Algorytm SHA-2 od 1 lipca 2018 r.

Informujemy, iż zgodnie z komunikatem Ministra Cyfryzacji z dnia 01 marca 2018 r. nastąpi wycofanie algorytmu funkcji skrótu SHA-1 i zastąpienie go algorytmem funkcji skrótu SHA-2 w zastosowaniach związanych z zaawansowanym podpisem i pieczęcią elektroniczną.

Zgodnie z artykułem 137 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, poz. 1579) od dnia 1 lipca 2018 r. algorytm funkcji skrótu SHA-1 stosowany przy składaniu kwalifikowanych podpisów elektronicznego, zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych powinien być zastąpiony algorytmem funkcji skrótu SHA-2, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia eIDAS 910/20141 wyłączają możliwość stosowania tej funkcji skrótu.


Dokumenty podpisane lub opatrzone pieczęcią przed tym terminem zachowują swoją ważność.
Po 1 lipca 2018 r. wszystkie wydawane certyfikaty podpisu elektronicznego lub pieczęci elektronicznej będą zawierały funkcje skrótu SHA-2.
Należy zwrócić uwagę, że wchodzący w życie obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko certyfikatów (czyli nie dotyczy tylko dostawców certyfikatów), ale także wszelkich składanych podpisów i pieczęci pod dokumentami. Jest to ważne dla wszystkich podmiotów zarówno komercyjnych jak i jednostek administracji publicznej, które w ramach swoich systemów udostępniają funkcjonalność tworzenia podpisu (lub pieczęci). Nawet jeżeli certyfikat użytkownika będzie bazował na SHA-1 (i będzie ważny, bo wydany przed 1 lipca), to podpis tworzony (po 1 lipca) weryfikowany tym certyfikatem powinien zawierać skrót podpisywanej treści obliczony algorytmem SHA-2 (a nie SHA-1). A więc aplikacje i systemy informatyczne muszą sobie radzić nie tylko z nowymi certyfikatami, ale przede wszystkim tworzyć podpisy i pieczęcie przy korzystaniu algorytmu wyliczania skrótu zgodnie z SHA-2.
Aplikacje i komponenty programistyczne udostępniane przez Asseco Data Systems S.A. umożliwiają już dzisiaj wykonywanie operacji składania i weryfikacji podpisów elektronicznych oraz pieczęci z wykorzystaniem funkcji skrótu SHA-2.

Od 1 lipca 2018 r. zostaną również wprowadzone zmiany w polach znajdujących się w certyfikatach kwalifikowanych. Zmianie ulegnie pole o nazwie Numer Seryjny – „SerialNumber”, które oznaczane jest w certyfikatach kwalifikowanych jako tzw. pole: „Distinguished Name”. Pole to będzie mogło zawierać identyfikatory, które będą oznaczone m.in. w następujący sposób:

  • „PNO” dla PESEL subskrybenta,
  • „IDC” dla numeru dowodu osobistego subskrybenta,
  • „PAS” dla paszportu subskrybenta,
  • „TIN” dla numeru identyfikacji podatkowej (NIP) subskrybenta, uznanego w danym państwie członkowskim
    Dowiedź się więcej >

Jak to będzie wyglądało w praktyce?

  1. Certyfikaty wydane przed 1 lipca 2018 r., a więc zawierające funkcję skrótu SHA-1 i dotychczasową składnię pola Numer Seryjny, będzie można stosować nadal, tj. do końca okresu ich ważności.
  2. Certyfikaty wydane po 1 lipca 2018 r., a więc zawierające funkcję skrótu SHA-2 będą posiadać nowe składnie pola „Distinguished Name”. Identyfikator subskrybenta będzie składał się z:
    • oznaczenia rodzaju identyfikatora,
    • dwuliterowego kodu kraju, w którym został nadany dany identyfikator,
    • znaku myślnika „-”,
    • wartości danego identyfikatora.
      • Przykłady:

