statystyki

Uwaga na nieprawidłowe e-podpisy. Sprawdzajmy, czy nie opierają się na algorytmie SHA-1

autor: Sławomir Wikariak08.01.2019, 08:10; Aktualizacja: 08.01.2019, 08:17
big data, algorytm, technologia, internet, cyberbezpieczeństwo

W tej sprawie chodziło o JEDZ, dlatego też KIO uznała, że wykonawca powinien zostać wezwany do uzupełnienia dokumentu i opatrzenia go prawidłowym e-podpisemźródło: ShutterStock

Przedsiębiorcy posługujący się podpisem elektronicznym powinni zwrócić uwagę, czy nie bazuje on na przestarzałym algorytmie SHA-1. Złożone z jego użyciem oferty mogą okazać się nieważne

SHA (z ang. Secure Hash Algorithm) to rodzina kryptograficznych funkcji skrótu wykorzystywanych do składania elektronicznych podpisów kwalifikowanych czy e-pieczęci. Stosowany przez lata standard SHA-1 dziś jest uznawany za niebezpieczny. W 2017 r. Google ogłosił, że możliwe jest wygenerowanie dwóch różnych plików PDF o tym samym skrócie SHA-1. Dużo wcześniej SHA-1 zyskał następcę w postaci SHA-2 (dziś dodatkowo w użyciu jest też standard SHA-3). Ze względów bezpieczeństwa w Polsce również zrezygnowano z używania SHA-1 do składania elektronicznego podpisu zaufanego. Zgodnie z art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2016 r. poz. 1579 ze zm.) można go było stosować jedynie do 1 lipca 2018 r. Po tej dacie na wyższy standard musieli przejść nie tylko dostawcy usług certyfikacyjnych, ale także ich użytkownicy. Konieczna była chociażby aktualizacja aplikacji służących do składania e-podpisów.

Jak pokazuje praktyka, nie wszyscy przedsiębiorcy wiedzieli o tym obowiązku. W przetargu na dostawę sprzętu komputerowego dla gminy Stalowa Wola jeden z wykonawców złożył podpis elektroniczny z użyciem SHA-1. Opatrzył nim jednolity elektroniczny dokument zamówienia (JEDZ). Zamawiający nie dostrzegł w tym problemu i uznał JEDZ za złożony prawidłowo. Zostało to zakwestionowane w odwołaniu wniesionym do Krajowej Izby Odwoławczej.


Pozostało 54% tekstu

Prenumerata wydania cyfrowego

Dziennika Gazety Prawnej
9,80 zł
cena za dwa dostępy
na pierwszy miesiąc,
kolejny miesiąc tylko 79 zł
Oferta autoodnawialna
KUPUJĘ

Pojedyncze wydanie cyfrowe

Dziennika Gazety Prawnej
4,92 zł
Płać:
KUPUJĘ
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Galerie

Polecane