Bagaimana Cara Kerja Tanda Tangan Elektronik di 2026

Pendahuluan

Tanda tangan elektronik kini menjadi inti transformasi digital perusahaan: pada tahun 2025, lebih dari 70% organisasi besar Eropa telah mengintegrasikannya dalam setidaknya satu proses kontrak (sumber: Gartner, Digital Process Automation Survey 2025). Namun, sangat sedikit pengambil keputusan yang memahami dengan tepat mekanisme yang menjadikannya sah secara hukum dan tidak dapat dipalsukan secara teknis. Memahami bagaimana cara kerja teknis tanda tangan elektronik — kriptografi, PKI, sertifikat — memungkinkan Anda memilih solusi yang tepat, mengurangi risiko hukum, dan mempercepat adopsi internal. Artikel ini memandu Anda, langkah demi langkah, melalui arsitektur teknis dan standar yang mengatur tanda tangan elektronik di 2026.

---

Fondasi Kriptografi Tanda Tangan Elektronik

Tanda tangan elektronik didasarkan pada primitif kriptografi yang telah terbukti. Memahami mekanismenya berarti memahami mengapa tanda tangan elektronik lebih dapat diandalkan daripada tanda tangan tulisan tangan yang dipindai.

Enkripsi Asimetris: Kunci Publik dan Kunci Privat

Prinsip fundamental adalah kriptografi asimetris, yang ditemukan pada tahun 1970-an dan distandarisasi oleh algoritma seperti RSA (Rivest–Shamir–Adleman) atau kurva eliptis (ECDSA). Setiap penandatangan memiliki dua kunci yang terhubung secara matematis:

• Kunci privat: disimpan dengan rahasia oleh penandatangan, pada perangkat yang aman (kartu pintar, token HSM, atau modul perangkat lunak yang dilindungi). Ini digunakan untuk membuat tanda tangan.
• Kunci publik: didistribusikan secara bebas, termasuk dalam sertifikat digital. Ini digunakan untuk memverifikasi tanda tangan.

Prinsip keamanan didasarkan pada asimetri komputasi: secara matematis sepele untuk memverifikasi tanda tangan dengan kunci publik, namun secara praktis tidak mungkin untuk merekonstruksi kunci privat dari kunci publik (masalah logaritma diskrit atau faktorisasi bilangan bulat besar).

Fungsi Hash: Jejak Digital Dokumen

Sebelum menandatangani, sistem menghitung jejak kriptografi dokumen berkat fungsi hash (SHA-256 atau SHA-3 di 2026). Jejak ini, disebut hash atau kondensasi, adalah rangkaian karakter dengan ukuran tetap (256 bit untuk SHA-256) yang mewakili konten dokumen secara unik.

Properti penting: memodifikasi satu karakter saja dari dokumen menghasilkan hash yang sangat berbeda. Inilah yang menjamin integritas dokumen yang ditandatangani: setiap perubahan setelah penandatanganan segera terdeteksi.

Tanda tangan elektronik yang sebenarnya adalah enkripsi hash ini dengan kunci privat penandatangan. Saat verifikasi, penerima:

1. Mendekripsi tanda tangan dengan kunci publik untuk menemukan hash asli;
2. Menghitung ulang hash dari dokumen yang diterima;
3. Membandingkan keduanya: jika identik, tanda tangan valid.

---

Infrastruktur Kunci Publik (PKI): Rantai Kepercayaan

Kriptografi saja tidak cukup: Anda juga harus membuktikan bahwa kunci publik benar-benar milik orang yang mengklaimnya. Ini adalah peran PKI (Infrastructure Kunci Publik).

Otoritas Sertifikasi (CA)

Otoritas Sertifikasi (AC atau CA) adalah pihak ketiga yang terpercaya dan terakreditasi yang menerbitkan sertifikat digital. Sertifikat digital adalah file standar (format X.509) yang berisi:

• Identitas pemegang (nama, organisasi, email);
• Kunci publiknya;
• Periode validitas;
• Tanda tangan digital AC itu sendiri.

Di Eropa, CA terkelualifikasi didaftarkan dalam Daftar Terpercaya yang dipublikasikan oleh setiap negara anggota UE sesuai dengan peraturan eIDAS. Di Perancis, ANSSI menerbitkan dan memelihara daftar ini. Penyedia layanan kepercayaan terkelualifikasi (QTSP) — seperti CertSign, Certigna, atau Universign — tunduk pada audit berkala sesuai standar ETSI EN 319 401.

