Skuteczność podpisu elektronicznego z algorytmem SHA -1

SHA czyli Secure Hash Algorithm jest to rodzina powiązanych ze sobą kryptograficznych funkcji skrótu wykorzystywana w kryptografii kwalifikowanego podpisu elektronicznego.  Zgodnie z art. 137 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, poz. 1579) z dniem 1 lipca 2018r.  utracił ważność algorytm SHA-1. W związku z czym w przypadku złożenia podpisu elektronicznego przy wykorzystaniu algorytmu SHA -1 po dacie 1 lipca 2018r. wskazywało na złożenie wadliwego podpisu . W tym temacie wypowiedziała się KIO w wyroku  z dnia 2018-12-10, KIO 2428/18 i potwierdzono tam obowiązek odrzucenia  oferty : "Biorąc powyższe pod rozwagę, Izba stwierdziła, że przystępujący nie dochował należytej staranności, przy dokonywaniu czynności związanej ze złożeniem kwalifikowanego podpisu pod dokumentem JEDZ składanym zamawiającemu, albowiem uchybił bezwzględnie obowiązującym od dnia 1 lipca 2018 roku przepisom uzoie i wadliwie złożył podpis przy zastosowaniu algorytmu SHA-1. Przystępujący winien bowiem, znając treść przepisów nowelizujących przedmiotową ustawę, dokonać uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Przystępujący takiej czynności, zdaje się nie dokonał."

Tym samym w oparciu o powyższe  sprawdzając właściwości podpisu kwalifikowanego jeżeli stwierdzimy, że został on złożony w oparciu o algorytm SHA-1 uznać należy iż złożony podpis jest nieważny. Oferta zostanie opatrzona takim podpisem powinna zostać ona odrzucona jako nieważna na podstawie odrębnych przepisów (Art. 89. ust. 1 pkt 8 Pzp w związku z art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej).

W sprzeczności w powyżej omówionym wyrokiem oraz wskazaną podstawa prawną  stoi wyrok KIO   z dnia 12 lutego 2019r.  w sprawie o sygnaturze KIO 137/19, którego przedmiotem było rozstrzygniecie, czy Zamawiający prawidłowo wykluczył wykonawcę za niewykazanie spełniania warunków udziału w postępowaniu, gdyż ten przedłożył JEDZ, przy podpisywaniu którego użyto algorytmu skrótu dokumentu SHA-1. KIO na postawie  stanowiska Polskiej  Izby Informatyki i Telekomunikacji zgodnie z którym, zastosowanie przy składaniu podpisu kwalifikowanego algorytmu SHA-1, po 1 lipca 2018 r., nie narusza dyspozycji art. 137 ust. 1 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, poz. 1579) i jest dopuszczalne; uznała, że dokument elektroniczny (w tym przypadku JEDZ) przy podpisywaniu którego użyto algorytmu skrótu SHA-1 jest prawidłowy.

Powyższe stanowisko znalazło swoje potwierdzenie w treści informacji publikowanej na stronach Ministerstwa Cyfryzacji, gdzie czytamy że podpisy kwalifikowane, które złożono przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Informacja ta pojawiła się  w dniu 15 lutego 2019 r. na stronie internetowej Ministerstwa Cyfryzacji tj. po dacie wyroku KIO.  

W ocenie Ministerstwa Cyfryzacji, do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów  elektronicznych z art. 32 eIDAS.

W konsekwencji w opinii Prezesa Urzędu Zamówień Publicznych zamieszczonej w tej samej dacie co informacja na stronach Ministerstwa Cyfryzacji czytamy, iż  oferty, wnioski o dopuszczenie do udziału w postępowaniu, jednolite europejskie dokumenty zamówienia oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego, które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ustawy Prawo zamówień publicznych. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.

Oznacza to, że dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. 

Konkludując, należy stwierdzić iż podpisy elektroniczne złożone z wykorzystaniem zarówno algorytmu SHA -1 jak i SHA -256 powinny być honorowane przez zamawiających publicznych.


Image