Mit den nachfolgenden Checklisten wollen wir Ihnen eine Möglichkeit zur Überprüfung der ECC preferred Fähigkeit Ihrer Software mitgeben. Die Checklisten werden unterteilt in Implementierung & Testvorbereitung, Testdurchführung und Auswertung. Wir empfehlen Ihnen, alle Punkte durchzugehen und zu prüfen.

Checkliste zur Vorbereitung der Lokalen Infrastruktur

Dezentrale Komponenten

Dezentrale Komponenten der TI sind beim Endnutzer verortet. Für die RU sind Endnutzer die RU-Nutzer. Die Betriebsverantwortung für dezentrale Komponenten liegt bei den RU-Nutzern. D.h. es obliegt dem RU-Nutzer, die dezentralen Komponenten, welcher er für seinen Zugang zur TI benötigt zu beschaffen, zu konfigurieren und zu warten.

Aus diesem Grund hier die Checkliste mit den Items, welche geprüft werden sollten, um auf die RSA-Abschaltung während der RU-ECC-Testwoche vorbereitet zu sein:

KomponentePrüfpunktAuswertungAnpassungsbedarfggf. Bemerkung
Kartenterminals (für jedes KT in Benutzung)ist im KT eine G2.0 gSMC-KT (Karte ohne ECC Material) gesteckt?falls jabestelle neue gSMC-KT und tausche die Karte gem. Herstellervorgaben
falls nein-keiner-
Konnektoren (für jeden Konnektor in Benutzung)ist der Konnektor ein singlepersonalisierter Einboxkonnektor (EBK) ohne ECC Material auf der gSMC-K?falls ja

Option 1: bestelle neuen Konnektor und nimm diesen durch Konfigurationsexport aus dem alten Konnektor und -import in den neuen in Betrieb.

Option 2: organisiere einen TI-Gateway Zugang zu einem Highspeed-Konnektor (HSK) und nutze den HSK anstatt des alten Einboxkonnektor.


falls nein-keiner-
ist der Konnektor ein Einboxkonnektor (EBK) der Firma CGM?falls ja

prüfe im Konnektorlog/Managementinterface: Ist Fehler "EC_CRL_Out_Of_Date" noch aktiv oder "EC_CRL_Expiring" als WARNING aktiv oder "Signaturprüfung der CRL fehlgeschlagen: Fehlercode 4130" nach TUC_KON_040 geworfen?


Fix gem.  https://wiki.gematik.de/x/c9e5J umsetzen


falls nein-keiner-
ist der Konnektor ein Einboxkonnektor (EBK) der Firma RISE?falls ja

RISE hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden muss, um zu ermöglichen, dass der Konnektor die Verbindung in die TI behält. Folgendes muss umgesetzt werden:

Vor/während der Testwoche - Manuelle Installation der Vorabversion:

  1. Download* FW Image für ECC-fähige Vorabversion: RISE_EBK_v6.0.6_Vorabversion_gefixt

  2. Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist
  3. Installiere manuell die ECC-fähige Vorabversion
  4. Starte den Konnektor neu
  5. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
  6. fertig


Nach der Testwoche - ggf. Rück-Installation zur zugelassenen PU-Version:

Variante 1 - Autoupdate (Falls vor der Testwoche Autoupdate aktiviert war):

  1. Aktiviere die Autoupdate Funktionalität des Konnektors
  2. Stoße die Durchführung des Autoupdate manuell an oder warte bis zu 1 Tag.
  3. Stelle durch Prüfung im Management-UI fest, ob die FW Version 5.1.18 oder höher installiert ist.
  4. fertig


Variante 2 - Manuelles Update (Falls vor der Testwoche Autoupdate NICHT aktiviert war):

  1. Download* FW Image für die zugelassene, jedoch nicht-ECC-fähige Version: RISE_EBK_v5.18.0_PU-Version_zugelassen

  2. Installiere manuell die zugelassene Version
  3. Starte den Konnektor neu
  4. Stelle durch Prüfung im Management-UI sicher, ob die FW Version  5.1.18 tatsächlich installiert ist.
  5. fertig


*: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten.

