Anda menerima PDF dengan header "Ditandatangani secara digital." Tetapi bagaimana mengetahui bahwa tanda tangan itu benar-benar valid? Dan apa perbedaan antara dokumen yang memiliki tanda tangan digital dengan dokumen yang hanya memiliki gambar tanda tangan tulisan tangan yang ditempelkan? Pertanyaan-pertanyaan ini muncul setiap minggu di kantor hukum, akuntansi, dan HR — dan kebingungan memiliki biaya: dokumen tanpa validitas diperlakukan sebagai valid, dan dokumen valid ditolak karena verifikator tidak memahami mekanismenya.
Panduan ini menjelaskan, tanpa jargon yang tidak perlu, bagaimana tanda tangan digital bekerja, cara memverifikasi tanda tangan PDF dengan benar, standar apa yang diterima, dan apa yang harus dilakukan ketika hasil verifikasi negatif.
Perbedaan yang mendefinisikan segalanya: tanda tangan digital vs. gambar tanda tangan
Sebelum verifikasi apa pun, penting untuk menghilangkan kebingungan yang paling umum:
Gambar tanda tangan (juga disebut tanda tangan yang dipindai atau didigitalisasi) adalah foto atau gambar tanda tangan tulisan tangan yang disisipkan sebagai elemen grafis dalam PDF. Terlihat seperti tanda tangan, tetapi secara teknis hanyalah persegi panjang piksel — dapat disalin dari satu dokumen ke dokumen lain, tidak terikat secara matematis dengan konten, dan tidak menjamin apa pun tentang integritas atau keaslian.
Tanda tangan digital adalah mekanisme kriptografis: tanda tangan dihitung dari konten dokumen dan kunci privat penandatangan, dan dapat diverifikasi secara matematis oleh siapa pun yang memiliki kunci publik yang sesuai. Ini membuktikan dua hal sekaligus: bahwa penandatangan benar-benar menandatangani (keaslian) dan bahwa dokumen tidak dimodifikasi sejak itu (integritas).
Cara kerja tanda tangan digital secara internal
Setiap penandatangan memiliki pasangan kunci kriptografis: kunci privat, yang tetap berada di bawah penjagaan eksklusif pemegang, dan kunci publik, yang dapat didistribusikan secara bebas.
Ketika seseorang menandatangani PDF secara digital, hal berikut terjadi:
- Perangkat lunak menghitung hash SHA-256 dokumen (urutan 64 karakter yang secara unik mewakili konten tersebut — apa itu hash, dijelaskan secara rinci);
- Hash tersebut dienkripsi dengan kunci privat penandatangan — hasilnya adalah tanda tangan;
- Tanda tangan, bersama dengan sertifikat digital penandatangan (yang berisi kunci publik dan data identitas), disematkan dalam file PDF.
Untuk memverifikasi tanda tangan, verifikator mengambil jalur terbalik:
- Mendekripsi tanda tangan menggunakan kunci publik penandatangan;
- Mendapatkan nilai hash asli yang ditandatangani;
- Menghitung ulang hash dokumen saat ini;
- Membandingkan dua hash: jika cocok, tanda tangan valid — dokumen tidak berubah sejak ditandatangani. Jika berbeda, dokumen dimodifikasi setelahnya.
Sertifikat digital: ICP-Brasil dan gov.br
Tanda tangan digital hanya membuktikan keaslian jika sertifikat yang menyertainya dapat dipercaya. ICP-Brasil adalah Infrastruktur Kunci Publik Brasil, yang diatur oleh ITI. Sertifikat ICP-Brasil yang paling umum:
- A1 (perangkat lunak): diinstal langsung di komputer, berlaku 1 tahun, dilindungi kata sandi;
- A3 (perangkat keras): disimpan di token USB atau kartu pintar, berlaku hingga 3 tahun. Kunci privat tidak pernah meninggalkan perangkat fisik;
- e-CPF dan e-CNPJ: nama populer untuk sertifikat individu dan perusahaan ICP-Brasil.
Tanda tangan gov.br adalah layanan tanda tangan digital yang ditawarkan pemerintah federal Brasil, terkait dengan akun gov.br. Tiga tingkat kepercayaan (perunggu, perak, emas). Diterima untuk sebagian besar tindakan dengan lembaga pemerintah.
DocuSign, ClickSign, dan platform serupa adalah platform tanda tangan elektronik yang dapat beroperasi dengan sertifikat ICP-Brasil, tanda tangan gov.br, atau mekanisme proprietary dengan bobot pembuktian yang lebih rendah.
