piątek, 12 kwietnia 2019

Algorytm szyfrowania podpisów elektronicznych SH1

Postępująca elektronizacja i przenoszenie życia publicznego do sieci – w tym administracji - stawia wiele wyzwań przed branżą zamówień publicznych. Podpis elektroniczny nie jest wymagany bez powodu. Jest to przede wszystkim kwestia zapewnienia bezpieczeństwa danych, przesyłanych w trakcie przeprowadzania zamówienia publicznego czy jego finalizacji.


Podpis elektroniczny - czyli co?


Definicję podpisu elektronicznego w prawie polskim wprowadziła uchylona już
ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 Nr 130
poz. 1450). Jeśli chodzi o Unię Europejską, to pojęcie podpisu elektronicznego
wprowadziła Unijna Dyrektywa 1999/93/EC.
Według polskiej ustawy, podpis elektroniczny to dane w postaci elektronicznej,
które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie
powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Po co używamy podpisu elektronicznego?


Postępująca elektronizacja i przenoszenie życia publicznego do sieci – w tym
administracji - stawia wiele wyzwań przed branżą zamówień publicznych.
Podpis elektroniczny nie jest wymagany bez powodu. Jest to przede wszystkim
kwestia zapewnienia bezpieczeństwa danych, przesyłanych w trakcie
przeprowadzania zamówienia publicznego czy jego finalizacji.
Przesyłane dokumenty w formie skanu są łatwe do podrobienia - zeskanowany
podpis odręczny można łatwo wyciąć i wkleić do innego dokumentu. Specjaliści
przyznają, że nie ma jeszcze ogólnodostępnej technologii, która pozwoliłaby na
odróżnienie podpisu na zeskanowanym dokumencie od przeklejonego.
Dokument w formie skanu można też łatwo podrobić, np. podmieniając
znajdującą się na nim kwotę (np. wadium).

Oczywiście, dokument elektroniczny nie jest wolny od różnych zagrożeń, takich
jak włamania na skrzynki pocztowe czy podszywanie się pod inne osoby w celu
nielegalnego zdobycia informacji. Również w tych przypadkach podpis
elektroniczny ma chronić jego posiadacza przed różnego rodzaju nadużyciami.

Na czym polega szyfrowanie podpisów elektronicznych?


Podpis elektroniczny jest wartością unikatową, tzn. każdy podpis jest unikalny i
niepowtarzalny. Podpis jest szyfrowany, z pomocą funkcji haszującej, przez
specjalne oprogramowanie. Po obliczeniu wartości funkcji, program szyfruje ją,
wykorzystując prywatny klucz szyfrujący osoby składającej podpis. Dlatego mówi
się, że podpis elektroniczny jest unikalny jak „odcisk palca”.
Program „składający podpis” zapisuje podpisaną wersję pliku, która zawiera
informacje o programie osoby składającej podpis oraz znaczniki końca i początku
podpisanego pliku.
W celu weryfikacji tak powstałego podpisu elektronicznego, adresat – czyli np.
zamawiający, weryfikujący podpis wykonawcy – musi uruchomić specjalne
oprogramowanie deszyfrujące. Oprogramowanie to odszyfrowuje podpis
wykonawcy przez użycie publicznego klucza nadawcy.
Obie wartości są porównywane przez program osoby składającej podpis. Jeżeli
wartości są identyczne, podpis uznawany jest za autentyczny.

Koniec podpisów z SHA-1 – wyrok KIO


Jednym z głośniejszych wydarzeń w zamówieniach publicznych 2018 r. był wyrok
KIO o użyciu skrótu SHA-1 (Secure Hash Algorithm 1) do szyfrowania podpisu
elektronicznego.
Zgodnie z komunikatem Ministra Cyfryzacji z dnia 01 marca 2018 r., w ubiegłym
roku wycofano algorytm funkcji skrótu SHA-1 i zastąpiono go algorytmem funkcji
skrótu SHA-2.
W wyroku z 10 grudnia 2018 r. KIO uznała, że oferta podpisana za pomocą skrótu
do szyfrowania SHA-1 jest ofertą nieważną. W wyniku tego opisywana oferta o
sygnaturze 2428/18 została odrzucona, mimo że wykonawca podpisał JEDZ
kwalifikowanym certyfikatem z zaufanej listy (czyli właśnie wspomnianym SHA-1).
Po tym orzeczeniu rozpoczęła się dyskusja, dlaczego wykonawca ma odpowiadać
za algorytmy używane w podpisach kwalifikowanych.

Dlaczego już nie powinno używać się algorytmu SHA-1?


