KWALIFIKOWANE CENTRUM CERTYFIKACJI KLUCZY

Ostateczne wycofanie algorytmu SHA-1

 

Algorytmy "skrótu kryptograficznego" (jak SHA-1, SHA-2) są niezbędne przy realizacji podpisów oraz pieczęci elektroniczych. Zarówno podpisów składanych przez użytkowników certyfikatów (np. w systemach typu Płatnik ZUS), jak też podpisów/pieczęci składanych przez dostawcę usług zaufania (CenCert) przy wystawianiu kwalifikowanego certyfikatu bądź znacznika czasu.

Wśród algorytmów skrótu kryptograficznego istotne miejsce zajmował do niedawna algorytm SHA-1.

Obecnie nadszedł czas na ostateczne wycofanie z użytku algorytmu SHA-1. Zgodnie z ustawą z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (art. 137), algorytm SHA-1 mógł być używany do składania podpisów lub pieczęci elektronicznych do dnia 1 lipca 2018 r.

Oznacza to, że od 2 lipca 2018 wszystkie wystawiane przez nas certyfikaty, listy CRL, tokeny OCSP czy tokeny znakowania czasem są podpisywane przy użyciu nowoczesnej funkcji SHA-2.

Przepis art. 137 ustawy stanowi, że od 2 lipca nie wolno już wystawiać nowych certyfikatów przy użyciu SHA-1. Wystawione wcześniej certyfikaty, zawierające skrót SHA-1, pozostają ważne i mogą być użytkowane do końca normalnego okresu ważności.

Wycofanie możliwości składania nowych podpisów przy użyciu SHA-1 oznacza też, że od 2.07.2018 należy zwrócić uwagę, czy przy składaniu podpisu wybrano właściwy algorytm skrótu. Czym innym jest algorytm użyty przez nas do wystawienia certyfikatu (jeśli certyfikat był wystawiony przed 2.07.2018, to ma prawo być wystawiony z użyciem SHA-1), a czym innym algorytm użyty do wystawienia podpisu przez użytkownika (jeśli podpis jest wystawiany po 1.07.2018, nie powinien używać SHA-1).

Algorytm skrótu używany do składania podpisu można zmienić w PEM-HEART Signature w menu Ustawienia -> Algorytmy kryptograficzne, przy czym począwszy od wersji 3.9.12.34 nie ma już możliwości wybrania SHA-1.

   © 2010 Enigma SOI. CenCert jest zastrzeżonym znakiem towarowym firmy Enigma SOI