Ważne czy nie ważne – rzecz o SHA-1.

Świat zamówień publicznych, przynajmniej tych elektronicznych, zelektryzował wyrok Krajowej Izby Odwoławczej z dnia 10 grudnia 2018 r. (sygn. akt KIO 2428/18). Sprawa dotyczy tego, czy dokument (np. oferta) utworzony po dniu 1 lipca 2018 roku w formie elektronicznej, gdy przy jego utworzeniu zastosowano funkcję skrótu SHA‑1 jest ważny i skuteczny w postępowaniach o udzielenie zamówienia publicznego (obecnie rekomendowany jest SHA-2). Krajowa Izba Odwoławcza stanęła na stanowisku, że oferta podlega odrzuceniu, gdy podpis kwalifikowany złożony pod oświadczeniem JEDZ jest nieważny, ponieważ wykonawca użył funkcji skrótu SHA-1. Z tym stanowiskiem nie zgadzają się eksperci z obszaru eIDAS. W środowisku wrze, zamawiający są zdezorientowani. Oferta ważna czy nieważna. Wszyscy operatorzy mający uprawnienia do wydawania podpisów kwalifikowanych wpisanych na listę prowadzoną przez Narodowe Centrum Certyfikacji (NCCert) udostępniają aplikacje, w których nadal można podpisywać dokumenty podpisem kwalifikowanym z funkcją skrótu SHA-1 i udostępnione przez nich oprogramowanie do weryfikacji podpisu potwierdzają, że podpis kwalifikowany jest złożony prawidłowo. Stąd w mojej ocenie, niezrozumiałe jest stanowisko KIO.

Krajowa Izba Odwoławcza

Izba w uzasadnieniu wyroku powołała się na przepis art. 137 ust. 1 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2016 r. poz. 1579 ze zm.) (dalej „uzoie”) „Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.”. Izba uznała, że „zgodnie z ww. przepisem z dniem 1 lipca 2018 r., skończył się okres stosowania funkcji skrótu SHA-1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko certyfikatów (czyli nie dotyczy tylko dostawców certyfikatów), ale także wszelkich składanych podpisów i pieczęci pod dokumentami. Obowiązek ten dotyczy wszystkich podmiotów zarówno komercyjnych jak i jednostek administracji publicznej, które w ramach swoich systemów udostępniają funkcjonalność tworzenia podpisu (lub pieczęci). Wymaga podkreślenia, że jeżeli certyfikat użytkownika będzie bazował na SHA-1 (i będzie ważny, bo wydany przed 1 lipca), to podpis tworzony (po 1 lipca) weryfikowany tym certyfikatem powinien zawierać skrót podpisywanej treści obliczony algorytmem SHA-2 (a nie SHA-1).”

Izba ostatecznie stwierdziła, że wykonawca „nie dochował należytej staranności, przy dokonywaniu czynności związanej ze złożeniem kwalifikowanego podpisu pod dokumentem JEDZ składanym zamawiającemu, albowiem uchybił bezwzględnie obowiązującym od dnia 1 lipca 2018 roku przepisom uzoie i wadliwie złożył podpis przy zastosowaniu algorytmu SHA-1. Przystępujący winien bowiem, znając treść przepisów nowelizujących przedmiotową ustawę, dokonać uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Przystępujący takiej czynności, zdaje się nie dokonał.”

Nie zgadzam się z ustaleniami poczynionymi przez KIO z uwagi na błędną w mojej ocenie analizę skutku, jaki powoduje zastosowanie funkcji skrótu SHA-1 po dniu 1 lipca 2018 r. Z przytoczonego przez Izbę przepisu, ani z żadnego innego nie wynika nieważność złożonego podpisu lub też uchylenie „kwalifikowalności”. Co więcej z rozporządzenia UE 910/2014 (eIDAS) Artykuł 25 ust. 1 [Skutki prawne podpisów elektronicznych] wynika, że podpisowi elektronicznemu nie można odmówić skutku prawnego, ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych.

