Algorytm funkcji skrótu SHA-1 nierekomendowany, co nie znaczy wycofany
15.02.2019
Podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Oznacza to, że dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają.
Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS. Należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa.
W przypadku SHA-1 mamy do czynienia z drugim przypadkiem, to znaczy rekomendacji przejścia ze stosowania tego algorytmu na rzecz kolejnych generacji algorytmu funkcji skrótu (np. SHA-2, SHA-3). Umożliwi to ewolucyjne przejście aplikacji oraz urządzeń do składania i weryfikacji podpisów elektronicznych na wyższy poziom zabezpieczeń.
Podstawa prawna
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32014R0910&from=EN
USTAWA z dnia 5 lipca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20160001579/U/D20161579Lj.pdf
- Ostatnia modyfikacja:
- 22.02.2019 09:36 Jakub Karpowicz
- Pierwsza publikacja:
- 22.02.2019 09:36 Jakub Karpowicz