loading . . . Problemy z działaniem aplikacji używających kart w systemach Windows 10 i 11 po zainstalowaniu aktualizacji systemu z 14 października 2025 (KB5066791) Otrzymujemy masowe powiadomienia od Klientów korzystających z kart kryptograficznych rodziny CryptoCard Graphite o problemach z używaniem ich w wielu popularnych na rynku aplikacjach wykorzysujących karty do generowania podpisów elektronicznych, zwłaszcza podpisów weryfikowanych z użyciem kwalifikowanych certyfikatów i używanych w ramach środowisk zgodnych z eIDAS.
Dotyczy to wielu popularnych w Polsce systemów administracji publicznej, programów typu „Płatnik” czy komercyjnych programów księgowych.
Niestety źródłem tych problemów jest nieustalona na razie co do jej przyczyn zmiana w działaniu kluczowych dla korzystania z kart elektronicznych komponentów/usług systemu operacyjnego Windows.
W ramach aktualizacji systemów Windows 10 i 11, firma Microsoft wprowadziła zmianę w funkcjonowaniu co najmniej usługi Certificate Propagation, która odpowiedzialna jest za automatyczny import oraz rejestrację w Magazynie Certyfikatów Windows certyfikatów X.509 znajdujących się na karcie elektronicznej włożonej do czytnika kart (automatyczny import certyfikatów po włożeniu karty do czytnika).
**Jak poradzić sobie z problemem ?**
Najbardziej eleganckim obejściem problemu (przejściowym) jest przełączenie flagi w rejestrze systemowym, którą wprowadził Microsoft właśnie w celu wymuszenia wstecznej kompatybilności z aplikacjami nadal zależnymi od starszego interfejsu programistycznego obsługującego m.in. podpis elektroniczny (CSP)
Przejściowym obejściem problemu jest wymuszenie na usłudze Certificate Propagation (CertPropSvc) rejestrowania certyfikatów w Magazynie Certyfikatów Windows ze wskazaniem na starszy typ interfejsu usług kryptograficznych (CSP) zamiast interfejsu KSP wprowadzonego już jako domyślny interfejs przez Microsoft w ramach Windows Update z października 2025.
Należy:
– z uprawnieniami Administratora uruchomić Registry Editor (regedit.exe),
– znaleźć (jeśli jest) lub DOPISAĆ (jeśli nie ma) w takim miejscu jak na obrazku poniżej klucz DisableCapiOverrideForRSA i nadać mu wartość 0 (zero!) lub zmienić (jeśli jest obecnie 1) na „0” (zero),
– wymusić restart usługi Certificate Propagation (też z prawami Administratora) lub wykonać restart Windows,
– wyciągnąć i włożyć kartę do czytnika (lub odłączyć/podłączyć mały czytnik USB z kartą w środku),
– tym razem certyfikaty z karty zostaną zarejestrowane w Magazynie Certyfikatów „poprawnie” dla wielu problematycznych aplikacji, czyli tak jak były rejestrowa wcześniej,
– ale UWAGA (!) to jest obejście tymczasowe i przestanie ono działać w kwietniu 2026 wg informacji przedstawionych przez Microsoft i do tego czasu producenci aplikacji muszą przejść w nich na inne, nowsze API usług kryptograficznych używane do realizacji podpisu elektronicznego (KSP).
**HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais**
**DisableCapiOverrideForRSA ****DWORD 0
**
Przywróci to działanie kart ze starszymi aplikacjami (opartymi na CryptoAPI i dostawcach usług kryptograficznych typu CSP), a dzięki istniejącemu od zawsze mechanizmowi powiązania KSP z CSP, również nowe aplikacje (oparte na CNG API) będą działały poprawnie.
**Szczegółowy opis problemu**
Certyfikaty importowane z kart są rejestrowane w Magazynie Certyfikatów wraz z dodatkowymi informacjami (nie wyświetlanymi podczas przeglądania zawartości tych Magazynów Certyfikatów za pomocą standardowych narzędzi systemowych dostępnych dla Użytkownika), które m.in. zawierają wskazanie na odpowiedniego dostawcę usług kryptograficznych obsługującego klucz prywatny skojarzony z danym certyfikatem zarejestrowanym w Magazynie Certyfikatów Windows. Wskazanie to może prowadzić wyłącznie do jednego dostawcy usług kryptograficznych może to być alternatywnie (!) dostawca „typu CSP” albo „typu KSP”.
Od czasu wprowadzenia na rynek Windows Vista, Microsoft starał się spopularyzować nowy standard CryptoAPI, tzn. CryptoAPI Next Generation (CNG API), który ma być następcą starszego CryptoAPI obecnego „od zawsze” w systemach Windows. Dotyczy to również występującego tam pojęcia dostawcy usług kryptograficznych CSP (starszy standard) lub KSP (nowszy standard).
