dan ISP internet untuk authentikasi dan billingnya. Radius juga bisa dipakai oleh jaringan RT/RW-Net untuk authentikasi para penggunanya dan untuk mengamankan jaringan RT/RW-Net yang ada. Di indonesia sudah ada service radius, namun berbayar seperti indohotspot.net . Ada juga service yang tidak berbayar, dan dikelola oleh luar negeri seperti chillidog.org Selain lebih menghemat budget, dan juga menghemat biaya maintenance, sistem Radius yang di host di internet merupakan salah satu solusi murah untuk para penggagas sistem HotSpot.

Ciri – ciri :

· multiple remote access device menggunakan 1 database untuk authentication

· didukung oleh 3com, CISCO, Ascend

· tidak menggunakan encryption

1. RSA Encryption

Sejarah RSA

Algortima RSA dijabarkan pada tahun 1977 oleh tiga orang : Ron Rivest, Adi Shamir dan Len Adleman dari Massachusetts Institute of Technology. Huruf RSA itu sendiri berasal dari inisial nama mereka (Rivest—Shamir—Adleman).

Clifford Cocks, seorang matematikawan Inggris yang bekerja untuk GCHQ, menjabarkan tentang sistem equivalen pada dokumen internal di tahun 1973. Penemuan Clifford Cocks tidak terungkap hingga tahun 1997 karena alasan top-secret classification.

Algoritma tersebut dipatenkan oleh Massachusetts Institute of Technology pada tahun 1983 di Amerika Serikat sebagai U.S. Patent 4405829. Paten tersebut berlaku hingga 21 September 2000. Semenjak Algoritma RSA dipublikasikan sebagai aplikasi paten, regulasi di sebagian besar negara-negara lain tidak memungkinkan penggunaan paten. Hal ini menyebabkan hasil temuan Clifford Cocks di kenal secara umum, paten di Amerika Serikat tidak dapat mematenkannya.

Operasional

Pembangkitan Kunci

Semisal Alice berkeinginan untuk mengizinkan Bob untuk mengirimkan kepadanya sebuah pesan pribadi (private message) melalui media transmisi yang tidak aman (insecure). Alice melakukan langkah-langkah berikut untuk membuat pasangan kunci public key dan private key:

Pilih dua bilangan prima p ≠ q secara acak dan terpisah untuk tiap-tiap p dan q. Hitung N = p q. N hasil perkalian dari p dikalikan dengan q.

Hitung φ = (p-1)(q-1).

Pilih bilangan bulat (integer) antara satu dan φ (1 < e < φ) yang juga merupakan coprime dari φ.

Hitung d hingga d e ≡ 1 (mod φ).

bilangan prima dapat diuji probabilitasnya menggunakan Fermat’s little theorem- a^(n-1) mod n = 1 jika n adalah bilangan prima, diuji dengan beberapa nilai a menghasilkan kemungkinan yang tinggi bahwa n ialah bilangan prima. Carmichael numbers (angka-angka Carmichael) dapat melalui pengujian dari seluruh a, tetapi hal ini sangatlah langka.

langkah 3 dan 4 dapat dihasilkan dengan algoritma extended Euclidean; lihat juga aritmetika modular.

langkah 4 dapat dihasilkan dengan menemukan integer x sehingga d = (x(p-1)(q-1) + 1)/e menghasilkan bilangan bulat, kemudian menggunakan nilai dari d (mod (p-1)(q-1));

langkah 2 PKCS#1 v2.1 menggunakan &lamda; = lcm(p-1, q-1) selain daripada φ = (p-1)(q-1)).

Pada public key terdiri atas:

N, modulus yang digunakan.

e, eksponen publik (sering juga disebut eksponen enkripsi).

Pada private key terdiri atas:

N, modulus yang digunakan, digunakan pula pada public key.

d, eksponen pribadi (sering juga disebut eksponen dekripsi), yang harus dijaga kerahasiaannya.

Biasanya, berbeda dari bentuk private key (termasuk parameter CRT):

p dan q, bilangan prima dari pembangkitan kunci.

d mod (p-1) dan d mod (q-1) (dikenal sebagai dmp1 dan dmq1).

(1/q) mod p (dikenal sebagai iqmp).

Bentuk ini membuat proses dekripsi lebih cepat dan signing menggunakan Chinese Remainder Theorem (CRT). Dalam bentuk ini, seluruh bagian dari private key harus dijaga kerahasiaannya.

Alice mengirimkan public key kepada Bob, dan tetap merahasiakan private key yang digunakan. p dan q sangat sensitif dikarenakan merupakan faktorial dari N, dan membuat perhitungan dari d menghasilkan e. Jika p dan q tidak disimpan dalam bentuk CRT dari private key, maka p dan q telah terhapus bersama nilai-nilai lain dari proses pembangkitan kunci.

Proses enkripsi pesan

Misalkan Bob ingin mengirim pesan m ke Alice. Bob mengubah m menjadi angka n < N, menggunakan protokol yang sebelumnya telah disepakati dan dikenal sebagai padding scheme.

Maka Bob memiliki n dan mengetahui N dan e, yang telah diumumkan oleh Alice. Bob kemudian menghitung ciphertext c yang terkait pada n:

Perhitungan tersebut dapat diselesaikan dengan cepat menggunakan metode exponentiation by squaring. Bob kemudian mengirimkan c kepada Alice.

Proses dekripsi pesan

Alice menerima c dari Bob, dan mengetahui private key yang digunakan oleh Alice sendiri. Alice kemudian memulihkan n dari c dengan langkah-langkah berikut:

Perhitungan diatas akan menghasilkan n, dengan begitu Alice dapat mengembalikan pesan semula m. Prosedur dekripsi bekerja karena

.

Kemudian, dikarenakan ed ≡ 1 (mod p-1) dan ed ≡ 1 (mod q-1), hasil dari Fermat’s little theorem.

dan

Dikarenakan p dan q merupakan bilangan prima yang berbeda, mengaplikasikan Chinese remainder theorem akan menghasilkan dua macam kongruen

.

serta

.

Contoh proses

Berikut ini merupakan contoh dari enkripsi RSA dan dekripsinya. Parameter yang digunakan disini berupa bilangan kecil.

Kita membuat

Public key yang digunakan adalah (e,N). Private key yang digunakan adalah d. Fungsi pada enkripsi ialah:

encrypt(n) = ne mod N = n17 mod 3233

dimana n adalah plaintext Fungsi dekripsi ialah:

decrypt(c) = cd mod N = c2753 mod 3233

dimana c adalah ciphertext

Untuk melakukan enkripsi plaintext bernilai “123″, perhitungan yang dilakukan

encrypt(123) = 12317 mod 3233 = 855

Untuk melakukan dekripsi ciphertext bernilai “855″ perhitungan yang dilakukan

decrypt(855) = 8552753 mod 3233 = 123

Kedua perhitungan diatas diselesaikan secara effisien menggunakan square-and-multiply algorithm pada modular exponentiation.

Padding schemes

Padding Scheme harus dibangun secara hati-hati sehingga tidak ada nilai dari m yang menyebabkan masalah keamanan. Sebagai contoh, jika kita ambil contoh sederhana dari penampilan ASCII dari m dan menggabungkan bit-bit secara bersama-sama akan menghasilkan n, kemudian pessan yang berisi ASCII tunggal karakter NUL (nilai numeris 0) akan menghasilkan n= 0, yang akan menghasilkan ciphertext 0 apapun itu nilai dari e dan N yang digunakan. Sama halnya dengan karakter ASCII tunggal SOH (nilai numeris 1) akan selalu menghasilkan chiphertext 1. Pada kenyataannya, untuk sistem yang menggunakan nilai e yang kecil, seperti 3, seluruh karakter tunggal ASCII pada pesan akan disandikan menggunakan skema yang tidak aman, dikarenakan nilai terbesar n adalah nilai 255, dan 2553 menghasilkan nilai yang lebih kecil dari modulus yang sewajarnya, maka proses dekripsi akan menjadi masalah sederhana untuk mengambil pola dasar dari ciphertext tanpa perlu menggunakan modulus N. Sebagai konsekuensinya, standar seperti PKCS didesain dengan sangat hati-hati sehingga membuat pesan asal-asalan dapat terenkripsi secara aman. Dan juga berdasar pada bagian Kecepatan, akan dijelaskan kenapa m hampir bukanlah pesan itu sendiri tetapi lebih pada message key yang dipilh secara acak.

Pengesahan pesan

RSA dapat juga digunakan untuk mengesahkan sebuah pesan. Misalkan Alice ingin mengirim pesan kepada Bob. Alice membuat sebuah hash value dari pesan tersebut, di pangkatkan dengan bilangan d dibagi N (seperti halnya pada deskripsi pesan), dan melampirkannya sebagai “tanda tangan” pada pesan tersebut. Saat Bob menerima pesan yang telah “ditandatangani”, Bob memangkatkan “tanda tangan” tersebut dengan bilangan e dibagi N (seperti halnya pada enkripsi pesan), dan membandingkannya dengan nilai hasil dari hash value dengan hash value pada pesan tersebut. Jika kedua cocok, maka Bob dapat mengetahui bahwa pemilik dari pesan tersebut adalah Alice, dan pesan pun tidak pernah diubah sepanjang pengiriman.

Harap dicatat bahwa padding scheme merupakan hal yang esensial untuk mengamankan pengesahan pesan seperti halnya pada enkripsi pesan, oleh karena itu kunci yang sama tidak digunakan pada proses enkripsi dan pengesahan.

Keamanan

Penyerangan yang paling umum pada RSA ialah pada penanganan masalah faktorisasi pada bilangan yang sangat besar. Apabila terdapat faktorisasi metode yang baru dan cepat telah dikembangkan, maka ada kemungkinan untuk membongkar RSA.

Pada tahun 2005, bilangan faktorisasi terbesar yang digunakan secara umum ialah sepanjang 663 bit, menggunakan metode distribusi mutakhir. Kunci RSA pada umumnya sepanjang 1024—2048 bit. Beberapa pakar meyakini bahwa kunci 1024-bit ada kemungkinan dipecahkan pada waktu dekat (hal ini masih dalam perdebatan), tetapi tidak ada seorangpun yang berpendapat kunci 2048-bit akan pecah pada masa depan yang terprediksi.

Semisal Eve, seorang eavesdropper (pencuri dengar—penguping), mendapatkan public key N dan e, dan ciphertext c. Bagimanapun juga, Eve tidak mampu untuk secara langsung memperoleh d yang dijaga kerahasiannya oleh Alice. Masalah untuk menemukan n seperti pada ne=c mod N di kenal sebagai permasalahan RSA.

Cara paling efektif yang ditempuh oleh Eve untuk memperoleh n dari c ialah dengan melakukan faktorisasi N kedalam p dan q, dengan tujuan untuk menghitung (p-1)(q-1) yang dapat menghasilkan d dari e. Tidak ada metode waktu polinomial untuk melakukan faktorisasi pada bilangan bulat berukuran besar di komputer saat ini, tapi hal tersebut pun masih belum terbukti.

Masih belum ada bukti pula bahwa melakukan faktorisasi N adalah satu-satunya cara untuk memperoleh n dari c, tetapi tidak ditemukan adanya metode yang lebih mudah (setidaknya dari sepengatahuan publik).

Bagaimanapun juga, secara umum dianggap bahwa Eve telah kalah jika N berukuran sangat besar.

Jika N sepanjang 256-bit atau lebih pendek, N akan dapat difaktorisasi dalam beberapa jam pada Personal Computer, dengan menggunakan perangkat lunak yang tersedia secara bebas. Jika N sepanjang 512-bit atau lebih pendek, N akan dapat difaktorisasi dalam hitungan ratusan jam seperti pada tahun 1999. Secara teori, perangkat keras bernama TWIRL dan penjelasan dari Shamir dan Tromer pada tahun 2003 mengundang berbagai pertanyaan akan keamanan dari kunci 1024-bit. Santa disarankan bahwa N setidaknya sepanjang 2048-bit.

Pada thaun 1993, Peter Shor menerbitkan Algoritma Shor, menunjukkan bahwa sebuah komputer quantum secara prinsip dapat melakukan faktorisasi dalam waktu polinomial, mengurai RSA dan algoritma lainnya. Bagaimanapun juga, masih terdapat pedebatan dalam pembangunan komputer quantum secara prinsip.

Pertimbangan praktis

Pembangkitan kunci

Menemukan bilangan prima besar p dan q pada biasanya didapat dengan mencoba serangkaian bilangan acak dengan ukuran yang tepat menggunakan probabilitas bilangan prima yang dapat dengan cepat menghapus hampir semua bilangan bukan prima.

p dan q seharusnya tidak “saling-berdekatan”, agar faktorisasi fermat pada N berhasil. Selain itu pula, jika p-1 atau q-1 memeiliki faktorisasi bilangan prima yang kecil, N dapat difaktorkan secara mudah dan nilai-nilai dari p atau q dapat diacuhkan.

Seseorang seharusnya tidak melakukan metoda pencarian bilangan prima yang hanya akan memberikan informasi penting tentang bilangan prima tersebut kepada penyerang. Biasanya, pembangkit bilangan acak yang baik akan memulai nilai bilangan yang digunakan. Harap diingat, bahwa kebutuhan disini ialah “acak” dan “tidak-terduga”. Berikut ini mungkin tidak memenuhi kriteria, sebuah bilangan mungkin dapat dipilah dari proses acak (misal, tidak dari pola apapun), tetapi jika bilangan itu mudah untuk ditebak atau diduga (atau mirip dengan bilangan yang mudah ditebak), maka metode tersebut akan kehilangan kemampuan keamanannya. Misalnya, tabel bilangan acak yang diterbitkan oleh Rand Corp pada tahun 1950-an mungkin memang benar-benar teracak, tetapi dikarenakan diterbitkan secara umum, hal ini akan mempermudah para penyerang dalam mendapatkan bilangan tersebut. Jika penyerang dapat menebak separuh dari digit p atau q, para penyerang dapat dengan cepat menghitung separuh yang lainnya (ditunjukkan oleh Donald Coppersmith pada tahun 1997).

Sangatlah penting bahwa kunci rahasia d bernilai cukup besar, Wiener menunjukkan pada tahun 1990 bahwa jika p diantara q dan 2q (yang sangat mirip) dan d lebih kecil daripada N1/4/3, maka d akan dapat dihitung secara effisien dari N dan e. Kunci enkripsi e = 2 sebaiknya tidak digunakan.

Kecepatan

RSA memiliki kecepatan yang lebih lambat dibandingkan dengan DES dan algoritma simetrik lainnya. Pada prakteknya, Bob menyandikan pesan rahasia menggunakan algoritma simetrik, menyandikan kunci simetrik menggunakan RSA, dan mengirimkan kunci simetrik yang dienkripsi menggunakan RSA dan juga mengirimkan pesan yang dienkripasi secara simetrik kepada Alice.

Prosedur ini menambah permasalahan akan keamanan. Singkatnya, Sangatlah penting untuk menggunakan pembangkit bilangan acak yang kuat untuk kunci simetrik yang digunakan, karena Eve dapat melakukan bypass terhadap RSA dengan menebak kunci simterik yang digunakan.

Distribusi kunci

Sebagaimana halnya cipher, bagaimana public key RSA didistribusi menjadi hal penting dalam keamanan. Distribusi kunci harus aman dari man-in-the-middle attack (penghadang-ditengah-jalan). Anggap Eve dengan suatu cara mampu memberikan kunci arbitari kepada Bob dan membuat Bob percaya bahwa kunci tersebut milik Alice. Anggap Eve dapan “menghadang” sepenuhnya transmisi antara Alice dan Bob. Eve mengirim Bob public key milik Eve, dimana Bob percaya bahwa public key tersebut milik Alice. Eve dapat menghadap seluruh ciphertext yang dikirim oleh Bob, melakukan dekripsi dengan kunci rahasia milik Eve sendiri, menyimpan salinan dari pesan tersebut, melakukan enkripsi menggunakan public key milik Alice, dan mengirimkan ciphertext yang baru kepada Alice. Secara prinsip, baik Alice atau Bob tidak menyadari kehadiran Eve diantara transmisi mereka. Pengamanan terhadap serangan semacam ini yaitu menggunakan sertifikat digital atau komponen lain dari infrastuktur public key.

Penyerangan waktu

Kocher menjelaskan sebuah serangan baru yang cerdas pada RSA di tahun 1995: jika penyerang, Eve, mengetahui perangkat keras yang dimiliki oleh Alice secara terperinci dan mampu untuk mengukur waktu yang dibutuhkan untuk melakukan dekripsi untuk beberapa ciphertext, Eve dapat menyimpulkan kunci dekripsi d secara cepat. Penyerangan ini dapat juga diaplikasikan pada skema “tanda tangan” RSA. SAlah satu cara untuk mencegah penyerangan ini yaitu dengan memastikan bahwa operasi dekripsi menggunakan waktu yang konstan untuk setiap ciphertext yang diproses. Cara yang lainnya, yaitu dengan menggunakan properti multipikatif dari RSA. Sebagai ganti dari menghitung cd mod N, Alice pertama-tama memilih nilai bilangan acak r dan menghitung (rec)d mod N. Hasil dari penghitungan tersebut ialah rm mod N kemudian efek dari r dapat dihilangkan dengan perkalian dengan inversenya. Nilai baru dari r dipilih pada tiap ciphertext. Dengan teknik ini, dikenal sebagai message blinding (pembutaan pesan), waktu yang diperlukan untuk proses dekripsi tidak lagi berhubungan dengan nilai dari ciphertext sehingga penyerangan waktu akan gagal.

