Algorytm funkcji skrótu SHA-1 przy kwalifikowanym podpisie elektronicznym według Ministerstwa Cyfryzacji

Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają. Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS.

W ocenie Ministerstwa należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych, wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa, od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa. W przypadku SHA-1 mamy do czynienia z drugim przypadkiem, to znaczy rekomendacji przejścia ze stosowania tego algorytmu na rzecz kolejnych generacji algorytmu funkcji skrótu (np. SHA-2, SHA-3). To umożliwi ewolucyjne przejście aplikacji oraz urządzeń do składania i weryfikacji podpisów elektronicznych na wyższy poziom zabezpieczeń.

W konsekwencji, w krótkiej informacji Prezesa UZP przedstawionej po ww. komunikacie Ministerstwa Cyfryzacji (https://www.uzp.gov.pl/aktualnosci/algorytmy-funkcji-skrotu-sha-1-nie-maja-wplywu-na-waznosc-podpisow-kwalifikowanych), oferty, wnioski o dopuszczenie do udziału w postępowaniu, JEDZ oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego, które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ZamPublU. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.

Powyższe stanowisko jest między innymi wynikiem zaistniałych problemów na gruncie zamówień publicznych, będących przedmiotem postępowań odwoławczych przed KIO. Dla przypomnienia w wyroku KIO z 10.12.2018 r. (KIO 2428/18) uznano, że kwalifikowany podpis elektroniczny złożony przez wykonawcę, nie odpowiadający przepisom obowiązującym od 1.7.2018 r., tj. przy zastosowaniu algorytmu SHA-1, jest nieważny. W rozpatrywanej sprawie, zdaniem KIO, zamawiający zobligowany był do wezwania wykonawcy w trybie art. 26 ust. 3 ZamPublU, do złożenia oświadczenia JEDZ podpisanego prawidłowo z zastosowaniem aktualnie obowiązującego algorytmu, w tym przypadku SHA-2. Jednakże, mając na względzie okoliczność, że potwierdził się zarzut naruszenia przez zamawiającego art. 89 ust. 1 pkt 2 ZamPublU, który obligował zamawiającego do odrzucenia oferty wykonawcy, KIO nie nakazywała zamawiającemu wezwania w trybie art. 26 ust. 3 ZamPublU, do uzupełnienia wadliwie podpisanego dokumentu, ponieważ ta czynność pozostaje bez wpływu na wynik postępowania. Ten wyrok wywołał duże kontrowersje. Odmienny od tego wyroku pogląd odnośnie do konsekwencji użycia algorytmu SHA-1 wyraziła też Polska Izba Informatyki i Telekomunikacji, wskazując, że zastosowanie przy składaniu podpisu kwalifikowanego algorytmu SHA-1 po 1.7.2018 r. nie narusza dyspozycji art. 137 ustawy z 5.9.2016 r. o usługach zaufania i identyfikacji elektronicznej i jest dopuszczalne. Co istotne, w kolejnych wyrokach, tj. KIO 137/19 i KIO 156/19, także nie podzielono zdania zawartego w wyroku KIO 2428/18. Przykładowo w wyroku KIO 137/19 uznano, że dokument elektroniczny (w tym przypadku JEDZ), przy którego podpisywaniu użyto algorytmu skrótu SHA-1, jest prawidłowy.




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych