Kategorie

  • Prawo pracy
  • Prawo spółek – transakcje, przekształcenia, badania
  • Podatki i finanse

KIO i Ministerstwo potwierdzają dopuszczalność stosowania algorytmu SHA-1

Na temat kontrowersyjnego wyroku KIO dotyczącego możliwości stosowania algorytmu funkcji SHA-1 w podpisach elektronicznych i wpływu tego algorytmu na ich ważności pisaliśmy w jednej z ostatnich naszych publikacji.Wskazywaliśmy wówczas, że decyzja KIO jest błędna bowiem ani przepisy UZOIE, ani rozporządzenia eIDAS nie przewidują nieważności podpisu złożonego z użyciem funkcji SHA-1.

Ogólna wrzawa spowodowana przez powyższy wyrok doprowadziła do wydania w dniu 15 lutego 2019 r. komunikatu Ministerstwa Cyfryzacji odnośnie możliwości stosowania algorytmu funkcji skrótu SHA-1 w podpisach kwalifikowanych (więcej do przeczytania tutaj).

Z treści komunikatu Ministerstwa Cyfryzacji wynika, że podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Powyższe oznacza, że dokumenty podpisane z użyciem algorytmu SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia.

Ministerstwo podkreśliło, że „do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS. Należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa.”

Podobne stanowisko zajął Prezes UZP, który w komunikacie zamieszczonym na stronie internetowej UZP stwierdził, iż „oferty, wnioski o dopuszczenie do udziału w postępowaniu, jednolite europejskie dokumenty zamówienia oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego,  które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ustawy Prawo zamówień publicznych. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.”

Zdanie odnośnie stosowania SHA-1 zmieniła także sama KIO. W późniejszych wyrokach, które zapadły w lutym, dopuszczono możliwość stosowania algorytmu SHA -1. Wprawdzie z pełną argumentacją KIO będzie można zapoznać się dopiero po opublikowaniu uzasadnień ww. orzeczeń, jednak już teraz z doniesień medialnych wynika, że zamawiający nie będą mogli wykluczyć wykonawcy czy odrzucić jego oferty z powodu zastosowania algorytmu SHA-1.

Masz pytania?

SKONTAKTUJ SIĘ Z EKSPERTEM
  • Paulina Meller-KmiecikRadca Prawny+48 669 66 44 99paulina.meller-kmiecik@gjw.pl

Wyślij zapytanie:

    prosimy o wypełnienie pól oznaczonych gwiazdką *

    Informujemy, iż administratorem Pani/Pana danych osobowych jest GJW Gramza i Wspólnicy Kancelaria Radców Prawnych Spółka partnerska z siedzibą w Poznaniu (61-626), przy ul. Szelągowskiej 27. Dane osobowe będą przetwarzane w celach kontaktowych na podstawie prawnie uzasadnionego interesu administratora przejawiającego się w odpowiedzi na zadane poprzez formularz kontaktowy pytanie na podstawie art. 6 ust. 1 lit. f RODO.

    Więcej informacji na temat danych osobowych oraz przysługujących w związku z nimi praw zamieszczono w Polityce Prywatności