SHA-1. Oferta podpisana z użyciem SHA-1 jest ważna i nie podlega odrzuceniu

SHA-1. Oferta podpisana z użyciem SHA-1 jest ważna i nie podlega odrzuceniu

 

W wyroku z dnia 10 grudnia 2018 r., KIO 2428/18, Krajowa Izba Odwołacza uznała, że oferta złożona w formie elektronicznej opatrzona kwalifikowanym podpisem elektronicznym jest nieważna, jeśli po dniu 1 lipca 2018 r., przy jej tworzeniu zastosowano funkcję skrótu SHA 1
 
Krajowa Izba Odwoławcza uznała za zasadny zarzut dotyczący naruszenia art. 24 ust. 1 pkt 12 Pzp poprzez wybór oferty wykonawcy, który na dzień wyboru jego oferty jako najkorzystniejszej nie potwierdził spełnienia warunku udziału w postępowaniu w zakresie doświadczenia oraz nie wykazał braku podstaw wykluczenia z postępowania, poprzez złożenie Jednolitego Europejskiego Dokumentu Zamówienia (dalej „JEDZ”) z podpisem elektronicznym nie spełniającym wymogów przepisów prawa, ewentualnie naruszenie art. 26 ust. 3 w zw. z art. 10a ust. 5 Pzp poprzez jego niezastosowanie i zaniechanie wezwania wykonawcy  do uzupełnienia dokumentu JEDZ mimo faktu, iż dokument ten z mocy prawa był nieważny.
Krajowa Izba Odwoławcza zwróciła uwagę, że zgodnie z przepisem art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej: „Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.”

Krajowa Izba Odwoławcza powołując się na komunikat Ministra Cyfryzacji z dnia 1 marca 2018 r. w sprawie wycofania algorytmu SHA-1 w zastosowaniach związanych z zaawansowanym podpisem i pieczęcią elektroniczną, zamieszczony na stronach Narodowego Centrum Certyfikacji uznała, że zgodnie z przepisem art. 137 ust. 1 ustawy o o usługach zaufania oraz identyfikacji elektronicznej, z dniem 1 lipca 2018 r., skończył się okres stosowania funkcji skrótu SHA-1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko certyfikatów (czyli nie dotyczy tylko dostawców certyfikatów), ale także wszelkich składanych podpisów i pieczęci pod dokumentami. Obowiązek ten dotyczy wszystkich podmiotów zarówno komercyjnych jak i jednostek administracji publicznej, które w ramach swoich systemów udostępniają funkcjonalność tworzenia podpisu (lub pieczęci). Wymaga podkreślenia, że jeżeli certyfikat użytkownika będzie bazował na SHA-1 (i będzie ważny, bo wydany przed 1 lipca), to podpis tworzony po dniu 1 lipca 2018 r. weryfikowany tym certyfikatem powinien zawierać skrót podpisywanej treści obliczony algorytmem SHA-2 (a nie SHA-1).

W związku z powyższym Krajowa Izba Odwoławcza stwierdziła, że przystępujący nie dochował należytej staranności, przy dokonywaniu czynności związanej ze złożeniem kwalifikowanego podpisu pod dokumentem JEDZ składanym zamawiającemu, albowiem uchybił bezwzględnie obowiązującym od dnia 1 lipca 2018 roku przepisom uzoie i wadliwie złożył podpis przy zastosowaniu algorytmu SHA-1. Przystępujący winien bowiem, znając treść przepisów nowelizujących przedmiotową ustawę, dokonać uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Przystępujący takiej czynności, zdaje się nie dokonał.
W ocenie Krajowej Izby Odwoławczej „podpis złożony przez przystępującego, nie odpowiadający aktualnie obowiązującym przepisom jest nieważny, dlatego też koniecznym było ustalenie, że czynność oceny oferty przystępującego przez zamawiającego, pod kątem prawidłowości złożonego pod oświadczeniem JEDZ podpisu - była wadliwa. Zdaniem Krajowej Izby Odwoławczej zamawiający zobligowany był do wezwania przystępującego w trybie przepisu art. 26 ust. 3 Pzp, do złożenia oświadczenia JEDZ podpisanego prawidłowo z zastosowaniem aktualnie obowiązującego algorytmu, w tym przypadku SHA-2. Ponieważ potwierdził się zarzut naruszenia przez zamawiającego przepisu art. 89 ust. 1 pkt 2 Pzp, który obligował zamawiającego do odrzucenia oferty przystępującego, Krajowa Izba Odwoławcza nie nakazywała zamawiającemu wezwania przystępującego w trybie przepisu art. 26 ust. 3 Pzp, do uzupełnienia wadliwie podpisanego dokumentu, albowiem czynność ta pozostaje bez wpływu na wynik postępowania.

Przeciwne stanowisko zostało wyrażone w opinii Polskiej Izby Informatyki i Telekomunikacji w zakresie uznania przez Krajową Izbę Odwoławczą nieważności kwalifikowanego podpisu elektronicznego z uwagi na użycie skrótu SHA-1.

 

Zobacz omówienie opinii Polskiej Izby Informatyki i Telekomunikacji :

https://www.wprzetargach.pl/kategorie/Odrzucenie-oferty-art-89-ust-1-pkt-1/stanowisko-polskiej-izby-informatyki-i-telekomunikacji-w-zakresie-uznania-przez-krajowa-izbe-odwolawcza-niewaznosci-kwalifikowan

 

W komunikacie „Algorytm funkcji skrótu SHA-1 nierekomendowany, co nie znaczy wycofany” Ministerstwo Cyfryzacji uznało, że „Podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Oznacza to, że dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają.

Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 eIDAS. Należy odróżnić sytuacje awaryjnego wycofania skompromitowanych algorytmów kryptograficznych wobec których udowodniono, że nie zapewniają one wymaganego poziomu bezpieczeństwa od procesów stopniowej migracji na algorytmy zapewniające większy poziom bezpieczeństwa.

W przypadku SHA-1 mamy do czynienia z drugim przypadkiem, to znaczy rekomendacji przejścia ze stosowania tego algorytmu na rzecz kolejnych generacji algorytmu funkcji skrótu (np. SHA-2, SHA-3). Umożliwi to ewolucyjne przejście aplikacji oraz urządzeń do składania i weryfikacji podpisów elektronicznych na wyższy poziom zabezpieczeń.”

 W związku z powyższym Prezes Urzędu Zamówień Publicznych wydał opinię, w której uznał, że „oferty, wnioski o dopuszczenie do udziału w postępowaniu, jednolite europejskie dokumenty zamówienia oraz oświadczenia i dokumenty występujące w postępowaniach o udzielenie zamówienia publicznego,  które zostały opatrzone kwalifikowanym podpisem elektronicznym z zastosowaniem algorytm SHA-1, są dokumentami prawidłowo podpisanymi w rozumieniu przepisów ustawy Prawo zamówień publicznych. W szczególności nie jest dopuszczalne odrzucenie oferty z tego tylko powodu, że została opatrzona podpisem kwalifikowanym, w którym zastosowano algorytm funkcji skrótu SHA-1.”

 

Źródło:
www.uzp.gov.pl
https://www.gov.pl/web/cyfryzacja