Rantai Sertifikasi dan Pencabutan

PKI beroperasi pada model hierarkis:

• AC Akar (Root CA) yang ditandatangani sendiri, disimpan offline dalam kondisi keamanan fisik maksimal;
• AC Perantara yang menerbitkan sertifikat untuk pengguna akhir.

Pencabutan sertifikat adalah mekanisme kritis: jika kunci privat dikompromikan, AC menerbitkan pembatalan melalui CRL (Certificate Revocation List) atau melalui protokol OCSP (Online Certificate Status Protocol), memungkinkan verifikasi real-time.

Untuk tanda tangan elektronik terkelualifikasi menurut eIDAS, kunci privat harus dihasilkan dan disimpan dalam QSCD (Qualified Signature Creation Device) — perangkat keras tersertifikasi CC EAL4+ atau lebih tinggi, seperti kartu pintar atau HSM (Hardware Security Module).

---

Tiga Tingkat Tanda Tangan menurut eIDAS

Peraturan Eropa eIDAS No. 910/2014 (dan evolusinya eIDAS 2.0 dalam penerapan) mendefinisikan tiga tingkat tanda tangan, masing-masing didasarkan pada jaminan teknis yang meningkat. Untuk memperdalam kerangka regulasi ini, konsultasikan panduan lengkap kami tentang peraturan eIDAS.

Tanda Tangan Elektronik Sederhana (SES)

Tanda tangan sederhana adalah bentuk paling tidak mengikat secara teknis. Tanda tangan dapat sesederhana kotak centang, kode OTP (One-Time Password) yang dikirim melalui SMS, atau gambar tanda tangan tulisan tangan. Tanda tangan ini tidak selalu memerlukan sertifikat terkelualifikasi.

Penggunaan Umum: validasi penawaran, persetujuan pemasaran, kontrak dengan risiko rendah.

Risiko: nilai bukti terbatas jika ada perselisihan hukum. Beban pembuktian jatuh pada pihak yang mengajukan tanda tangan.

Tanda Tangan Elektronik Lanjutan (AdES)

Tanda tangan lanjutan memenuhi empat persyaratan teknis yang tepat (pasal 26 eIDAS):

1. Tanda tangan terhubung dengan penandatangan secara unik;
2. Memungkinkan identifikasi penandatangan;
3. Dibuat dari data yang sepenuhnya di bawah kontrol penandatangan;
4. Memungkinkan deteksi modifikasi dokumen setelah tanda tangan dibuat.

Secara praktis, ini melibatkan penggunaan sertifikat digital pribadi dan mekanisme autentikasi yang kuat. Format standar didefinisikan oleh ETSI: PAdES (untuk PDF), XAdES (XML), CAdES (data biner), dan JAdES (JSON), semuanya dinormalisasi dalam seri ETSI EN 319 100.

Tanda Tangan Elektronik Terkelualifikasi (QES)

Tanda tangan terkelualifikasi adalah tingkat tertinggi. Tanda tangan ini memerlukan:

• Sertifikat terkelualifikasi yang diterbitkan oleh QTSP terakreditasi eIDAS;
• QSCD untuk pembuatan tanda tangan.

Tanda tangan ini mendapatkan manfaat dari presumsi legal keandalan dan kesetaraan hukum dengan tanda tangan tulisan tangan di seluruh Uni Eropa (pasal 25 eIDAS). Ini adalah tingkat yang diperlukan untuk akta otentik elektronik, akta notaris tertentu, atau pengadaan publik sensitif.

Perbandingan solusi tanda tangan elektronik kami menganalisis perbedaan praktis antar tingkat untuk membantu Anda memilih.

---

Proses Lengkap Tanda Tangan Elektronik Langkah demi Langkah

Berikut cara transaksi tanda tangan elektronik pada platform SaaS seperti Certyneo berjalan:

Langkah 1: Persiapan dan Pengiriman Dokumen

Inisiator tanda tangan mengunggah dokumen (kontrak, amandemen, pesanan pembelian) ke platform. Sistem segera menghasilkan hash SHA-256 dari file asli, dengan cap waktu dan disimpan dengan cara yang tidak dapat diubah. Jejak ini akan menjadi referensi untuk setiap verifikasi di masa depan.

Langkah 2: Autentikasi Penandatangan

Tergantung tingkat tanda tangan yang dipilih, autentikasi bervariasi:

• SES: email + tautan tanda tangan;
• AdES: autentikasi kuat (OTP SMS, aplikasi mobile FIDO2);
• QES: verifikasi identitas sebelumnya (tatap muka atau video IDV), penerbitan sertifikat terkelualifikasi untuk penggunaan tunggal atau berkelanjutan.

