Na temat kontrowersyjnego wyroku KIO dotyczącego możliwości stosowania algorytmu funkcji SHA-1 w podpisach elektronicznych i wpływu tego algorytmu na ich ważności pisaliśmy w jednej z ostatnich naszych publikacji.Wskazywaliśmy wówczas, że decyzja KIO jest błędna bowiem ani przepisy UZOIE, ani rozporządzenia eIDAS nie przewidują nieważności podpisu złożonego z użyciem funkcji SHA-1.
Ogólna wrzawa spowodowana przez powyższy wyrok doprowadziła do wydania w dniu 15 lutego 2019 r. komunikatu Ministerstwa Cyfryzacji odnośnie możliwości stosowania algorytmu funkcji skrótu SHA-1 w podpisach kwalifikowanych (więcej do przeczytania tutaj).
Z treści komunikatu Ministerstwa Cyfryzacji wynika, że podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Powyższe oznacza, że dokumenty podpisane z użyciem algorytmu SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia.
Ministerstwo podkreśliło, że „do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS. Należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa.”
Podobne stanowisko zajął Prezes UZP, który w komunikacie zamieszczonym na stronie internetowej UZP stwierdził, iż „oferty, wnioski o dopuszczenie do udziału w postępowaniu, jednolite europejskie dokumenty zamówienia oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego, które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ustawy Prawo zamówień publicznych. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.”
Zdanie odnośnie stosowania SHA-1 zmieniła także sama KIO. W późniejszych wyrokach, które zapadły w lutym, dopuszczono możliwość stosowania algorytmu SHA -1. Wprawdzie z pełną argumentacją KIO będzie można zapoznać się dopiero po opublikowaniu uzasadnień ww. orzeczeń, jednak już teraz z doniesień medialnych wynika, że zamawiający nie będą mogli wykluczyć wykonawcy czy odrzucić jego oferty z powodu zastosowania algorytmu SHA-1.