Podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Oznacza to, że dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają. Takie stanowisko opublikowało w piątek 15 lutego Ministerstwo Cyfryzacji.

Czytaj również: KIO nie zrozumiała przepisów o podpisie elektronicznym >>

Podkreśla w nim, że do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS. Należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa. - W przypadku SHA-1 mamy do czynienia z drugim przypadkiem, to znaczy rekomendacji przejścia ze stosowania tego algorytmu na rzecz kolejnych generacji algorytmu funkcji skrótu (np. SHA-2, SHA-3). Umożliwi to ewolucyjne przejście aplikacji oraz urządzeń do składania i weryfikacji podpisów elektronicznych na wyższy poziom zabezpieczeń - czytamy w stanowisku resortu.

 



 

W konsekwencji prezes Urzędu Zamówień Publicznych poinformował, że oferty, wnioski o dopuszczenie do udziału w postępowaniu, jednolite europejskie dokumenty zamówienia oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego,  które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ustawy Prawo zamówień publicznych. - W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1. Podpisy kwalifikowane, które złożono przy wykorzystaniu algorytmu SHA-1 pozostają ważne - uważa prezes UZP.
Oba stanowiska to odpowiedź na orzeczenie Krajowej Izby Odwoławczej z 10 grudnia 2018 r.  Izba uznała w nim nieważność kwalifikowanego podpisu elektronicznego złożonego na dokumencie JEDZ (Jednolity Europejski Dokument Zamówienia) z powodu użycia skrótu SHA-1. KIO oparła się na art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej. Zgodnie z nim skrót SHA-1 mógł być stosowany do 1 lipca 2018 r. Według KIO obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko dostawców certyfikatów, ale także wszelkich składanych podpisów i pieczęci pod dokumentami, a zatem wszystkich podmiotów zarówno komercyjnych, jak i jednostek administracji publicznej. KIO oparła się też na komunikacie Ministra Cyfryzacji z 1 marca 2018 r.  w sprawie wycofania algorytmu SHA-1.

Czytaj w LEX: Kwalifikowany podpis elektroniczny w zamówieniach publicznych >>

Nie masz dostępu do tego materiału? Sprawdź, jako uzyskać >>