Dengan merebaknya email palsu yang mencatut identitas seseorang, baik yang dihasilkan oleh program seperti halnya worm, atau memang dilakukan oleh pihak tertentu, penggunaan teknik autentifikasi pesan menjadi lebih diperlukan. Seperti halnya surat yang pengirimannya tinggal dimasukkan ke dalam kotak pos yang banyak dijumpai di pinggir jalan, server email juga menerima pesan yang akan dikirimkan serupa itu. Autentifikasi umumnya hanya dilakukan terhadap alamat IP komputer pengirim, dan sepanjang alamat tadi dianggap valid, maka siapapun dapat menulis email dari komputer tersebut.
Kita dapat menerima surat yang datang lewat tukang pos dan di dalamnya mengatasnamakan siapapun. Karena memang tukang pos tidak berkepentingan dengan validitas isi surat tersebut. Tugas utama dia adalah mengantarkan surat ke alamat tujuan, tanpa memedulikan siapapun pengirimnya. Adalah tanggung jawab pengirim surat untuk menandai surat tersebut sehingga dapat dipercaya (trusted) bahwa memang pesan yang ditulis berasal darinya. Sedangkan di sisi penerima pesan, harus terdapat sebuah cara sehingga dia dapat mengetahui identitas pengirim pesan dan cukup yakin bahwa pesan tersebut memang ditulis oleh yang bersangkutan.
Cara yang digunakan di atas kertas: dituliskan tanda tangan atau stempel yang menunjukkan validitas pengirim pesan. Demikianlah tanda tangan digital (digital signature) juga dimaksudkan seperti itu. Tanda tersebut harus unik untuk membedakan satu pengirim dengan lainnya, sulit ditiru pihak lain, dan dapat menjaga integritas pesan yang ditandai. Tujuannya adalah menghindari pencatutan identitas dan pengubahan pesan oleh pihak ketiga di tengah jalan (man in the middle attack) pada saat pesan tersebut ditransmisikan. Pengubahan pesan digital lebih sulit terlihat dibanding pesan di atas surat.
Untuk keperluan yang penting ini, tersedia alat bantu yang dapat diperoleh secara cuma-cuma, yakni Pretty Good Privacy, PGP, dan GNU PGP, atau GPG. Tentu saja masih terdapat penyedia layanan tanda tangan digital lainnya, namun PGP dan GPG lebih dikenal luas dan GPG adalah produk Open Source. Untuk menggunakan PGP di luar Amerika Serikat, gunakan versi internasional, sedangkan GPG sendiri karena dikembangkan di luar wilayah hukum Amerika Serikat, maka bebas digunakan oleh siapapun. Restriksi ini berkaitan dengan aturan ekspor produk enkripsi yang berkait dengan pemakaian kunci sandi untuk pemakaian tanda tangan digital ini.
Persiapan yang dilakukan oleh pihak yang hendak berkorespondensi tidak terlalu sulit. Kedua belah pihak menyediakan sepasang kunci, yakni kunci privat dan kunci publik (private key, public key). Kunci privat ini dipegang hanya oleh pemiliknya; sedangkan kunci publik diekspos kepada khalayak dan diambil oleh mereka yang akan menerima pesan. Penerima pesan tersebut menambahkan kunci publik ke dalam daftar yang dikelola oleh aplikasi, baik PGP atau GPG. Agar lebih yakin lagi bahwa kunci publik tersebut berasal dari pihak yang dimaksud, tersedia tambahan kode jejak, yakni fingerprint. Dalam kondisi ekstrim yang memerlukan validitas tingkat tinggi, fingerprint ini dipertukarkan oleh kedua pihak lewat pertemuan fisik atau media lain yang lebih dapat dipercaya.
Karena tujuan pemakaian tanda tangan digital berbeda dengan enkripsi yang bersifat menyembunyikan, maka pesan tersebut tetap dapat terbaca oleh semua orang, namun di bagian bawahnya terdapat “tanda tangan” yang dapat digunakan untuk memeriksa integritas pesan dan validitas pengirimnya. Sebagai contoh, di bawah ini sebuah pesan yang saya tandatangani secara digital.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Acara di Bandung akan diselenggarakan sbb.:
Tanggal: 30 Maret 2004
Berangkat: pukul 07.00 kumpul di stasiun
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQFANy2PJyu3H7BcwTcRAgC1AKC4vM8cla7ITV+HIju0kk6yElo2lACgp2Cn
vgYKscPICyGyVO9666U7PUU=
=uvlf
-----END PGP SIGNATURE-----
Untuk memastikan integritas pesan di atas perlu kunci publik penulisnya.
Selain digunakan untuk keperluan pengiriman berita penting, saat ini tanda tangan digital mulai dipakai untuk menandai email agar dapat dibedakan dengan email palsu yang dikirim virus atau worm.