Minister Cyfryzacji

W kwestii wycofania SHA-1 komunikat wydał Minister Cyfryzacji (z dnia 1 marca 2018 r.) zamieszczony na stronach Narodowego Centrum Certyfikacji, w którym wskazano, iż „Z dniem 1 lipca br. kończy się przewidziany w artykule 137 ustawy z dn. 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, Poz. 1579) okres stosowania funkcji skrótu SHA1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Przepis ten stanowi, że: „Art. 137. Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.”. Przepis wymaga odejścia od stosowania algorytmu SHA-1 przy składaniu zaawansowanego, w tym również kwalifikowanego, podpisu elektronicznego i pieczęci elektronicznej, co jednak powoduje konieczność uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Algorytm SHA-1 utracił rekomendację ETSI (zob. ETSl TS 119 312). (…). Decyzją Ministra Cyfryzacji, w ramach Narodowego Centrum Certyfikacji, uruchomiony został nowy urząd certyfikacji, który umożliwia centrom świadczenie usług na nowych algorytmach. Niezbędne jest jednak dostosowanie wszystkich systemów strony ufającej, tak aby z dniem 1 lipca br. było możliwe odejście od stosowania funkcji SHA-1 przy składaniu podpisu elektronicznego i pieczęci elektronicznej. Algorytm SHA-1 będzie mógł być nadal używany przy weryfikacji. Należy jednak zauważyć, że listy CRL publikowane po dniu 1.07 podpisywane będą z użyciem funkcji z rodziny SHA-2 (nawet jeśli dotyczą certyfikatów wydanych z użyciem funkcji SHA-1). W odniesieniu do ważnych dokumentów podpisanych w oparciu o stare algorytmy dobrą praktyką jest znakowanie czasem z użyciem znaczników opartych na nowych algorytmach.”. Z komunikatu Ministra Cyfryzacji nie wynika nieważność lub brak kwalifikowalności złożonego podpisu.

Zdaniem ekspertów

Nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu elektronicznego, a tym bardziej jego ważności tylko dlatego, że przy jego utworzeniu zastosowano funkcję skrótu SHA‑1, niezależnie od tego, czy został on złożony przed, czy po 1 lipca 2018 roku.

Przepis art. 137 polskiej ustawy o usługach zaufania oraz identyfikacji elektronicznej nie zawiera rygoru nieuznawania podpisu utworzonego z zastosowaniem funkcji SHA1 jako podpisu zaawansowanego. Co więcej, takiego rygoru polska ustawa nie mogła zawierać, a tym bardziej nie można go domniemywać, gdyż byłoby to sprzeczne z przepisami nadrzędnymi wynikającymi z rozporządzenia UE 910/2014 (eIDAS), które takiego rygoru nie przewiduje dla zaawansowanych, a co za tym idzie również dla kwalifikowanych podpisów elektronicznych tworzonych w oparciu o SHA-1.

Podsumowując

1.      Algorytm SHA-1 nie jest rekomendowany do stosowania przy tworzeniu podpisów zaawansowanych ze względu na możliwość w nieodległej perspektywie czasowej skutecznego i niewykrywalnego dokonania manipulacji w treści dokumentu opatrzonego takim podpisem. Mimo sygnalizowanego ryzyka, nadal poziom bezpieczeństwa kryptograficznego jest na tyle wysoki, że przy obecnej wiedzy i możliwościach technicznych gwarantuje bezpieczeństwo prawne i faktyczne podpisowi elektronicznemu. Dlatego algorytm SHA-1 nie został wprost zakazany żadną decyzją lub innym unijnym prawnym aktem wykonawczym.

2.      Polska ustawa o usługach zaufania oraz identyfikacji elektronicznej w art. 137 narzuca obowiązek zaprzestania stosowania algorytmu SHA-1 przez administrację publiczną i dostawców usług zaufania, co ma mitygować ryzyko, o którym mowa powyżej oraz ma spowodować przygotowanie krajowej infrastruktury wykorzystującej usługi zaufania do sytuacji, gdy przepisy nadrzędne wprowadzone przez unijnego prawodawcę zakażą wprost stosowania SHA-1 pod rygorem nieuznawania podpisu elektronicznego za podpis zaawansowany. Jednak obecnie takiego rygoru prawnego nie ma. Konsekwencje za nieprzestrzeganie wymogów art. 137 ustawy mają inny charakter. Może je ponieść np. dostawca kwalifikowanych usług zaufania, np. poprzez utratę kwalifikowanego statusu (wykreślenie przez nadzór z rejestru kwalifikowanych dostawców). Konsekwencje służbowe może ponieść też osoba, która odpowiedzialna za dostosowanie do wymogów ustawy infrastruktury w danym urzędzie zaniedba swoich obowiązków.  

3.      Zaprzestanie stosowania funkcji SHA-1 przez administrację publiczną w Polsce nie oznacza, że nie wolno jej uznawać podpisów elektronicznych utworzonych przy zastosowaniu SHA‑1 również po wejściu w życie art. 137. Przeciwna interpretacja tego przepisu doprowadziłaby do konieczności nieuznawania statusu kwalifikowanych wszystkich podpisów wykorzystujących SHA‑1, którymi opatrzone mogą być dokumenty przekazywane do polskich instytucji także z innych państw UE.

