Artykuł pochodzi z wydania: Październik 2023
Dynamika zmian na rynku technologicznym wymaga nieustannego dialogu o aktualności i odporności wykorzystywanych rozwiązań – szczególnie tych, które dotyczą usług zaufania. Doskonale obrazuje to fakt, że dalej mamy problem z SHA-1.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (DzUrz UE L 257 z 28.08.2014 r.; dalej: eIDAS) z założenia jest aktem prawnym neutralnym technologicznie. Wskazuje na to jasno motyw 27 preambuły tego rozporządzenia. Patrząc na tę kwestię przez pryzmat otwarcia rynku na nowe technologie, takie podejście może wydawać się słuszne. Jest jednak jedno „ale”. Neutralność technologiczna nie powinna być mylona z całkowitym brakiem regulacji dotyczących technologii. Czym innym jest taka redakcja przepisów, by ich spełnienie było możliwe przy użyciu dowolnego środka technicznego, a czym innym brak jakichkolwiek zapisów na temat norm i standardów, które należy spełnić w momencie wyboru konkretnej technologii. Istotą wprowadzenia dowolnego środka technicznego jest zagwarantowanie braku dyskryminacji ze względu na konkretne, partykularne rozwiązania technologiczne opracowywane przez konkretne podmioty. Trudno jednak racjonalnie uzasadnić pominięcie kluczowych rozwiązań technologicznych jako obligatoryjnych do zapewnienia bezpieczeństwa świadczonej usługi bądź funkcjonowania produktu.
Neutralność technologiczna w przepisach o technologii
W większości obecnych usług zaufania wykorzystano te same, sprawdzone technologie (podpis cyfrowy, kryptograficzne funkcje skrótu). Niestety w rozporządzeniu eIDAS nie wskazano praktycznie żadnych norm i standardów w zakresie tych technologii. Wyjątkiem jest decyzja wykonawcza Komisji (UE) 2015/1506 z dnia 8 września 2015 r. ustanawiająca specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego zgodnie z art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (DzUrz UE L 235 z 9.09.2015 r.; dalej: decyzja 2015/1506). Wskazuje ona formaty podpisów elektronicznych, które trzeba akceptować, nie zamykając jednocześnie drogi innym, nowym możliwościom składania podpisu. Pojawia się pytanie, dlaczego podobnego rozwiązania nie zastosowano w innych obszarach podlegających uregulowaniu. W szczególności, z jakiego powodu podobnych zapisów nie zastosowano w przypadku tak kluczowej kwestii jak algorytmy kryptograficzne?
Dokumenty standaryzacyjne w zakresie algorytmów są od dawna dostępne i na bieżąco aktualizowane. Problem w tym, że żaden akt prawny nie nakłada obowiązku ich stosowania. Na poziomie legislacyjnym są zapisy wprowadzające fakultatywną możliwość wykorzystywania konkretnych rozwiązań, jednak działania prowadzące do zapewnienia bezpieczeństwa (szczególnie w aspekcie integralności) powinny mieć charakter dominujący. Na poziomie formalnym nie jest to nowa idea – już w zaleceniu 15 załącznika do komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów Europejskie ramy interoperacyjności – strategia wdrażania (COM/2017/0134 final) wskazano, że należy określić wspólne ramy w zakresie bezpieczeństwa i prywatności oraz ustanowić procesy w odniesieniu do usług użyteczności publicznej, by zapewnić bezpieczną i godną zaufania wymianę danych między administracjami publicznymi oraz w kontaktach z obywatelami i przedsiębiorstwami. O ile w kontekście zapewnienia prywatności wyznaczone podmioty realizują szereg działań, o tyle w przypadku bezpieczeństwa – jego aspektu technologicznego – można odnieść wrażenie, że temat został zbagatelizowany.
Do czego służy funkcja skrótu?
