Zbliża się termin zakończenia stosowania SHA-1 przy składaniu podpisów i pieczęci

Kwalifikowani dostawcy usług zaufania od ponad dekady świadczą usługi zaufania, takie jak m.in. kwalifikowany podpis elektroniczny. Obecnie korzysta z niego ponad 400 tys. użytkowników. Na co dzień usługodawcy wprowadzają zmiany i nowe funkcjonalności w sposób, który nie wymaga dodatkowych działań użytkowników lub instytucji. Są jednak sytuacje, w których konieczne jest wyznaczenie terminu na wprowadzenie poprawek i taki termin ustanowił ustawodawca.

Zmiana technologiczna polega na wycofaniu funkcji skrótu SHA-1 z zastosowań związanych zeskładaniem zaawansowanego podpisu lub pieczęci. Począwszy od 2 lipca, do składania kwalifikowanego podpisu elektronicznego (najpowszechniejszy rodzaj podpisów zaawansowanych) powinna być stosowana nowsza, z przewidzianych w europejskich standardach, funkcja skrótu SHA-2. Certyfikaty kwalifikowane wygenerowane przed 2 lipca br. zachowają ważność do końca okresu w nich wskazanego, chyba że wcześniej ich status został zmieniony na nieważny. Nie trzeba kupować nowych certyfikatów.

Art. 137. ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej, który mówi, że do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.

Przepis art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej wpływa przede wszystkim na użytkowników kwalifikowanych podpisów elektronicznych. Adresatem przepisu nie jest wyłącznie administracja publiczna, ale każdy podmiot, gdzie tego rodzaju podpisy są składane (np. banki).

Co należy zrobić?

W przypadku osób korzystających z aplikacji dostarczanych w zestawach lub pobieranych ze stron centrów certyfikacji, zalecane jest zaktualizowanie oprogramowania do najnowszych wersji. W odniesieniu do wszelkiego rodzaju instytucji, wskazane jest sprawdzenie czy wykorzystywane są systemy, aplikacje lub aplety z elementem składania i weryfikacji podpisu kwalifikowanego (np. ESP, EZD, ERP). W takim przypadku niezbędne może okazać się zainstalowanie aktualizacji lub kontakt z producentem dla ustalenia terminu udostępnienia lub warunków otrzymania aktualizacji.

W najbardziej komfortowej sytuacji są użytkownicy systemów takich jak PUE ZUS, eDOK, BESTI@ lub TREZOR, które są rozwijane i aktualizowane bez ich udziału przez administrację rządową lub podmioty trzecie. W tym przypadku prosimy jednak deweloperów oprogramowania o zamieszczanie informacji z których wynika kiedy i jak udostępniona zostanie aktualizacja.

Wprowadzana zmiana podyktowana jest względami bezpieczeństwa z uwagi na osłabienie dotychczas stosowanych algorytmów kryptograficznych. Bliższe informacje znajdują się na stronach NCCERT oraz kwalifikowanych dostawców usług zaufania.

Strona NCCERT
Źródło: www.gov.pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *