Neuvádzanie podpisovej politiky v podpisoch a pečatiach
Vážení používatelia a integrační partneri,
dovoľujeme si vás upozorniť, že Národný bezpečnostný úrad SR (ďalej aj ako „NBÚ“) vydal v apríli 2021 novú verziu štandardu „Formáty podpisových politík“, v ktorom odporúča neuvádzať odkaz na podpisovú politiku vo vytváraných kvalifikovaných elektronických podpisoch a pečatiach. Odporúčame túto zmenu zrealizovať najneskôr počas septembra 2021.
NBÚ zároveň v marci 2021 zverejnil novú podpisovú politiku s platnosťou do roku 2025, obsahujúcu rovnakú sadu povinných kryptografických algoritmov ako doterajšia podpisová politika, ktorej platnosť končí dňa 2. októbra 2021.
1. Ukončenie uvádzania podpisových politík vo vytváraných podpisoch a pečatiach
V prípade, ak vo vašich systémoch využívate ľubovoľné klientske aplikácie pre vyhotovenie kvalifikovaného elektronického podpisu (napr. v registratúrnych systémoch, na špecializovaných portáloch a pod.) alebo prevádzkujete elektronickú podateľňu vlastnými prostriedkami, je potrebné, aby ste ukončenie uvádzania podpisovej politiky zabezpečili vo vlastnej réžii. Odporúčame túto úpravu vykonať najneskôr do konca septembra 2021.
V kvalifikovaných elektronických podpisoch a pečatiach vytváraných na Ústrednom portáli verejnej správy (ďalej aj ako „ÚPVS“) nie je identifikátor podpisovej politiky uvádzaný od nasledujúcich termínov:
- od 9. júla 2020 v kvalifikovaných elektronických podpisoch vytváraných v konštruktore správy ÚPVS (úprava volania klientskych aplikácií pre vytváranie KEP),
- od 4. novembra 2020 v kvalifikovaných elektronických pečatiach vytváraných v službách centrálnej elektronickej podateľne (konfiguračným parametrom podateľne).
O týchto zmenách sme vás Informovali vo zverejňovanom release pláne a v oznamoch zasielaných integrovaným subjektom.
Uvádzanie podpisovej politiky spôsobuje v praxi viaceré problémy:
- V prípade uvedenia podpisovej politiky v podpisoch alebo pečatiach a neskoršieho pripojenia kvalifikovanej časovej pečiatky k týmto podpisom v čase po exspirácii uvedenej podpisovej politiky dochádza v niektorých aplikáciách k overeniu podpisov ako neplatných, prípadne sú ako neplatné označené časové pečiatky pripojené k takýmto podpisom. Táto situácia nastáva najmä v prípade, ak je podpis vytvorený bez časovej pečiatky a táto bude pripojená k podpisu až s odstupom času - po 2. októbri 2021, kedy exspiruje doterajšia podpisová politika NBÚ.
Dôrazne preto odporúčame, pre vyhnutie sa problémom s overovaním vytvorených podpisov a pečatí, aby ste v podpisoch a pečatiach vytváraných vo vašich systémoch prestali podpisové politiky uvádzať.
(Uvedené platí aj pre centrálnu elektronickú podateľňu. Podrobnosti sú uvedené aj v aktualizovanej dokumentácii funkčnosti CEP
v kapitole 5.1.4.4. Národná agentúra pre sieťové a elektronické služby v súčasnosti komunikuje s dodávateľmi možnosti riešenia.)
- V aplikáciách pre validáciu kvalifikovaných elektronických podpisov a pečatí používaných najmä v zahraničí spôsobuje uvádzanie identifikátora (OID) slovenskej podpisovej politiky nemožnosť úplného overenia. Overenie v takýchto prípadoch končí napríklad výsledkom „Nie je možné rozhodnúť“ (INDETERMINATE), čo má obvykle za následok neakceptovanie takéhoto podpisu alebo pečate.
- Uvádzaním podpisovej politiky vznikajú podľa vyjadrenia NBÚ požiadavky na implementovanie nepovinných postupov vyplývajúcich z ich uvedenia v podpísaných atribútoch/elementoch. Uvádzanie zahraničných podpisových politík, ktoré nie sú vopred známe a manuálne nakonfigurované v podateľni, spôsobuje nemožnosť správneho overenia aj v službách centrálnej elektronickej podateľne, ktorá takéto zahraničné podpisy overí s výsledkom „neplatná“ alebo „nie je možné rozhodnúť“. Väčšina zahraničných kvalifikovaných elektronických podpisov a pečatí
v praxi však podpisovú politiku neobsahuje, a preto sa takýto problém so zahraničnými podpismi bežne nevyskytuje.
2. Nová podpisová politika NBÚ
NBÚ v marci 2021 zverejnil novú podpisovú politiku, ktorá až do roku 2025 predlžuje platnosť sady kryptografických algoritmov predpísaných v doterajšej podpisovej politike. Vzhľadom na koniec platnosti doterajšej podpisovej politiky, dňa 2. októbra 2021, vám odporúčame preveriť u vášho dodávateľa akceptovanie novej podpisovej politiky v prijímaných podpisoch a pečatiach.
Orgány verejnej moci sú podľa NBÚ povinné vo vytváraných podpisoch a pečatiach používať len algoritmy považované za bezpečné, ktoré NBÚ zverejňuje vo forme podpisových politík. Aplikácie orgánu verejnej moci validujúce podpis alebo pečať musia podľa NBÚ akceptovať algoritmy zverejnené v podpisovej politike NBÚ (pozn.: Je teda potrebné používať algoritmy zo zoznamu algoritmov uvedeného
v podpisovej politike NBÚ, nemá sa však v podpisoch a pečatiach uvádzať identifikátor použitej podpisovej politiky).
Centrálna elektronická podateľňa ÚPVS v súčasnosti akceptuje len algoritmy zverejnené v dokumentácii funkčnosti CEP v kapitole 5.1
v časti „Podporované kryptografické funkcie a algoritmy“. Nie sú teda podporované všetky algoritmy uvedené v podpisovej politike. NASES zvažuje túto skutočnosť riešiť počas nasledujúceho roka.
Pokiaľ používate centrálnu elektronickú podateľňu prevádzkovanú v lokálnej inštalácii vlastnými prostriedkami, je potrebné vo vašej réžii pridať novú podpisovú politiku NBÚ medzi akceptované, aby nedochádzalo k zamietaniu podpisov obsahujúcich referenciu na novú podpisovú politiku. V prípade, ak používate takúto podateľňu s nastavenou predvolenou podpisovou politikou NBÚ v PAdES komponente a overovanie podpisov v eIDAS móde (UseEidas s hodnotou true), odporúčame vám pre korektné overovanie časových pečiatok pripojených mimo platnosť predvolenej podpisovej politiky nastaviť vlastnú lokálnu podpisovú politiku
s algoritmami súladnými s politikou NBÚ, avšak s platnosťou pokrývajúcou obdobie aspoň od začiatku doterajšej podpisovej politiky, t.j. od 2. októbra 2016 do konca novej podpisovej politiky do 31. decembra 2025.