Langkah 3: Pembuatan Tanda Tangan Kriptografi

Penandatangan memicu tindakan penandatanganan. Platform (atau QSCD):

1. Menghitung hash dokumen;
2. Mengenkripsi hash ini dengan kunci privat penandatangan;
3. Mengintegrasikan tanda tangan dan sertifikat ke dalam dokumen (PDF yang ditandatangani dalam format PAdES-LTV untuk penyimpanan jangka panjang).

Langkah 4: Cap Waktu Terkelualifikasi

Layanan cap waktu terkelualifikasi (TSA) sesuai standar RFC 3161 menerapkan timestamp kriptografi, membuktikan tanda tangan ada pada waktu tertentu. Ini melindungi dari pemalsuan tanggal dan menjamin nilai bukti dari waktu ke waktu — bahkan jika sertifikat penandatangan kadaluarsa kemudian.

Langkah 5: Penyimpanan Terbukti

Dokumen yang ditandatangani disimpan dengan jejak audit lengkap: identitas penandatangan, alamat IP, cap waktu, hash dokumen, sertifikat yang digunakan. Folder bukti ini (audit trail) sangat penting jika ada perselisihan hukum. Solusi yang sesuai eIDAS mempertahankan bukti ini dalam format PAdES-LTV (Long-Term Validation) yang mengintegrasikan data validasi untuk memungkinkan verifikasi bertahun-tahun setelah tanda tangan.

Untuk memahami cara mengintegrasikan proses ini dalam alur kerja HR Anda, temukan solusi tanda tangan elektronik untuk HR kami dan template kontrak kami untuk diunduh.

Kerangka Hukum yang Berlaku untuk Tanda Tangan Elektronik

Tanda tangan elektronik termasuk dalam kerangka normatif berlapis, mengartikulasikan hukum sipil nasional dan hukum Eropa yang diharmonisasi.

Kode Sipil Perancis

Pasal 1366 Kode Sipil menetapkan prinsip fundamental: "Tulisan elektronik memiliki kekuatan pembuktian yang sama dengan tulisan di atas kertas, dengan syarat bahwa orang yang mengeluarkannya dapat diidentifikasi dengan benar dan tulisan tersebut ditetapkan dan disimpan dalam kondisi yang menjamin integritasnya." Pasal 1367 menetapkan bahwa tanda tangan elektronik "terdiri dari penggunaan prosedur yang dapat diandalkan untuk identifikasi yang menjamin hubungannya dengan akta yang melekat padanya".

Dekrit No. 2017-1416 tanggal 28 September 2017 mendefinisikan presumsi keandalan untuk tanda tangan terkelualifikasi dan lanjutan sesuai dengan eIDAS.

Peraturan eIDAS No. 910/2014

Batu loncatan hukum Eropa kepercayaan digital, peraturan eIDAS (electronic IDentification, Authentication and trust Services) menetapkan kerangka hukum terpadu untuk tanda tangan elektronik, segel elektronik, cap waktu terkelualifikasi, layanan pengiriman rekomendasi, dan sertifikat autentikasi situs web. Pasal 25, ayat 2-nya memberi tanda tangan terkelualifikasi presumsi legal kesetaraan dengan tanda tangan tulisan tangan di seluruh UE.

Peraturan eIDAS 2.0 (sedang dalam transposisi di kuartal 1 tahun 2026) memperkuat ketentuan ini dengan dompet identitas digital Eropa (EUDIW) dan memperluas kewajiban ke pasar layanan keuangan dan kesehatan.

Standar ETSI

Format tanda tangan distandardisasi oleh ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) mendefinisikan profil teknis tanda tangan lanjutan dan terkelualifikasi;
• ETSI EN 319 421 mengatur kebijakan layanan cap waktu terkelualifikasi.

GDPR dan Perlindungan Data

Pemrosesan data identitas dalam konteks tanda tangan elektronik (nama, email, biometrik untuk verifikasi identitas) tunduk pada GDPR No. 2016/679. Pengontrol data harus: memiliki dasar hukum (kepentingan sah atau pelaksanaan kontrak), menerapkan prinsip minimalisasi data, dan menjamin keamanan melalui tindakan teknis yang sesuai (enkripsi, pseudonymisasi).

Direktif NIS2

Direktif NIS2 (2022/2555/UE), ditransposisi ke hukum Perancis sejak Oktober 2024, memberlakukan kewajiban keamanan siber yang ditingkatkan pada operator layanan penting dan penyedia layanan digital (termasuk penyedia tanda tangan elektronik), pengelolaan risiko, dan pemberitahuan insiden dalam 24 jam. Ketidakpatuhan mengekspos denda hingga 10 juta euro atau 2% pendapatan global.