Penyerangan ciphertext adaptive

Pada tahun 1998, Daniel Bleichenbacher menjelaskan penggunaan penyerangan ciphertext adaptive, terhadap pesan yang terenkripsi menggunakan RSA dan menggunakan PKCS #1 v1 padding scheme. Dikarenakan kecacatan pada skema PKCS #1, Bleichenbacher mampu untuk melakukan serangkaian serangan terhadap implementasi RSA pada protokol Secure Socket Layer, dan secara potensial mengungkap kunci-kunci yang digunakan. Sebagai hasilnya, para pengguna kriptografi menganjurkan untuk menggunakan padding scheme yang relatif terbukti aman seperti Optimal Asymmetric Encryption Padding, dan Laboratorium RSA telah merilis versi terbaru dari PKCS #1 yang tidak lemah terdapat serangan ini.

Ciri : ciri :

· dirancang oleh Rivest, Shamir, Adleman tahun 1977

· standar de facto dalam enkripsi public/private key

· didukung oleh Microsoft, apple, novell, sun, lotus

· mendukung proses authentication

· multi platform

1. Secure Hash Algoritm (SHA)

SHA adalah fungsi hash satu-arah yang dibuat oleh NIST dan digunakan bersama DSS (Digital Signature Standard). Oleh NSA, SHA dinyatakan sebagai standard fungsi hash satu-arah.

SHA didasarkan pada MD4 yang dibuat oleh Ronald L. Rivest dari MIT. Algoritma SHA menerima masukan berupa pesan dengan ukuran maksimum 264 bit (2.147.483.648 gigabyte) dan menghasilkan message digest yang panjangnya 160 bit, lebih panjang dari message digest yang dihasilkan oleh MD5.

Ciri – ciri :

· dirancang oleh National Institute of Standard and Technology (NIST) USA.

· bagian dari standar DSS(Decision Support System) USA dan bekerja sama dengan DES untuk digital signature.

· SHA-1 menyediakan 160-bit message digest

· Versi : SHA-256, SHA-384, SHA-512 (terintegrasi dengan AES)

1. MD5

Dalam kriptografi, MD5 (Message-Digest algortihm 5) ialah fungsi hash kriptografik yang digunakan secara luas dengan hash value 128-bit. Pada standart Internet (RFC 1321), MD5 telah dimanfaatkan secara bermacam-macam pada aplikasi keamanan, dan MD5 juga umum digunakan untuk melakukan pengujian integritas sebuah file.

MD5 di desain oleh Ronald Rivest pada tahun 1991 untuk menggantikan hash function sebelumnya, MD4. Pada tahun 1996, sebuah kecacatan ditemukan dalam desainnya, walau bukan kelemahan fatal, pengguna kriptografi mulai menganjurkan menggunakan algoritma lain, seperti SHA-1 (klaim terbaru menyatakan bahwa SHA-1 juga cacat). Pada tahun 2004, kecacatan-kecacatan yang lebih serius ditemukan menyebabkan penggunaan algoritma tersebut dalam tujuan untuk keamanan jadi makin dipertanyakan.

Ciri – ciri :

· dirancang oleh Prof. Robert Rivest (RSA, MIT) tahun 1991

· menghasilkan 128-bit digest.

· cepat tapi kurang aman

1. Secure Shell (SSH)

Remote login adalah salah satu layanan internet yang memungkinkan seorang pengguna internet untuk mengakses (login) ke sebuah remote host dalam lingkungan jaringan internet.dengan memanfaatkan remote login, seorang user dapat mengoperasikan sebuah host dari jarak jauh tanpa harus secara fisik berhadapan dengan host. Dari sana, user dapat melakukan pemeliharaan / maintenance, menjalankan sebuah program, atau bahkan menginstall program baru di remote host.

Penggunaan

Penggunaan remote login umumnya digunakan oleh administrator dalam suatu jaringan. Dengan adanya layanan remote login, seorang administrator sistem jaringan dapat terus memegang kendali atas masing- masing komputer di dalam jaringan, tanpa harus mengaksesnya secara fisik. Layanan remote login juga memungkinkan seorang administrator menjaga stabilitas dan menyingkirkan bahaya dari luar di dalam suatu sistem jaringan.

Protokol

Protokol yang umum digunakan untuk keperluan remote Login adalah TelNet. Namun Remote login melalui TelNet lebih memiliki resiko dari maraknya kejahatan di dunia maya (cybercrime). Dengan mengamati lalulintas data dari penggunaan TelNet, para cracker dapat mengumpulkan informasi- informasi mengenai sebuah host maupun remote host. Cracker juga dapat mencuri data- penting berupa login name dan password, sehingga seorang cracker dapat dengan mudah mengambil alih host. Untuk menanggulanginya, maka dikembangkan protokol SSH (secure shell) untuk menggantikan TelNet. Dengan SSH, informasi yang dikirimkan antar host akan dienkripsi dan menyulitkan cracker untuk menyadap informasi yang dikirimkan.

Ciri – ciri :

· digunakan untuk client side authentication antara 2 sistem

· mendukung UNIX, windows, OS/2

· melindungi telnet dan ftp (file transfer protocol)

1. Secure Socket Layer (SSL)

Secure Socket Layer (SSL) dan Transport Layer Security (TLS), merupakan kelanjutan dari protokol kriptografi yang menyediakan komunikasi yang aman di Internet.

Gambaran

Protokol ini mnyediakan authentikasi akhir dan privasi komunikasi di Internet menggunakan cryptography. Dalam penggunaan umumnya, hanya server yang diauthentikasi (dalam hal ini, memiliki identitas yang jelas) selama dari sisi client tetap tidak terauthentikasi. Authentikasi dari kedua sisi (mutual authentikasi) memerlukan penyebaran PKI pada client-nya. Protocol ini mengizinkan aplikasi dari client atau server untuk berkomunikasi dengan didesain untuk mencegah eavesdropping, [[tampering]] dan message forgery.

Baik TLS dan SSL melibatkan beberapa langkah dasar:

1. Negosiasi dengan ujung client atau server untuk dukungan algoritma.

2. Public key, encryption-based-key, dan sertificate-based authentication

3. Enkripsi lalulintas symmetric-cipher-based

Penerapan

Protocol SSL dan TLS berjalan pada layer dibawah application protocol seperti HTTP, SMTP and NNTP dan di atas layer TCP transport protocol, yang juga merupakan bagian dari TCP/IP protocol. Selama SSL dan TLS dapat menambahkan keamanan ke protocol apa saja yang menggunakan TCP, keduanya terdapat paling sering pada metode akses HTTPS. HTTPS menyediakan keamanan web-pages untuk aplikasi seperti pada Electronic commerce. Protocol SSL dan TLS menggunakan cryptography public-key dan sertifikat publik key untuk memastikan identitas dari pihak yang dimaksud. Sejalan dengan peningkatan jumlah client dan server yang dapat mendukung TLS atau SSL alami, dan beberapa masih belum mendukung. Dalam hal ini, pengguna dari server atau client dapat menggunakan produk standalone-SSL seperti halnya Stunnel untuk menyediakan enkripsi SSL.

Sejarah dan pengembangan: Dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan Transport Layer Security, sebagai protocol standart IETF. Definisi awal dari TLS muncul pada RFC,2246 : “The TLS Protocol Version 1.0″. Visa, MaterCard, American Express dan banyak lagi institusi finansial terkemuka yang memanfaatkan TLS untuk dukungan commerce melalui internet. Seprti halnya SSL, protocol TLS beroperasi dalam tata-cara modular. TLS didesain untuk berkembang, dengan mendukung kemampuan meningkat dan kembali ke kondisi semula dan negosiasi antar ujung.

Standar

Definisi awal dari TLS muncul dalam RFC 2246 “The TLS Protocol Version 1.0″ RFC-RFC lain juga menerangkan lebih lanjut, termasuk:

RFC 2712: “Addition of Kerberos Chiper Suites to Transport Later Security (TLS)” (’Tambahan dari Kerberos Cipher Suites pada Transport Layer Security’). 40-bit ciphersuite didefinisikan dalam memo ini muncul hanya untuk tujuan pendokumentasian dari fakta bahwa kode ciphersuite tersebut telah terdaftar.

RFC 2817: “Upgrading to TLS Within HTTP/1.1″ (’Peningkatan TLS dalam HTTP/1.1′), menjelaskan bagaimana penggunaan mekanisme upgrade dalam HTTP/1.1 untuk menginisialisasi Transport Layer Security melalui koneksi TCP yang ada. Hal ini mengijinkan lalulintas HTTP secure dan tidak-secure untuk saling berbagi port “populer” yang sama (dalam hal ini, http pada 80 dan https pada 443)

RFC 2818: “HTTP Over TLS” (’HTTP melalui TLS’), membedakan laluintas secure dari lalulintas tidak-secure dengan menggunakan port yang berbeda.

RFC 3268: “AES Ciphersuites for TLS” (’AES Ciphersuite untuk TLS’). Menambahkan ciphersuite Advanced Encryption Standart (AES) (Standar Enkripsi Lanjut) ke symmetric cipher sebelumnya, seperti RC2, RC4, International Data Encryption Algorithm (IDEA) (Algorithma Enkripsi Data Internasional), Data Enryption Standart (DES) (Standar Enkripsi Data), dan Triple DES.

Ciri – ciri :

· dirancang oleh Netscape

· menyediakan enkripsi RSA pada layes session dari model OSI.

· independen terhadap servise yang digunakan.

· melindungi system secure web e-commerce

· metode public/private key dan dapat melakukan authentication

· terintegrasi dalam produk browser dan web server Netscape.

1. Security Token

Security token (atau kadangkala disebut juga dengan token hardware, authentication token, atau cryptographic token) merupakan alat fisik yang mengijinkan user berwenang dari suatu servis tertentu untuk dapat menggunakan servis tadi sebagai satu bentuk autentikasi. Security token umumnya cukup kecil untuk dibawa dalam kantong atau dompet. Beberapa dapat menyimpan kunci kriptografis seperti digital signature, atau data biometrik seperti sidik jari. Beberapa didesain agar tahan terhadap goncangan dan ada juga yang didesain dengan beberapa tombol keypad yang memungkinkan pemasukan nomer PIN. Ciri :

· aplikasi penyimpanan password dan data user di smart card

1. Simple Key Management for Internet Protocol

Perkembangan internet memberikan pengaruh pada peningkatan pengguna komersial yang amat pesat, masalah baru menjadi pembicaraan terhadap dua komunitas yang berbeda. Jaringan tidaklah seperti praktek penelitian yang dilakukan di lapangan dan umumnya kelompok pengguna, tetapi dimana pemanfaatan investasi uang yang dapat direalisasikan.

Terdapat dua hal berbeda yang harus dilakukan dalam mengamankan suatu jaringan internet pada pengunaan skala besar. Kedua tindakan tersebut antara lain aplikasi coupled security vs network coupled security. Salah satu contoh dari network coupled security adalah SKIP atau Simple Keymanagement in IP.
Untuk menyediakan fasilitas keamanan yang kuat dan penting pada internet, banyak yang menawarkan solusi keamanan. Bagaimanapun, solusi-solusi tersebut mayoritas terisolasi. Beberapa solusi yang terisolasi tersebut bekerjasama secara terbatas dengan suatu aplikasi, beberapa solusi juga bersama dengan sistem operasi tertentu atau bahkan tertanam pada link layer. Kita harus mengetahui solusi umum yang memperkenalkan keamanan pada network layer dan mendirikan suatu pondasi dalam menyatukan solusi. Lebih jauh lagi kita dapat menunjukkan bagaimana otentikasi dan enkripsi dapat disebarkan sepanjang jaringan internet berada. Hal ini akan terlaksana dengan memperluas fungsi dari protokol key management “Simple Keymanagement in Internet Protocol” atau SKIP, dimana sebagai salah satu upaya pada network layer key management yang sekarang ini dilakukan pada Internet Engineering Task Force (IETF).

Masalah yang tidak bergantung pada penempatan mekanisme security adalah key management. Terkadang, sebuah infrastruktur harus menyantumkan perizinan komunikasi antar kawan untuk memeriksa identitas mereka, dan mendirikan infrastruktur rahasia yang digunakan untuk bulk data encryption (sampah data enkripsi).

Tujuan utama dari pengamanan pada IP layer adalah untuk mendapatkan komunikasi secara privasi dan terotentikasi antara end systems, atau antara suatu jaringan yang lengkap melalui firewall. Sistem yang bekerja terstruktur seperti keberadaan ciri – ciri IP misalnya kemampuan untuk re-routing, load balancing, dan crash recovery yang terpelihara, dan hanya pengeluaran tambahan yang minimal yang diperkenalkan dalam rangka pengamanan jaringan. Pada saat itu juga, sistem tersebut bersifat flexible dan cukup luas untuk dapat mengizinkan bagi perkembangan selanjutnya seperti per-user atau per-port keying, mendukung smartcard, secure multicasting, migrasi kepada IPv6, penambahan algoritma baru, dsb.

Saat ini, dua tindakan berbeda pada key management (Oakley dan SKIP) digunakan oleh IETF working group pada IP security (IPSEC). Meskipun mereka menawarkan kegunaan yang biasa, tindakan pokok mereka dalam menghadapi masalah key management sangat berbeda.

“Simple Key Management in the Internet Protocol” (SKIP) bersandar pada fakta bahwa sertifikat publik terkadang disediakan untuk antarkomunikasi (peer). Tidak ada sesuatu hal yang diperlukan selama asosiasi komunikasi berada, hubungan dari satu host ke host lain menjadi mudah. Sebagaimana SKIP tidak memperkenalkan kembali dugaan terhadap bagian sulit dari stateless IP layer, keberadaan dari bagian rahasia didisain secara mutlak. Masing-masing partisipan mengakses sertifikat, yang terdiri dari public value dari peer, dengan mengambil database atau mendapatkan kembali melalui built-in sertificate discovery protocol.

Perolehan public value dari komunikasi peer dikombinasikan dengan secret value sistem itu sendiri dengan menggunakan Diffie-Hellman scheme, menghasilkan kesamaan, bagian rahasia pada kedua sisi. Sebagaimana bagian rahasia harus dapat digunakan untuk jangka waktu yang lama, tidak digunakan untuk enkrip data secara langsung. Justru, lalu lintas kunci acak dibangkitkan dan digunakan untuk mengenkrip data, dan lalulintas kunci acak ini terenkripsi dengan long-lived shared secret, menggunakan algoritma symmetric. komunikasi In-band digunakan sebagai pilihan untuk mentransfer algoritma dan bulk traffic keying material.
SKIP sertificate discovery adalah cara pengukuran terpopuler dimana komunikasi peers dapat mengambil sertifikat satu sama lain. Certificate Discovery Protocol (CDP) mengizinkan untuk meminta pembuatan menggunakan komunikasi out-of-band, dan lebih efisien jika simple request-response protocol dapat dibuat untuk menyediakan data yang cukup kepada peer untuk mendirikan shared secret. Protokol ini tepatnya mengizinkan masing-masing komunikasi dari berbagai macam server, selama sertifikat penerima terdiri dari signature yang berasal dari entitas yang terpercaya. Setelah melindungi secara singkat beberapa batasan dari aspek key management pada SKIP, kita akan kesulitan tentang bagaimana CDP dapat digunakan untuk menyediakan penyebaran yang lebih luas dari infrastruktur pengamanan komunikasi pada internet.

Pengembangan yang lebih besar Dengan menggunakan mekanisme pengamanan pada network layer, maka keamanan dalam melakukan hubungan melalui internet dapat diperoleh tanpa harus mengamankan aplikasi yang digunakan. Dua pihak atau lebih yang ingin melakukan hubungan komunikasi yang aman bisa menggunakan SKIP untuk memenuhi aspek keamanan yang diinginkan selama mereka mengkonfigurasi SKIP sebagai protokol key manajeman pada kebijakan tiap-tiap pihak yang ingin melakukan hubungan komunikasi.

Tingkat keamananya terletak pada kemampuan SKIP untuk mengamankan layer network. Pihak yang ingin meng-upgrade mesinnya agar dapat memperoleh keamanan pada layer network rata-rata mempunyai keinginan bahwa jumlah overhead dan masalah-masalah baru yang mungkin timbul dapat dikurangi sekecil mungkin. Dengan demikian mesinnya dapat mempunyai kemampuan untuk meggunakan mode ‘privacy’ yang merupakan fitur dari SKIP tanpa harus memperoleh sertifikat dan pengguna dalah hal ini administrato dapat dijinkan untuk menetapkan dan mengontrol mesinnya dengan mudah.

Jika lalu lintas komunikasi dalam menyediakan privacy dan otentikasi semakin meningkat antara host semakin meningkat, maka solusi yang paling mudah adalah bahwa mekanisme ini akan mewajibkan tiap-tiap host untuk mengamankan semua traffic dan juga mengharapkan setiap host mengamankan semua komunikasi yang diterima. Bagaimanapun juga, banyak host yang belum memiliki kemampuan untuk melakukan komunikasi secara aman, dengan demikian host yang menjalankan kebijakan ini tidak akan bisa melakukan komunikasi dengan host yang tidak menggunkan kebijakan ini secara aman dengan kata lain akan melepaskan kemampuannya untuk berkomunikasi dengan host-host lain di internet yang tidak menggunakan kebijakan ini.

Untuk memperkenankan penggunaan enkripsi dan otentikasi pada network layer yang saat ini pemakaiannya sudah meluas, maka dibutuhkan protocol key manajemen dan “policy engine” yang mengijinkan 3 (tiga) jenis koneksi yaitu ‘clear’, ‘secure’ dan ‘optionally secure’.

Setelah pemberian alasan untuk penempatan keamanan mesin di network layer, kita telah menjelaskan sekarang bagaimana SKIP dapat digunakan dengan cepat menyebarkan keamanan diseluruh internet. Berdasarkan kebijakan peserta dan adanya system operasi yang memungkinkan keamanan komunikasi, bagian yang lebih besar pada internet mungkin menjadi aman dibagianya. Ini dicapai oleh penyediaan dynamic-up dan downgrading pada keamanan dua titik komunikasi. SKIP menyediakan banyak kemungkinan.