Die Rück-Installation nach der Testwoche ist nicht zwingend erforderlich. Wenn nicht dediziert PTV5 Funktionalität der 5.18.0 der RISE Konnektoren erforderlich ist, dann kann die Vorabversion auch gerne außerhalb der Testwochen weiterbetrieben werden
falls nein-keiner-
ist der Konnektor ein Einboxkonnektor (EBK) der Firma Secunet?falls ja

prüfe den derzeitigen Registrierungsstatus des Konnektor am VPN-ZugD.

falls derzeit mit RSA registriert:


falls nein-keiner-
Karten (für jede Karte/Testkarte in Benutzung)eGK: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe Troubleshooting Maßnahmen, Zeile 6


falls nein-keiner-
HBA: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe Troubleshooting Maßnahmen, Zeile 6


falls nein-keiner-
SMC-B: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe Troubleshooting Maßnahmen, Zeile 6


falls nein-keiner-
KIM-Clientmodule und KIM-integrierte Clientmodule (für jedes Clientmodul in Benutzung)Prüfe die Produkttypversion und Hersteller des installierten KIM-Clientmodulsfalls das KIM-Clientmodul mit PTV1.0:

Update auf PTV 1.5.x


falls KIM-CM mit PTV1.5.2 von TSI oder CGM:

Option 1: Hersteller Kontaktieren und Fix Version beschaffen/installieren

Option 2: KIM-CM von einem anderen Hersteller beziehen


Prüfe im Managementinterface des KIM-Clientmodul den Status der Registrierung des Moduls am KIM-Fachdienstfalls die existierende Registrierung RSA-basiert ist:

führe eine Re-Registrierung des Clientmoduls mit ECC am Fachdienst durch (Verfahren ist Herstellerspezifisch, daher bitte an Hersteller/Betriebsanleitung wenden)




Primärsysteme

  • neue Versionen der Implementierungsleitfäden lesen und entsprechend den Vorgaben implementieren: https://gemspec.gematik.de/docs/gemILF/

  • notwendige Änderungen im Quellcode des Primärsystems

    • Bitte prüfen Sie, ob Sie den optionalen Parameter "crypt" bei den SignDocument und EncryptDocument Aufrufen auf RSA setzen. Wenn ja, dann können Sie den Parameter komplett weglassen, er wird ab PTV6 nicht mehr ausgewertet. Um herauszufinden ob RSA oder ECC verwendet wurde, kann die Operation ReadCardCertificate verwendet werden:
      • "ReadCardCertificate" gibt das Zertifikat zurück, mit dem der Konnektor signieren / verschlüsseln würde 
    • zu verwendende ECC Kurven bei Clientsystemauthentisierung (Brainpool und NIST, siehe gemSpec_Krypt) 
  • keine Änderungen sind notwendig
    • bei Aufruf von ExternalAuthenticate am Konnektor
  • empfohlenes Testsetup zur Testdurchführung
    • Konnektoren: Nutzung der neuesten PTV6 Konnektorversion
    • Karten: G2.1 Karten verwenden, diese besitzen RSA und ECC Zertifikate

Checkliste Testdurchführung ECC preferred

Checkliste Auswertung ECC preferred

  • No labels

8 Comments

  1. Benjamin Neidhold

    in der Tabelle "Dezentrale Komponenten" sind Einträge doppelt → z.B. erste und 3. Zeile. bitte bereinigen

    1. Hattenbach, Sven

      erledigt. Stimmst Du zu? Benjamin Neidhold 

  2. Michael, Stefan

    Wer prüft die eingehenden Tickets in Anfragen zur RSA / ECC Migration ? Wo schlagen die genau auf? Danke :)

    1. Bodemer, Jennifer

      Michael, Stefan Die eingehenden Tickets schlagen in unserem RSA2ECC_Serviceportal https://service.gematik.de/servicedesk/customer/portal/22 auf und werden dort dementsprechend zugewiesen. Beste Grüße Jenni

  3. Marschner, René

    Der Link "ECC-Funktionalität" funktioniert nicht.

  4. Benjamin Kim

    Wenn ich mich richtig erinnere, hatte ich eine Frage im E-Rezept-Sprechstunden-Chat gestellt (wieder kein Zugriff), ob und wenn ja wie man per API prüfen kann, welche gSMC-KT-Generation in einem Kartenterminal gesteckt ist. Ist das inzwischen beantwortet?

    1. Münz, Erik

      Man könnte die Konnektor-Operation CheckCertificateExpiration nutzen.

      Wenn man dort den Parameter Crypt=ECC, das CardHandle für eine gSMC-KT angibt, und eine 200 Response bekommt, dann kann man davon ausgehen, dass die Karte eine G2.1 Karte ist. Wenn aber stattdessen der Fehler 4258 "ECC-Zertifikate nicht vorhanden auf Karte: <cardHandle>" kommt, dann handelt es sich um eine G2.0 Karte.

      1. You are not logged in. Any changes you make will be marked as anonymous. You may want to Log In if you already have an account.
         

  5. Hoge, Jakob

    Eine Rückinstallation müsste auch über ein Downgrade unter Updates beim Rise Konnektor möglich sein.  Dort gibt es jedenfalls in der RU die 5.1.18 per Download ( nur als Idee )

© gematik GmbH 2025