2019-02-19

Kwalifikowany podpis elektroniczny, a algorytm SHA-1 vs SHA-2


W kontekście rynku zamówień publicznych od 2018 roku często słychać o algorytmach SHA-1/ SHA-2. Algorytm SHA-2 jest bardziej zaawansowanym i rekomendowanym algorytmem w zastosowaniach związanych z elektronicznym podpisem i pieczęcią. Nie zmienia to jednak faktu, że podpis elektroniczny składany z użyciem SHA-1 jest wciąż ważny (uwaga, algorytm SHA-1 nie jest rekomendowany w zastosowaniach związanych z elektronicznym podpisem i pieczęcią), o czym przekonują zarówno eksperci Asseco, jak i instytucje publiczne regulujących rynek usług elektronicznych.

Zgodnie z artykułem 137 Ustawy o usługach zaufania oraz identyfikacji elektronicznej od dnia 1 lipca 2018 r. algorytm funkcji skrótu SHA-1 stosowany przy składaniu kwalifikowanych podpisów elektronicznego, zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych powinien być zastąpiony algorytmem funkcji skrótu SHA-2. Dlatego też, wszystkie nowo wydawane certyfikaty, w tym te wydawane przez należące do Asseco Centrum Certyfikacji Certum bazują na funkcji skrótu SHA-2. Jednocześnie kwalifikowane certyfikaty wydane do 1 lipca 2018 roku przy zastosowaniu funkcji skrótu SHA1 nie utraciły swojej ważności, zachowując ją do daty wskazanej w certyfikacie. Trzeba jednak pamiętać, że czym innym jest użycie algorytmu skrótu do poświadczenia (czyli podpisania lub opieczętowania) certyfikatu przez wystawcę, a czym innym użycie odpowiedniego algorytmu przy składaniu podpisu przez posiadacza certyfikatu. Osoba składająca podpis może użyć dowolnej aplikacji, niekoniecznie pochodzącej od wystawcy certyfikatu. Przy składaniu podpisu decyduje użyte oprogramowanie, w którym należy przestawić opcję na rekomendowaną funkcje skrótu SHA-2 lub je zaktualizować. Ważność podpisów składanych z użyciem algorytmu SHA-1 (uwaga, algorytm SHA-1 nie jest rekomendowany w zastosowaniach związanych z elektronicznym podpisem i pieczęcią) potwierdziło zarówno Ministerstwo Cyfryzacji, jak i Krajowa Izba Odwoławcza.

Artykuły, które warto przeczytać: