Upozornění:
Upozorňujeme uživatele, kteří komunikují s Celní správou ČR prostřednictvím elektronické komunikace s využitím kvalifikovaného elektronického podpisu, že musí v případě elektronického podání podepisovat tyto zprávy algoritmem SHA-2. Některé nosiče elektronického podpisu (čipové karty a USB klíče), které využívají poskytovatelé pro bezpečné ukládání certifikátů, neumí podepisovat elektronické zprávy algoritmem SHA-2. Ověřte si prosím u svého dodavatele elektronického podpisu, že nově zakoupený datový nosič, umožňuje podepisovat elektronické zprávy algoritmem SHA-2.
V souvislosti s přechodem na hashovací algoritmus SHA-2 v podpisech elektronických certifikátů vydávaných certifikačními autoritami v ČR po 1.1.2010 a s odpovídajícím ročním přechodném obdobím bude přecházet na tento algoritmus i Externí komunikační doména celní správy k 1.12.2010. Od tohoto data budou celní správou přijímány a odesílány pouze zprávy označené zaručeným elektronickým podpisem (respektive zaručenou elektronickou značkou) s využitím hash algoritmu SHA256.
Funkcionalita bude oficiálně s podporou HelpDesku CS dostupná na testovacím prostředí ECR brány od 1.9.2010.
V provozním prostředí bude možné zasílat zprávy s SHA-1 i SHA256 od 1.10.2010.
Od uvedeného data 1.12.2010 již nebude možné zasílat zprávy s SHA-1 jak v testovacím tak v provozním prostředí.
Technickými souvislostmi této změny pro výrobce deklarantského SW na dominantní platformě Microsoft Windows se zabývá dokument „PODPORA ALGORITMŮ SHA-2 VE FORMÁTU S/MIME V PROSTŘEDÍ OS MICROSOFT WINDOWS". Tento ZIP soubor obsahuje uvedený dokument včetně ukázkových zdrojových kódů pro vývojáře.
HotFix KB968730csy ke stažení.
Vzhledem k plánovanému nasazování nových verzí SW (e-Dovoz, EMCS,...) na testovací prostředí CS bylo rozhodnuto, že oproti původnímu plánu nebude ukončena podpora zasílání zpráv s SHA-1 v testovacím prostředí.
Přechod na algoritmy SHA-2 lze pro výrobce SW shrnout následujícími body:
- pro podpis zpráv algoritmy SHA-2 je dobré mít certifikát vydaný „SHA-2“ autoritou, tj. takový, jehož pole Algoritmus podpisu má hodnotu sha256RSA.
V některých operačních systémech je to dokonce nutné.
- přechod na algoritmy SHA-2 pro formát S/MIME je podrobně popsán výš
- v případě použití formátu XML Signature a platformy .NET Framework je pro přechod z SHA-1 na SHA-2 nutné (kromě podpory operačním systémem, popsáno zde:
http://www.lupa.cz/clanky/zavedeni-hash-algoritmu-sha-2-v-prostredi-ms-win/) změnit kód aplikace pro vytvoření SHA-2 podpisu takto:
o do SignatureMethod třídy SignedXml.SignedInfo nastavit URI požadovaného SHA-2 algoritmu, tj. jednu z následujících hodnot:
http://www.w3.org/2001/04/xmlenc#sha256
http://www.w3.org/2001/04/xmldsig-more#sha384
http://www.w3.org/2001/04/xmlenc#sha512
o stejné URI nastavit i do DigestMethod třídy Reference (třída Reference se používá při vytvoření podpisu třídou SignedXml)
o v případě, že změnou SignatureMethod a DigestMethod v předchozích bodech nastane výjimka, je třeba na počítači, kde program běží, nainstalovat do GAC
assembly Security.Cryptography.dll z http://clrsecurity.codeplex.com/ a následně do všech souborů machine.config v podadresářích adresáře %WINDIR%\Microsoft.NET\
nastavit mapování cryptoNameMapping podle příkladu zde: http://clrsecurity.codeplex.com/wikipage?title=Security.Cryptography.RSAPKCS1SHA256SignatureDescription&version=3 .
Sekce mscorlib/cryptographySettings/cryptoNameMapping by finálně měla vypadat jako tento xml fragment (verze použité assembly se může lišit).
Pozor na 2 verze .NET frameworku na 64bitových operačních systémech, kde je nutno (v případě, že je aplikace zkompilována jako „Any CPU“) úpravy provést jak v podadresářích
%WINDIR%\Microsoft.NET\Framework, tak v %WINDIR%\Microsoft.NET\Framework64!
- pro ověření SHA-2 podpisu není nutné měnit kód aplikace, pokud však při ověření SHA-2 podpisu nastává výjimka, je potřeba provést instalaci Security.Cryptography.dll dle předchozího bodu