Asumsikan bahwa sebuah PGP seperti infrastruktur public key yang digunakan didalam network layer keamanan pemaketan akan tersedia juga, user dapat melakukan teknik yang dikenali dengan baik pada web-of-trust untuk berkembang menjadi lingkungan yang aman. User telah menyimpan didalam sebuah lingkungan hirarki yang hanya dapat menambah sertifikat yang disediakan oleh CA-nya. Ini fleksibel yang memungkinkan oleh tiga pesan baru untuk menyusun sebuah share secret didalam SKIP. Tiga pesan adalah sertifikat tradisional, sebuah pesan menyediakan material kunci yang tidak terotentikasi langsung dan kebanyakan nilainya berharga untuk pesan yang menyediakan material kunci otentikasi langsung dan meneruskan keamanan yang pasti. Pesan yang lalu hanya dapat digunakan jika identitas ( dan sertifikat ) pihak yang mungkin telah diketahui, namun kebanyakan terambil menjadi pertimbangan sebagaimana menyediakan otentiksi untuk pihak yang mungkin dan pihak yang tidak dikenali melawan passive attacker didalam sebuah pesan tunggal. Tiga tipe pesan dapat dikombinasikan menjadi dua jalan pertukaran, penyediaan seri protokol , setiap propertis yang berharga.

Pemeberitahuan lain untuk pembelajaran lebih lanjut adalah bagaimana menyediakan material kunci efisien dan skala aturan untuk anggota sebuah himpunan grup yang besar dan bagaimana menilai menggunakan ring kunci. Sebagaimana mereka disediakan oleh infrastruktur PGP. Mengalamatkan aspek teori “web of trust” dan sebuah relasi yang efisien dan solusi praktis yang harus ditemukan. Ciri – ciri :

· seperti SSL bekerja pada level session model OSI.

· menghasilkan key yang static, mudah bobol.

APLIKASI ENKRIPSI

Beberapa aplikasi yang memerlukan enkripsi untuk pengamanan data atau komunikasi diantaranya adalah :

a. Jasa telekomunikasi

· Enkripsi untuk mengamankan informasi konfidensial baik berupa suara, data, maupun gambar yang akan dikirimkan ke lawan bicaranya.

· Enkripsi pada transfer data untuk keperluan manajemen jaringan dan transfer on-line data billing.

· Enkripsi untuk menjaga copyright dari informasi yang diberikan.

b. Militer dan pemerintahan

· Enkripsi diantaranya digunakan dalam pengiriman pesan.

· Menyimpan data-data rahasia militer dan kenegaraan dalam media penyimpanannya selalu dalam keaadan terenkripsi.

c. Data Perbankan

· Informasi transfer uang antar bank harus selalu dalam keadaan terenkripsi

d. Data konfidensial perusahaan

· Rencana strategis, formula-formula produk, database pelanggan/karyawan dan database operasional

· pusat penyimpanan data perusahaan dapat diakses secara on-line.

· Teknik enkripsi juga harus diterapkan untuk data konfidensial untuk melindungi data dari pembacaan maupun perubahan secara tidak sah.

e. Pengamanan electronic mail

· Mengamankan pada saat ditransmisikan maupun dalam media penyimpanan.

· Aplikasi enkripsi telah dibuat khusus untuk mengamankan e-mail, diantaranya PEM (Privacy Enhanced Mail) dan PGP (Pretty Good Privacy), keduanya berbasis DES dan RSA.

f. Kartu Plastik

· Enkripsi pada SIM Card, kartu telepon umum, kartu langganan TV kabel, kartu kontrol akses ruangan dan komputer, kartu kredit, kartu ATM, kartu pemeriksaan medis, dll

· Enkripsi teknologi penyimpanan data secara magnetic, optik, maupun chip.

Daftar Pustaka

1. http://v318.wordpress.com/category/komputer-dan-jaringan/

2. http://akbar.staff.gunadarma.ac.id/Downloads/folder/0.03.

3. http://www.cert.or.id/~budi/courses/ec7010/2003/report-adesena.pdf

4. http://id.wikipedia.org/wiki/

A. FIREWALL

Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN) anda.

Firewall untuk komputer, pertama kali dilakukan dengan menggunakan prinsip “non-routing” pada sebuah Unix host yang menggunakan 2 buah network interface card, network interface card yang pertama dihubungkan ke internet (jaringan lain) sedangkan yang lainnya dihubungkan ke pc (jaringan lokal)(dengan catatan tidak terjadi “route” antara kedua network interface card di pc ini). Untuk dapat terkoneksi dengan Internet(jaringan lain) maka harus memasuki server firewall (bisa secara remote, atau langsung), kemudian menggunakan resource yang ada pada komputer ini untuk berhubungan dengan Internet(jaringan lain), apabila perlu untuk menyimpan file/data maka dapat menaruhnya sementara di pc firewall anda, kemudian mengkopikannya ke pc(jaringan lokal). Sehingga internet(jaringan luar) tidak dapat berhubungan langsung dengan pc(jaringan lokal) . Dikarenakan masih terlalu banyak kekurangan dari metoda ini, sehingga dikembangkan berbagai bentuk, konfigurasi dan jenis firewall dengan berbagai policy(aturan) didalamnya.

Firewall secara umum di peruntukkan untuk melayani :

1. Mesin/Komputer

Setiap mesin/komputer yang terhubung langsung ke jaringan luar atau internet dan menginginkan semua yang terdapat pada komputernya terlindungi.

2. Jaringan

Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi jaringan yang digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.

Karakteristik sebuah firewall

1. Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan agar konfigurasi ini terwujud.

2. Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.

3. Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan system yang relatif aman.

Teknik yang digunakan oleh sebuah firewall

1. Service control (kendali terhadap layanan)

Berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek no IP Address dan juga nomor port yang di gunakan baik pada protokol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkan bisa jadi software pada server itu sendiri , seperti layanan untuk web ataupun untuk mail.

2. Direction Conrol (kendali terhadap arah)

Berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall.

3. User control (kendali terhadap pengguna)

Berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis,hal ini di karenakan user tersebut tidak di ijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi user dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.

4. Behavior Control (kendali terhadap perlakuan)

Berdasarkan seberapa banyak layanan itu telah digunakan. Misal, firewall dapat memfilter email untuk menanggulangi/mencegah spam.

Tipe-Tipe Firewall

1 .Packet Filtering Router

Packet Filtering diaplikasikan dengan cara mengatur semua packet IP baik yang menuju, melewati atau akan dituju oleh packet tersebut. Pada tipe ini packet tersebut akan diatur apakah akan di terima dan diteruskan atau di tolak. Penyaringan packet ini di konfigurasikan untuk menyaring packet yang akan di transfer secara dua arah (baik dari dan ke jaringan lokal). Aturan penyaringan didasarkan pada header IP dan transport header, termasuk juga alamat awal(IP) dan alamat tujuan (IP), protokol transport yang di gunakan(UDP,TCP), serta nomor port yang digunakan. Kelebihan dari tipe ini adalah mudah untuk di implementasikan, transparan untuk pemakai, relatif lebih cepat.

Adapun kelemahannya adalah cukup rumitnya untuk menyetting paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi.

Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah:

 IP address spoofing : Intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan lokal yang telah diijinkan untuk melalui firewall.

 Source routing attacks : Tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall.

 Tiny Fragment attacks : Intruder membagi IP kedalam bagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini di design untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header.

Penyerang berharap hanya bagian (fragment) pertama saja yang akan di periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di tanggulangi dengan cara menolak semua packet dengan protokol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP)

2. Application-Level Gateway

Application-level Gateway yang biasa juga di kenal sebagai proxy server yang berfungsi untuk memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur semua hubungan yang menggunakan layer aplikasi ,baik itu FTP, HTTP, GOPHER dll.

Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan

di akses.Saat pengguna mengirimkan useer ID serta informasi lainnya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Lebih jauh lagi, pada tipe ini Firewall dapat di konfigurasikan untuk hanya mendukung

beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall.

Kelebihannya adalah relatif lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi. Kekurangannya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. yang akan

mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah.

3. Circuit-level Gateway

Tipe ketiga ini dapat merupakan sistem yang berdiri sendiri , atau juga dapat merupakan fungsi khusus yang terbentuk dari tipe application-level gateway.tipe ini tidak mengijinkan koneksi TCP end to end (langsung)

Cara kerjanya : Gateway akan mengatur kedua hubungan tcp tersebut, 1 antara dirinya (gw) dengan TCP pada pengguna lokal (inner host) serta 1 lagi antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan ke lainnya tanpa memeriksa isinya. Fungsi pengamanannya terletak pada penentuan hubungan mana yang di ijinkan. Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan pengguna internal (internal

users).

B. IDS

IDS dibagi dalam 2 jenis yaitu Network Instrusion Detection System (NIDS) dan Host Intrusion Detection System (HIDS). Fungsi dari IDS ini sendiri adalah untuk mendeteksi suatu kejanggalan dari suatu system atau network yang terjadi sesuai dengan jenis tipe yang ada berdasarkan rules. Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.\\\ Salah satu jenis IDS yang populer adalah SNORT. Aplikasi ini banyak digunakan oleh para admin (termasuk di kampus kita/ masuk golongan mayoritas euy..)dan hacker di dunia. Bahkan di situsnya http://www.snort.org/(approve sites)(approve sites)(approve sites) mengklaim bahwa SNORT menjadi standar de facto berikut kutipannya.

“…..With millions of downloads to date, Snort is the most widely deployed intrusion detection and prevention

technology worldwide and has become the de facto standard for the industry.”

Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau dikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas data yang normal pada sistem jaringan.

komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS. Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber daya komputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain itu IDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan pembaharuan secara rutin terhadap sebuah IDS dan IPS. Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paket-paket yang lewat melalui firewall tersebut. Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatan kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem apabila terjadi penyusupan dalam sistem.

C. SQUID

Squid adalah sebuah penampilan yang bagus bagi dari server cacking proxy untuk klient web, pendukung FTP, gopher dan obyek data HTTP. Tak seperti software cacking tradisional , squid menangani semua permintaan dalam bentuk singgle , non bloking, proses I/O driven. Squid menyimpan data meta dan khususnya obyek panas yang tersembunyi dalam RAM, menyembunyikan DNS lookups, mendukung DNS lookups yang tak memihak, dan cacking negatif dari permintaan yang digagalkan .

Squid mendukung SSL,kontrol akses yang extensif dan loging permintaan penuh. Dengan menggunakan ukuran berat internet cache protokol, squid dapat disusun dalam sebuah hirarki untuk pengamanan bandwidth extra squid terdiri dari sebuah squid program main server, sebuah dnsserver program lookups Domain Name Systim, beberapa program untuk menulis kembali permintaan-permintaan dan keoutentikan penampilan , dan beberapa menegemen dan alat-alat klient.

Pada saat squid dihidupkan maka akan menghasilkan angka dari proses dnsserver dalam jumlah yang banyak yang bisa mengkonfigurasi,masing-masing dapat menunjukkan Domain Name System lookups tunggal dan memihak . Ini menurunkan jumlah waktu

cache yang menunggu DNS lookups.

Bagaimanakah menerapkan Transparent Caching dengan menggunakan Squid ?

Transparent caching dapat diterapkan dengan 3 cara :

· Kebijaksanaan yang berdasarkan routing

· Menggunakan smart switching

· Dengan memasang kotak squid sebagai Gateway

D. SNORT

‘SNORT’ merupakan salah satu software untuk mendeteksi intrusi pada system, mampu menganalisa ‘real-time traffic’ dan logging ip, mampu menganalisa port dan mendeteksi segala macam ’serangan’ dari luar seperti buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting. secara default nya snort mempunyai 3 hal yang terpenting yaitu :

(1) paket sniffer, seperti tcpdump, iptraf dll

(2) paket logger, yang berguna untuk paket traffic dll

(3) NIDS, deteksi intrusi pada network.

E. HONEYSPOTS

Pada dunia keamanan jaringan informasi banyak profesional yang sangat tertarik pada honeypots karena seorang pengamat serangan akan dapat melihat informasi secara nyata tentang suatu serangan. Kita sering mendengar tentang perusakkan sebuah situs web atau sebuah sistem keamanan jaringan pada bank yang di-hack, tetapi kebanyakan dari kita tidak mengetahui bagaimana si penyerang masuk dan apa yang

sesungguhnya terjadi. Salahsatu hal yang bisa didapat dengan honeypots adalah informasi bagaimana seorang penyerang dapat menerobos dan apa yang sudah dilakukannya.

1. Definisi

Berikut adalah definisi dari Honeypots dari dua orang yang memiliki kompetensi pada penelitian tentang honeypots.

Definisi dari L. Spitzner1 tentang istilah Honeypots adalah sebagai berikut:

“A honeypot is a resource whose value is being in attacked or compromised. This

means, that a honeypot is expected to get probed, attacked and potentially exploited.

Honeypots do not fix anything. They provide us with additional, valuable

information.”

Definisi lain dari Retto Baumann2 & Christian Plattner3:

“A honeypot is a resource which pretends to be a real target. A honeypot is expected

to be attacked or compromised. The main goals are the distraction of an attacker and

the gain of information about an attack and the attacker.”

Pada dasarnya honeypots adalah suatu alat untuk mendapatkan informasi tentang penyerang. Selanjutnya administrator jaringan dapat mempelajari aktifitas-aktifitas yang dapat merugikan dan melihat kecenderungan dari aktifitas tersebut. Honeypots adalah sebuah sistem yang dirancang untuk diperiksa dan diserang.

2 Istilah Honeypots

Istilah honeypots pertama kali didiskusikan di sejumlah paper yang sangat bagus oleh beberapa tokoh sistem keamanan jaringan komputer:

• Cliff Stoll’s Cukoo’s Egg

• Steve Bellovin & Bill Cheswick’s “An Evening with Berferd.”4

Keduanya memberikan contoh penggunaan teknologi jail-type untuk menangkap session dari seorang penyerang sistem keamanan jaringan, dan memonitor secara terperinci apa yang dilakukan oleh penyerang. Istilah honeypots kemudian muncul. Sistem honeypots lama biasanya hanya berupa sebuah sistem yang dihubungkan dengan jaringan produktif yang ada dengan tujuan untuk memikat penyerang.

3 Kategori Honeypots

Ada dua kategori honeypots5:

1. Production Honeypots

2. Research Honeypots

Production honeypots digunakan untuk mengurangi resiko serangan pada system keamanan jaringan informasi dalam sebuah organisasi. Reasearch honeypots digunakan untuk medapatkan informasi sebanyak mungkin tentang penyerang sehingga seorang administrator dapat mempelajari informasi tersebut.

Beberapa kalangan memperdebatkan apakah benar honeypots menambah nilai padasuatu sistem keamanan jaringan informasi. Salahsatu cara untuk mencobanya adalah dengan cara melihat dari berapa lama honeypots memberikan waktu pada administrator untuk bereaksi sejak saat serangan itu masuk, sehingga seorang administrator dapat melindungi jaringan produktifnya. Jika dalam 15-20 menit, maka

honeypots tersebut akan mempunyai nilai tambah. Informasi penyerang yang sudah dipelajari juga akan memberikan nilai tambah pada sistem kemanan jaringan, karena sebuah serangan balasan yang tepat akan dapat dibuat untuk pertahanan terhadap serangan baru tersebut.

CYBER LAW BAGI INDONESIA

Implikasi Perkembangan Dunia Cyber

Hadirnya masyarakat informasi (information society) yang diyakini sebagai salah satu agenda penting masyarakat dunia di milenium ketiga antara lain ditandai dengan pemanfaatan Internet yang semakin meluas dalam berbagai akiivitas kehidupan manusia, bukan saja di negara-negara maju tapi juga di negara-negara berkembang termasuk Indonesia. Fenomena ini pada gilirannya telah menempatkan ”informasi” sebagai komoditas ekonomi yang sangat penting dan menguntungkan. Untuk merespon perkembangan ini Amerika Serikat sebagai pioner dalam pemanfaatan Internet telah mengubah paradigma ekonominya dari ekonomi yang berbasis manufaktur menjadi ekonomi yang berbasis jasa (from a manufacturing-based economy to a service-based economy) Peruhahan ini ditandai dengan berkurangnya peranan traditional law materials dan semakin meningkatnya peranan the raw marerial of a service-based economy yakni informasi dalam perekonomian Amerika.

Munculnya sejumlah kasus yang cukup fenomenal di Amerika Serikat pada tahun 1998 telah mendorong para pengamat dan pakar di bidang teknologi inlormasi untuk menobatkan tahun tersebut sebagai moment yang mengukuhkan Internet sebagai salah satu institusi dalam mainstream budaya Ametika saat ini. Salah satu kasus yang sangat fenomenal dan kontroversial adalah ”Monicagate” (September 1998) yaitu skandal seksual yang melibatkan Presiden Bill Clinton dengari Monica Lewinsky mantan pegawai Magang di Gedung Putih.

Masyarakat dunia geger, karena laporan Jaksa Independent Kenneth Star mengenai perselingkuhan Clinton dan Monica setebal 500 halaman kemudian muncul di Internet dan dapat diakses secara terbuka oleh publik. Kasus ini bukan saja telah menyadarkan masyarakat Amerika, tapi juga dunia bahwa lnternet dalam tahap tertentu tidak ubahnya bagai pedang bermata dua.

Eksistensi Internet sebagai salah satu institusi dalam mainstream budaya Amerika lebih ditegaskan lagi dengan maraknya perdagangan electronik (E-Commerce) yang diprediksikan sebagai ”bisnis besar masa depan” (the next big thing). Menurut perkiraan Departemen Perdagangan Amerika, nilai perdagangan sektor ini sampai dengan tahun 2002 akan mencapai jumlah US $300 milyar per tahun.

Demam E-Commerce ini bukan saja telah melanda negara-negara maju seperti Amerika dan negara-negara Eropa, tapi juga telah menjadi trend dunia termasuk Indonesia. Bahkan ada semacam kecenderungan umum di Indonesia, seakan-akan ”cyber law” itu identik dengan pengaturan mengenai E-Commerce. Berbeda dengan Monicagate, fenomena E-Commerce ini boleh dikatakan mampu menghadirkan sisi prospektif dari Internet. Jelaslah bahwa eksistensi Internet disamping menjanjikan sejumlah harapan, pada saat yang sama juga melahirkan kecemasan-kecemasan baru antara lain munculnya kejahatan baru yang lebih canggih dalam bentuk ”cyber crime”, misalnya munculnya situs-situs porno dan penyerangan terhadap privacy seseorang. Disamping itu mengingat karakteristik Internet yang tidak mengenal batas-batas teritorial dan sepenuhnya beroperasi secara virtual (maya), Internet juga melahirkan aktivitas-aktivitas baru yang tidak sepenuhnya dapat diatur oleh hukum yang berlaku saat ini (the existing law).

Kenyataan ini telah menyadarkan masyarakat akan perlunya regulasi yang mengatur mengenai aktivitas-aktivitas yang melibatkan Internet Atas dasar pemikiran diatas, penulis akan mencoba untuk membahas mengenai pengertian ”cyber law” dan ruang lingkupnya serta sampai sejauh mana urgensinya bagi Indonesia untuk mengantisipasi munculnya persoalan-persoalan hukum akibat pemanfaatan Internet yang semakin meluas di Indonesia.

CYBERSPACE.

Untuk sampai pada pembahasan mengenai ”cyber law”, terlebih dahulu perlu dijelaskan satu istilah yang sangat erat kaitannya dengan ”cyber law” yaitu ”cyberspace” (ruang maya), karena ”cyberspace”-lah yang akan menjadi objek atau concern dari ”cyber law”. Istilah ”cyberspace” untuk pertama kalinya diperkenalkan oleh William Gibson seorang penulis fiksi ilmiah (science fiction) dalam novelnya yang berjudul Neuromancer Istilah yang sama kemudian diulanginya dalam novelnya yang lain yang berjudul Virtual Light.

Menurut Gibson, cyberspace ”… was a consensual hallucination that felt and looked like a physical space but actually was a computer-generated construct representing abstract data”. Pada perkembangan selanjutnya seiring dengan meluasnya penggunaan computer istilah ini kemudian dipergunakan untuk menunjuk sebuah ruang elektronik (electronic space), yaitu sebuah masyarakat virtual yang terbentuk melalui komunikasi yang terjalin dalam sebuah jaringan kornputer (interconnected computer networks).’ Pada saat ini, cyberspace sebagaimana dikemukakan oleh Cavazos dan Morin adalah:”… represents avast array of computer systems accessible from remote physical locations”.

Aktivitas yang potensial untuk dilakukan di cyberspace tidak dapat diperkirakan secara pasti mengingat kemajuan teknologi informasi yang sangat cepat dan mungkin sulit diprediksi. Namun, saat ini ada beberapa aktivitas utama yang sudah dilakukan di cyberspace seperti Commercial On-line Services, Bullelin Board System, Conferencing Systems, Internet Relay Chat, Usenet, EmaiI list, dan entertainment. Sejumlah aktivitas tersebut saat ini dengan mudah dapat dipahami oleh masyarakat kebanyakan sebagai aktivitas yang dilakukan lewat Internet. Oleh karena itu dapat disimpulkan bahwa apa yang disebut dengan ”cyberspace” itu tidak lain. adalah Internet yang juga sering disebut scbagai ”a network of net works”. Dengan karakteristik seperti ini kemudian ada juga yang menyebut ”cyber space” dengan istilah ”virtual community” (masyarakat maya) atau ”virtual world” (dunia maya).

Untuk keperluan penulisan artikel ini selanjutnya cyberspace akan disebut dengan

Internet. Dengan asumsi bahwa aktivitas di Internet itu tidak bisa dilepaskan dari manusia dan akibat hukumnya juga mengenai masyarakat (manusia) yang ada di ”physical word” (dunia nyata), maka kemudian muncul pemikiran mengenai perlunya aturan hukum untuk mengatur aktivitas tersebut. Namun, mengingat karakteristik aktivitas di Internet yang berbeda dengan di dunia nyata, lalu muncul pro kontra mengenai bisa dan tidaknya sistem hukum tradisional/konvensional (the existing law) yang mengatur aktivitas tersebut. Dengan demikian, polemik ini sebenarnya bukan mengenai perlu atau tidaknya suatu aturan hukum mengenai aktivitas di Internet, melainkan mempertanyakan eksistensi sistem hukum tradisional dalam mengatur aktivitas di Internet.

Pro-Kontra Regulasi Aktivitas di Internet

Secara umum munculnya pro-kontra bisa atau ticlaknya sistem hukum tradisional

mengatur mengenai aktivitas-aktivitas di Internet disebabkan karena dua hal yaitu; (1) karakteristik aktivitas di Internet yang bersifat lintas-batas, sehingga tidak lagi tunduk pada batasan-batasan teritorial, dan

(2) sistem hukum traditional (the existing law) yang justru bertumpu pada batasan-batasan teritorial dianggap tidak cukup memadai untuk menjawab persoalan-persoalan hukum yang muncul akibat aktivitas di Internet. Prokontra mengenai masalah ini sedikitnya terbagai menjadi tiga kelompok.

Kelompok pertama secara total menolak setiap usaha untuk membuat aturan hukum bagi aktivitas-aktivitas di Internet yang didasarkan atas sistem hukum

tradisional/konvensional.

Istilah ”sistem hukum tradisional/konvensional” penulis gunakan untuk menunjuk kepada sistem hukum yang berlaku saat ini yang belum mempertimbangkan pengaruh-pengaruh dari pemanfaatan Internet.

Mereka beralasan bahwa Internet yang layaknya sebuah ”surga demokrasi” (democratic paradise) yang menyajikan wahana bagi adanya lalu-lintas ide secara bebas dan terbuka tidak boleh dihambat dengan aturan yang didasarkan atas sistem hukum tradisional yang bertumpu pada batasan-batasan territorial. Dengan pendirian seperti ini, maka menurut kelompok ini Internet harus diatur sepenuhnya oleh system hukum baru yang didasarkan atas norma-norma hukum yang baru pula yang dianggap sesuai dengan karakteristik.yang melekat pada Internet. Kelemahan utama dari kelompok ini adalah mereka menafikkan fakta, bahwa meskipun aktivitas Internet itu sepenuhnya beroperasi secara virtual, namun masih tetap melibatkan masyarakat (manusia) yang hidup di dunia nyata (physical world).

Sebaliknya, kelompok kedua berpendapat bahwa penerapan sistem hukum tradisional untuk mengatur aktivitas-aktivitas di Internet sangat mendesak untuk dilakukan. Tanpa harus menunggu akhir dari suatu perdebatan akademis mengenai sistem hukum yang paling pas untuk mengatur aktivitas di Internel. Pertimbangan pragmatis yang didasarkan atas meluasnya dampak yang ditimbulkan oleh Internet memaksa pemerintah untuk segera membentuk aturan hukum mengenai hal tersebut. Untuk itu semua yang paling mungkin adalah dengan mengaplikasikan sistem hukum tradisional yang saat ini berlaku.

Kelemahan utama kelompok ini merupakan kebalikan dari kelompok pertama yaitu

mereka menafikkan fakta bahwa aktivitas-aktivitas di Internet menyajikan realitas dan persoalan baru yang merupakan fenomena khas masyarakat informasi yang tidak sepenuhnya dapat direspon oleh sistem hukum tradisional.

Kelompok ketiga tampaknya merupakan sintesis dari kedua kelompok di atas. Mereka berpendapat bahwa aturan hukum yang akan mengatur tnengenai aktivitas di Internet harus dibentuk secara evolutif dengan cara menerapkan prinsip-prinsip ”common law” yang dilakukan secara hati-hati dan dengan menitikberatkan kepada aspek-aspek tertentu dalam aktivitas ”cyberspace” yang menyebabkan kekhasan dalam transaksi- transaksi di Internet. Kelompok ini memiliki pendirian yang cukup moderat dan realistis, karena memang ada beberapa prinsip hukum tradisional yang masih dapat merespon persoalan hukum yang timbul dari aktivitas Internet disamping juga fakta bahwa beberapa transaksi di Internet tidak dapat sepenuhnya direspon oleh sistem hukum tradisional. Penulis sendiri termasuk yang setuju dengan pendirian .kelompok ini, sehingga pemahaman penulis mengenai ”cyber law” didasarkan atas satu konstruksi hukum yang mensintesiskan prinsip-prinsip hukum tradisional dengan norma-norma hukum baru yang terbentuk akibat dari aktivitas-aktivitas manusia lewat Internet.

CYBER LAW

Secara akademis, terminologi ”cyber law” tampaknya belum menjadi terminologi yang sepenuhnya dapat diterima. Hal ini terbukti dengan dipakainya terminologi lain untuk tujuan yang sama seperti The law of the Inlernet, Law and the Information

Superhighway, Information Technology Law, The Law of Information, dan sebagainya. Di Indonesia sendiri tampaknya belum ada satu istilah yang disepakati atau paling tidak hanya sekedar terjemahan atas terminologi ”cyber law”. Sampai saat ini ada beberapa istilah yang dimaksudkan sebagai terjemahan dari ”cyber law”, misalnya, Hukum Sistem Informasi, Hukum Informasi, dan Hukum Telematika (Telekomunikasi dan Informatika).

Bagi penulis, istilah (Indonesia) manapun yang akan dipakai tidak menjadi persoalan. Yang penting, di dalamnya memuat atau membicarakan mengenai aspek-aspek hokum yang berkaitan dengan aktivitas manusia di Internet. Oleh karena itu dapat dipahami apabila sampai saat ini di kalangan peminat dan pemerhati masalah hukum yang berikaitan dengan Internet di Indonesia masih menggunakan istilah ”cyber law”. Sebagaimana dikemukakan di atas, lahirnya pemikiran untuk membentuk satu aturan hukum yang dapat merespon persoalan-persoalan hukum yang muncul akibat dari pemanfaatan Internet terutama disebabkan oleh sistem hukum tradisional yang tidak sepenuhnya mampu merespon persoalan-persoalan tersebut dan karakteristik dari Internet itu sendiri. Hal ini pada gilirannya akan melemahkan atau bahkan mengusangkan konsep-konsep hukum yang sudah mapan seperti kedaulatan dan yurisdiksi. Kedua konsep ini berada pada posisi yang dilematis ketika harus berhadapan dengan kenyataan bahwa para pelaku yang terlibat dalam pemanfaatan Internet tidak lagi tunduk pada batasan kewarganegaraan dan kedaulatan suatu negara. Dalam kaitan ini Aron Mefford seorang pakar cyberlaw dari Michigan State University sampai pada kesimpulan bahwa dengan meluasnya pemanfaatan Internet sebenarnya telah terjadi semacam ”paradigm shift” dalam menentukan jati diri pelaku suatu perbuatan hukum dari citizens menjadi netizens.

Dilema yang dihadapi oleh hukum tradisional dalam menghadapi fenomena cyberspace ini merupakan alasan utama perlunya membentuk satu regulasi yang cukup akomodatif terhadap fenomena-fenomena baru yang muncul akibat pemanfaatan Internet. Aturan hukum yang akan dibentuk itu harus diarahkan untuk memenuhi kebutuhan hukum (the legal needs) para pihak yang terlibat dalam traksaksi-transaksi lewat Internet. Untuk itu penulis cenderung menyetujui proposal dari Mefford yang mengusulkan ”Lex Informatica” (Independent Net Law) sebagai ”Foundations of Law on the Internet”.

Proposal Mefford ini tampaknya diilhami oleh pemikiran mengenai ”Lex Mercatoria”

yang merupakan satu sistem hukum yang dibentuk secara evolutif untuk merespon

kebutuhan-kebutuhan hukum (the legal needs) para pelaku transaksi dagang yang

mendapati kenyataan bahwa sistem hukum nasional tidak cukup memadai dalam

menjawab realitas-realitas yang ditemui dalam transaksi perdagangan internasional.

SECARA DEMIKIAN MAKA ”CYBER LAW” DAPAT DIDEFINISIKAN SEBAGAI SEPERANGKAT ATURAN YANG BERKAITAN DENGAN PERSOALAN-PERSOALAN YANG MUNCUL AKIBAT DARI PEMANFAATAN INTERNET.

RUANG LINGKUP ”CYBER LAW”

Pembahasan mengenai ruang lingkup ”cyber law” dimaksudkan sebagai inventarisasi atas persoalan-persoalan atau aspek-aspek hukum yang diperkirakan berkaitan dengan pemanfaatan Internet. Secara garis besar ruang lingkup ”cyber law” ini berkaitan dengan persoalan-persoalan atau ’ aspek hukum dari E-Commerce, Trademark/Domain Names, Privacy and Security on the Internet, Copyright, Defamation, Content Regulation, Disptle Settlement, dan sebagainya.

Berikut ini adalah ruang lingkup atau area yang harus dicover oleh cyberlaw. Ruang

lingkup cyberlaw ini akan terus berkembang seiring dengan perkembangan yang terjadi pada pemanfaatan Internet dikemudian hari.

DAMPAK POSITIF UU TERHADAP PERKEMBANGAN IT DI INDONESIA.

Entah kenapa banyak orang yang merasa skeptis dengan diberlakukannya UU ITE ini. Padahal hukumnya sendir belum benar-benar dijalankan. Kalau saya sendiri melihat UU ITE ini akan membawa banyak dampak positif bagi perkembangan IT di Indonesia. Berikut beberapa diantaranya:

1. Selama ini, banyak penyedia jasa layanan web financial yang enggan memberikan layananny di Indoensia. Kenapa? karena payung hukum di Indonesia untuk transaksi finansial melalui internet belum jelas, bahkan belum ada. Akibatnya, hacker-hacker bisa dengan mudah berkeliaran melakukan aksi perampokan dinegerinya sendiri. Alhamdulillah dengan berjalannya UU ITE. Sekarang transaksi online macam itu akan dijamin kemananannya oleh pemerintah. Dengan begitu kepercayaan penyedia jasa layanan web financial internasional akan mulai tumbuh. Mereka akan mulai masuk ke Indonesia. Paypal sudah mulai masuk. Kalau merek semua sudah masuk. Dijamin, para pengguna internet di Indonesia bisa lebih memberdayakan sumber daya informasi tak terbatas ini secara lebih positif.
2. Pornografi akan diberantas. Dengan adanya pemberantasan pornografi ini. Maka konten-konten web Indonesia akan terdorong pada hal-hal yang positif. Sehingga konten web Indonesia akan penuh anfaat buat rakyatnya. Ini jelas merupakan angin segar bagi dunia internet Indonesia yang tentunya akan berimbas pula pada perkembangan IT yang lebih positif.
3. Pembajakan sudah dipastikan akan terus berkurang. Kontrolling terhadap pembajakan akan menjadi lebih besar dengan adanya UU ini. Dengan begitu tingkat pembajakan di Indonesia akan berkurang. Hal ini akan mendorong tumbuhnya industri software dalam negeri. Dan ini merupakan salah satu faktor pertumbuhan IT yang positif.
4. Pembangunan infrastruktur IT saat ini sudah benar-benar digencarkan oelh pemerintah terutama depkominfo. Bahkan pak nuh sudah mengatakan bahwa beliau akan membawa internet sampai ke pelosok desa. Infrastruktur IT merupaakan salah satu masalah utama kenapa IT di Indonesia sulit berkemabng. Dengan adanya diversifikasi infrstruktur secara massif seperti ini. Maka IT di Indonesia akan bisa maju terus.

4 point diatas sudah cukup untuk memberikan gambaran akan cerahnya prospek IT Indonesia dimasa mendatang. Saya sangat yakin suatu saat nanti Indonesia mampu emnjadi negara yang menguasai teknologi IT. Saya sangat yakin Indonesia mampu seperti malaysia, Cina dan India yang melakukan percepatan besar-besaran pada penguasaan teknologi. Mari kita sama-sama optimis akan perkembangan IT di Indonesia. Untuk Indonesia yang lebih maju, lebih hi-tech, lebih berdaya.

Analisa UU ITE

UU ITE datang membuat situs porno bergoyang dan sebagian bahkan menghilang? Banyak situs porno alias situs lendir ketakutan dengan denda 1 miliar rupiah karena melanggar pasal 27 ayat 1 tentang muatan yang melanggar kesusilaan. Padahal sebenarnya UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) tidak hanya membahas situs porno atau masalah asusila. Total ada 13 Bab dan 54 Pasal yang mengupas secara mendetail bagaimana aturan hidup di dunia maya dan transaksi yang terjadi didalamnya. Apakah UU ITE sudah lengkap dan jelas? Ternyata ada beberapa masalah yang terlewat dan juga ada yang belum tersebut secara lugas didalamnya. Ini adalah materi yang Romi Satria Wahono angkat di Seminar dan Sosialisasi Undang-Undang Informasi dan Transaksi Elektronik yang diadakan oleh BEM Fasilkom Universitas Indonesia tanggal 24 April 2008. Saya berbicara dari sisi praktisi dan akademisi, sedangkan di sisi lain ada pak Edmon Makarim yang berbicara dari sudut pandang hukum. Tertarik? Klik lanjutan tulisan ini. Oh ya, jangan lupa materi lengkap plus UU ITE dalam bentuk PDF bisa didownload di akhir tulisan ini.

