Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają. Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS.

W ocenie Ministerstwa należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych, wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa, od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa. W przypadku SHA-1 mamy do czynienia z drugim przypadkiem, to znaczy rekomendacji przejścia ze stosowania tego algorytmu na rzecz kolejnych generacji algorytmu funkcji skrótu (np. SHA-2, SHA-3). To umożliwi ewolucyjne przejście aplikacji oraz urządzeń do składania i weryfikacji podpisów elektronicznych na wyższy poziom zabezpieczeń.

W konsekwencji, w krótkiej informacji Prezesa UZP przedstawionej po ww. komunikacie Ministerstwa Cyfryzacji (https://www.uzp.gov.pl/aktualnosci/algorytmy-funkcji-skrotu-sha-1-nie-maja-wplywu-na-waznosc-podpisow-kwalifikowanych), oferty, wnioski o dopuszczenie do udziału w postępowaniu, JEDZ oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego, które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ZamPublU. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.

Powyższe stanowisko jest między innymi wynikiem zaistniałych problemów na gruncie zamówień publicznych, będących przedmiotem postępowań odwoławczych przed KIO. Dla przypomnienia w wyroku KIO z 10.12.2018 r. (KIO 2428/18) uznano, że kwalifikowany podpis elektroniczny złożony przez wykonawcę, nie odpowiadający przepisom obowiązującym od 1.7.2018 r., tj. przy zastosowaniu algorytmu SHA-1, jest nieważny. W rozpatrywanej sprawie, zdaniem KIO, zamawiający zobligowany był do wezwania wykonawcy w trybie art. 26 ust. 3 ZamPublU, do złożenia oświadczenia JEDZ podpisanego prawidłowo z zastosowaniem aktualnie obowiązującego algorytmu, w tym przypadku SHA-2. Jednakże, mając na względzie okoliczność, że potwierdził się zarzut naruszenia przez zamawiającego art. 89 ust. 1 pkt 2 ZamPublU, który obligował zamawiającego do odrzucenia oferty wykonawcy, KIO nie nakazywała zamawiającemu wezwania w trybie art. 26 ust. 3 ZamPublU, do uzupełnienia wadliwie podpisanego dokumentu, ponieważ ta czynność pozostaje bez wpływu na wynik postępowania. Ten wyrok wywołał duże kontrowersje. Odmienny od tego wyroku pogląd odnośnie do konsekwencji użycia algorytmu SHA-1 wyraziła też Polska Izba Informatyki i Telekomunikacji, wskazując, że zastosowanie przy składaniu podpisu kwalifikowanego algorytmu SHA-1 po 1.7.2018 r. nie narusza dyspozycji art. 137 ustawy z 5.9.2016 r. o usługach zaufania i identyfikacji elektronicznej i jest dopuszczalne. Co istotne, w kolejnych wyrokach, tj. KIO 137/19 i KIO 156/19, także nie podzielono zdania zawartego w wyroku KIO 2428/18. Przykładowo w wyroku KIO 137/19 uznano, że dokument elektroniczny (w tym przypadku JEDZ), przy którego podpisywaniu użyto algorytmu skrótu SHA-1, jest prawidłowy.