        • PNOPL-12345678901 lub IDCPL-AAA123456 lub PASPL-AA1234567 lub TINPL-1234567890
        • PNOPL-12345678901;IDCPL-AAA123456
        • PNOPL-12345678901;IDCPL-AAA123456;PASPL-AA1234567
        • IDCPL-AAA123456;PASPL-AA1234567;TINPL-1234567890
        • IDCPL-AAA123456;PASPL-AA1234567
        • PASPL-AA1234567;TINPL-1234567890

Informujemy, iż Certum świadczy usługę wydania kwalifikowanych certyfikatów podpisu elektronicznego zgodnych z nowymi strukturami i przy wykorzystaniu funkcja skrótu SHA-2 zgodnie
z „Polityką Certyfikacji i Kodeksem Postępowania Certyfikacyjnego Kwalifikowanych Usług CERTUM”, bazując na certyfikacie (zaświadczeniu) wydanym przez NCCert dla Certum QCA 2017.

W celu uzyskania dodatkowych informacji jak przejść proces wydania certyfikatu kwalifikowanego prosimy o kontakt z naszą Infolinią w dniach roboczych (pon-pt) w godzinach 6-18:

  • 801 540 340 (dla połączeń z tel. stacjonarnych)*
  • +48 91 4801 340 (dla połączeń z tel. komórkowych
    * stawka za minutę połączenia zgodnie z cennikiem operatora

Informujemy, iż dostawcy aplikacji oraz systemów pracują nad wdrożeniem obsługi nowych typów certyfikatów (m.in. funkcja skrótu SHA-2), zgodnie z rozporządzeniem eIDAS obowiązującym w Unii Europejskiej.

Przypisy

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (OJ L 257/73)

Szanowna Użytkowniczko/Szanowny Użytkowniku

Zgodnie z art. 13 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r (zwanego dalej „Rozporządzenie”) informuję, iż:

  • Administratorem Pani/Pana danych osobowych jest Asseco Data Systems S.A. z siedzibą w Gdyni, ul. Podolska 21, 81-321 Gdynia;
  • Kontakt do Inspektora ochrony danych w Asseco Data Systems S.A. można uzyskać pod adresem e – mail: IOD@assecods.pl, tel.+48 42 675 63 60.
  • Pani/Pana dane osobowe przetwarzane będą w celu:
    1. przygotowania odpowiedzi na zapytanie na podstawie art. 6 ust. 1 lit. b Rozporządzenia.
    2. przesyłania informacji marketingowych za pomocą środków komunikacji elektronicznej i programów automatyzujących na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i w zw. z art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. prawa telekomunikacyjnego (zgoda alternatywna) na podstawie art. 6 ust. 1 lit. a Rozporządzenia.
  • Pani/Pana dane osobowe będą przechowywane przez okres niezbędny do przygotowania i przedstawienia odpowiedzi na zapytanie oraz do czasu cofnięcia przez Panią/Pana wyrażonej zgody na otrzymywanie informacji marketingowych.
  • Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia/zapomnienia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Realizację wszystkich powyższych praw można zrealizować poprzez wniosek złożony na stronie https://www.daneosobowe.assecods.pl
  • Ma Pani/Pan prawo wniesienia skargi do Regulatora, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy Rozporządzenia.
  • Podanie przez Pana/Panią danych osobowych jest niezbędne do realizacji wniosku z zapytaniem. Jest Pan/Pani zobowiązana do ich podania, a konsekwencją niepodania danych osobowych będzie brak możliwości uzyskania odpowiedzi na wysłane zapytanie.
  • Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach przetwarzania danych osobowych podanych przy utworzeniu Konta i uzupełnianiu danych w nim zawartych oraz danych dotyczących aktywności w Serwisach (zgodnie z Polityką prywatności serwisu internetowego Asseco Data Systems S.A. Polityka prywatności)
    i aktywności związanej z naszą komunikacją mailową z Panią/Panem, a efektem takiego przetwarzania będzie dopasowanie informacji marketingowych dotyczących naszych produktów i usług, które mogą Panią/Pana zainteresować.
Polityka prywatności
Wielkość czcionki