CYBERCRIME DAN CYBERLAW

UU ITE dipersepsikan sebagai cyberlaw di Indonesia, yang diharapkan bisa mengatur segala urusan dunia Internet (siber), termasuk didalamnya memberi punishment terhadap pelaku cybercrime. Nah kalau memang benar cyberlaw, perlu kita diskusikan apakah kupasan cybercrime sudah semua terlingkupi? Di berbagai literatur, cybercrime dideteksi dari dua sudut pandang:

1. Kejahatan yang Menggunakan Teknologi Informasi Sebagai Fasilitas: Pembajakan, Pornografi, Pemalsuan/Pencurian Kartu Kredit, Penipuan Lewat Email (Fraud), Email Spam, Perjudian Online, Pencurian Account Internet, Terorisme, Isu Sara, Situs Yang Menyesatkan, dsb.
2. Kejahatan yang Menjadikan Sistem Teknologi Informasi  Sebagai Sasaran: Pencurian Data Pribadi, Pembuatan/Penyebaran Virus Komputer, Pembobolan/Pembajakan Situs, Cyberwar, Denial of Service (DOS), Kejahatan Berhubungan Dengan Nama Domain, dsb.

Cybercrime menjadi isu yang menarik dan kadang menyulitkan karena:

• Kegiatan dunia cyber tidak dibatasi oleh teritorial negara
• Kegiatan dunia cyber relatif tidak berwujud
• Sulitnya pembuktian karena data elektronik relatif mudah untuk diubah, disadap, dipalsukan dan dikirimkan ke seluruh belahan dunia dalam hitungan detik
• Pelanggaran hak cipta dimungkinkan secara teknologi
• Sudah tidak memungkinkan lagi menggunakan hukum konvensional. Analogi masalahnya adalah mirip dengan kekagetan hukum konvensional dan aparat ketika awal mula terjadi pencurian listrik. Barang bukti yang dicuripun tidak memungkinkan dibawah ke ruang sidang. Demikian dengan apabila ada kejahatan dunia maya, pencurian bandwidth, dsb

Contoh gampangnya rumitnya cybercrime dan cyberlaw:

• Seorang warga negara Indonesia yang berada di Australia melakukan cracking sebuah server web yang berada di Amerika, yang ternyata pemilik server adalah orang China dan tinggal di China. Hukum mana yang dipakai untuk mengadili si pelaku?
• Seorang mahasiswa Indonesia di Jepang, mengembangkan aplikasi tukar menukar file dan data elektronik secara online. Seseorang tanpa identitas meletakkan software bajakan dan video porno di server dimana aplikasi di install. Siapa yang bersalah? Dan siapa yang harus diadili?
• Seorang mahasiswa Indonesia di Jepang, meng-crack account dan password seluruh professor di sebuah fakultas. Menyimpannya dalam sebuah direktori publik, mengganti kepemilikan direktori dan file menjadi milik orang lain. Darimana polisi harus bergerak?

INDONESIA DAN CYBERCRIME

Paling tidak masalah cybercrime di Indonesia yang sempat saya catat adalah sebagai berikut: 

• Indonesia meskipun dengan penetrasi Internet yang rendah (8%), memiliki prestasi menakjubkan dalam cyberfraud terutama pencurian kartu kredit (carding). Menduduki urutan 2 setelah Ukraina (ClearCommerce)
• Indonesia menduduki peringkat 4 masalah pembajakan software setelah China, Vietnam, dan Ukraina (International Data Corp)
• Beberapa cracker Indonesia tertangkap di luar negeri, singapore, jepang, amerika, dsb
• Beberapa kelompok cracker Indonesia ter-record cukup aktif di situs zone-h.org dalam kegiatan pembobolan (deface) situs
• Kejahatan dunia cyber hingga pertengahan 2006 mencapai 27.804 kasus (APJII)
• Sejak tahun 2003 hingga kini, angka kerugian akibat kejahatan kartu kredit mencapai Rp 30 milyar per tahun (AKKI)
• Layanan e-commerce di luar negeri banyak yang memblok IP dan credit card Indonesia. Meskipun alhamdulillah, sejak era tahun 2007 akhir, mulai banyak layanan termasuk payment gateway semacam PayPal yang sudah mengizinkan pendaftaran dari Indonesia dan dengan credit card Indonesia

Indonesia menjadi tampak tertinggal dan sedikit terkucilkan di dunia internasional, karena negara lain misalnya Malaysia, Singapore dan Amerika sudah sejak 10 tahun yang lalu mengembangkan dan menyempurnakan Cyberlaw yang mereka miliki. Malaysia punya Computer Crime Act (Akta Kejahatan Komputer) 1997, Communication and Multimedia Act (Akta Komunikasi dan Multimedia) 1998, dan Digital Signature Act (Akta Tandatangan Digital) 1997. Singapore juga sudah punya The Electronic Act (Akta Elektronik) 1998, Electronic Communication Privacy Act (Akta Privasi Komunikasi Elektronik) 1996. Amerika intens untuk memerangi child pornography dengan: US Child Online Protection Act (COPA), US Child Pornography Protection Act, US Child Internet Protection Act (CIPA), US New Laws and Rulemaking.

Jadi kesimpulannya, cyberlaw adalah kebutuhan kita bersama. Cyberlaw akan menyelamatkan kepentingan nasional, pebisnis Internet, para akademisi dan masyarakat secara umum, sehingga harus kita dukung. Nah masalahnya adalah apakah UU ITE ini sudah mewakili alias layak untuk disebut sebagai sebuah cyberlaw? Kita analisa dulu sebenarnya apa isi UU ITE itu.

MUATAN UU ITE

Secara umum, bisa kita simpulkan bahwa UU ITE boleh disebut sebuah cyberlaw karena muatan dan cakupannya luas membahas pengaturan di dunia maya, meskipun di beberapa sisi ada yang belum terlalu lugas dan juga ada yang sedikit terlewat. Muatan UU ITE kalau saya rangkumkan adalah sebagai berikut:

• Tanda tangan elektronik memiliki kekuatan hukum yang sama dengan tanda tangan konvensional (tinta basah dan bermaterai). Sesuai dengan e-ASEAN Framework Guidelines (pengakuan tanda tangan digital lintas batas)
• Alat bukti elektronik diakui seperti alat bukti lainnya yang diatur dalam KUHP
• UU ITE berlaku untuk setiap orang yang melakukan perbuatan hukum, baik yang berada di wilayah Indonesia maupun di luar Indonesia yang memiliki akibat hukum di Indonesia
• Pengaturan Nama domain dan Hak Kekayaan Intelektual
• Perbuatan yang dilarang (cybercrime) dijelaskan pada Bab VII (pasal 27-37):
  • Pasal 27 (Asusila, Perjudian, Penghinaan, Pemerasan)
  • Pasal 28 (Berita Bohong dan Menyesatkan, Berita Kebencian dan Permusuhan)
  • Pasal 29 (Ancaman Kekerasan dan Menakut-nakuti)
  • Pasal 30 (Akses Komputer Pihak Lain Tanpa Izin, Cracking)
  • Pasal 31 (Penyadapan, Perubahan, Penghilangan Informasi)
  • Pasal 32 (Pemindahan, Perusakan dan Membuka Informasi Rahasia)
  • Pasal 33 (Virus?, Membuat Sistem Tidak Bekerja (DOS?))
  • Pasal 35 (Menjadikan Seolah Dokumen Otentik(phising?))

PASAL KRUSIAL

Pasal yang boleh disebut krusial dan sering dikritik adalah Pasal 27-29, wa bil khusus Pasal 27 pasal 3 tentang muatan pencemaran nama baik. Terlihat jelas bahwa Pasal tentang penghinaan, pencemaran, berita kebencian, permusuhan, ancaman dan menakut-nakuti ini cukup mendominasi di daftar  perbuatan yang dilarang menurut UU ITE. Bahkan sampai melewatkan masalah spamming, yang sebenarnya termasuk masalah vital dan sangat mengganggu di transaksi elektronik. Pasal 27 ayat 3 ini yang juga dipermasalahkan juga oleh Dewan Pers bahkan mengajukan judicial review ke mahkamah konstitusi. Perlu dicatat bahwa sebagian pasal karet (pencemaran, penyebaran kebencian, penghinaan, dsb) di KUHP sudah dianulir oleh Mahkamah Konstitusi.

Para Blogger patut khawatir karena selama ini dunia blogging mengedepankan asas keterbukaan informasi dan kebebasan diskusi. Kita semua tentu tidak berharap bahwa seorang blogger harus didenda 1 miliar rupiah karena mempublish posting berupa komplain terhadap suatu perusahaan yang memberikan layanan buruk, atau posting yang meluruskan pernyataan seorang “pakar” yang salah konsep atau kurang valid dalam pengambilan data. Kekhawatiran ini semakin bertambah karena pernyataan dari seorang staff ahli depkominfo bahwa UU ITE ditujukan untuk blogger dan bukan untuk pers Pernyataan ini bahkan keluar setelah pak Nuh menyatakan bahwa blogger is a part of depkominfo family. Padahal sudah jelas bahwa UU ITE ditujukan untuk setiap orang.

YANG TERLEWAT DAN PERLU PERSIAPAN DARI UU ITE

Beberapa yang masih terlewat, kurang lugas dan perlu didetailkan dengan peraturan dalam tingkat lebih rendah dari UU ITE (Peraturan Menteri, dsb) adalah masalah:

• Spamming, baik untuk email spamming maupun masalah penjualan data pribadi oleh perbankan, asuransi, dsb
• Virus dan worm komputer (masih implisit di Pasal 33), terutama untuk pengembangan dan penyebarannya
• Kemudian juga tentang kesiapan aparat dalam implementasi UU ITE. Amerika, China dan Singapore melengkapi implementasi cyberlaw dengan kesiapan aparat. Child Pornography di Amerika bahkan diberantas dengan memberi jebakan ke para pedofili dan pengembang situs porno anak-anak
• Terakhir ada yang cukup mengganggu, yaitu pada bagian penjelasan UU ITE kok persis plek alias copy paste dari bab I buku karya Prof. Dr. Ahmad Ramli, SH, MH berjudul Cyberlaw dan HAKI dalam Sistem Hukum Indonesia. Kalaupun pak Ahmad Ramli ikut menjadi staf ahli penyusun UU ITE tersebut, seharusnya janganlah terus langsung copy paste buku bab 1 untuk bagian Penjelasan UU ITE, karena nanti yang tanda tangan adalah Presiden Republik Indonesia. Mudah-mudahan yang terakhir ini bisa direvisi dengan cepat. Mahasiswa saja dilarang copas apalagi dosen hehehehe

KESIMPULAN

UU ITE adalah cyberlaw-nya Indonesia, kedudukannya sangat penting untuk mendukung lancarnya kegiatan para pebisnis Internet, melindungi akademisi, masyarakat dan mengangkat citra Indonesia di level internasional. Cakupan UU ITE luas (bahkan terlalu luas?), mungkin perlu peraturan di bawah UU ITE yang mengatur hal-hal lebih mendetail (peraturan mentri, dsb). UU ITE masih perlu perbaikan, ditingkatkan kelugasannya sehingga tidak ada pasal karet yang bisa dimanfaatkan untuk kegiatan yang tidak produktif

Daftar pustaka

http://romisatriawahono.net/2008/04/24/analisa-uu-ite/

http://bebas.vlsm.org/v06/Kuliah/MTI-Keamanan-Sistem-Informasi/2005/130/130M-09-final2.0-laws_investigations_and_ethics.pdf

http://www.virtual.co.id/blog/dotcom/cyber-law-pertama-uu-informasi-dan-transaksi-elektronik/

LAMPIRAN UU ITE

CYBER LAW PERTAMA: UU INFORMASI DAN TRANSAKSI ELEKTRONIK

Akhirnya Rancangan Undang Undang Informasi dan Transaksi Elektronik (RUU ITE) disetujui DPR menjadi Undang-Undang dua hari lalu. UU ini, dengan demikian menjadi cyber law pertama di Indonesia. Isinya cukup luas. Banyak hal diatur disini yang amat penting bagi pelaku bisnis di dunia maya. Sayang, yang ramai di media justru mengenai pasal pornografi (mereka yang menyebarkan pornografi dan kekerasan di Interent akan menerima konsekwensi hukum).

Yang jelas, dengan cyberlaw ini, sudah ada payung hukum di dunia maya. Maka kalau Anda bergerak di bisnis ini,pelajari baik-baik isinya. Saya tuliskan di bawah ini RUU-nya (yang secara resmi disetujui DPR menjadi UU). Sangat panjang, dan melelahkan kalau dibaca. Silahkan download Rancangan Undang Undang Informasi dan Transaksi Elektronik (RUU ITE) jika ingin baca secara offline.

——————

DEWAN PERWAKILAN RAKYAT REPUBLIK INDONESIA
RANCANGAN UNDANG?UNDANG REPUBLIK INDONESIA NOMOR … TAHUN ….
TENTANG INFORMASI DAN TRANSAKSI ELEKTRONIK

PRESIDEN REPUBLIK INDONESIA,

Menimbang :

a. bahwa pembangunan nasional adalah suatu proses yang berkelanjutan yang harus senantiasa tanggap terhadap berbagai dinamika yang terjadi di masyarakat;
b. bahwa globalisasi informasi telah menempatkan Indonesia sebagai bagian dari masyarakat informasi dunia sehingga mengharuskan dibentuknya pengaturan mengenai pengelolaan Informasi dan Transaksi Elektronik di tingkat nasional sehingga pembangunan Teknologi Informasi dapat dilakukan secara optimal, merata, dan menyebar ke seluruh lapisan masyarakat guna mencerdaskan kehidupan bangsa;
c. bahwa perkembangan dan kemajuan Teknologi Informasi yang demikian pesat telah
menyebabkan perubahan kegiatan kehidupan manusia dalam berbagai bidang yang secara
langsung telah memengaruhi lahirnya bentuk?bentuk perbuatan hukum baru;
d. bahwa penggunaan dan pemanfaatan Teknologi Informasi harus terus dikembangkan untuk enjaga, memelihara, dan memperkukuh persatuan dan kesatuan nasional berdasarkan Peraturan Perundang?undangan demi kepentingan nasional;
e. bahwa pemanfaatan Teknologi Informasi berperan penting dalam perdagangan dan
pertumbuhan perekonomian nasional untuk mewujudkan kesejahteraan masyarakat;
f. bahwa pemerintah perlu mendukung pengembangan Teknologi Informasi melalui infrastruktur hukum dan pengaturannya sehingga pemanfaatan Teknologi Informasi dilakukan secara aman untuk mencegah penyalahgunaannya dengan memperhatikan nilai?nilai agama dan sosial udaya masyarakat Indonesia;
g. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, huruf b, huruf c, huruf , huruf e, dan huruf f perlu membentuk Undang?Undang tentang Informasi dan Transaksi Elektronik;

Mengingat :

Pasal 5 ayat (1) dan Pasal 20 Undang?Undang Dasar Negara Republik Indonesia Tahun 1945;

Dengan Persetujuan Bersama
DEWAN PERWAKILAN RAKYAT REPUBLIK INDONESIA
dan
PRESIDEN REPUBLIK INDONESIA
MEMUTUSKAN:
Menetapkan : UNDANG?UNDANG TENTANG INFORMASI DAN TRANSAKSI ELEKTRONIK.

BAB I
KETENTUAN UMUM
Pasal 1

Dalam Undang?Undang ini yang dimaksud dengan:
1. Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak erbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat ipahami oleh orang yang mampu memahaminya.
2. Transaksi Elektronik adalah perbuatan hukum yang dilakukan dengan menggunakan Komputer, jaringan Komputer, dan/atau media elektronik lainnya.
3. Teknologi Informasi adalah suatu teknik untuk mengumpulkan, menyiapkan, menyimpan, memproses, mengumumkan, menganalisis, dan/atau menyebarkan informasi.
4. Dokumen Elektronik adalah setiap Informasi Elektronik yang dibuat, diteruskan, dikirimkan, diterima, atau disimpan dalam bentuk analog, digital, elektromagnetik, optikal, atau sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui Komputer atau Sistem Elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya.
5. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.
6. Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat.
7. Jaringan Sistem Elektronik adalah terhubungnya dua Sistem Elektronik atau lebih, yang bersifat tertutup ataupun terbuka.
8. Agen Elektronik adalah perangkat dari suatu Sistem Elektronik yang dibuat untuk melakukan suatu tindakan terhadap suatu Informasi Elektronik tertentu secara otomatis yang diselenggarakan oleh Orang.
9. Sertifikat Elektronik adalah sertifikat yang bersifat elektronik yang memuat Tanda Tangan Elektronik dan identitas yang menunjukkan status subjek hukum para pihak dalam Transaksi Elektronik yang dikeluarkan oleh Penyelenggara Sertifikasi Elektronik.
10. Penyelenggara Sertifikasi Elektronik adalah badan hukum yang berfungsi sebagai pihak yang layak dipercaya, yang memberikan dan mengaudit Sertifikat Elektronik.
11. Lembaga Sertifikasi Keandalan adalah lembaga independen yang dibentuk oleh profesional yang diakui, disahkan, dan diawasi oleh Pemerintah dengan kewenangan mengaudit dan mengeluarkan sertifikat keandalan dalam Transaksi Elektronik.
12. Tanda Tangan Elektronik adalah tanda tangan yang terdiri atas Informasi Elektronik yang dilekatkan, terasosiasi atau terkait dengan Informasi Elektronik lainnya yang digunakan sebagai alat verifikasi dan autentikasi.
13. Penanda Tangan adalah subjek hukum yang terasosiasikan atau terkait dengan Tanda Tangan Elektronik.
14. Komputer adalah alat untuk memproses data elektronik, magnetik, optik, atau sistem yang melaksanakan fungsi logika, aritmatika, dan penyimpanan.
15. Akses adalah kegiatan melakukan interaksi dengan Sistem Elektronik yang berdiri sendiri atau dalam jaringan.
16. Kode Akses adalah angka, huruf, simbol, karakter lainnya atau kombinasi di antaranya, yang merupakan kunci untuk dapat mengakses Komputer dan/atau Sistem Elektronik lainnya.
17. Kontrak Elektronik adalah perjanjian para pihak yang dibuat melalui Sistem Elektronik.
18. Pengirim adalah subjek hukum yang mengirimkan Informasi Elektronik dan/atau Dokumen Elektronik.
19. Penerima adalah subjek hukum yang menerima Informasi Elektronik dan/atau Dokumen Elektronik dari Pengirim.
20. Nama Domain adalah alamat internet penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat, yang dapat digunakan dalam berkomunikasi melalui internet, yang berupa kode atau susunan karakter yang bersifat unik untuk menunjukkan lokasi tertentu dalam internet.
21. Orang adalah orang perseorangan, baik warga negara Indonesia, warga negara asing, maupun badan hukum.
22. Badan Usaha adalah perusahaan perseorangan atau perusahaan persekutuan, baik yang berbadan hukum maupun yang tidak berbadan hukum.
23. Pemerintah adalah Menteri atau pejabat lainnya yang ditunjuk oleh Presiden.
Pasal 2 Undang?Undang ini berlaku untuk setiap Orang yang melakukan perbuatan hukum sebagaimana diatur dalam Undang?Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan Indonesia.

