Artykuł ten ma na celu przypomnienie wypracowanych, aktualnych stanowisk instytucji państwowych w zakresie stosowania przez wykonawców zamówień publicznych algorytmu SHA-1, przy opatrywaniu kwalifikowanym podpisem elektronicznym składanych w postępowaniu o udzielenie zamówienia publicznego dokumentów.
Warto wskazać, że w przypadku orzeczeń Krajowej Izby Odwoławczej, występował w tym zakresie z początku rozdźwięk. W wyroku z dnia 10 grudnia 2018 r., o sygn. akt KIO 2428/18, Krajowa Izba Odwoławcza określiła, że opatrzenie składanego w postępowaniu dokumentu podpisem elektronicznym przy wykorzystaniu algorytmu SHA -1 stanowi czynność wadliwą. Izba stwierdziła, że „przystępujący nie dochował należytej staranności, przy dokonywaniu czynności związanej ze złożeniem kwalifikowanego podpisu pod dokumentem JEDZ składanym zamawiającemu, albowiem uchybił bezwzględnie obowiązującym od dnia 1 lipca 2018 roku przepisom uzoie i wadliwie złożył podpis przy zastosowaniu algorytmu SHA- 1. Przystępujący winien bowiem, znając treść przepisów nowelizujących przedmiotową ustawę, dokonać uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA- 2. Przystępujący takiej czynności, zdaje się nie dokonał. Tym samym, Izba doszła do przekonania, iż podpis złożony przez przystępującego, nie odpowiadający aktualnie obowiązującym przepisom jest nieważny, dlatego też koniecznym było ustalenie, że czynność oceny oferty przystępującego przez zamawiającego, pod kątem prawidłowości złożonego pod oświadczeniem JEDZ podpisu – była wadliwa”.
Orzeczenie to spotkało się w środowisku z ostrą krytyką. Spowodowało reakcję innych instytucji, które zajęły kolejno własne stanowiska w sprawie.
Jak wskazała w zajętym stanowisku w dniu 25 stycznia 2019 roku Polska Izba Informatyki i Telekomunikacji [PIIT]: „z treści art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej wynika, że miał on inny cel niż przyjęła KIO w wyroku. W treści ust. 1 wprost wskazano, że skrót SHA-1 może być stosowany do dnia 1 lipca 2018 r., chyba że wymagania techniczne wynikające z aktów wykonawczych do Rozporządzenia 910/2014 wyłączą taką możliwość. Zatem przepis miał na celu uspokoić rynek w Polsce, że skrót SHA-1 do dnia 1 lipca 2018 r. może być stosowany. W przeciwnym razie mogłaby pojawić się niepewność co do możliwości stosowania tego skrótu. Przepis nie zawiera w swej treści zakazu posługiwania się skrótem SHA-1, tym bardziej nie przewidziano jakichkolwiek sankcji np. w postaci podważenia ważności podpisu. Co więcej, z ust. 2 wynika, że przepis ten kierowany jest to specyficznej kategorii podmiotów tj: dostawców usług zaufania, producentów oprogramowania oraz podmiotów publicznych. Te kategorie podmiotów zobowiązane zostały do odpowiedniego dostosowania oprogramowania oraz systemów teleinformatycznych. Zatem przykładowo, zamawiający publiczny podpisując dokumenty elektronicznie nie powinien się takim skrótem posługiwać. Nie wynika z tego przepisu jednak, aby przedsiębiorca – składający ofertę w postępowaniu o udzielenie zamówienia publicznego – nie mógł się posłużyć skrótem SHA-1. Jest tak dlatego, że podpis elektroniczny złożony z zastosowaniem skrótu SHA-1 w dalszym ciągu pozostaje ważny. Przepis art. 137 UZIE tego statusu nie podważa. Nawet zaprzestanie używania skrótu SHA1 przez podmioty publiczne nie oznacza, że zamawiający może nie uznawać podpisów elektronicznych utworzonych przy zastosowaniu SHA-1 przez wykonawców. Brak jest takiej sankcji, i brak jest obecnie podstaw do jej wprowadzenia bądź wyinterpretowania”.
Jak wskazło następnie Ministerstwo Cyfryzacji w zamieszczonym w dniu 15 lutego 2019 roku komunikacie, „dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu (SHA-1) i można polegać na wynikach, które zgłaszają (…) Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS. Należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa. W przypadku SHA-1 mamy do czynienia z drugim przypadkiem, to znaczy rekomendacji przejścia ze stosowania tego algorytmu na rzecz kolejnych generacji algorytmu funkcji skrótu (np. SHA-2, SHA-3)”.
Jak stwierdził wreszcie Prezes Urzędu Zamówień Publicznych w opinii zawartej w Informatorze Urzędu Zamówień Publicznych Nr 1/2019, „oferty, wnioski o dopuszczenie do udziału w postępowaniu, jednolite europejskie dokumenty zamówienia oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego, które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ustawy Prawo zamówień publicznych. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1”.
Powyższe znalazło odzwierciedlenie również w kolejnych orzeczeniach Krajowej Izby Odwoławczej. Zgodnie z wyrokiem KIO z dnia 14 lutego 2019 r. (sygn. akt KIO 156/19), „Izba stwierdziła, że żaden z przepisów prawa nie wskazuje, że kwalifikowane podpisy elektroniczne wykorzystujące algorytm skrótu SHA-1 powinny być od dnia 1 lipca 2018 uznawane za nieważne (…) Wprowadzenie rygoru nieważności podpisu w polskim prawie powodowałoby powstanie sprzeczności z Rozporządzeniem 910/2014, które nie przewiduje negatywnych skutków dla kwalifikowanych podpisów elektronicznych wytworzonych z wykorzystaniem funkcji skrótu SHA-1”.
Podsumowując, stwierdzić należy, że podpis elektroniczny złożony z zastosowaniem skrótu SHA-1 w dalszym ciągu pozostaje ważny. Nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.
Zapraszam do kontaktu w przypadku dalszych pytań lub potrzeby pomocy prawnej: