.
W bazie wiedzy znajduje się  3967  pytań wraz z odpowiedziami.
   Aktualności Szkolenia Ważne informacje Cennik Kalkulator wynagrodzeń Kontakt #

Uwaga na nieprawidłowe e-podpisy

Dziennik Gazeta Prawna (2019-01-08), autor: Sławomir Wikariak, oprac.: GR

Przedsiębiorcy posługujący się podpisem elektronicznym powinni zwrócić uwagę, czy nie bazuje on na przestarzałym algorytmie SHA-1. Złożone z jego użyciem oferty mogą okazać się nieważne – donosi Dziennik Gazeta Prawna.
 
SHA (z ang. Secure Hash Algorithm) to rodzina kryptograficznych funkcji skrótu wykorzystywanych do składania elektronicznych podpisów kwalifikowanych czy e-pieczęci. Stosowany przez lata standard SHA-1 dziś jest uznawany za niebezpieczny. W 2017 r. Google ogłosił, że możliwe jest wygenerowanie dwóch różnych plików PDF o tym samym skrócie SHA-1. Dużo wcześniej SHA-1 zyskał następcę w postaci SHA-2 (dziś dodatkowo w użyciu jest też standard SHA-3). Ze względów bezpieczeństwa w Polsce również zrezygnowano z używania SHA-1 do składania elektronicznego podpisu zaufanego. Zgodnie z art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2016 r. poz. 1579 ze zm.) można go było stosować jedynie do 1 lipca 2018 r. Po tej dacie na wyższy standard musieli przejść nie tylko dostawcy usług certyfikacyjnych, ale także ich użytkownicy. Konieczna była chociażby aktualizacja aplikacji służących do składania e-podpisów.

Jak pokazuje praktyka, nie wszyscy przedsiębiorcy wiedzieli o tym obowiązku. W przetargu na dostawę sprzętu komputerowego dla gminy Stalowa Wola jeden z wykonawców złożył podpis elektroniczny z użyciem SHA-1. Opatrzył nim jednolity elektroniczny dokument zamówienia (JEDZ). Zamawiający nie dostrzegł w tym problemu i uznał JEDZ za złożony prawidłowo. Zostało to zakwestionowane w odwołaniu wniesionym do Krajowej Izby Odwoławczej.

Skład orzekający zgodził się, że JEDZ został podpisany nieprawidłowo.

„Obowiązek zaprzestania stosowania SHA-1 (…) dotyczy nie tylko dostawców certyfikatów, ale także wszelkich składanych podpisów i pieczęci pod dokumentami” – podkreślił przewodniczący składu orzekającego Emil Kuriata w uzasadnieniu wyroku. Jego zdaniem firma, która złożyła najkorzystniejszą ofertę, nie dochowała należytej staranności przy składaniu podpisu kwalifikowanego pod JEDZ. Skoro algorytm SHA-1 nie jest już prawnie dopuszczalny, to nie można uznać podpisu, przy składaniu którego został wykorzystany.

W tej sprawie chodziło o JEDZ, dlatego też KIO (wyrok z 8 grudnia 2018 r., sygn. akt KIO 2428/18) uznała, że wykonawca powinien zostać wezwany do uzupełnienia dokumentu i opatrzenia go prawidłowym e-podpisem. Ostatecznie jednak nie nakazała tego, bo oferta i tak musiała zostać odrzucona. Pojawia się pytanie, jakie byłyby konsekwencje użycia SHA-1 do podpisania oferty składanej przez internet. Idąc tropem tego wyroku należałoby dojść do wniosku, że jest ona nieważna, gdyż nie jest podpisana w sposób prawidłowy.

Więcej w Dzienniku Gazecie Prawnej z 8 stycznia 2019 r.
dodano: 2019-01-09 10:37







Podaj e-mail, aby otrzymywać
najświeższe informacje:

dodatkowe informacje »

     REKLAMA

  » znajdź więcej artykułów w archiwum
Podaj e-mail i poleć tę stronę znajomemu:
Od:
Do:
REKOMENDOWANE SERWISY
baza wiedzy       expert       eulgi       zpchrpro       centrum szkolen     srodowisko     centrum
O nas | Prywatność | Regulamin | Kontakt | Polityka prywatności | Polityka cookies | Do góry


designed by INFO BAZA sp. z o.o. Wszystkie prawa zastrzeżone, kopiowanie i rozpowszechnianie materiałów zamieszczonych na stronie bez zgody właściciela serwisu zabronione.