- ${title}
Zmiana terminu wycofania algorytmu SHA-1
27.06.2018
Zmiana terminu wycofania algorytmu SHA-1
W nawiązaniu do komunikatu z dnia 14 czerwca 2018 r. anonsującej zaprzestanie stosowania algorytmu SHA-1 w usługach profilu zaufanego, w tym podpisu potwierdzonego profilem zaufanym ePUAP informujemy, że faktyczne zaprzestanie stosowania SHA-1 nastąpi wraz z wejściem w życie ustawy z dnia 15 czerwca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej, a także niektórych innych ustaw. Aktualnie projekt tej ustawy rozpatruje Senat RP (druk nr 866).
Zmiana terminu wycofania algorytmu SHA-1 wynika z licznych pytań wpływających do Centrum Pomocy Użytkowników w Centralnym Ośrodku Informatyki, jak również możliwości adaptacyjnych po stronie systemów zintegrowanych z systemami ePUAP i PZ.
Zgodnie z przepisami zmienianymi wymienioną wyżej ustawą dotychczasowy podpis potwierdzony profilem zaufanym ePUAP zostanie zastąpiony podpisem zaufanym. Jego autentyczność i integralność będzie zapewniana przy użyciu pieczęci elektronicznej ministra właściwego do spraw informatyzacji (a nie jak obecnie pieczęci ePUAP). Art. 137 ustawy z dnia 5 września 2016 r. o usługach zaufania zakazujący stosowanie algorytmu SHA-1 przy składaniu zaawansowanych pieczęci elektronicznych będzie musiał być wtedy stosowany wprost. W związku z tym od dnia wejścia w życie ustawy z dnia 15 czerwca 2018 r. integralność podpis zaufanego, który zastąpi dotychczasowy podpis potwierdzony profilem zaufanym będzie zapewniała pieczęć elektroniczna złożona z zastosowaniem algorytmu SHA-256.
Wraz ze zmianą dotyczącą składania podpisu zaufanego algorytm SHA-1 będzie także sukcesywnie wycofywany ze wszystkich innych zastosowań wymagających integracji z systemem profilu zaufanego lub z ePUAP, w tym z użycia przy nawiązywaniu połączeń z usługami wykorzystującymi standardowy mechanizm WS-Security. Wynika to z konieczności zapewnienia wysokiego poziomu bezpieczeństwa usług.
Gdzie szukać szczegółowych informacji
Prosimy o uważne zapoznanie się z informacjami o dostosowaniu systemów komunikujących się z systemem Profilu Zaufanego do algorytmu SHA-256.
Podajemy je w dwóch instrukcjach:
- Instrukcji dla Integratora Systemu Dostawca Tożsamości,
- Instrukcji dla Integratora Profilu Zaufanego.
Obie instrukcje znajdują się w zakładce POMOC na stronie https://pz.gov.pl/dt/help w sekcji Integratorzy.
Jak przygotowaliśmy zmianę (nastąpi od dnia wejścia w życie ww. ustawy)
- Do składania pieczęci elektronicznej zapewniającej autentyczność i integralność podpisu zaufanego będzie stosowany algorytm SHA-256.
- Platforma ePUAP będzie dostosowana do zmiany algorytmu.
- Usługi, które podmioty publiczne udostępniają bezpośrednio na ePUAP zostaną automatycznie dostosowane.
- Systemy aktualnie zintegrowane z Profilem Zaufanym oraz z ePUAP za pomocą mechanizmu WS-Security, w tym systemy, które automatycznie wysyłają i pobierają dane z elektronicznych skrzynek podawczych będą mogły dalej działać w oparciu o algorytm SHA-1, ale będą mogły wykorzystywać do komunikacji również algorytm SHA-256.
- Wszystkie nowe integracje będą wymagały zastosowania algorytmu SHA-256.
Masz pytania?
Dodatkowych informacji udziela Centrum pomocy Użytkowników Profilu Zaufanego w Centralnym Ośrodku Informatyki.
- Zadzwoń: tel. + 48 42 253 54 50 od poniedziałku do piątku w godzinach 7.00-18.00.
- Napisz e-mail: pz-pomoc@coi.gov.pl. W temacie wiadomości poczty elektronicznej wpisz „SHA-1”.