V návaznosti na směrnici ES č. 1999/93/EC o zásadách Společenství pro elektronické podpisy a v ní obsažený princip vzájemného uznávání kvalifikovaných certifikátů vydaných v kterémkoliv členském státu EU je nezbytné vycházet z dokumentu ALGO paper, který stanoví, že od 1. 1. 2010 je algoritmus SHA-1 „unusable“ a je tedy nezbytné ukončit jeho používání pro oblast elektronického podpisu a zahájit přechod na bezpečnější algoritmy třídy SHA-2. Česká republika patří k těm členským státům, ve kterých je tento přechod rozložen do delšího časového období. Je však nezbytné jej realizovat, a tak zachovat důvěru uživatelů v bezpečnost elektronického podpisu.
Ministerstvo vnitra podle vyhlášky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, zveřejňuje kryptografické algoritmy a jejich parametry, které mohou být použity pro elektronický podpis ve smyslu zákona č. 227/2000 Sb., o elektronickém podpisu. Ministerstvo vnitra při stanovení zveřejňovaných algoritmů a jejich parametrů vychází jednak z dokumentů vydaných z iniciativy Evropské komise organizacemi, které k tomu EK určila (tzv. ALGO paper zveřejňovaný ETSI), a dále z aktuálního vývoje v oblasti bezpečnosti kryptografických algoritmů. V úvahu bere zároveň stanoviska významných mimoevropských institucí (např. NIST v USA) a českého Národního bezpečnostního úřadu (viz sdělení tohoto úřadu publikované na jeho webových stránkách).
Na základě výše uvedených informací, si vás dovolujeme upozornit na chystané změny Transakční části PVS. Ucelená informace je k dispozici na stránkách:
http://www.mvcr.cz/clanek/zmena-v-kryptografickych-algoritmech-ktere-jsou-pouzivany-pro-vytvareni-elektronickeho-podpisu.aspx
Z výše uvedených důvodů je nutné provést takové úpravy v systému Transakční části PVS tak, aby byla ve všech částech plně zabezpečena podpora algoritmu SHA-2. Z pohledu veřejného rozhraní TRA PVS se jedná o následující části:
1. Vytvoření datové zprávy, která je označena elektronickou značkou správce portálu dle odst. 4, § 6f zákona 365/2000 Sb., tak aby byl použit algoritmus SHA-2. Tj. zpráva Acknowlegment bude obsahovat elektronickou značku, která bude vytvořena s využitím SHA-2. Přesný formát nové elektronické značky bude popsán v příslušné vývojářské dokumentaci. Přechod na nový formát elektronické značky bude zabezpečen způsobem, který bude zajišťovat po přechodnou dobu zpětnou kompatibilitu se současným stavem. Tím bude zajištěno, že i systémy, které neprovedou okamžitý přechod na zpracování nové verze elektronické značky, budou schopné provozu bez změny i po provedeném přechodu.
2. Přihlašování k TRA PVS pomocí certifikátu tak, aby byla zajištěna podpora algoritmu SHA-2 v souběhu s algoritmem SHA-1 po celou dobu přechodného období. Změna se bude týkat přihlašovacího modulu na registračních stránkách TRA PVS, kde bude vytvořena nova verze podepisovacího modulu. Změna se dále bude týkat mechanismu tvorby GovTalk obálky, kde bude podporována nová verze přihlášení certifikátem s využitím algoritmů rodiny SHA-2. Podrobnosti budou uvedeny ve vývojářské dokumentaci.
V současné době probíhá finalizace vývoje komponent TRA PVS, implementaci do testovacího prostředí očekáváme v první půlce listopadu 2009. V této době bude zároveň aktualizována vývojářská dokumentace a včetně publikace na tento web, zároveň zde budou uvedeny pokyny pro otestování vašich aplikací.
Tým TRA PVS