W praktyce większość kart kryptograficznych używanych obecnie na rynku posiada oba interfejsy programistyczne (API): CSP i KSP, pozwalające używać kartę zarówno ze starszymi aplikacjami (np. generującymi podpisy elektroniczne) opartymi na Crypto API, jak i nowszymi aplikacjami używającymi CNG API.
Od ponad 20 lat usługa Certificate Propagation rejestrowała certyfikaty odczytane z włożonej do czytnika karty wraz ze wskazaniem na odpowiedniego dostawcę usług kryptograficznych i jeśli w systemie były zarejestrowane oba rodzaje dostawców usług kryptograficznych (CSP i KSP), to Windows rejestrował certyfikaty ze wskazaniem na CSP.
Niestety w aktualizacji Windows z 14 października 2025, Microsoft zmienił tę strategię i certyfikaty z kart są rejestrowane ze wskazaniem na „nowocześniejszy” standard dostawcy usług kryptograficznych, czyli KSP.
W zasadzie strategię tę Microsoft zmienił już w 2024 roku (w ramach reakcji na pewne podatności bezpieczeństwa związane z używaniem CSP API), ale przejściowo ustawiał w/w flagę w rejestrze w sposób powodujący de facto kontynuację poprzedniej strategii i dający Administratorom możliwość kontrolowanego przełączenia Windows na rejestrację usługodawcy standardu KSP bacznie obserwując ewentualne problemy z używanymi aplikacjami korzystającymi z kryptografii.
W ramach Windows Update z 14 października 2025 Windows przestawił tę flagę na zapowiadany i zalecany standard rejestracji certyfikatów z kart elektronicznych w trybie powiązania ich z dostawcą usług kryptograficznych typu KSP.
Spowodowało to masowe problemy starszych aplikacji (np. Płatnik), które zbudowane są w oparciu o stary standard CryptoAPI i korzystają z dostawców usług kryptograficznych typu CSP. Aplikacje takie, przeglądając Magazyn Certyfikatów Windows, widzą co prawda certyfikaty tam zaimportowane, ale je pomijają, gdyż certyfikaty te obecnie są skojarzone z dostawcą usług kryptograficznych KSP, czyli standardu API, którego te aplikacje nie obsługują (mowa o starszych aplikacjach zbudowanych z wykorzystaniem CryptoAPI).
Decyzja Microsoft jest nieco kontrowersyjna, gdyż istniejąca od 20 lat sytuacja rejestrowania certyfikatów w Magazynie Certyfikatów ze wskazaniem na moduł CSP działała również (!) dla nowych aplikacji bazujących na KSP, dzięki istnieniu specjalnego mechanizmu w systemie pozwalającego na logiczne powiązanie modułów KSP i CSP obsługujących ten sam rodzaj kluczy. Niestety mechanizm ten działa tylko „w jedną stronę”: aplikacje oparte o CryptoAPI Next Generation (CNG API) i używające modułów KSP, potrafią skorzystać z certyfikatów zarejestrowanych w Magazynie Certyfikatów ze wskazaniem na starszy moduł CSP, ale Windows nie posiada lustrzanego mechanizmu dla CryptoAPI i starsze aplikacje otrzymując w opisie certyfikatu odesłanie do modułu nowego typu (KSP) odmawiają użycia tak zarejestrowanego certyfikatu.
Zmieniając w sposób w/w flagę w rejestrze systemowym informujemy funkcje systemowe Windows, że wykonując import certyfikatu do Magazynu Certyfikatów powinny rejestrować go ze wskazaniem na CSP, pomimo występowania w systemie alternatywnego (nowszego) usługodawcy KSP również obsługującego tę samą kartę elektroniczną.
Istotną informacją, która powinna spowodować pilne przygotowanie aktualizacji dla różnych aplikacji korzystających z kart do realizacji podpisów elektronicznych, jest informacja Microsoft mówiąca o tym, że w/w klucz w registry sterujący decyzją wyboru typu interfejsu usług kryptograficznych dla świeżo rejestrowanych certyfikatów (CSP vs KSP) przestanie funkcjonować w kwietniu 2026 i od tego czasu domyślnie realizowana będzie strategia rejestrowania certyfikatów w Magazynie Certyfikatów ze wskazaniem na interfejs KSP jeśli tylko taki interfejs będzie dostępny w systemie dla określonej karty elektronicznej. https://www.cryptotech.com.pl/problemy-z-dzialaniem-aplikacji-uzywajacych-kart-w-systemach-windows-10-i-11-po-zainstalowaniu-aktualizacji-systemu-z-14-pazdziernika-2025-kb5066791/
