Fungsi Hash Sebagai Cara Untuk Menjaga Integritas Bukti Digital

Oleh : Galih Aryo Utomo, S.Pd.T

Dalam penanganan bukti digital, keaslian  bukti (integritas) harus benar-benar dijaga dan dapat dipastikan keasliannya. Berbeda dengan  bukti fisik, dimana  bukti dapat terlihat jelas dan tunggal sehingga usaha menjaga integritas menjadi relative lebih mudah walaupun kemungkinan integritas  barang bukti juga bisa dimanipulasi.  

Bukti digital memiliki cara yang berbeda dalam memastikan keaslian  bukti. Sebagai contoh, suatu file jika di copy di tempat lain sehingga memungkinkan file tersebut menjadi 2 atau lebih, menjadi pertanyaan, mana file asli mana file palsu? File hasil copy.

Meskipun diganti namanya tidak bisa disebut sebagai file palsu, karena memiliki konten dan karakteristik metadata yang sama persis dengan file asli. Fungsi Hash suatu file akan menunjukkan apakah file duplikat tersebut merupakan duplikat yang sama persis dengan file asli atau tidak.

Dalam penanganan  bukti digital, file utama atau disebut Primary Source tidak boleh digunakan untuk pengujian atau penelitian sehingga diperlukan file copy yang harus dijamin integritasnya. File copy pertama dari Primary Source disebut sebagai Original Source. Original Source tidak serta merta dapat langsung digunakan sebagai bahan penelitian dalam proses investigasi  bukti digital. Original Source ini akan dicopy kembali menjadi file yang akan digunakan untuk penelitian. File copy ke 2 ini disebut sebagai Working Copy.

Untuk memastikan bahwa Primary Source, Original Source dan Working Copy adalah file yang sama, maka perlu pengujian fungsi hash dari setiap file. Jika nilai hash dari ke 3 file tersebut sama, bisa dipastikan bahwa ke 3 file tersebut adalah asli (sama).

Menurut Barbara J. Roshtein (2007) dalam bukunya yang berjudul Managing Discovery of Electronic Information : A Pocket Guide for Judges, fungsi hash atau yang biasa disebut hash saja yaitu :

“A unique numerical identifier that can be assigned to a file, a group of files, or a portion of a file, based on a standard mathematical algorithm applied to the characteristics of the data set. The most commonly used algorithms, known as MD5 and SHA, will generate numerical values so distinctive that the chance that any two data sets will have the same hash value, no matter how similar they appear, is less than one in one billion. ‘Hashing’ is used to guarantee the authenticity of an original data set and can be used as a digital equivalent of the Bates stamp used in paper document production.”

(“Suatu pengkodean unik yang diberikan ke file, kelompok file, atau bagian dari file, menggunakan standard algoritma matematika untuk memberikan karakteristik atau semacam identitas pada  kumpulan data tersebut. Algoritma yang paling sering digunakan yaitu MD5 dan SHA, yang mana akan menghasilkan nilai angka khusus dan probabilitas munculnya angka yang sama untuk 2 buah data tersebut 1 berbanding 1 milliar. ‘hashing’ digunakan untuk menjamin keaslian data original (sebelum di akuisisi) dan dapat digunakan sebagai cap digital seperti cap atau stempel yang digunakan pada dokumen kertas”)

Selain itu, Veronica (2013) dalam Papernya juga memaparkan penjelasan tentang apa itu fungsi hash seperti berikut :

“A hash value is the result of a mathematical calculation whereby a variable length data input is mathematically processed to produce a fixed length hash value, from which it is computationally infeasible to determine any of the input data from the resultant hash value [2]. The MD5 hash algorithm produces a 128 bit hash value, and the SHA-1 hash algorithm produces a 160 bit hash value”.

“Nilai hash adalah hasil dari kalkulasi matematika yang mana, besarnya variabel data yang di inputkan akan diproses dengan matematika dan menghasilkan nilai hash dengan jumlah digit yang sama (tergantung algoritma yang digunakan) akan tetapi memiliki nilai-nilai digit yang berbeda. Algoritma hash MD5 menghasilkan nilai hash 128 bit, dan SHA-1 menghasilkan nilai hash 160 bit”.

Sehingga berdasarkan 2 pengertian diatas, dapat kita tarik kesimpulan bahwa fungsi hash tersebut adalah sebuah fungsi algoritma matematika yang digunakan untuk menghasilkan nilai-nilai dan memberi identitas file. Dan nilai algoritma yang dihasilkan akan berbeda-beda dan unik.

Fungsi Hash yang biasa digunakan untuk menjaga integritas file digital adalah MD5. Dalam perkembangannya MD5 kini disempurnakan menjadi SHA-1 dan SHA-256. Semua fungsi tersebut dapat digunakan sebagai alat untuk menjaga integritas file digital sehingga tidak ada keraguan dari copy file bukti digital dalam penelitian.

Selain itu, kode hash sangat sensitif, sedikit saja perubahan yang dilakukan, akan merubah kode hash tersebut. Oleh karena peluang terjadinya hash yang sama untuk file berbeda sangat sangat sangat kecil, dan sangat sensitifnya kode hash terhadap perubahan inilah dijadikan sebagai salah satu ‘alat’ untuk menjaga integritas bukti digital.