Jednym z przedstawianych w dyskusji argumentów przemawiających za brakiem regulacji w zakresie algorytmów jest założenie, że rynek wyeliminuje przestarzałe rozwiązania. Argument ten można jednak podważyć. Elementy, za które bezpośrednio odpowiadają kwalifikowani dostawcy usług zaufania, podlegają okresowym audytom, zatem faktycznie – nie ma tam miejsca na rozwiązania niezgodne z najnowszymi normami i standardami w zakresie kryptografii. Dostawca usług zaufania nie ma jednak wpływu na sam podpis elektroniczny. To osoba składająca podpis elektroniczny wybiera jego parametry – a przede wszystkim wskazuje wykorzystywaną podczas jego składania funkcję skrótu, która ma kluczowe znaczenie dla bezpieczeństwa podpisu elektronicznego. Rolą prawodawcy jest zapewnienie, aby technologiczne zasady tworzenia i wykorzystywania podpisu elektronicznego były niepodważalne, ponieważ rzutuje to na całość bezpieczeństwa obrotu elektronicznego. Aby zrozumieć rolę funkcji skrótu, warto przeanalizować schemat działania podpisu cyfrowego, czyli mechanizmu kryptograficznego służącego zapewnieniu autentyczności, niezaprzeczalności i integralności. To właśnie na technologii podpisu cyfrowego bazuje większość obecnych zaawansowanych podpisów elektronicznych i kwalifikowanych podpisów elektronicznych. Dla uproszczenia w dalszej części artykułu posługujemy się pojęciem podpisu elektronicznego w znaczeniu „kwalifikowany podpis elektroniczny bazujący na technologii podpisu cyfrowego”.
Należy zwrócić uwagę, że mimo iż podpisem elektronicznym opatrzony jest cały dokument, to operacja kryptograficzna wykorzystująca klucz prywatny (czyli zgodnie z nomenklaturą eIDAS „dane do składania podpisu elektronicznego”) jest przeprowadzana bezpośrednio na skrócie dokumentu. Dlatego wybór odpowiedniej (tj. kryptograficznie bezpiecznej) funkcji skrótu jest tak ważny.
Oceniając funkcję skrótu, należy sprawdzić, czy spełnia ona kilka warunków. Jednym z nich jest odporność na kolizje, czyli brak praktycznej możliwości znalezienia dwóch różnych wiadomości (dokumentów) o identycznym skrócie. Biorąc pod uwagę fakt, że podpis cyfrowy operuje na skrócie wiadomości, dwie wiadomości o identycznej wartości skrótu będą miały identyczny podpis cyfrowy, a co za tym idzie – identyczny podpis elektroniczny. W praktyce może oznaczać to możliwość przeniesienia podpisu elektronicznego z jednego dokumentu na drugi. A co najważniejsze, taki „przeniesiony” podpis elektroniczny będzie prawidłowo weryfikowany, ponieważ z technicznego punktu widzenia jest prawidłowy dla obu dokumentów.
Bezpieczeństwo funkcji SHA-1
Wszystkie rozwiązania technologiczne związane z bezpieczeństwem – a w szczególności te związane z kryptografią – mają swój „cykl życia”. W ramach tego cyklu konkretne rozwiązania są wdrażane, następnie rozwijane i wspierane, a docelowo wycofywane ze względu na nadmierne ryzyko związane z ich dalszym stosowaniem. Tak jest (a przynajmniej powinno być) również w przypadku algorytmu SHA-1.
Jego bezpieczeństwo jest podważane od wielu lat. Ataki teoretyczne znane są już od 2005 r. W 2011 r. w dokumencie ETSI TS 102 176-1 wskazano, że ta funkcja skrótu nie jest rekomendowana, a w roku 2012 National Institute of Standards and Technology w dokumencie „NIST Policy on hash functions” również rekomendował wycofanie tego algorytmu. W lutym 2017 r. grupa naukowców z Centrum Wiskunde & Informatica (CWI Amsterdam) oraz Google Research opublikowała artykuł, w którym opisała pierwszy praktyczny atak (kolizję) na pełną wersję SHA-13. W maju 2017 r. w dokumencie ETSI TS 119 312 pojawił się zapis jasno wskazujący, że SHA-1 zostało złamane4. Mimo tego nadal w żadnym oficjalnym dokumencie nie pojawił się zapis wprost zakazujący używania tej funkcji skrótu.
[…]
Piotr Twardy jest prawnikiem, ekspertem z zakresu bezpieczeństwa i ochrony informacji, Zawodowo związany z Narodowym Bankiem Polskim, gdzie zatrudniony jest w Wydziale Ochrony Informacji Departamentu Bezpieczeństwa NBP. Specjalizuje się w prawie nowoczesnych technologii.
Bartosz Nakielski z wykształcenia jest matematykiem, podpisem elektronicznym i kryptografią zajmuje się od 20 lat. Kieruje Wydziałem Kryptografii w Departamencie Bezpieczeństwa NBP. Odpowiada w szczególności za funkcjonowanie Narodowego Centrum Certyfikacji.
