Ústredný portál verejnej správy

Neuvádzanie podpisovej politiky v podpisoch a pečatiach

Vážení používatelia a integrační partneri, 

dovoľujeme si vás upozorniť, že Národný bezpečnostný úrad SR (ďalej aj ako „NBÚ“) vydal v apríli 2021 novú verziu štandardu „Formáty podpisových politík“, v ktorom odporúča neuvádzať odkaz na podpisovú politiku vo vytváraných kvalifikovaných elektronických podpisoch a pečatiach. Odporúčame túto zmenu zrealizovať najneskôr počas septembra 2021.  

NBÚ zároveň v marci 2021 zverejnil novú podpisovú politiku s platnosťou do roku 2025, obsahujúcu rovnakú sadu povinných kryptografických algoritmov ako doterajšia podpisová politika, ktorej platnosť končí dňa 2. októbra 2021. 

1. Ukončenie uvádzania podpisových politík vo vytváraných podpisoch a pečatiach  

V prípade, ak vo vašich systémoch využívate ľubovoľné klientske aplikácie pre vyhotovenie kvalifikovaného elektronického podpisu (napr. v registratúrnych systémoch, na špecializovaných portáloch a pod.) alebo prevádzkujete elektronickú podateľňu vlastnými prostriedkami, je potrebné, aby ste ukončenie uvádzania podpisovej politiky zabezpečili vo vlastnej réžiiOdporúčame túto úpravu vykonať najneskôr do konca septembra 2021.  

V kvalifikovaných elektronických podpisoch a pečatiach vytváraných na Ústrednom portáli verejnej správy (ďalej aj ako „ÚPVS“) nie je identifikátor podpisovej politiky uvádzaný od nasledujúcich termínov:  

  • od 9. júla 2020 v kvalifikovaných elektronických podpisoch vytváraných v konštruktore správy ÚPVS (úprava volania klientskych aplikácií pre vytváranie KEP),
  • od 4. novembra 2020 v kvalifikovaných elektronických pečatiach vytváraných v službách centrálnej elektronickej podateľne (konfiguračným parametrom podateľne).

O týchto zmenách sme vás Informovali vo zverejňovanom release pláne a v oznamoch zasielaných integrovaným subjektom.  

Uvádzanie podpisovej politiky spôsobuje v praxi viaceré problémy:  

  • V prípade uvedenia podpisovej politiky v podpisoch alebo pečatiach a neskoršieho pripojenia kvalifikovanej časovej pečiatky k týmto podpisom v čase po exspirácii uvedenej podpisovej politiky dochádza v niektorých aplikáciách k overeniu podpisov ako neplatných, prípadne sú ako neplatné označené časové pečiatky pripojené k takýmto podpisom. Táto situácia nastáva najmä v prípade, ak je podpis vytvorený bez časovej pečiatky a táto bude pripojená k podpisu až s odstupom času - po 2. októbri 2021, kedy exspiruje doterajšia podpisová politika NBÚ. 

Dôrazne preto odporúčame, pre vyhnutie sa problémom s overovaním vytvorených podpisov a pečatí, aby ste v podpisoch a pečatiach vytváraných vo vašich systémoch prestali podpisové politiky uvádzať.

(Uvedené platí aj pre centrálnu elektronickú podateľňu. Podrobnosti sú uvedené aj v aktualizovanej dokumentácii funkčnosti CEP 
v kapitole 5.1.4.4. Národná agentúra pre sieťové a elektronické služby v súčasnosti komunikuje s dodávateľmi možnosti riešenia.) 

  • V aplikáciách pre validáciu kvalifikovaných elektronických podpisov a pečatí používaných najmä v zahraničí spôsobuje uvádzanie identifikátora (OID) slovenskej podpisovej politiky nemožnosť úplného overenia. Overenie v takýchto prípadoch končí napríklad výsledkom „Nie je možné rozhodnúť“ (INDETERMINATE), čo má obvykle za následok neakceptovanie takéhoto podpisu alebo pečate. 
  • Uvádzaním podpisovej politiky vznikajú podľa vyjadrenia NBÚ požiadavky na implementovanie nepovinných postupov vyplývajúcich z ich uvedenia v podpísaných atribútoch/elementoch. Uvádzanie zahraničných podpisových politík, ktoré nie sú vopred známe a manuálne nakonfigurované v podateľni, spôsobuje nemožnosť správneho overenia aj v službách centrálnej elektronickej podateľne, ktorá takéto zahraničné podpisy overí s výsledkom „neplatná“ alebo „nie je možné rozhodnúť“. Väčšina zahraničných kvalifikovaných elektronických podpisov a pečatí
    v praxi však podpisovú politiku neobsahuje, a preto sa takýto problém so zahraničnými podpismi bežne nevyskytuje.  

2. Nová podpisová politika NBÚ  

NBÚ v marci 2021 zverejnil novú podpisovú politiku, ktorá až do roku 2025 predlžuje platnosť sady kryptografických algoritmov predpísaných v doterajšej podpisovej politike. Vzhľadom na koniec platnosti doterajšej podpisovej politiky, dňa 2. októbra 2021, vám odporúčame preveriť u vášho dodávateľa akceptovanie novej podpisovej politiky v prijímaných podpisoch a pečatiach.  

Orgány verejnej moci sú podľa NBÚ povinné vo vytváraných podpisoch a pečatiach používať len algoritmy považované za bezpečné, ktoré NBÚ zverejňuje vo forme podpisových politík. Aplikácie orgánu verejnej moci validujúce podpis alebo pečať musia podľa NBÚ akceptovať algoritmy zverejnené v podpisovej politike NBÚ (pozn.: Je teda potrebné používať algoritmy zo zoznamu algoritmov uvedeného
v podpisovej politike NBÚ, nemá sa však v podpisoch a pečatiach uvádzať identifikátor použitej podpisovej politiky).  

Centrálna elektronická podateľňa ÚPVS v súčasnosti akceptuje len algoritmy zverejnené v dokumentácii funkčnosti CEP v kapitole 5.1
v časti „Podporované kryptografické funkcie a algoritmy“. Nie sú teda podporované všetky algoritmy uvedené v podpisovej politike. NASES zvažuje túto skutočnosť riešiť počas nasledujúceho roka.  

Pokiaľ používate centrálnu elektronickú podateľňu prevádzkovanú v lokálnej inštalácii vlastnými prostriedkami, je potrebné vo vašej réžii pridať novú podpisovú politiku NBÚ medzi akceptované, aby nedochádzalo k zamietaniu podpisov obsahujúcich referenciu na novú podpisovú politiku. V prípade, ak používate takúto podateľňu s nastavenou predvolenou podpisovou politikou NBÚ v PAdES komponente a overovanie podpisov v eIDAS móde (UseEidas s hodnotou true), odporúčame vám pre korektné overovanie časových pečiatok pripojených mimo platnosť predvolenej podpisovej politiky nastaviť vlastnú lokálnu podpisovú politiku
s algoritmami súladnými s politikou NBÚ, avšak s platnosťou pokrývajúcou obdobie aspoň od začiatku doterajšej podpisovej politiky, t.j. od 2. októbra 2016 do konca novej podpisovej politiky do 31. decembra 2025.