4.      W momencie walidacji kwalifikowanego podpisu elektronicznego nie ma możliwości ustalenia, na podstawie którego państwa przepisów powstał dany podpis. Podpis należy weryfikować zawsze na zgodność podpisu z wymaganiami Artykułu 32 rozporządzenia eIDAS i przepisami wykonawczymi obowiązującymi jednolicie w całej Unii Europejskiej. Tylko w ten sposób można zapewnić interoperacyjność kwalifikowanego podpisu elektronicznego i szerzej wszystkich kwalifikowanych usług zaufania, co było celem i jest celem całego procesu legislacyjnego prowadzonego w UE w ostatnich latach.

5.      Jedynym, dopuszczonym przez eIDAS uzasadnieniem odrzucenia przez administrację publiczną dokumentu podpisanego ważnym kwalifikowanym podpisem elektronicznym może być powołanie się na ograniczenia techniczne, które nie pozwoliły urzędowi (zamawiającemu) dokonania prawidłowej analizy dokumentu ze względu na zastosowany w podpisie specyficzny, nieobsługiwany powszechnie algorytm kryptograficzny. Ale w omawianym przypadku, taka okoliczność nie miała miejsca.

Sprawdzenie statusu prawnego podpisu elektronicznego

Najpewniejszym sposobem sprawdzenia, czy podpis jest podpisem kwalifikowanym w rozumieniu eIDAS jest skorzystanie z kwalifikowanej usługi walidacji, która w trybie online potwierdza lub nie potwierdza kwalifikowany status podpisu elektronicznego i wystawia na tę okoliczność stosowane zaświadczeniem elektroniczne. Zaświadczenie to korzysta z prawnego domniemania poprawności i może stanowić, co do zasady, niekwestionowany dowód w procesie sądowym.

Strona ufająca (akceptująca podpis elektroniczny) może również przeprowadzić weryfikację podpisu korzystając z dowolnej aplikacji weryfikującej lub usługi niekwalifikowanej. W tym przypadku musi jednak mieć zaufanie do oprogramowania lub usługi, polegając na deklaracji producenta lub dostawcy usługi i jego renomie rynkowej.

Natomiast „samodzielne” przeprowadzenie weryfikacji konkretnego kwalifikowanego podpisu elektronicznego nie jest procesem łatwym, a wręcz niemożliwe. Sprowadzanie weryfikacji do sprawdzania zastosowanego algorytmu kryptograficznego przy składaniu podpisu elektronicznego nie jest wystarczające i może prowadzić do błędnych wniosków.

Realizacja procesu walidacji kwalifikowanego podpisu elektronicznego

Prawidłowa walidacja musi uwzględniać wymogi art. 32 eIDAS i potwierdzić, że spełnione są jednocześnie trzy przesłanki dla kwalifikowanego podpisu elektronicznego:

a)      podpis jest podpisem zaawansowanym w rozumieniu art. 26. eIDAS;

b)     podpis został złożony za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego (QSCD), czyli urządzenia, które spełnia wymogi zał. II eIDAS

c)      podpis jest weryfikowany za pomocą kwalifikowanego certyfikatu podpisu, czyli certyfikatu, który spełnia wymagania zał. I eIDAS.

Należy zwrócić uwagę, że przepisy wykonawcze wydane na podstawie rozporządzenia eIDAS powołują szereg dokumentów technicznych, które należy uwzględnić w procesie weryfikacji poprawności podpisu elektronicznego.

Wiarygodność kwalifikowanego dostawcy usługi walidacji

Dostawca kwalifikowanej usługi walidacji kwalifikowanego podpisu elektronicznego musi respektować wszystkie przepisy prawa i wymagania zawarte w kilkudziesięciu dokumentach normatywnych. Poprawność implementacji oraz sposób stosowania prawa i standardów przez dostawcę usług zaufania są kontrolowane przez niezależnych tzw. akredytowanych audytorów. Uzyskanie pozytywnego raportu zgodności wydawanego przez podmiot audytujący jest warunkiem koniecznym, aby krajowy nadzór nad usługami zaufania (w Polsce jest to Ministerstwo Cyfryzacji) uznał usługę danego dostawcy jako usługę kwalifikowaną.

Anna Serpina-Forkasiewicz

Prezes Zarządu w Portal PZP Sp. z o.o.