Krajowa Izba Odwoławcza powoli zaczyna orzekać w sprawach dotyczących postępowań z elektronizacją. Przykładem takiego orzeczenia może być sprawa : Sygn. akt: KIO 2428/18 Wyrok z dnia 10 grudnia 2018 r. Orzeczenie jak się wydaje nie jest prawidłowe w zakresie algorytmu szyfrowania SHA-1, co prawda oferta wykonawcy i tak została odrzucona z innych przyczyn ale przykład pokazuje że nowa materia to zupełnie nowe wyzwania dla Izby
W sprawie Odwołujący zarzucał Zamawiającemu naruszenie art 24 ust. 1 pkt 12 ustawy Pzp, poprzez wybór oferty wykonawcy który na dzień wyboru jego oferty, jako najkorzystniejszej nie potwierdził spełnienia warunku udziału w postępowaniu w zakresie doświadczenia oraz nie wykazał braku podstaw wykluczenia z postępowania poprzez złożenie Jednolitego Europejskiego Dokumentu Zamówienia (dalej „JEDZ”) z podpisem elektronicznym nie spełniającym wymogów przepisów prawa, ewentualnie naruszenie art. 26 ust. 3 w zw. z art. 10a ust 5 ustawy Pzp.
Wykonawca wybrany złożył JEDZ z podpisem kwalifikowanym.
Odwołujący wskazał, iż kwalifikowany podpis, dla swej prawidłowości musi spełniać wszelkie wymogi wskazane w rozporządzeniu ElDAS ale powinien również spełniać wymogi ustawodawstwa krajowego o ile takowe zostały wprowadzone. W przypadku braku spełnienia tych wymogów dany podpis nie ma waloru kwalifikowalności.
Izba uwzględniając odwołanie stwierdziła, że:
zgodnie z przepisem art. 137 ust. 1 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2016 r. poz. 1579 ze zm.) (dalej „uzoie”) „Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.”.
Przystępujący H… złożył wraz z ofertą JEDZ w postaci elektronicznej podpisany w dniu 3 września 2018 r., o 9:56:32 kwalifikowanym podpisem Certum wystawionym przez dostawcę usług zaufania Asseco Data Systems S.A. (format podpisu XADES). Zgodnie z treścią załączonego do pliku JEDZ certyfikatu podpisu (szczegóły podpisu) złożonego przez P. K… L…, podpis został złożony z wykorzystywaniem algorytmu SHA-1.
Zgodnie z ww. przepisem uzoie, z dniem 1 lipca 2018 r., skończył się okres stosowania funkcji skrótu SHA-1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko certyfikatów (czyli nie dotyczy tylko dostawców certyfikatów), ale także wszelkich składanych podpisów i pieczęci pod dokumentami. Obowiązek ten dotyczy wszystkich podmiotów zarówno komercyjnych jak i jednostek administracji publicznej, które w ramach swoich systemów udostępniają funkcjonalność tworzenia podpisu (lub pieczęci). Wymaga podkreślenia, że jeżeli certyfikat użytkownika będzie bazował na SHA-1 (i będzie ważny, bo wydany przed 1 lipca), to podpis tworzony (po 1 lipca)
weryfikowany tym certyfikatem powinien zawierać skrót podpisywanej treści obliczony algorytmem SHA-2 (a nie SHA-1).
Powyższe stanowisko potwierdza również komunikat Ministra Cyfryzacji z dnia 1 marca 2018 r. w sprawie wycofania algorytmu SHA-1 w zastosowaniach związanych z zaawansowanym podpisem i pieczęcią elektroniczną, zamieszczony na stronach Narodowego Centrum Certyfikacji, w którym wskazano, iż „Z dniem 1 lipca br. kończy się przewidziany w artykule 137 ustawy z dn. 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, Poz. 1579) okres stosowania funkcji skrótu SHA1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Przepis ten stanowi, że: „Art. 137. Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.”. Przepis wymaga odejścia od stosowania algorytmu SHA-1 przy składaniu zaawansowanego, w tym również kwalifikowanego, podpisu elektronicznego i pieczęci elektronicznej, co jednak powoduje konieczność uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2.
Algorytm SHA-1 utracił rekomendację ETSI (zob. ETSl TS 119 312). (…). Decyzją Ministra Cyfryzacji, w ramach Narodowego Centrum Certyfikacji, uruchomiony został nowy urząd certyfikacji, który umożliwia centrom świadczenie usług na nowych algorytmach. Niezbędne jest jednak dostosowanie wszystkich systemów strony ufającej, tak aby z dniem 1 lipca br. było możliwe odejście od stosowania funkcji SHA-1 przy składaniu podpisu elektronicznego i pieczęci elektronicznej. Algorytm SHA-1 będzie mógł być nadal używany przy weryfikacji. Należy jednak zauważyć, że listy CRL publikowane po dniu 1.07 podpisywane będą z użyciem funkcji z rodziny SHA-2 (nawet jeśli dotyczą certyfikatów wydanych z użyciem funkcji SHA-1). W odniesieniu do ważnych dokumentów podpisanych w oparciu o stare algorytmy dobrą praktyką jest znakowanie czasem z użyciem znaczników opartych na nowych algorytmach.”.
