Diese Seite wird entsprechend des aktuellen Kenntnisstandes stetig erweitert. Wir empfehlen Ihnen diese Seite zu "beobachten", um bei Aktualisierungen informiert zu werden. 



ThemaFragen


AntwortenKommentare
1ECC-TestwocheWarum nutzt man für die RU-Testwoche nicht alternativ die "RU-Dev"?Die RU und die RU-Dev haben die gleiche TSL und damit den gleichen Vertrauensraum. Beide Umgebungen sind daher von der RSA-Abschaltung betroffen. 
2ECC-TestwocheDie RU dient uns unter anderem für Test und Support. Die Abschaltung stellt diesbezüglich ein Risiko für uns dar.Wir verstehen, dass die RU zusätzlich zu dem offiziell von der gematik vorgesehenen Zweck als Testmittel auch anderweitig eingesetzt wird. Allerdings gibt es den gesetzlichen Auftrag, die Verwendung von RSA in der TI zu unterbinden, welchem nachgekommen werden muss. Wir haben Risiken und Beeinträchtigungen Dritter diskutiert und abgewogen und bitten um Verständnis. Die Einschränkungen versuchen wir mit 4 Tagen möglichst kurz zu halten. In den kommenden 16 Monaten werden wir diese Tests regelmäßig wiederholen und das Vorgehen schrittweise sogar noch intensivieren müssen. 
3AllgemeinIch habe keinen Zugriff auf das Service Portal zur RSA / ECC Migration?Bitte melden Sie uns über das gematik Kontaktformular im Fachportal, dass Sie Zugriff auf dieses Anfrageportal benötigen oder melden Sie sich im Teams-Chat.
4ECC-TestwocheGibt es einen Teams-Chat in dem sich Teilnehmer untereinander austauschen können?

Teams-Chat: ECC Testwoche | Herstellerkanal - RSA Abschaltung RU24 | Microsoft Teams

Bitte senden Sie uns eine Anfrage an das Serviceportal mit den Email-Adressen, welche Zugriff auf den Teams-Chat benötigen. 


5ECC-TestwocheWie werde ich über Updates während der Testwoche informiert?Wir werden nützliche Informationen während der Testwoche auf den Confluence Seiten veröffentlichen. Wir empfehlen Ihnen diese Seite zu "beobachten", um bei Aktualisierungen informiert zu werden. 
6ECC-TestwocheMüssen wir auch die Strecke PS→Konnektor bzw. Konnektor→PS in Vorbereitung zur Testwoche anpassen? (Clientsystemauthentisierung mit dem Konnektor und vice versa)Nein, die bestehenden Zertifikate zur Authentisierung auf dieser Strecke bleiben weiterhin funktionsfähig, auch wenn diese RSA-basiert sind.
7JWTWie erzeuge ich eine ECC-Signatur (ECDSA) für die JWT Authentisierung?

Zur Erzeugung einer ECC-Signatur (ECDSA-Signatur) am Konnektor mittels Operation ExternalAuthenticate gehen Sie bitte beim SOAP-Aufruf wie folgt vor:

  • Den Parameter SignatureType  mit urn:bsi:tr:03111:ecdsa  befüllen.
  • Achtung: bei ECC-Signaturen muss die Länge des zu signierenden Binärstrings 256 Bit betragen

Im Rückgabeparameter SignatureObject kann das XML-Attribut dss:SignatureObject/dss:Base64Signature/@Type geprüft werden. Es sollte den Wert urn:bsi:tr:03111:ecdsa  für den Signatur-Typ ECDSA beinhalten.

(warning) Bevor die JWT Challenge-Response an den IDP übermittelt wird, muss für ECDSA-Signaturen die vom Konnektor erhaltene Signatur vom DER- in das Concatenated-Format konvertiert werden. Siehe dazu Troubleshooting-Guide, Zeile 1


8SignaturprüfungWie wird bei Signaturprüfung einer Email, die nach der „RSA-Abschaltung“ sich noch auf dem Server des Fachdienstes befindet und RSA-Signatur enthält, eine OCSP-Prüfung durchgeführt?
  • QES:
    • Bei QES-Signaturen wird zwangsläufig eine OCSP-Prüfung durchgeführt.
      • Diese Prüfung kann anhand einer eingeholten oder eingebetteten OCSP-Response erfolgen.
    • Nach "RSA-Abschaltung" wird eine vor "RSA-Abschaltung" erstellte RSA-Signatur weiterhin vom Konnektor als VALID bewertet. Es wird jedoch im Verification Report des Prüfergebnisses SIG:VerifyDocumentResponse/SIG:OptionalOutputs/vr:VerificationReport/vr:IndividualReport/dss:Result/dss:ResultMessage="veraltete Signatur mit vermindertem Beweiswert" zurückgemeldet.
      • Die Endanwendung muss eigenständig dafür sorgen, dass eine Maßnahme zur Beweiswerterhaltung einer QES-Signatur durchgeführt wird.
      • Ob und wie genau die Beweiswerterhaltung im konkreten Anwendungsfall (z.B. Arztbrief) erfolgt, sollte das Gremium entscheiden, welches die Versorgung der jeweiligen Anwendung zu verantworten hat.
  • nonQES
    • Bei nonQES-Signaturen wird nicht immer eine OCSP-Response eingeholt.
    • Die OCSP-Prüfung bei nonQES-Signaturen erfolgt nach "RSA-Abschaltung" analog zu QES-Signaturprüfung und endet mit identischem Ergebnis im Verification Report wie oben beschrieben.
    • NonQES-Signaturen sind eher kurzlebig im Vergleich zu QES-Signaturen.
      • Es gibt keine Vorgaben zur Beweiswerterhaltung einer nonQES-Signatur.

9EntschlüsselungFührt der Konnektor beim Entschlüsseln einer Email, die nach der „RSA-Abschaltung“ sich noch auf dem Server des Fachdienstes befindet und mit Hilfe von RSA verschlüsselt ist, eine Zertifikatsprüfung durch?

Die Entschlüsselung im Konnektor erfolgt mit Hilfe eines privaten Schlüssels. Hier ist keine Zertifikatsprüfung vorgesehen.


  • No labels
Write a comment…

© gematik GmbH 2025