BAB II
ASAS DAN TUJUAN
Pasal 3

Pemanfaatan Teknologi Informasi dan Transaksi Elektronik dilaksanakan berdasarkan asas kepastian hukum, manfaat, kehati?hatian, iktikad baik, dan kebebasan memilih teknologi atau netral teknologi.

Pasal 4

Pemanfaatan Teknologi Informasi dan Transaksi Elektronik dilaksanakan dengan tujuan untuk:

a. mencerdaskan kehidupan bangsa sebagai bagian dari masyarakat informasi dunia;
b. mengembangkan perdagangan dan perekonomian nasional dalam rangka meningkatkan kesejahteraan masyarakat;
c. meningkatkan efektivitas dan efisiensi pelayanan publik;
d. membuka kesempatan seluas?luasnya kepada setiap Orang untuk memajukan pemikiran dan kemampuan di bidang penggunaan dan pemanfaatan Teknologi Informasi seoptimal mungkin dan bertanggung jawab; dan
e. memberikan rasa aman, keadilan, dan kepastian hukum bagi pengguna dan
penyelenggara Teknologi Informasi.

BAB III
INFORMASI, DOKUMEN, DAN TANDA TANGAN ELEKTRONIK
Pasal 5

1) Informasi Elektronik dan/atau Dokumen Elektronik dan/atau hasil cetaknya merupakan alat bukti hukum yang sah.
2) Informasi Elektronik dan/atau Dokumen Elektronik dan/atau hasil cetaknya sebagaimana dimaksud pada ayat (1) merupakan perluasan dari alat bukti yang sah sesuai dengan Hukum Acara yang berlaku di Indonesia.
3) Informasi Elektronik dan/atau Dokumen Elektronik dinyatakan sah apabila menggunakan Sistem Elektronik sesuai dengan ketentuan yang diatur dalam Undang?Undang ini.
4) Ketentuan mengenai Informasi Elektronik dan/atau Dokumen Elektronik sebagaimana dimaksud pada ayat (1) tidak berlaku untuk:

a. surat yang menurut Undang?Undang harus dibuat dalam bentuk tertulis; dan
b. surat beserta dokumennya yang menurut Undang?Undang harus dibuat dalam bentuk akta notaril atau akta yang dibuat oleh pejabat pembuat akta.

Pasal 6

Dalam hal terdapat ketentuan lain selain yang diatur dalam Pasal 5 ayat (4) yang mensyaratkan bahwa suatu informasi harus berbentuk tertulis atau asli, Informasi Elektronik dan/atau Dokumen Elektronik dianggap sah sepanjang informasi yang tercantum di dalamnya dapat diakses, ditampilkan, dijamin keutuhannya, dan dapat dipertanggungjawabkan sehingga menerangkan suatu keadaan.

Pasal 7

Setiap Orang yang menyatakan hak, memperkuat hak yang telah ada, atau menolak hak Orang lain berdasarkan adanya Informasi Elektronik dan/atau Dokumen Elektronik harus memastikan bahwa Informasi Elektronik dan/atau Dokumen Elektronik yang ada padanya berasal dari Sistem Elektronik yang memenuhi syarat berdasarkan Peraturan Perundang?undangan.

Pasal 8

(1) Kecuali diperjanjikan lain, waktu pengiriman suatu Informasi Elektronik dan/atau Dokumen Elektronik ditentukan pada saat Informasi Elektronik dan/atau Dokumen Elektronik telah dikirim dengan alamat yang benar oleh Pengirim ke suatu Sistem Elektronik yang ditunjuk atau dipergunakan Penerima dan telah memasuki Sistem Elektronik yang berada di luar kendali Pengirim.
(2) Kecuali diperjanjikan lain, waktu penerimaan suatu Informasi Elektronik dan/atau Dokumen Elektronik ditentukan pada saat Informasi Elektronik dan/atau Dokumen Elektronik memasuki Sistem Elektronik di bawah kendali Penerima yang berhak.
(3) Dalam hal Penerima telah menunjuk suatu Sistem Elektronik tertentu untuk menerima Informasi elektronik, penerimaan terjadi pada saat Informasi Elektronik dan/atau Dokumen Elektronik memasuki Sistem Elektronik yang ditunjuk.
(4) Dalam hal terdapat dua atau lebih sistem informasi yang digunakan dalam pengiriman atau penerimaan Informasi Elektronik dan/atau Dokumen Elektronik, maka:

a. waktu pengiriman adalah ketika Informasi Elektronik dan/atau Dokumen Elektronik memasuki sistem informasi pertama yang berada di luar kendali Pengirim;
b. waktu penerimaan adalah ketika Informasi Elektronik dan/atau Dokumen Elektronik memasuki sistem informasi terakhir yang berada di bawah kendali Penerima.

Pasal 9

Pelaku usaha yang menawarkan produk melalui Sistem Elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan.

Pasal 10

(1) Setiap pelaku usaha yang menyelenggarakan Transaksi Elektronik dapat disertifikasi oleh Lembaga Sertifikasi Keandalan.
(2) Ketentuan mengenai pembentukan Lembaga Sertifikasi Keandalan sebagaimana dimaksud pada ayat
(1) diatur dengan Peraturan Pemerintah.

Pasal 11

(1) Tanda Tangan Elektronik memiliki kekuatan hukum dan akibat hukum yang sah selama memenuhi persyaratan sebagai berikut:

a. data pembuatan Tanda Tangan Elektronik terkait hanya kepada Penanda Tangan;
b. data pembuatan Tanda Tangan Elektronik pada saat proses penandatanganan elektronik hanya berada dalam kuasa Penanda Tangan;
c. segala perubahan terhadap Tanda Tangan Elektronik yang terjadi setelah waktu penandatanganan dapat diketahui;
d. segala perubahan terhadap Informasi Elektronik yang terkait dengan Tanda Tangan Elektronik tersebut setelah waktu penandatanganan dapat diketahui;
e. terdapat cara tertentu yang dipakai untuk mengidentifikasi siapa Penandatangannya; dan
f. terdapat cara tertentu untuk menunjukkan bahwa Penanda Tangan telah memberikan persetujuan terhadap Informasi Elektronik yang terkait.

(2) Ketentuan lebih lanjut tentang Tanda Tangan Elektronik sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Pemerintah.

Pasal 12

(1) Setiap Orang yang terlibat dalam Tanda Tangan Elektronik berkewajiban memberikan pengamanan atas Tanda Tangan Elektronik yang digunakannya.
(2) Pengamanan Tanda Tangan Elektronik sebagaimana dimaksud pada ayat (1) sekurang?kurangnya meliputi:

a. Sistem tidak dapat diakses oleh Orang lain yang tidak berhak;
b. Penanda Tangan harus menerapkan prinsip kehati?hatian untuk menghindari penggunaan secara tidak sah terhadap data terkait pembuatan Tanda Tangan Elektronik;
c. Penanda Tangan harus tanpa menunda?nunda, menggunakan cara yang dianjurkan oleh

penyelenggara Tanda Tangan Elektronik ataupun cara lain yang layak dan sepatutnya harus segera memberitahukan kepada seseorang yang oleh Penanda Tangan dianggap memercayai Tanda Tangan Elektronik atau kepada pihak pendukung layanan Tanda Tangan Elektronik jika:
1. Penanda Tangan mengetahui bahwa data pembuatan Tanda Tangan Elektronik telah dibobol; atau
2. Keadaan yang diketahui oleh Penanda Tangan dapat menimbulkan risiko yang berarti, kemungkinan akibat bobolnya data pembuatan Tanda Tangan Elektronik; dan

d. Dalam hal Sertifikat Elektronik digunakan untuk mendukung Tanda Tangan Elektronik, Penanda Tangan harus memastikan kebenaran dan keutuhan semua informasi yang terkait dengan Sertifikat Elektronik tersebut.

(3) Setiap Orang yang melakukan pelanggaran ketentuan sebagaimana dimaksud pada ayat (1), bertanggung jawab atas segala kerugian dan konsekuensi hukum yang timbul.

BAB IV
PENYELENGGARAAN SERTIFIKASI ELEKTRONIK DAN SISTEM ELEKTRONIK
Bagian Kesatu
Penyelenggaraan Sertifikasi Elektronik
Pasal 13

(1) Setiap Orang berhak menggunakan jasa Penyelenggara Sertifikasi Elektronik untuk pembuatan Tanda Tangan Elektronik.
(2) Penyelenggara Sertifikasi Elektronik harus memastikan keterkaitan suatu Tanda Tangan Elektronik dengan pemiliknya.
(3) Penyelenggara Sertifikasi Elektronik terdiri atas:

a. Penyelenggara Sertifikasi Elektronik Indonesia; dan
b. Penyelenggara Sertifikasi Elektronik asing.

(4) Penyelenggara Sertifikasi Elektronik Indonesia berbadan hukum Indonesia dan berdomisili di Indonesia.
(5) Penyelenggara Sertifikasi Elektronik asing yang beroperasi di Indonesia harus terdaftar di Indonesia.
(6) Ketentuan lebih lanjut mengenai Penyelenggara Sertifikasi Elektronik sebagaimana dimaksud pada ayat (3) diatur dengan Peraturan Pemerintah.

Pasal 14

Penyelenggara Sertifikasi Elektronik sebagaimana dimaksud dalam Pasal 13 ayat (1) sampai dengan ayat (5) harus menyediakan informasi yang akurat, jelas, dan pasti kepada setiap pengguna jasa, yang meliputi:

a. metode yang digunakan untuk mengidentifikasi Penanda Tangan;
b. hal yang dapat digunakan untuk mengetahui data diri pembuat Tanda Tangan Elektronik; dan
c. hal yang dapat digunakan untuk menunjukkan keberlakuan dan keamanan Tanda Tangan Elektronik.

Bagian Kedua
Penyelenggaraan Sistem Elektronik
Pasal 15

(1) Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya.
(2) Penyelenggara Sistem Elektronik bertanggung jawab terhadap Penyelenggaraan Sistem Elektroniknya.
(3) Ketentuan sebagaimana dimaksud pada ayat (2) tidak berlaku dalam hal dapat dibuktikan terjadinya keadaan memaksa, kesalahan, dan/atau kelalaian pihak pengguna Sistem Elektronik.

Pasal 16

(1) Sepanjang tidak ditentukan lain oleh undang?undang tersendiri, setiap Penyelenggara Sistem Elektronik wajib mengoperasikan Sistem Elektronik yang memenuhi persyaratan minimum sebagai berikut:

a. dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang?undangan;
b. dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut;
c. dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut;
d. dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan Penyelenggaraan Sistem Elektronik tersebut; dan
e. memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggungjawaban prosedur atau petunjuk.

(2) Ketentuan lebih lanjut tentang Penyelenggaraan Sistem Elektronik sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Pemerintah.

BAB V
TRANSAKSI ELEKTRONIK
Pasal 17

(1) Penyelenggaraan Transaksi Elektronik dapat dilakukan dalam lingkup publik ataupun privat.
(2) Para pihak yang melakukan Transaksi Elektronik sebagaimana dimaksud pada ayat (1) wajib beriktikad baik dalam melakukan interaksi dan/atau pertukaran Informasi Elektronik dan/atau Dokumen Elektronik selama transaksi berlangsung.
(3) Ketentuan lebih lanjut mengenai penyelenggaraan Transaksi Elektronik sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Pemerintah.

Pasal 18

(1) Transaksi Elektronik yang dituangkan ke dalam Kontrak Elektronik mengikat para pihak.
(2) Para pihak memiliki kewenangan untuk memilih hukum yang berlaku bagi Transaksi Elektronik internasional yang dibuatnya.
(3) Jika para pihak tidak melakukan pilihan hukum dalam Transaksi Elektronik internasional, hukum yang berlaku didasarkan pada asas Hukum Perdata Internasional.
(4) Para pihak memiliki kewenangan untuk menetapkan forum pengadilan, arbitrase, atau lembaga penyelesaian sengketa alternatif lainnya yang berwenang menangani sengketa yang mungkin timbul dari Transaksi Elektronik internasional yang dibuatnya.
(5) Jika para pihak tidak melakukan pilihan forum sebagaimana dimaksud pada ayat (4), penetapan kewenangan pengadilan, arbitrase, atau lembaga penyelesaian sengketa alternatif lainnya yang berwenang menangani sengketa yang mungkin timbul dari transaksi tersebut, didasarkan pada asas Hukum Perdata Internasional.

Pasal 19

Para pihak yang melakukan Transaksi Elektronik harus menggunakan Sistem
Elektronik yang disepakati.

Pasal 20

(1) Kecuali ditentukan lain oleh para pihak, Transaksi Elektronik terjadi pada saat penawaran transaksi yang dikirim Pengirim telah diterima dan disetujui Penerima.
(2) Persetujuan atas penawaran Transaksi Elektronik sebagaimana dimaksud pada ayat (1) harus dilakukan dengan pernyataan penerimaan secara elektronik.

Pasal 21

(1) Pengirim atau Penerima dapat melakukan Transaksi Elektronik sendiri, melalui pihak yang dikuasakan olehnya, atau melalui Agen Elektronik.
(2) Pihak yang bertanggung jawab atas segala akibat hukum dalam pelaksanaan Transaksi Elektronik sebagaimana dimaksud pada ayat (1) diatur sebagai berikut:

a. jika dilakukan sendiri, segala akibat hukum dalam pelaksanaan Transaksi Elektronik menjadi tanggung jawab para pihak yang bertransaksi;
b. jika dilakukan melalui pemberian kuasa, segala akibat hukum dalam pelaksanaan Transaksi Elektronik menjadi tanggung jawab pemberi kuasa; atau
c. jika dilakukan melalui Agen Elektronik, segala akibat hukum dalam pelaksanaan Transaksi Elektronik menjadi tanggung jawab penyelenggara Agen Elektronik.

(3) Jika kerugian Transaksi Elektronik disebabkan gagal beroperasinya Agen Elektronik akibat tindakan pihak ketiga secara langsung terhadap Sistem Elektronik, segala akibat hukum menjadi tanggung jawab penyelenggara Agen Elektronik.
(4) Jika kerugian Transaksi Elektronik disebabkan gagal beroperasinya Agen Elektronik akibat kelalaian pihak pengguna jasa layanan, segala akibat hukum menjadi tanggung jawab pengguna jasa layanan.
(5) Ketentuan sebagaimana dimaksud pada ayat (2) tidak berlaku dalam hal dapat dibuktikan terjadinya keadaan memaksa, kesalahan, dan/atau kelalaian pihak pengguna Sistem Elektronik.

Pasal 22

(1) Penyelenggara Agen Elektronik tertentu harus menyediakan fitur pada Agen Elektronik yang dioperasikannya yang memungkinkan penggunanya melakukan perubahan informasi yang masih dalam proses transaksi.
(2) Ketentuan lebih lanjut mengenai penyelenggara Agen Elektronik tertentu sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Pemerintah.

BAB VI

NAMA DOMAIN, HAK KEKAYAAN INTELEKTUAL,
DAN PERLINDUNGAN HAK PRIBADI
Pasal 23

(1) Setiap penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat berhak memiliki Nama Domain berdasarkan prinsip pendaftar pertama.
(2) Pemilikan dan penggunaan Nama Domain sebagaimana dimaksud pada ayat (1) harus didasarkan pada iktikad baik, tidak melanggar prinsip persaingan usaha secara sehat, dan tidak melanggar hak Orang lain.
(3) Setiap penyelenggara negara, Orang, Badan Usaha, atau masyarakat yang dirugikan karena penggunaan Nama Domain secara tanpa hak oleh Orang lain, berhak mengajukan gugatan pembatalan Nama Domain dimaksud.

Pasal 24

(1) Pengelola Nama Domain adalah Pemerintah dan/atau masyarakat.
(2) Dalam hal terjadi perselisihan pengelolaan Nama Domain oleh masyarakat, Pemerintah berhak mengambil alih sementara pengelolaan Nama Domain yang diperselisihkan.
(3) Pengelola Nama Domain yang berada di luar wilayah Indonesia dan Nama Domain yang diregistrasinya diakui keberadaannya sepanjang tidak bertentangan dengan Peraturan Perundangundangan.
(4) Ketentuan lebih lanjut mengenai pengelolaan Nama Domain sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (3) diatur dengan Peraturan Pemerintah.

Pasal 25

Informasi Elektronik dan/atau Dokumen Elektronik yang disusun menjadi karya intelektual, situs internet, dan karya intelektual yang ada di dalamnya dilindungi sebagai Hak Kekayaan Intelektual berdasarkan ketentuan Peraturan Perundang?undangan.

Pasal 26

(1) Kecuali ditentukan lain oleh Peraturan Perundang?undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.
(2) Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang?Undang ini.

BAB VII
PERBUATAN YANG DILARANG
Pasal 27

(1) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan yang melanggar kesusilaan.
(2) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan perjudian.
(3) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan penghinaan dan/atau pencemaran nama baik.
(4) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan pemerasan dan/atau pengancaman.

