SHA (Secure Hash Algorithm) – to rodzina powiązanych funkcji skrótu zaprojektowanych przez NSA (National Security Agency, USA).
Pierwszy z nich opublikowany w 1993 oficjalnie nazwany SHA , SHA-1 opublikowany został w 1995. W 2001 powstały cztery następne warianty określane jako SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512).
Do czego służy ? do obliczenia tzw. skrótu dokumentu. Powstaje wtedy indywidualny, niepowtarzalny zapis dla każdego dokumentu. Dzięki temu możemy ocenić czy dokument po obliczeniu tego skrótu uległ zmianie – skrót jest liczony ponownie i porównywany z tym pierwotnym. A zatem SHA pozwala wykryć ingerencję w plik. Obliczanie skrótu dokumentu jest jednym z wielu elementów występujących w procesie podpisywania podpisem kwalifikowanym. Analizując podpis widzimy zarówno wynik tej operacji jak i użytą metodę. Ze względu na międzynarodowe zalecenia, wersja SHA-1 jest wycofywana z użycia. Było to przedmiotem sporu przed KIO – czy podpis używający tej wersji SHA jest ważny. Pierwszy wyrok w tej sprawie zapadł w dniu 10 grudnia 2018, KIO 2428/18. Izba potwierdziła obowiązek odrzucenia oferty podpisanej podpisem kwalifikowanym wykorzystującym algorytm SHA-1.
Od lat mówimy na wszystkich szkoleniach: tak długo jak walidacja podpisu daje wynik pozytywny, tak długo podpis jest prawidłowy. Za to odpowiadają centra zaufania prowadzące swoje usługi, a nie Krajowa Izba Odwoławcza.
Na szczęście KIO, mimo że początkowo zbłądziła, w końcu uznała ten fakt i kolejny wyrok dopuścił algorytm SHA-1, KIO 156/19 z dnia 14 lutego 2019 r. – Walentynki nabrały nowego wymiaru 🙂
Taka też była opinia Polskiej Izby Informatyki i Telekomunikacji.
Ciekawostka: mimo że Ministerstwo Cyfryzacji początkowo tłumaczyło, że od 1 lipca 2018 nie można stosować tego algorytmu, samo zaczęło porządkować ten problem w ePUAP dopiero kilka miesięcy później a w I kw. 2019 jeszcze nie zakończyło.