Skenario Penggunaan Konkret Tanda Tangan Elektronik

Skenario 1: Sebuah Kantor Hukum Bisnis Mengotomatisasi Penandatanganan Mandat

Sebuah kantor hukum bisnis dengan sekitar dua belas kolaborator rata-rata memproses 120 mandat perwakilan per bulan. Prosedur kertas melibatkan pencetakan, pengiriman pos atau penyerahan langsung, kemudian pemindaian dokumen yang dikembalikan — menghasilkan penundaan rata-rata 4,5 hari kerja per file dan tingkat kehilangan dokumen yang diperkirakan 8%.

Dengan menerapkan tanda tangan elektronik lanjutan (AdES) dengan autentikasi OTP, kantor tersebut mengurangi penundaan tanda tangan menjadi kurang dari 4 jam rata-rata, mengurangi tingkat anomali dokumenter menjadi kurang dari 1%, dan menghemat sekitar 2.200 € per tahun dalam biaya pos dan pencetakan. Jejak audit yang dihasilkan secara otomatis juga menyederhanakan dua prosedur perselisihan mandat, memberikan bukti berupa cap waktu yang tidak terbantahkan. Temukan solusi kami yang didedikasikan untuk kantor hukum.

Skenario 2: Sebuah UKM Industri Mendigitalkan Kontrak Pemasoknya

Sebuah UKM industri yang mengelola sekitar 200 kontrak pemasok per tahun (syarat dan ketentuan pembelian umum, amandemen harga, NDA) mengalami penundaan penandatanganan yang dapat melebihi tiga minggu untuk kontrak lintas batas dengan mitra Jerman dan Spanyol. Perbedaan sistem hukum dan kurangnya pengakuan mutual memperlambat negosiasi.

Dengan mengadopsi tanda tangan terkelualifikasi (QES) yang diterbitkan oleh QTSP terakreditasi eIDAS, diakui di seluruh UE, UKM mendapat manfaat dari pengakuan hukum otomatis di ketiga negara tanpa legalisasi tambahan. Penundaan rata-rata penandatanganan lintas batas berkurang dari 18 hari menjadi 2,5 hari. Tanda tangan elektronik dalam perusahaan merinci manfaat ini untuk tim pembelian.

Skenario 3: Sebuah Kelompok Rumah Sakit Mengamankan Persetujuan Berdasarkan Informasi Pasien

Sebuah kelompok rumah sakit sekitar 800 tempat tidur harus mengumpulkan persetujuan berdasarkan informasi pasien untuk protokol penelitian klinis. Manajemen kertas menciptakan risiko kepatuhan GDPR (dokumen yang disimpan dengan tidak benar, tanggal tidak dapat dilacak) dan membebani staf medis untuk tugas administratif.

Dengan mengintegrasikan tanda tangan elektronik sederhana dengan identifikasi melalui kode SMS — cukup untuk akta yang tidak tunduk pada persyaratan terkelualifikasi — kelompok rumah sakit mengotomatisasi pengumpulan, pengarsipan, dan penelusuran persetujuan. Waktu administratif per pasien berkurang dari 12 menit menjadi kurang dari 2 menit, membebaskan sekitar 800 jam medis per tahun. Semua dokumen disimpan dengan cap waktu terkelualifikasi, sepenuhnya memenuhi persyaratan CNIL. Jelajahi solusi tanda tangan untuk kesehatan kami.

Kesimpulan

Memahami cara kerja teknis tanda tangan elektronik — dari kriptografi asimetris hingga PKI, dari sertifikat terkelualifikasi hingga bukti cap waktu — sangat penting untuk membuat pilihan berdasarkan informasi tentang kepatuhan dan efisiensi operasional. Tiga tingkat eIDAS (sederhana, lanjutan, terkelualifikasi) memenuhi kebutuhan berbeda, dan pilihan harus selalu dipandu oleh analisis risiko hukum dan nilai bukti yang diharapkan.

Certyneo mendampingi Anda dalam transisi ini dengan platform SaaS yang sesuai eIDAS, QTSP terakreditasi, dan integrasi yang disederhanakan ke dalam proses yang ada. Estimasikan potensi keuntungan untuk organisasi Anda menggunakan kalkulator ROI tanda tangan elektronik kami, atau mulai langsung dengan berkonsultasi penawaran dan harga kami. Kepatuhan dan kinerja tidak lagi merupakan kompromi.