Zmiana terminu wycofania algorytmu SHA-1

27.06.2018

Zmiana terminu wycofania algorytmu SHA-1

W nawiązaniu do komunikatu z dnia 14 czerwca 2018 r. anonsującej zaprzestanie stosowania algorytmu SHA-1 w usługach profilu zaufanego, w tym podpisu potwierdzonego profilem zaufanym ePUAP informujemy, że faktyczne zaprzestanie stosowania SHA-1 nastąpi wraz z wejściem w życie ustawy z dnia 15 czerwca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej, a także niektórych innych ustaw. Aktualnie projekt tej ustawy rozpatruje Senat RP (druk nr 866).

Zmiana terminu wycofania algorytmu SHA-1 wynika z licznych pytań wpływających do Centrum Pomocy Użytkowników w Centralnym Ośrodku Informatyki, jak również możliwości adaptacyjnych po stronie systemów zintegrowanych z systemami ePUAP i PZ.

Zgodnie z przepisami zmienianymi wymienioną wyżej ustawą dotychczasowy podpis potwierdzony profilem zaufanym ePUAP zostanie zastąpiony podpisem zaufanym. Jego autentyczność i integralność będzie zapewniana przy użyciu pieczęci elektronicznej ministra właściwego do spraw informatyzacji (a nie jak obecnie pieczęci ePUAP). Art. 137 ustawy z dnia 5 września 2016 r. o usługach zaufania zakazujący stosowanie algorytmu SHA-1 przy składaniu zaawansowanych pieczęci elektronicznych będzie musiał być wtedy stosowany wprost. W związku z tym od dnia wejścia w życie ustawy z dnia 15 czerwca 2018 r. integralność podpis zaufanego, który zastąpi dotychczasowy podpis potwierdzony profilem zaufanym będzie zapewniała pieczęć elektroniczna złożona z zastosowaniem algorytmu SHA-256.

Wraz ze zmianą dotyczącą składania podpisu zaufanego algorytm SHA-1 będzie także sukcesywnie  wycofywany ze wszystkich innych zastosowań wymagających integracji z systemem profilu zaufanego lub z ePUAP, w tym z użycia przy nawiązywaniu połączeń z usługami wykorzystującymi standardowy mechanizm WS-Security. Wynika to z konieczności zapewnienia wysokiego poziomu bezpieczeństwa usług.

Gdzie szukać szczegółowych informacji

Prosimy o uważne zapoznanie się z informacjami o dostosowaniu systemów komunikujących się z systemem Profilu Zaufanego do algorytmu SHA-256.

Podajemy je w dwóch instrukcjach:

• Instrukcji dla Integratora Systemu Dostawca Tożsamości,
• Instrukcji dla Integratora Profilu Zaufanego.

Obie instrukcje znajdują się w zakładce POMOC na stronie https://pz.gov.pl/dt/help w sekcji Integratorzy.

Jak przygotowaliśmy zmianę (nastąpi od dnia wejścia w życie ww. ustawy)

• Do składania pieczęci elektronicznej zapewniającej  autentyczność i integralność podpisu zaufanego będzie stosowany algorytm SHA-256.
• Platforma ePUAP będzie dostosowana do zmiany algorytmu.
• Usługi, które podmioty publiczne udostępniają bezpośrednio na ePUAP zostaną automatycznie dostosowane.
• Systemy aktualnie zintegrowane z Profilem Zaufanym oraz z ePUAP za pomocą mechanizmu WS-Security, w tym systemy, które automatycznie wysyłają i pobierają dane z elektronicznych skrzynek podawczych będą mogły dalej działać w oparciu o algorytm SHA-1, ale będą mogły wykorzystywać do komunikacji również algorytm SHA-256.
• Wszystkie nowe integracje będą wymagały zastosowania algorytmu SHA-256.

Masz pytania?
 

Dodatkowych informacji udziela Centrum pomocy Użytkowników Profilu Zaufanego w Centralnym Ośrodku Informatyki.

• Zadzwoń: tel. + 48 42 253 54 50 od poniedziałku do piątku w godzinach 7.00-18.00.
• Napisz e-mail: pz-pomoc@coi.gov.pl. W temacie wiadomości poczty elektronicznej wpisz „SHA-1”.