Pasal 28

(1) Setiap Orang dengan sengaja dan tanpa hak menyebarkan berita bohong dan menyesatkan yang mengakibatkan kerugian konsumen dalam Transaksi Elektronik.
(2) Setiap Orang dengan sengaja dan tanpa hak menyebarkan informasi yang ditujukan untuk menimbulkan rasa kebencian atau permusuhan individu dan/atau kelompok masyarakat tertentu berdasarkan atas suku, agama, ras, dan antargolongan (SARA).

Pasal 29

Setiap Orang dengan sengaja dan tanpa hak mengirimkan Informasi Elektronik
dan/atau Dokumen Elektronik yang berisi ancaman kekerasan atau
menakut?nakuti yang ditujukan secara pribadi.

Pasal 30

(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.
(2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.
(3) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Pasal 31

(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atau penyadapan atas Informasi Elektronik dan/atau Dokumen Elektronik dalam suatu Komputer dan/atau Sistem Elektronik tertentu milik Orang lain.
(2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atas transmisi Informasi Elektronik dan/atau Dokumen Elektronik yang tidak bersifat publik dari, ke, dan di dalam suatu Komputer dan/atau Sistem Elektronik tertentu milik Orang lain, baik yang tidak menyebabkan perubahan apa pun maupun yang menyebabkan adanya perubahan, penghilangan, dan/atau penghentian Informasi Elektronik dan/atau Dokumen Elektronik yang sedang ditransmisikan.
(3) Kecuali intersepsi sebagaimana dimaksud pada ayat (1) dan ayat (2), intersepsi yang dilakukan dalam rangka penegakan hukum atas permintaan kepolisian, kejaksaan, dan/atau institusi penegak hukum lainnya yang ditetapkan berdasarkan undang?undang.
(4) Ketentuan lebih lanjut mengenai tata cara intersepsi sebagaimana dimaksud pada ayat (3) diatur dengan Peraturan Pemerintah.

Pasal 32

(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.
(2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak.
(3) Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya.

Pasal 33

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan tindakan apa pun yang berakibat terganggunya Sistem Elektronik dan/atau mengakibatkan Sistem Elektronik menjadi tidak bekerja sebagaimana mestinya.

Pasal 34

(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum memproduksi, menjual, mengadakan untuk digunakan, mengimpor, mendistribusikan, menyediakan, atau memiliki:

a. perangkat keras atau perangkat lunak Komputer yang dirancang atau secara khusus
dikembangkan untuk memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33;
b. sandi lewat Komputer, Kode Akses, atau hal yang sejenis dengan itu yang ditujukan agar Sistem Elektronik menjadi dapat diakses dengan tujuan memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33.

(2) Tindakan sebagaimana dimaksud pada ayat (1) bukan tindak pidana jika ditujukan untuk melakukan kegiatan penelitian, pengujian Sistem Elektronik, untuk perlindungan Sistem Elektronik itu sendiri secara sah dan tidak melawan hukum.

Pasal 35

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan Informasi Elektronik dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut dianggap seolah?olah data yang otentik.

Pasal 36

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 34 yang mengakibatkan kerugian bagi Orang lain.

Pasal 37

Setiap Orang dengan sengaja melakukan perbuatan yang dilarang sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 36 di luar wilayah Indonesia terhadap Sistem Elektronik yang berada di wilayah yurisdiksi Indonesia.

BAB VIII
PENYELESAIAN SENGKETA
Pasal 38

(1) Setiap Orang dapat mengajukan gugatan terhadap pihak yang menyelenggarakan Sistem Elektronik dan/atau menggunakan Teknologi Informasi yang menimbulkan kerugian.
(2) Masyarakat dapat mengajukan gugatan secara perwakilan terhadap pihak yang menyelenggarakan Sistem Elektronik dan/atau menggunakan Teknologi Informasi yang berakibat merugikan masyarakat, sesuai dengan ketentuan Peraturan Perundang?undangan.

Pasal 39

(1) Gugatan perdata dilakukan sesuai dengan ketentuan Peraturan Perundang?undangan.
(2) Selain penyelesaian gugatan perdata sebagaimana dimaksud pada ayat (1), para pihak dapat menyelesaikan sengketa melalui arbitrase, atau lembaga penyelesaian sengketa alternatif lainnya sesuai dengan ketentuan Peraturan Perundang?undangan.

BAB IX
PERAN PEMERINTAH DAN PERAN MASYARAKAT
Pasal 40

(1) Pemerintah memfasilitasi pemanfaatan Teknologi Informasi dan Transaksi Elektronik sesuai dengan ketentuan Peraturan Perundang?undangan.
(2) Pemerintah melindungi kepentingan umum dari segala jenis gangguan sebagai akibat
penyalahgunaan Informasi Elektronik dan Transaksi Elektronik yang mengganggu ketertiban umum, sesuai dengan ketentuan Peraturan Perundang?undangan.
(3) Pemerintah menetapkan instansi atau institusi yang memiliki data elektronik strategis yang wajib dilindungi.
(4) Instansi atau institusi sebagaimana dimaksud pada ayat (3) harus membuat Dokumen Elektronik dan rekam cadang elektroniknya serta menghubungkannya ke pusat data tertentu untuk kepentingan pengamanan data.
(5) Instansi atau institusi lain selain diatur pada ayat (3) membuat Dokumen Elektronik dan rekam cadang elektroniknya sesuai dengan keperluan perlindungan data yang dimilikinya.
(6) Ketentuan lebih lanjut mengenai peran Pemerintah sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (3) diatur dengan Peraturan Pemerintah.

Pasal 41

(1) Masyarakat dapat berperan meningkatkan pemanfaatan Teknologi Informasi melalui penggunaan dan Penyelenggaraan Sistem Elektronik dan Transaksi Elektronik sesuai dengan ketentuan Undang?Undang ini.
(2) Peran masyarakat sebagaimana dimaksud pada ayat (1) dapat diselenggarakan melalui lembaga yang dibentuk oleh masyarakat.
(3) Lembaga sebagaimana dimaksud pada ayat (2) dapat memiliki fungsi konsultasi dan mediasi.

BAB X
PENYIDIKAN
Pasal 42

Penyidikan terhadap tindak pidana sebagaimana dimaksud dalam Undang?Undang ini, dilakukan berdasarkan ketentuan dalam Hukum Acara Pidana dan ketentuan dalam Undang?Undang ini.

Pasal 43

(1) Selain Penyidik Pejabat Polisi Negara Republik Indonesia, Pejabat Pegawai Negeri Sipil tertentu di lingkungan Pemerintah yang lingkup tugas dan tanggung jawabnya di bidang Teknologi Informasi dan Transaksi Elektronik diberi wewenang khusus sebagai penyidik sebagaimana dimaksud dalam Undang?Undang tentang Hukum Acara Pidana untuk melakukan penyidikan tindak pidana di bidang Teknologi Informasi dan Transaksi Elektronik.
(2) Penyidikan di bidang Teknologi Informasi dan Transaksi Elektronik sebagaimana dimaksud pada ayat (1) dilakukan dengan memperhatikan perlindungan terhadap privasi, kerahasiaan, kelancaran layanan publik, integritas data, atau keutuhan data sesuai dengan ketentuan Peraturan Perundang?undangan.
(3) Penggeledahan dan/atau penyitaan terhadap sistem elektronik yang terkait dengan dugaan tindak pidana harus dilakukan atas izin ketua pengadilan negeri setempat.
(4) Dalam melakukan penggeledahan dan/atau penyitaan sebagaimana dimaksud pada ayat (3), penyidik wajib menjaga terpeliharanya kepentingan pelayanan umum.
(5) Penyidik Pegawai Negeri Sipil sebagaimana dimaksud pada ayat (1) berwenang:

a. menerima laporan atau pengaduan dari seseorang tentang adanya tindak pidana berdasarkan ketentuan Undang?Undang ini;
b. memanggil setiap Orang atau pihak lainnya untuk didengar dan/atau diperiksa sebagai tersangka atau saksi sehubungan dengan adanya dugaan tindak pidana di bidang terkait dengan ketentuan Undang?Undang ini;
c. melakukan pemeriksaan atas kebenaran laporan atau keterangan berkenaan dengan tindak pidana berdasarkan ketentuan Undang?Undang ini;
d. melakukan pemeriksaan terhadap Orang dan/atau Badan Usaha yang patut diduga melakukan tindak pidana berdasarkan Undang?Undang ini;
e. melakukan pemeriksaan terhadap alat dan/atau sarana yang berkaitan dengan kegiatan Teknologi Informasi yang diduga digunakan untuk melakukan tindak pidana berdasarkan Undang?Undang ini;
f. melakukan penggeledahan terhadap tempat tertentu yang diduga digunakan sebagai tempat untuk melakukan tindak pidana berdasarkan ketentuan Undang?Undang ini;
g. melakukan penyegelan dan penyitaan terhadap alat dan atau sarana kegiatan Teknologi Informasi yang diduga digunakan secara menyimpang dari ketentuan Peraturan Perundangundangan;
h. meminta bantuan ahli yang diperlukan dalam penyidikan terhadap tindak pidana berdasarkan Undang?Undang ini; dan/atau
i. mengadakan penghentian penyidikan tindak pidana berdasarkan Undang?Undang ini sesuai dengan ketentuan hukum acara pidana yang berlaku.

(6) Dalam hal melakukan penangkapan dan penahanan, penyidik melalui penuntut umum wajib meminta penetapan ketua pengadilan negeri setempat dalam waktu satu kali dua puluh empat jam.
(7) Penyidik Pegawai Negeri Sipil sebagaimana dimaksud pada ayat (1) berkoordinasi dengan Penyidik Pejabat Polisi Negara Republik Indonesia memberitahukan dimulainya penyidikan dan menyampaikan hasilnya kepada penuntut umum.
(8) Dalam rangka mengungkap tindak pidana Informasi Elektronik dan Transaksi Elektronik, penyidik dapat berkerja sama dengan penyidik negara lain untuk berbagi informasi dan alat bukti.

Pasal 44

Alat bukti penyidikan, penuntutan dan pemeriksaan di sidang pengadilan menurut ketentuan Undang?Undang ini adalah sebagai berikut:

a. alat bukti sebagaimana dimaksud dalam ketentuan Perundang?undangan; dan
b. alat bukti lain berupa Informasi Elektronik dan/atau Dokumen Elektronik sebagaimana dimaksud dalam Pasal 1 angka 1 dan angka 4 serta Pasal 5 ayat (1), ayat (2), dan ayat (3).

BAB XI
KETENTUAN PIDANA
Pasal 45

(1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 27 ayat (1), ayat (2), ayat (3), atau ayat (4) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00 (satu miliar rupiah).
(2) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 28 ayat (1) atau ayat (2) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00 (satu miliar rupiah).
(3) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 29 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).

Pasal 46

(1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah).
(2) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (tujuh ratus juta rupiah).
(3) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp800.000.000,00 (delapan ratus juta rupiah).

Pasal 47

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 31 ayat (1) atau ayat (2) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp800.000.000,00 (delapan ratus juta rupiah).

Pasal 48

(1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).
(2) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah).
(3) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (3) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).

Pasal 49

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 33, dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp10.000.000.000,00 (sepuluh miliar rupiah).

Pasal 50

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 34 ayat (1) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp10.000.000.000,00 (sepuluh miliar rupiah).

Pasal 51

(1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah).
(2) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 36 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah).

Pasal 52

(1) Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 27 ayat (1) menyangkut kesusilaan atau eksploitasi seksual terhadap anak dikenakan pemberatan sepertiga dari pidana pokok.
(2) Dalam hal perbuatan sebagaimana dimaksud dalam Pasal 30 sampai dengan Pasal 37 ditujukan terhadap Komputer dan/atau Sistem Elektronik serta Informasi Elektronik dan/atau Dokumen Elektronik milik Pemerintah dan/atau yang digunakan untuk layanan publik dipidana dengan pidana pokok ditambah sepertiga.
(3) Dalam hal perbuatan sebagaimana dimaksud dalam Pasal 30 sampai dengan Pasal 37 ditujukan terhadap Komputer dan/atau Sistem Elektronik serta Informasi Elektronik dan/atau Dokumen Elektronik milik Pemerintah dan/atau badan strategis termasuk dan tidak terbatas pada lembaga pertahanan, bank sentral, perbankan, keuangan, lembaga internasional, otoritas penerbangan diancam dengan pidana maksimal ancaman pidana pokok masing?masing Pasal ditambah dua pertiga.
(4) Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 37 dilakukan oleh korporasi dipidana dengan pidana pokok ditambah dua pertiga.

BAB XII
KETENTUAN PERALIHAN
Pasal 53

Pada saat berlakunya Undang?Undang ini, semua Peraturan Perundang?undangan
dan kelembagaan yang berhubungan dengan pemanfaatan Teknologi Informasi
yang tidak bertentangan dengan Undang?Undang ini dinyatakan tetap berlaku.

BAB XIII
KETENTUAN PENUTUP
Pasal 54

(1) Undang?Undang ini mulai berlaku pada tanggal diundangkan.
(2) Peraturan Pemerintah harus sudah ditetapkan paling lama 2 (dua) tahun setelah diundangkannya Undang?Undang ini. Agar setiap orang mengetahuinya, memerintahkan pengundangan Undang?Undang ini dengan penempatannya dalam Lembaran Negara Republik Indonesia.

Disahkan di Jakarta
pada tanggal ….
PRESIDEN REPUBLIK INDONESIA,
SUSILO BAMBANG YUDHOYONO
Diundangkan di Jakarta
pada tanggal …..
MENTERI HUKUM DAN HAK ASASI MANUSIA,
ANDI MATTALATA
LEMBARAN NEGARA REPUBLIK INDONESIA TAHUN … NOMOR …
DEWAN PERWAKILAN RAKYAT
REPUBLIK INDONESIA
RANCANGAN
PENJELASAN
RANCANGAN UNDANG?UNDANG REPUBLIK INDONESIA
NOMOR ……TAHUN ….
TENTANG
INFORMASI DAN TRANSAKSI ELEKTRONIK
I. UMUM

Pemanfaatan Teknologi Informasi, media, dan komunikasi telah mengubah baik perilaku masyarakat maupun peradaban manusia secara global. Perkembangan teknologi informasi dan komunikasi telah pula menyebabkan hubungan dunia menjadi tanpa batas (borderless) dan menyebabkan perubahan sosial, ekonomi, dan budaya secara signifikan berlangsung demikian cepat. Teknologi Informasi saat ini menjadi pedang bermata dua karena selain memberikan kontribusi bagi peningkatan kesejahteraan, kemajuan, dan peradaban manusia, sekaligus menjadi sarana efektif perbuatan melawan hukum.
Saat ini telah lahir suatu rezim hukum baru yang dikenal dengan hukum siber atau hukum telematika.
Hukum siber atau cyber law, secara internasional digunakan untuk istilah hukum yang terkait dengan pemanfaatan teknologi informasi dan komunikasi. Demikian pula, hukum telematika yang merupakan perwujudan dari konvergensi hukum telekomunikasi, hukum media, dan hukum informatika. Istilah lain yang juga digunakan adalah hukum teknologi informasi (law of information technology), hukum dunia maya (virtual world law), dan hukum mayantara. Istilah?istilah tersebut lahir mengingat kegiatan yang dilakukan melalui jaringan sistem komputer dan sistem komunikasi baik dalam lingkup lokal maupun global (Internet) dengan memanfaatkan teknologi informasi berbasis sistem komputer yang merupakan sistem elektronik yang dapat dilihat secara virtual. Permasalahan hukum yang seringkali dihadapi adalah ketika terkait dengan penyampaian informasi, komunikasi, dan/atau transaksi secara elektronik, khususnya dalam hal pembuktian dan hal yang terkait dengan perbuatan hukum yang dilaksanakan melalui sistem elektronik.
Yang dimaksud dengan sistem elektronik adalah sistem komputer dalam arti luas, yang tidak hanya mencakup perangkat keras dan perangkat lunak komputer, tetapi juga mencakup jaringan telekomunikasi dan/atau sistem komunikasi elektronik. Perangkat lunak atau program komputer adalah sekumpulan instruksi yang diwujudkan dalam bentuk bahasa, kode, skema, ataupun bentuk lain, yang apabila digabungkan dengan media yang dapat dibaca dengan komputer akan mampu membuat komputer bekerja untuk melakukan fungsi khusus atau untuk mencapai hasil yang khusus, termasuk
persiapan dalam merancang instruksi tersebut.
Sistem elektronik juga digunakan untuk menjelaskan keberadaan sistem informasi yang merupakan penerapan teknologi informasi yang berbasis jaringan telekomunikasi dan media elektronik, yang berfungsi merancang, memproses, menganalisis, menampilkan, dan mengirimkan atau menyebarkan informasi elektronik. Sistem informasi secara teknis dan manajemen sebenarnya adalah perwujudan penerapan produk teknologi informasi ke dalam suatu bentuk organisasi dan manajemen sesuai dengan karakteristik kebutuhan pada organisasi tersebut dan sesuai dengan tujuan peruntukannya. Pada sisi yang lain, sistem informasi secara teknis dan fungsional adalah keterpaduan sistem antara manusia dan mesin yang mencakup komponen perangkat keras, perangkat lunak, prosedur, sumber daya manusia, dan substansi informasi yang dalam pemanfaatannya mencakup fungsi input, process, output, storage, dan communication.
Sehubungan dengan itu, dunia hukum sebenarnya sudah sejak lama memperluas penafsiran asas dan normanya ketika menghadapi persoalan kebendaan yang tidak berwujud, misalnya dalam kasus pencurian listrik sebagai perbuatan pidana. Dalam kenyataan kegiatan siber tidak lagi sederhana karena kegiatannya tidak lagi dibatasi oleh teritori suatu negara, yang mudah diakses kapan pun dan dari mana pun. Kerugian dapat terjadi baik pada pelaku transaksi maupun pada orang lain yang tidak pernah melakukan transaksi, misalnya pencurian dana kartu kredit melalui pembelanjaan di Internet. Di
samping itu, pembuktian merupakan faktor yang sangat penting, mengingat informasi elektronik bukan saja belum terakomodasi dalam sistem hukum acara Indonesia secara komprehensif, melainkan juga ternyata sangat rentan untuk diubah, disadap, dipalsukan, dan dikirim ke berbagai penjuru dunia dalam waktu hitungan detik. Dengan demikian, dampak yang diakibatkannya pun bisa demikian kompleks dan rumit.
Permasalahan yang lebih luas terjadi pada bidang keperdataan karena transaksi elektronik untuk kegiatan perdagangan melalui sistem elektronik (electronic commerce) telah menjadi bagian dari perniagaan nasional dan internasional. Kenyataan ini menunjukkan bahwa konvergensi di bidang teknologi informasi, media, dan informatika (telematika) berkembang terus tanpa dapat dibendung, seiring dengan ditemukannya perkembangan baru di bidang teknologi informasi, media, dan komunikasi.
Kegiatan melalui media sistem elektronik, yang disebut juga ruang siber (cyber space), meskipun bersifat virtual dapat dikategorikan sebagai tindakan atau perbuatan hukum yang nyata. Secara yuridis kegiatan pada ruang siber tidak dapat didekati dengan ukuran dan kualifikasi hukum konvensional saja sebab jika cara ini yang ditempuh akan terlalu banyak kesulitan dan hal yang lolos dari pemberlakuan hukum.
Kegiatan dalam ruang siber adalah kegiatan virtual yang berdampak sangat nyata meskipun alat buktinya bersifat elektronik. Dengan demikian, subjek pelakunya harus dikualifikasikan pula sebagai Orang yang telah melakukan perbuatan hukum secara nyata. Dalam kegiatan e?commerce antara lain dikenal adanya dokumen elektronik yang kedudukannya disetarakan dengan dokumen yang dibuat di atas kertas.
Berkaitan dengan hal itu, perlu diperhatikan sisi keamanan dan kepastian hukum dalam pemanfaatan teknologi informasi, media, dan komunikasi agar dapat berkembang secara optimal. Oleh karena itu, terdapat tiga pendekatan untuk menjaga keamanan di cyber space, yaitu pendekatan aspek hukum, aspek teknologi, aspek sosial, budaya, dan etika. Untuk mengatasi gangguan keamanan dalam penyelenggaraan sistem secara elektronik, pendekatan hukum bersifat mutlak karena tanpa kepastian hukum, persoalan pemanfaatan teknologi informasi menjadi tidak optimal.

