Upozornění týkající se algoritmu SHA1
Při digitálním podepisování dokumentu PDF v aplikaci Acrobat nebo Acrobat Reader se může zobrazit následující zpráva s upozorněním:
Informace: Algoritmus SHA256 je výchozím algoritmem hash aplikace Acrobat od verze 9.1. V některý případech – například pokud zařízení pro podpisy (například čipová karta nebo token USB) nebo jeho ovladač algoritmus SHA256 nepodporuje – však bude aplikace Acrobat nebo Reader při vytváření podpisu používat algoritmus hash SHA1, aby nedošlo k chybě.
Nedávno však bylo zjištěno, že při použití algoritmu hash SHA1 v digitálních podpisech může docházet ke kolizím. To znamená, že za určitých podmínek je možné generovat digitální podpis založený na algoritmu hash SHA1, který nebude jedinečný pro dokument, ale bude platný i při použití v jiných dokumentech.
Změna v aplikacích Acrobat a Acrobat Reader (2017.009.20044): Od verze 2017.009.20044 aplikací Acrobat a Acrobat Reader společnost Adobe své uživatele upozorňuje, aby při digitálním podepisování nepoužívali zastaralý algoritmus hash SHA1. Uživatel sice může algoritmus SHA1 při podepisování nadále používat, ale nedoporučuje se to, protože se považuje za zastaralý.
Řešení
Zobrazování tohoto dialogového okna lze v závislosti na situaci zabránit několika způsoby:
- Společnost Adobe důrazně doporučuje, abyste se obrátili na výrobce zařízení pro podpisy nebo ovladače a získali od něj novější zařízení nebo ovladač, které podporují výchozí algoritmus SHA256 nebo silnější algoritmy hash.
- Pokud není požadovaný algoritmus hash zařízením pro podpisy podporován, může uživatel zaškrtnout políčko Příště nezobrazovat a kliknutím na tlačítko Pokračovat může dokument podepsat pomocí algoritmu SHA1. Příště se toto dialogové okno již nezobrazí.
- Je možné, že je aplikace Acrobat z dřívějška nastavena tak, aby místo výchozího algoritmu SHA256 používala algoritmus SHA1. Uživatel může klíč aSignHash pro tohoto nastavení odstranit nebo jej nastavit na hodnotu SHA256, jak je popsáno na této stránce.
- V případě, že použití algoritmu SHA1 závisí na přítomnosti „počáteční hodnoty“, která je v dokumentu PDF použita u existujícího pole podpisu (viz tato stránka), může uživatel požádat autora dokumentu o jeho aktualizaci, která zajistí, že v něm bude podporován algoritmus hash SHA256 nebo silnější (pokud není použití algoritmu SHA1 nezbytné).