Cara memverifikasi apakah PDF ditandatangani secara digital — langkah demi langkah
Di Adobe Acrobat Reader (gratis)
- Buka PDF di Adobe Acrobat Reader;
- Jika dokumen memiliki tanda tangan digital, panel Tanda Tangan akan muncul di bilah sisi kiri atau bilah berwarna di bagian atas layar;
- Klik untuk melihat detailnya: nama penandatangan, tanggal dan waktu tanda tangan, otoritas sertifikasi, status validitas;
- Ikon centang hijau (✓) menunjukkan tanda tangan secara matematis valid dan dokumen tidak diubah; ikon peringatan menunjukkan ada masalah.
Di ITI Validator (referensi resmi Brasil)
ITI menyediakan Validator Tanda Tangan di validar.iti.gov.br — referensi resmi untuk memverifikasi tanda tangan ICP-Brasil.
Untuk memverifikasi integritas file tanpa bergantung pada tanda tangan, pemeriksa integritas RoseLab menghitung hash SHA-256 secara lokal, tanpa mengirim file ke server mana pun.
Apa arti peringatan tanda tangan
"Dokumen dimodifikasi setelah penandatanganan" Ini adalah peringatan paling serius. Bisa mengindikasikan manipulasi, tetapi juga bisa merupakan hasil dari kompresi PDF, pembagian menjadi bagian-bagian, penghapusan halaman, atau bahkan re-ekspor yang tidak disengaja. Untuk mengidentifikasi apa yang berubah dibandingkan versi yang asli ditandatangani, buka kedua versi di alat perbandingan PDF dengan penyorotan perbedaan otomatis diaktifkan.
"Sertifikat tidak dikenal" atau "Sertifikat tidak dipercaya" Pembaca PDF tidak dapat memverifikasi rantai sertifikasi. Solusi: instal sertifikat root ICP-Brasil yang tersedia di situs web ITI dan verifikasi ulang.
"Sertifikat dicabut" Jika dicabut sebelum penandatanganan, tanda tangan tidak valid. Jika dicabut sesudahnya, tanda tangan mungkin tetap valid — yang penting adalah statusnya pada tanggal penandatanganan. Lebih lanjut dalam panduan kriptografi dokumen.
"Sertifikat kedaluwarsa" Yang penting adalah apakah sertifikat valid pada saat penandatanganan, bukan pada tanggal verifikasi.
Tanda tangan digital dan alur manipulasi PDF yang benar
Sekali Anda memahami cara kerja tanda tangan digital, aturan operasionalnya menjadi jelas:
Semua manipulasi PDF dilakukan sebelum penandatanganan. Jika dokumen perlu dikompres, dibagi menjadi bagian-bagian, halaman dihapus, digabung dengan file lain, atau gambar dikonversi — semua itu harus dilakukan sebelum mengumpulkan tanda tangan digital.
Setelah penandatanganan, file tidak boleh disentuh. Simpan asli yang telah ditandatangani dengan hash yang tercatat (pemeriksa) dan hanya bekerja pada salinan.
Untuk gambaran lengkap alur persiapan, perbandingan, dan pengajuan dokumen, baca panduan lengkap membandingkan dokumen dan membuktikan apa yang berubah.
Pertanyaan yang sering diajukan
Apakah tanda tangan digital memiliki validitas hukum di Brasil tanpa ICP-Brasil? Undang-Undang No. 14.063/2020 menetapkan bahwa dokumen elektronik berlaku sebagai bukti. Tanda tangan ICP-Brasil memiliki asumsi hukum keaslian. Tanda tangan dengan mekanisme lain memiliki validitas kontraktual antara pihak yang menerimanya.
Bisakah saya menandatangani PDF secara gratis? Tanda tangan gov.br gratis dan diakui secara hukum untuk sebagian besar tindakan. Sertifikat ICP-Brasil memiliki biaya penerbitan. Platform seperti DocuSign dan ClickSign memiliki paket gratis dengan batas dokumen.
Bagaimana saya tahu apakah PDF saya memiliki tanda tangan digital atau hanya gambar tanda tangan? Cara termudah: buka PDF di Adobe Acrobat Reader. Jika tidak ada panel Tanda Tangan atau bilah status tanda tangan yang muncul, apa yang Anda lihat hanyalah gambar — tanpa nilai kriptografis.
Bisakah saya memverifikasi tanpa menginstal apa pun? Untuk verifikasi integritas dasar, pemeriksa RoseLab bekerja langsung di browser, tanpa instalasi. Untuk verifikasi formal tanda tangan digital ICP-Brasil, ITI Validator di validar.iti.gov.br adalah referensi resmi.
Berapa banyak orang yang bisa menandatangani PDF yang sama? Beberapa tanda tangan digital dapat disematkan dalam PDF yang sama. Jika dokumen dimodifikasi setelah tanda tangan pertama, hanya tanda tangan sebelum modifikasi yang menjadi tidak valid.
Siap mempraktikkannya?
Gratis, tanpa pendaftaran — dan file Anda tidak pernah meninggalkan komputer Anda.
Verifikasi integritas dokumen saya — gratis