II. PASAL DEMI PASAL
Pasal 1

Cukup jelas.

Pasal 2

Undang?Undang ini memiliki jangkauan yurisdiksi tidak semata?mata untuk perbuatan hukum yang berlaku di Indonesia dan/atau dilakukan oleh warga negara Indonesia, tetapi juga berlaku untuk perbuatan hukum yang dilakukan di luar wilayah hukum (yurisdiksi) Indonesia baik oleh warga negara Indonesia maupun warga negara asing atau badan hukum Indonesia maupun badan hukum asing yang memiliki akibat hukum di Indonesia, mengingat pemanfaatan Teknologi Informasi untuk Informasi Elektronik dan Transaksi Elektronik dapat bersifat lintas teritorial atau universal. Yang dimaksud dengan
“merugikan kepentingan Indonesia” adalah meliputi tetapi tidak terbatas pada merugikan kepentingan ekonomi nasional, perlindungan data strategis, harkat dan martabat bangsa, pertahanan dan keamanan negara, kedaulatan negara, warga negara, serta badan hukum Indonesia.

Pasal 3

“Asas kepastian hukum” berarti landasan hukum bagi pemanfaatan Teknologi Informasi dan Transaksi Elektronik serta segala sesuatu yang mendukung penyelenggaraannya yang mendapatkan pengakuan hukum di dalam dan di luar pengadilan. “Asas manfaat” berarti asas bagi pemanfaatan Teknologi Informasi dan Transaksi Elektronik diupayakan
untuk mendukung proses berinformasi sehingga dapat meningkatkan kesejahteraan masyarakat.
“Asas kehati?hatian” berarti landasan bagi pihak yang bersangkutan harus memperhatikan segenap aspek yang berpotensi mendatangkan kerugian, baik bagi dirinya maupun bagi pihak lain dalam pemanfaatan Teknologi Informasi dan Transaksi Elektronik.
“Asas iktikad baik” berarti asas yang digunakan para pihak dalam melakukan Transaksi Elektronik tidak bertujuan untuk secara sengaja dan tanpa hak atau melawan hukum mengakibatkan kerugian bagi pihak lain tanpa sepengetahuan pihak lain tersebut.
“Asas kebebasan memilih teknologi atau netral teknologi” berarti asas pemanfaatan Teknologi Informasi dan Transaksi Elektronik tidak terfokus pada penggunaan teknologi tertentu sehingga dapat mengikuti perkembangan pada masa yang akan datang.

Pasal 4

Cukup jelas.

Pasal 5

Ayat 1
Cukup jelas.
Ayat 2
Cukup jelas.
Ayat 3
Cukup jelas.
Ayat 4
Huruf a
Surat yang menurut undang?undang harus dibuat tertulis meliputi tetapi tidak terbatas pada surat berharga, surat yang berharga, dan surat yang digunakan dalam proses penegakan hukum acara perdata, pidana, dan administrasi negara.
Huruf b
Cukup jelas.
Pasal 6
Selama ini bentuk tertulis identik dengan informasi dan/atau dokumen yang tertuang di atas kertas semata, padahal pada hakikatnya informasi dan/atau dokumen dapat dituangkan ke dalam media apa saja, termasuk media elektronik. Dalam lingkup Sistem Elektronik, informasi yang asli dengan salinannya tidak relevan lagi untuk dibedakan sebab Sistem Elektronik pada dasarnya beroperasi dengan cara penggandaan yang mengakibatkan informasi yang asli tidak dapat dibedakan lagi dari salinannya.

Pasal 7

Ketentuan ini dimaksudkan bahwa suatu Informasi Elektronik dan/atau Dokumen Elektronik dapat digunakan sebagai alasan timbulnya suatu hak.

Pasal 8

Cukup jelas.

Pasal 9

Yang dimaksud dengan “informasi yang lengkap dan benar” meliputi:

a. informasi yang memuat identitas serta status subjek hukum dan kompetensinya, baik sebagai produsen, pemasok, penyelenggara maupun perantara;
b. informasi lain yang menjelaskan hal tertentu yang menjadi syarat sahnya perjanjian serta menjelaskan barang dan/atau jasa yang ditawarkan, seperti nama, alamat, dan deskripsi barang/jasa.

Pasal 10

Ayat (1)
Sertifikasi Keandalan dimaksudkan sebagai bukti bahwa pelaku usaha yang melakukan perdagangan secara elektronik layak berusaha setelah melalui penilaian dan audit dari badan yang berwenang. Bukti telah dilakukan Sertifikasi Keandalan ditunjukkan dengan adanya logo sertifikasi berupa trust mark pada laman (home page) pelaku usaha tersebut.
Ayat (2)
Cukup jelas.

Pasal 11

Ayat (1)
Undang?Undang ini memberikan pengakuan secara tegas bahwa meskipun hanya merupakan suatu kode, Tanda Tangan Elektronik memiliki kedudukan yang sama dengan tanda tangan manual pada umumnya yang memiliki kekuatan hukum dan akibat hukum.
Persyaratan sebagaimana dimaksud dalam Pasal ini merupakan persyaratan minimum yang harus dipenuhi dalam setiap Tanda Tangan Elektronik. Ketentuan ini membuka kesempatan seluas?luasnya kepada siapa pun untuk mengembangkan metode, teknik, atau proses pembuatan Tanda Tangan Elektronik.
Ayat (2)
Peraturan Pemerintah dimaksud, antara lain, mengatur tentang teknik, metode, sarana, dan proses pembuatan Tanda Tangan Elektronik.

Pasal 12

Cukup jelas.

Pasal 13

Cukup jelas.

Pasal 14

Informasi sebagaimana dimaksud dalam Pasal ini adalah informasi yang minimum harus dipenuhi oleh setiap penyelenggara Tanda Tangan Elektronik.

Pasal 15

Ayat (1)
“Andal” artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya.
“Aman” artinya Sistem Elektronik terlindungi secara fisik dan nonfisik.
“Beroperasi sebagaimana mestinya” artinya Sistem Elektronik memiliki kemampuan sesuai dengan spesifikasinya.
Ayat (2)
“Bertanggung jawab” artinya ada subjek hukum yang bertanggung jawab secara hukum terhadap Penyelenggaraan Sistem Elektronik tersebut.
Ayat (3)
Cukup jelas.

Pasal 16

Cukup jelas.

Pasal 17

Ayat (1)
Undang?Undang ini memberikan peluang terhadap pemanfaatan Teknologi Informasi oleh
penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat.
Pemanfaatan Teknologi Informasi harus dilakukan secara baik, bijaksana, bertanggung jawab, efektif, dan efisien agar dapat diperoleh manfaat yang sebesar?besarnya bagi masyarakat.
Ayat (2)
Cukup jelas.
Ayat (3)
Cukup jelas.

Pasal 18

Ayat (1)
Cukup jelas.
Ayat (2)
Pilihan hukum yang dilakukan oleh para pihak dalam kontrak internasional termasuk yang dilakukan secara elektronik dikenal dengan choice of law. Hukum ini mengikat sebagai hukum yang berlaku bagi kontrak tersebut. Pilihan hukum dalam Transaksi Elektronik hanya dapat dilakukan jika dalam kontraknya terdapat unsur asing dan penerapannya harus sejalan dengan prinsip hukum perdata internasional (HPI).
Ayat (3)
Dalam hal tidak ada pilihan hukum, penetapan hukum yang berlaku berdasarkan prinsip atau asas hukum perdata internasional yang akan ditetapkan sebagai hukum yang berlaku pada kontrak tersebut.
Ayat (4)
Forum yang berwenang mengadili sengketa kontrak internasional, termasuk yang dilakukan secara elektronik, adalah forum yang dipilih oleh para pihak. Forum tersebut dapat berbentuk pengadilan, arbitrase, atau lembaga penyelesaian sengketa alternatif lainnya.
Ayat (5)
Dalam hal para pihak tidak melakukan pilihan forum, kewenangan forum berlaku berdasarkan prinsip atau asas hukum perdata internasional. Asas tersebut dikenal dengan asas tempat tinggal tergugat (the basis of presence) dan efektivitas yang menekankan pada tempat harta benda tergugat berada (principle of effectiveness) .

Pasal 19

Yang dimaksud dengan “disepakati” dalam pasal ini juga mencakup disepakatinya prosedur yang terdapat dalam Sistem Elektronik yang bersangkutan.

Pasal 20

Ayat (1)
Transaksi Elektronik terjadi pada saat kesepakatan antara para pihak yang dapat berupa, antara lain pengecekan data, identitas, nomor identifikasi pribadi (personal identification number/PIN) atau sandi lewat (password).
Ayat (2)
Cukup jelas.

Pasal 21

Ayat (1)
Yang dimaksud dengan “dikuasakan” dalam ketentuan ini sebaiknya dinyatakan dalam surat kuasa.
Ayat (2)
Cukup jelas.
Ayat (3)
Cukup jelas.
Ayat (4)
Cukup jelas.
Ayat (5)
Cukup jelas.

Pasal 22

Ayat (1)
Yang dimaksud dengan “fitur” adalah fasilitas yang memberikan kesempatan kepada pengguna Agen Elektronik untuk melakukan perubahan atas informasi yang disampaikannya, misalnya fasilitas pembatalan (cancel), edit, dan konfirmasi ulang.
Ayat (2)
Cukup jelas.

Pasal 23

Ayat (1)
Nama Domain berupa alamat atau jati diri penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat, yang perolehannya didasarkan pada prinsip pendaftar pertama (first come first serve).
Prinsip pendaftar pertama berbeda antara ketentuan dalam Nama Domain dan dalam bidang hak kekayaan intelektual karena tidak diperlukan pemeriksaan substantif, seperti pemeriksaan dalam pendaftaran merek dan paten.
Ayat (2)
Yang dimaksud dengan “melanggar hak Orang lain”, misalnya melanggar merek terdaftar, nama badan hukum terdaftar, nama Orang terkenal, dan nama sejenisnya yang pada intinya merugikan Orang lain.
Ayat (3)
Yang dimaksud dengan “penggunaan Nama Domain secara tanpa hak” adalah pendaftaran dan penggunaan Nama Domain yang semata?mata ditujukan untuk menghalangi atau menghambat Orang lain untuk menggunakan nama yang intuitif dengan keberadaan nama dirinya atau nama produknya, atau untuk mendompleng reputasi Orang yang sudah terkenal atau ternama, atau untuk menyesatkan konsumen.

Pasal 24

Cukup jelas.

Pasal 25

Informasi Elektronik dan/atau Dokumen Elektronik yang disusun dan didaftarkan sebagai karya intelektual, hak cipta, paten, merek, rahasia dagang, desain industri, dan sejenisnya wajib dilindungi oleh Undang?Undang ini dengan memperhatikan ketentuan Peraturan Perundang?undangan.

Pasal 26

Ayat (1)
Dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi mengandung pengertian sebagai berikut:

a. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan.
b. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata?matai.
c. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.

Ayat (2)
Cukup jelas.

Pasal 27

Cukup jelas.

Pasal 28

Cukup jelas.

Pasal 29

Cukup jelas.

Pasal 30

Ayat (1)
Cukup jelas.
Ayat (2)
Secara teknis perbuatan yang dilarang sebagaimana dimaksud pada ayat ini dapat dilakukan, antara lain dengan:

a. melakukan komunikasi, mengirimkan, memancarkan atau sengaja berusaha mewujudkan hal?hal tersebut kepada siapa pun yang tidak berhak untuk menerimanya; atau
b. sengaja menghalangi agar informasi dimaksud tidak dapat atau gagal diterima oleh yang berwenang menerimanya di lingkungan pemerintah dan/atau pemerintah daerah.

Ayat (3)
Sistem pengamanan adalah sistem yang membatasi akses Komputer atau melarang akses ke dalam Komputer dengan berdasarkan kategorisasi atau klasifikasi pengguna beserta tingkatan kewenangan yang ditentukan.

Pasal 31

Ayat (1)
Yang dimaksud dengan “intersepsi atau penyadapan” adalah kegiatan untuk mendengarkan, merekam, membelokkan, mengubah, menghambat, dan/atau mencatat transmisi Informasi Elektronik dan/atau Dokumen Elektronik yang tidak bersifat publik, baik menggunakan jaringan kabel komunikasi maupun jaringan nirkabel, seperti pancaran elektromagnetis atau radio frekuensi.
Ayat (2)
Cukup jelas.
Ayat (3)
Cukup jelas.
Ayat (4)
Cukup jelas.

Pasal 32

Cukup jelas.

Pasal 33

Cukup jelas.

Pasal 34

Ayat (1)
Cukup jelas.
Ayat (2)
Yang dimaksud dengan “kegiatan penelitian” adalah penelitian yang dilaksanakan oleh lembaga penelitian yang memiliki izin.

Pasal 35

Cukup jelas.

Pasal 36

Cukup jelas.

Pasal 37

Cukup jelas.

Pasal 38

Cukup jelas.

Pasal 39

Cukup jelas.

Pasal 40

Cukup jelas.

Pasal 41

Ayat (1)
Cukup jelas.
Ayat (2)
Yang dimaksud dengan “lembaga yang dibentuk oleh masyarakat” merupakan lembaga yang bergerak di bidang teknologi informasi dan transaksi elektronik.
Ayat (3)
Cukup jelas.

Pasal 42

Cukup jelas.

Pasal 43

Ayat (1)
Cukup jelas.
Ayat (2)
Cukup jelas.
Ayat (3)
Cukup jelas.
Ayat (4)
Cukup jelas.
Ayat (5)
Huruf a
Cukup jelas.
Huruf b
Cukup jelas.
Huruf c
Cukup jelas.
Huruf d
Cukup jelas.
Huruf e
Cukup jelas.
Huruf f
Cukup jelas.
Huruf g
Cukup jelas.
Huruf h
Yang dimaksud dengan “ahli” adalah seseorang yang memiliki keahlian khusus di bidang Teknologi Informasi yang dapat dipertanggungjawabkan secara akademis maupun praktis mengenai pengetahuannya tersebut.
Huruf i
Cukup jelas.
Ayat (6)
Cukup jelas.
Ayat (7)
Cukup jelas.
Ayat (8)
Cukup jelas.

Pasal 44

Cukup jelas.

Pasal 45

Cukup jelas.

Pasal 46

Cukup jelas.

Pasal 47

Cukup jelas.

Pasal 48

Cukup jelas.

Pasal 49

Cukup jelas.

Pasal 50

Cukup jelas.

Pasal 51

Cukup jelas.

Pasal 52

Ayat (1)
Cukup jelas.
Ayat (2)
Cukup jelas.
Ayat (3)
Cukup jelas.
Ayat (4)
Ketentuan ini dimaksudkan untuk menghukum setiap perbuatan melawan hukum yang memenuhi unsur sebagaimana dimaksud dalam Pasal 26 sampai dengan Pasal 34 yang dilakukan oleh korporasi (corporate crime) dan/atau oleh pengurus dan/atau staf yang memiliki kapasitas untuk:

a. mewakili korporasi;
b. mengambil keputusan dalam korporasi;
c. melakukan pengawasan dan pengendalian dalam korporasi;
d. melakukan kegiatan demi keuntungan korporasi.

Pasal 53

Cukup jelas.

Pasal 54

Cukup jelas.