Úprava konfigurácie overovania CAdES a XAdES od 2. októbra 2021
Vážení používatelia a integrační partneri,
dovoľujeme si Vás informovať o ďalších odporúčaných opatreniach v súvislosti s exspiráciou podpisovej politiky Národného bezpečnostného úradu (ďalej aj ako „NBÚ“), ktorá nastane 2. októbra 2021:
Úprava konfigurácie podateľne pre CAdES a XAdES
V prípade, ak prevádzkujete centrálnu elektronickú podateľňu vlastnými prostriedkami, resp. používate podateľňu spoločnosti Ditec, a.s., dovoľujeme si Vás informovať o potrebnej úprave jej konfigurácie najneskôr do 2. októbra 2021 pre zabezpečenie správneho overovania CAdES a XAdES podpisov po uvedenom dátume, kedy exspiruje doterajšia podpisová politika NBÚ.
V nastavení platnosti podpisovej politiky NBÚ:
- s identifikátorom OID: 1.3.158.36061701.1.2.2 v lokálnej inštalácii centrálnej elektronickej podateľne
je potrebné zmeniť koniec platnosti doterajšej politiky na 31. 12. 2025,
- s identifikátorom OID: 1.3.158.36061701.1.2.1 v lokálnej inštalácii centrálnej elektronickej podateľne
je potrebné zmeniť koniec platnosti doterajšej politiky na 31. 12. 2022.
Odporúčame vám osloviť v tejto veci vášho dodávateľa, aby vám toto nastavenie zrealizoval. Dôvodom tejto úpravy je, že
v praxi sa vyskytuje množstvo kvalifikovaných elektronických podpisov a pečatí s uvedenou podpisovou politikou bez
pripojenej časovej pečiatky, pričom overovacie komponenty pre CAdES a XAdES budú takéto podpisy po 2. októbri 2021 overovať ako „neoveriteľné“, prípadne „neplatné“.
Zdôvodnenie:
Touto konfiguráciou sa zabezpečí správne overovanie takýchto podpisov, obvykle ako „platný“, „neplatný“, prípadne
v špecifických prípadoch „nie je možné rozhodnúť“.
Podpisová politika NBÚ s OID 1.3.158.36061701.1.2.2 s dátumom exspirácie 2. októbra 2021 obsahuje rovnakú sadu kryptografických algoritmov ako nová podpisová politika NBÚ s OID 1.3.158.36061701.1.2.3, ktorej dátum exspirácie je 31. december 2025. Preto je takéto nastavenie v súlade s politikami NBÚ.
Poznámka:
O potrebných konfiguračných úpravách overovacieho komponentu PAdES, resp. podateľne od spoločnosti Disig, a.s., sme vás informovali oznamom zo dňa 13. septembra 2021. Túto úpravu je potrebné vykonať nezávisle, keďže ide o iný komponent.
Pripájanie kvalifikovaných časových pečiatok k podpisom a pečatiam a nevytváranie historických formátov XAdES_ZEP a ZEPf
Dovoľujeme si dôrazne odporučiť, že pre zabezpečenie správneho overovania autorizácií je potrebné v informačných systémoch pre vytváranie autorizácií zabezpečiť:
- Nevytváranie kvalifikovaných elektronických podpisov a pečatí v historických formátoch XAdES_ZEP, ktoré vo svojom profile podľa legislatívy účinnej do roku 2016 vyžadovali povinné uvedenie podpisovej politiky, pričom vytváranie týchto historických formátov už v súčasnosti nie je v súlade s platnými právnymi predpismi.
- Nevytváranie historického formátu ZEPf + CAdES a jeho nahradenie jedným z formátov podpisov XAdES, CAdES, PAdES a podpisový kontajner ASiC. Tento formát podľa legislatívy účinnej do roku 2016 taktiež vyžadoval uvedenie podpisovej politiky.
- Pripojenie kvalifikovaných časových pečiatok ku kvalifikovaným elektronickým podpisom a pečatiam bez časovej pečiatky obsahujúcim podpisovú politiku, a to čo najskôr, pred exspiráciou podpisového certifikátu a takisto pred exspiráciou podpisovej politiky.
Poznámka:
V prípade využívania centrálnej elektronickej podateľne orgánom verejnej moci (ďalej aj ako „OVM“) ako svojej podateľnesa kvalifikované časové pečiatky pripájajú k doručeným podaniam automaticky interne v podateľni pre účely overeniapodpisov, do schránky OVM sa však doručuje podanie bez pripojenej časovej pečiatky (t.j. v prípade neskoršieho overeniainou službou podanie časovú pečiatku neobsahuje).
- Nevytváranie kvalifikovaných elektronických podpisov a pečatí obsahujúcich podpisové politiky bez pripojených kvalifikovaných časových pečiatok.
Sumár zaslaných oznamov z NASES k uvedenej problematike:
- dňa 29. júla 2020 sme informovali o potrebe pripájania časových pečiatok k podaniam a o ukončení uvádzania podpisovej politiky do autorizácií vytváraných v konštruktore správy na Ústrednom portáli verejnej správy,
- dňa 4. novembra 2020 sme informovali o ukončení uvádzania podpisovej politiky v kvalifikovaných elektronických pečatiach vytváraných v centrálnej elektronickej podateľni,
- dňa 3. augusta 2021 sme informovali o potrebe neuvádzania podpisových politík vo vytváraných autorizáciách,
- dňa 13. septembra 2021 sme informovali o potrebných nastaveniach PAdES komponentu resp. podateľne spoločnosti Disig, a.s.,
- dňa 23. septembra 2021 informujeme o potrebných nastaveniach CAdES a XAdES komponentu resp. podateľne spoločnosti Ditec, a.s.