Ketika sebuah bukti digital akan di akusisi dan di buat salinannya, maka harus di generate terlebih dahulu kode hash nya. Dan kemudian kode hash hasil salinan dengan kode hash bukti digital yang asli, haruslah sama. Jika berbeda, maka integritas dan keaslian barang bukti dipertanyakan.

Penggunaan Kode Hash dalam Proses Forensik

Kode hash digunakan dalam proses forensik, namun tiap tahapan forensik, penggunaannya berbeda. Penggunaan kode hash dalam tiap tahapan forensik yang dilakukan yaitu :

·   Kode hash digunakan untuk memastikan pemeriksaan yang dilakukan terhadap salinan barang bukti yang digunakan adalah asli atau sama dengan barang bukti originalnya. Prinsip dasar dalam melakukan pemeriksaan forensik yaitu jangan pernah menggunakan barang bukti yang asli untuk pemeriksaan. Penggunaan salinan dalam melakukan forensik dimaksudkan untuk menjaga integritas barang bukti yang asli. Sehingga harus dilakukan pemeriksaan kode hash barang bukti salinan dengan yang asli sebelum melakukan pemeriksaan untuk memastikan barang bukti salinan yang akan diperiksa sama dengan yang asli.

·  Kode hash yang di ambil ketika pra akuisisi digunakan untuk menjamin keaslian dan integritas barang bukti ketika disita atau ketika diterima untuk dilakukan pemeriksaan. Hasil kode hash yang diambil pada pra akuisisi dapat digunakan untuk memverifikasi pada setiap tahapan forensik dan meyakinkan bahwa barang bukti masih terjaga keasliannya dan tidak ada yang diubah-ubah. Menyamakan kode hash ketika pra akuisisi dan setelah di akuisisi akan memastikan bahwa proses akusisi dan penyalinan barang bukti telah benar. Selain itu juga kode hash pada pra akuisisi dapat digunakan di pengadilan apabila ada pihak-pihak yang meragukan keaslian barang bukti.

·  Ketidak samaan kode hashing antara bukti asli dengan bukti salinan ketika proses akuisisi berdampak serius bagi penyidik. Karena ketidak samaan kode hashing ini bisa menjadi gugatan dalam pengadilan karena barang bukti dicurigai tidak asli dan telah dilakukan perubahan terhadap barang bukti tersebut. Ini bisa saja terjadi karena ketika proses akuisisi, media yang digunakan untuk akuisisi lebih besar dibandingkan dengan media barang bukti yang asli sehingga proses penyalinan kode hash juga akan berbeda. Bisa juga karena kesalahan hardware atau software ketika proses akuisisi.

·   Selama proses forensik dilakukan, kode hash pertama kali diambil saat barang bukti disita, ini dilakukan untuk menjaga keaslian dan integritas barang bukti yang akan digunakan dalam pengadilan. Kode hash kedua diambil ketika barang bukti akan diakusisi agar barang bukti yang akan diakusisi benar barang bukti yang asli. Yang ketiga kode hash diambil setelah proses akusisi dan penyalinan barang bukti selesai agar dipastikan barang bukti yang asli tidak ada diubah-ubah selama proses penyalinan barang bukti tadi.

Penggunaan Fungsi Hash di Mata Hukum

Penggunaan kode hash untuk menjamin integritas bukti digital merupakan suatu yang sah dan menjadi kewajiban dalam prosedur pemanfaatan barang bukti dalam hukum. Dalam Peraturan 901 (b) (4) yang dikeluarkan Pemerintah Amerika Serikat di United States v. Cartier, 543 F.3d 442, 446 menyebutkan bahwa “One method of authenticating electronic evidence under Rule 901 (b) (4) is the use of ‘hash values’ or ‘hash marks’ “.

Contoh Mencari dan Melihat Perubahan Nilai Hash MD5 pada Manipulasi File

Referensi

·         Aarora, N. (2013). Hash Value Authentication and Admissibility in Indian Perspective. Retrieved October 6, 2015, from http://www.neerajaarora.com/hash-value-authentication-and-admissibility-in-indian-perspective/

·         European Union Agency for Network and Information Security. (2014). Electronic evidence - a basic guide for First Responders. Heraklion, Greece: ENISA. http://doi.org/10.2824/068545

·         Federal Evidence. (2008). Using Hash Values Handling Electronic Evidence. Retrieved October 6, 2015, from http://federalevidence.com/blog/2008/september/using-%E2%80%9Chash%E2%80%9D-values-handling-electronic-evidence

·         Kumar, K., Sofat, S., Jain, S., & Aggarwal, N. (2012). Significance of Hash Value Generation in Digital Forensic: A Case Study. International Journal of Engineering Research and Development, 2(5), 64–70. Retrieved from http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Significance+of+Hash+Value+Generation+in+Digital+Forensic+:+A+Case+Study#0

·         Rothstein, B., Hedges, R., Wiggins, E. (2007). Managing Discovery of Electronic Information: A Pocket Guide for Judges.

·         Schmitt, V., Jordaan, J. (2013). Establishing the Validity of Md5 and Sha-1 Hashing in Digital Forensic Practice in Light of Recent Research Demonstrating Cryptographic Weaknesses in these Algorithms. International Journal of Computer Applications, 68(23), 40–43.