!! Wycofanie algorytmu SHA-1 w podpisie elektronicznym - koniecznie przeczytaj !!

Bardzo ważna informacja !!

Komunikat Ministra Cyfryzacji z dnia 01 marca 2018 r. w sprawie wycofania algorytmu SHA-1 w zastosowaniach związanych z zaawansowanym podpisem i pieczęcią elektroniczną.

Z dniem 1 lipca br. kończy się przewidziany w artykule 137 ustawy z dn. 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, Poz. 1579) okres stosowania funkcji skrótu SHA1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Przepis ten stanowi, że: „Art. 137. Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.” Przepis wymaga odejścia od stosowania algorytmu SHA-1 przy składaniu zaawansowanego, w tym również kwalifikowanego, podpisu elektronicznego i pieczęci elektronicznej, co jednak powoduje konieczność uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Algorytm SHA-1 utracił rekomendację ETSI (zob. ETSI TS 119 312). Obniżenie tzw. progu kolizji oraz poważne osłabienie algorytmu funkcji skrótu to moment w którym gospodarze biznesowi systemów informatycznych nie mogą odwlekać ich dostosowania do algorytmów SHA-2. Działania w tym zakresie nie dotyczą jedynie dostawców usług zaufania, ale wszystkich tych, którzy podpis zaawansowany i podpisane elektronicznie dokumenty w swoich systemach procesują. W przypadku dużych systemów takich jak EZD czy ERP, dla których ograniczenia licencyjne nie pozwalają na dokonywanie zmian należy skontaktować się z ich dostawcą lub producentem. Kwalifikowani dostawcy usług zaufania dostosowując się do wymogów uruchomili już urzędy certyfikacji w oparciu o nowe kompozycje kryptograficzne. Decyzją Ministra Cyfryzacji, w ramach Narodowego Centrum Certyfikacji, uruchomiony został nowy urząd certyfikacji, który umożliwia centrom świadczenie usług na nowych algorytmach. Niezbędne jest jednak dostosowanie wszystkich systemów strony ufającej, tak aby z dniem 1 lipca br było możliwe odejście od stosowania funkcji SHA-1 przy składaniu podpisu elektronicznego i pieczęci elektronicznej. Algorytm SHA-1 będzie mógł być nadal używany przy weryfikacji. Należy jednak zauważyć, że listy CRL publikowane po dniu 1.07 podpisywane będą z użyciem funkcji z rodziny SHA-2 (nawet jeśli dotyczą certyfikatów wydanych z użyciem funkcji SHA-1). W odniesieniu do ważnych dokumentów podpisanych w oparciu o stare algorytmy dobrą praktyką jest znakowanie czasem z użyciem znaczników opartych na nowych algorytmach. Wprowadzenie zmian dotyczących algorytmów kryptograficznych jest zarazem dobrą sposobnością do przeprowadzenia innych dostosowań do nowych standardów w zakresie podpisu elektronicznego, np. w zakresie semantyki profilu certyfikatów i pola serial.Number (fakultatywność PESEL w ETSI EN 319 412-1). Jeżeli certyfikat kwalifikowany będzie zawierał numer PESEL, to semantyka powinna przybrać notację PNOPL-XXXXXXXXXXX. Dla celów kompatybilności wstecznej zaleca się również utrzymanie zdolności aplikacji do obsłużenia notacji dotychczasowej. W profilu certyfikatu kwalifikowanego znajdzie się również nowe pole krytyczne PDS (rozdz. 4.3.4 i 5 w ETSI EN 319 412-5) z adresem dokumentu stanowiącego skrót polityki certyfikacji. Wymóg dostosowania dotyczy zarówno administracji publicznej, jak również wszelkich innych podmiotów, które posiadają własne systemy lub aplikacje z elementem składania lub weryfikacji zaawansowanego podpisu elektronicznego.

W przypadku urzędów administracji publicznej, oprócz dostosowania systemów informatycznych, zalecane jest dokonanie przeglądu przepisów prawa lub dokumentacji projektów tak, aby usunąć zapisy przewidujące stosowanie SHA-1 jako funkcji skrótu. Warto rozważyć wycofanie SHA-1 również z innych zastosowań, chociaż mogą wystąpić i takie rozwiązania informatyczne gdzie nie jest to możliwe lub konieczne (np. HMAC). Odchodzenie od przestarzałych algorytmów i korzystanie z konserwacji za pomocą znaczników czasu pozwala minimalizować zagrożenia dla e-podpisu w przyszłości. Zarówno nadzór, jak i dostawcy usług zaufania śledzą i analizują wszystkie aspekty technologiczne, które mogą mieć wpływ na bezpieczeństwo usług zaufania. W interesie bezpieczeństwa i wygody odbiorców usług zaufania przypominamy, aby również inne podmioty dostosowały terminowo swoje systemy informatyczne.

Komunikat MF - Konieczność aktualizacji wtyczki przez użytkowników korzystających z interaktywnych formularzy PDF deklaracj.

Komunikat Certum w sprawie wydawanych certyfikatów kwalifikowanych

Konsekwencje:

W odniesieniu do wszelkiego rodzaju instytucji, wskazane jest sprawdzenie przez użytkownika podpisu elektronicznego, czy wykorzystywane są systemy, aplikacje lub aplety z elementem składania i weryfikacji podpisu kwalifikowanego (np. ESP, EZD, ERP, inne…). W takim przypadku niezbędne może okazać się zainstalowanie aktualizacji lub kontakt z producentem dla ustalenia terminu udostępnienia lub warunków otrzymania aktualizacji pod kątem wsparcia podpisu z funkcją skrótu SHA-2.

Uwaga: Wszystkie stosowane w różnych systemach i usługach oprogramowania podpisujące (i pieczętujące) po 1 lipca 2018 r muszą tworzyć podpisy wyliczając skrót treści podpisywanych dokumentów za pomocą funkcji SHA-2, niezależnie czy zastosowany przez podpisującego certyfikat był opatrzony pieczęcią wystawcy bazującej na skrócie SHA-1, czy SHA-2.