Ostatnio często słyszymy o algorytmach SHA-1/ SHA-2 w kontekście rynku zamówień publicznych. Algorytm SHA-2 jest bardziej zaawansowanym i rekomendowanym algorytmem w zastosowaniach związanych z elektronicznym podpisem i pieczęcią. Nie zmienia to jednak faktu, że podpis elektroniczny składany z użyciem SHA-1 jest wciąż ważny, o czym przekonują zarówno eksperci Asseco, jak i instytucje publiczne regulujących rynek usług elektronicznych.
Zgodnie z artykułem 137 Ustawy o usługach zaufania oraz identyfikacji elektronicznej od dnia 1 lipca 2018 r. algorytm funkcji skrótu SHA-1 stosowany przy składaniu kwalifikowanych podpisów elektronicznego, zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych powinien być zastąpiony algorytmem funkcji skrótu SHA-2. Dlatego też, wszystkie nowo wydawane certyfikaty, w tym te wydawane przez należące do Asseco Centrum Certyfikacji Certum bazują od tej pory na funkcji skrótu SHA-2. Jednocześnie kwalifikowane certyfikaty wydane do 1 lipca 2018 roku przy zastosowaniu funkcji skrótu SHA1 nie utraciły swojej ważności, zachowując ją do daty wskazanej w certyfikacie. Ważność podpisów składanych z użyciem algorytmu SHA-1 potwierdziło zarówno Ministerstwo Cyfryzacji, jak i Krajowa Izba Odwoławcza.
Zagadnienie to wyjaśnił dla Dziennika Gazety Prawnej ekspert Pionu Usług Bezpieczeństwa i Zaufania Artur Miękina.
Zgodnie z zaleceniami, jako kwalifikowany dostawca usług zaufania, od 2 lipca 2018 r. przy wystawianiu nowych certyfikatów stosujemy wyłącznie algorytm SHA-2. Trzeba jednak pamiętać, że czym innym jest użycie algorytmu skrótu do poświadczenia (czyli podpisania lub opieczętowania) certyfikatu przez wystawcę, a czym innym użycie odpowiedniego algorytmu przy składaniu podpisu przez posiadacza certyfikatu. Osoba składająca podpis może użyć dowolnej aplikacji, niekoniecznie pochodzącej od wystawcy certyfikatu. Przy składaniu podpisu decyduje użyte oprogramowanie, w którym należy przestawić opcję na SHA-2 lub je zaktualizować. Oczywiście zaleciliśmy to wszystkim naszym klientom. Nie mamy jednak wpływu na to, jakiego oprogramowania oni używają. Podkreślam jednak, że użycie przy składaniu podpisu funkcji skrótu SHA-2 nie ma żadnego znaczenia dla jego ważności, co potwierdziły ostatnie wyroki KIO. – Artur Miękina, Dyrektor Sprzedaży Projektów Kluczowych, Pion Usług Bezpieczeństwa i Zaufania, Asseco Data Systems.
Publikacja Dziennika Gazety Prawnej na ten temat: https://prawo.gazetaprawna.pl/artykuly/1398303,podpisy-z-algorytmem-sha-1.html