Biorąc powyższe pod rozwagę, Izba stwierdziła, że przystępujący nie dochował należytej staranności, przy dokonywaniu czynności związanej ze złożeniem kwalifikowanego podpisu pod dokumentem JEDZ składanym zamawiającemu, albowiem uchybił bezwzględnie obowiązującym od dnia 1 lipca 2018 roku przepisom uzoie i wadliwie złożył podpis przy zastosowaniu algorytmu SHA-1. Przystępujący winien bowiem, znając treść przepisów nowelizujących przedmiotową ustawę, dokonać uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Przystępujący takiej czynności, zdaje się nie dokonał.
Tym samym, Izba doszła do przekonania, iż podpis złożony przez przystępującego, nie odpowiadający aktualnie obowiązującym przepisom jest nieważny, dlatego też koniecznym było ustalenie, że czynność oceny oferty przystępującego przez zamawiającego, pod kątem prawidłowości złożonego pod oświadczeniem JEDZ podpisu – była wadliwa.
Oferta wykonawcy podlegała jednocześnie odrzuceniu z innej przyczyny (niezgodność z SIWZ) stąd Izba nie nakazała Zamawiającemu wezwania do uzupełnienia JEDZ.
Poniżej komunikat dot algorytmu SHA-1:
https://www.nccert.pl/komunikaty2018.htm
Komunikat Ministra Cyfryzacji z dnia 01 marca 2018 r. w sprawie wycofania algorytmu SHA-1 w zastosowaniach związanych z zaawansowanym podpisem i pieczęcią elektroniczną.
Z dniem 1 lipca br. kończy się przewidziany w artykule 137 ustawy z dn. 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, Poz. 1579) okres stosowania funkcji skrótu SHA1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Przepis ten stanowi, że:
„Art. 137. Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.”
Przepis wymaga odejścia od stosowania algorytmu SHA-1 przy składaniu zaawansowanego, w tym również kwalifikowanego, podpisu elektronicznego i pieczęci elektronicznej, co jednak powoduje konieczność uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Algorytm SHA-1 utracił rekomendację ETSI (zob. ETSI TS 119 312). Obniżenie tzw. progu kolizji oraz poważne osłabienie algorytmu funkcji skrótu to moment w którym gospodarze biznesowi systemów informatycznych nie mogą odwlekać ich dostosowania do algorytmów SHA-2. Działania w tym zakresie nie dotyczą jedynie dostawców usług zaufania, ale wszystkich tych, którzy podpis zaawansowany i podpisane elektronicznie dokumenty w swoich systemach procesują. W przypadku dużych systemów takich jak EZD czy ERP, dla których ograniczenia licencyjne nie pozwalają na dokonywanie zmian należy skontaktować się z ich dostawcą lub producentem.
Kwalifikowani dostawcy usług zaufania dostosowując się do wymogów uruchomili już urzędy certyfikacji w oparciu o nowe kompozycje kryptograficzne. Decyzją Ministra Cyfryzacji, w ramach Narodowego Centrum Certyfikacji, uruchomiony został nowy urząd certyfikacji, który umożliwia centrom świadczenie usług na nowych algorytmach. Niezbędne jest jednak dostosowanie wszystkich systemów strony ufającej, tak aby z dniem 1 lipca br było możliwe odejście od stosowania funkcji SHA-1 przy składaniu podpisu elektronicznego i pieczęci elektronicznej. Algorytm SHA-1 będzie mógł być nadal używany przy weryfikacji. Należy jednak zauważyć, że listy CRL publikowane po dniu 1.07 podpisywane będą z użyciem funkcji z rodziny SHA-2 (nawet jeśli dotyczą certyfikatów wydanych z użyciem funkcji SHA-1). W odniesieniu do ważnych dokumentów podpisanych w oparciu o stare algorytmy dobrą praktyką jest znakowanie czasem z użyciem znaczników opartych na nowych algorytmach.
W przypadku urzędów administracji publicznej, oprócz dostosowania systemów informatycznych, zalecane jest dokonanie przeglądu przepisów prawa lub dokumentacji projektów tak, aby usunąć zapisy przewidujące stosowanie SHA-1 jako funkcji skrótu. Warto rozważyć wycofanie SHA-1 również z innych zastosowań, chociaż mogą wystąpić i takie rozwiązania informatyczne gdzie nie jest to możliwe lub konieczne (np. HMAC).
Odchodzenie od przestarzałych algorytmów i korzystanie z konserwacji za pomocą znaczników czasu pozwala minimalizować zagrożenia dla e-podpisu w przyszłości. Zarówno nadzór, jak i dostawcy usług zaufania śledzą i analizują wszystkie aspekty technologiczne, które mogą mieć wpływ na bezpieczeństwo usług zaufania. W interesie bezpieczeństwa i wygody odbiorców usług zaufania przypominamy, aby również inne podmioty dostosowały terminowo swoje systemy informatyczne.
Zostaw komentarz