Dokument podpisany kwalifikowanym podpisem elektronicznym musi
bezwzględnie spełniać dwie funkcje – być niezaprzeczalny i niezmienny.
Oznacza to, że dokument podpisany kwalifikowanym podpisem elektronicznym
nie może być zmieniony (nie można też wygenerować innego dokumentu z tym
samym podpisem, złożonym na poprzedniej wersji dokumentu), a
odpowiedzialność osoby podpisującej dokument jest
niezbywalna/niezaprzeczalna (osoba podpisująca się nie może wyprzeć się
złożenia podpisu).
Niestety, algorytm SHA-1 nie spełnia tych wymogów. Dlaczego?
Używając SHA-1, można zmienić dokumenty podpisane kwalifikowanym
podpisem elektronicznym. Można więc stworzyć dokument, który będzie miał

zmienioną treść, ale skrót dla niego będzie identyczny – co zaprzecza
wspomnianej zasadzie niezaprzeczalności i niezmienności dokumentu
podpisanego podpisem elektronicznym.
Odkryli to informatycy z holenderskiego instytutu badawczego Centrum
Wiskunde & Informatica, we współpracy z firmą Google. Złamali oni algorytm
kryptograficzny SHA-1, demonstrując „atak kolizyjny” z wykorzystaniem dwóch
dokumentów w rozszerzeniu pdf, opatrzonych tym samym podpisem SHA-1, ale
za to z różną zawartością.
Unia Europejska już jakiś czas temu zaczęła wycofywać SHA-1 i promować
używanie SHA-256, popularnie znanego jako SHA-2. W 2010 r. większość państw
Unii nie korzystała już z SHA-1.
W Polsce wycofano algorytm funkcji skrótu SHA-1 dopiero w 2018 r., zastępując
go algorytmem funkcji skrótu SHA-2.

Problemy dla zamawiających


Wyrok KIO zdziwił zamawiających, stawiając zarówno ich, jak i wykonawców
przed szeregiem pytań o konstrukcję i przebieg zamówień publicznych.
Jak uniknąć nieprawidłowości po stronie wykonawcy?
Najprostszym rozwiązaniem będzie konstruowanie SIWZ, w którym zamawiający
będzie zalecać wykonawcom podpisywanie ofert algorytmem SHA-256.
Informację taką można dopełnić wyjaśnieniem, iż od 1 lipca SHA-1 nie powinien
być wykorzystywany zgodnie z komunikatem Ministra Cyfryzacji z dnia 01 marca
2018 r.

Innym wyjściem jest edukacja – uświadamianie zarówno zamawiających, jak i
wykonawców o zmianach w zamówieniach publicznych, które obejmują również
podpis elektroniczny.
W tym celu specjaliści ds. zamówień publicznych powinni stale monitorować
pojawiające się orzecznictwo oraz uczyć się interpretacji wyroków KIO. Często
okazuje się, że niezbędne będzie szkolenie pracowników z zakresu elektronizacji i
kwalifikowanego podpisu elektronicznego.
Powinny o tym myśleć zwłaszcza te przedsiębiorstwa, które chcą poszerzyć swoją
działalność o sektor publiczny. Zwłaszcza, że planowane zmiany w Prawie
Zamówień Publicznych i innowacjach mają na celu m.in. zaktywizowanie polskich
firm na tym polu.
Aby ustrzec się przed najczęściej popełnianymi błędami związanymi z podpisem
elektronicznym i elektronizacją zamówień publicznych, zapraszamy do wzięcia
udziału w szkoleniach ApexNet z zakresu zamówień publicznych. Najbliższe
znajdziesz TUTAJ.

Potrzebujesz jeszcze więcej informacji dot. algorytmu szyfrowania SHA-1 oraz elektronizacji
zamówień publicznych?
Sprawdź najnowsze webinary i inne materiały merytoryczne w EduStrefie, platformy wiedzy
o zamówieniach publicznych.
Sprawdź TUTAJ


Autor - ApexNet

2 komentarze:

  1. Szkolenia z elektronizacji zamówień publicznych to podstawa, prawie nikt nie jest w stanie na bieżąco zapoznawać się ze zmianami w prawie zamówień publicznych, bo ono co chwila się zmienia. W tym roku znowu czeka nas bardzo duża nowelizacja, która już jest w trakcie przygotowywania.

    OdpowiedzUsuń
  2. Z pewnością sam podpis elektroniczny był bardzo dobrym pomysłem, ułatwiającym wiele spraw, które już dawno zostały przeniesione do elektroniki. Niezbędne są tu jednak szkolenia pracowników zamówień publicznych, aby jak najbardziej byli na bieżąco w swoich obowiązkach.

    OdpowiedzUsuń