Einladung zur Testphase: Auswirkungen der testweisen Ab-/Einschaltung von RSA in der Referenzumgebung (RU)

Liebe TI-Teilnehmer und liebe Hersteller,

wir möchten Sie über ein wichtiges Vorhaben informieren, das für die Sicherheit und Zukunftsfähigkeit der Telematikinfrastruktur von großer Bedeutung ist.  Im Rahmen einer Testphase vom 09.09.24 bis 13.09.24 untersuchen wir die Auswirkungen der testweisen Ab-/Einschaltung des RSA-Algorithmus in der Referenzumgebung (RU). Diese Maßnahme soll dazu dienen, Risiken und Herausforderungen zu identifizieren sowie sicherzustellen, dass die Ab- und Einschaltung ordnungsgemäß erfolgen kann.


Warum machen wir das? Die Zeit läuft, und es ist unerlässlich, dass wir die Auswirkungen der Abschaltung von RSA rechtzeitig testen. Dies gibt uns die Möglichkeit, auf zukünftige Szenarien vorbereitet zu sein, in denen RSA nicht mehr verwendet werden kann. Durch diese Tests können wir potenzielle Schwachstellen in den Produkten, Anwendungen und Komponenten der TI frühzeitig identifizieren und so die Sicherheit und Zukunftsfähigkeit der TI gewährleisten.

Ihre Chance: Für Sie als Hersteller bietet diese Testphase die Gelegenheit, zu überprüfen, ob Ihre Produkte bereits RSA-unabhängig und zukunftssicher sind. Die Teilnahme an diesen Tests ist ein wichtiger Schritt, um sicherzustellen, dass Ihre Produkte auch in Zukunft reibungslos funktionieren und den geltenden Sicherheitsanforderungen entsprechen.

Aufruf zum Test: Wir laden Sie herzlich ein, aktiv an dieser Testphase teilzunehmen. Nutzen Sie die Gelegenheit, um die Robustheit Ihrer Produkte zu überprüfen. Sollte es zu Ausfällen kommen, können Sie diese per Change-Prozess beheben und wertvolle Erkenntnisse für die Weiterentwicklung Ihrer Systeme gewinnen. Ein Change-Freeze ist während der Testphase nicht vorgesehen, sodass Anpassungen problemlos möglich sind.

Für Rückfragen und weitere Informationen stehen Ihnen unser Service-Portal zur Verfügung.

Wir freuen uns auf Ihre aktive Teilnahme und Ihre Unterstützung bei der Sicherstellung einer zukunftssicheren Telematikinfrastruktur! Detailliertere Informationen zum Vorhaben werden noch in den kommenden Wochen folgen.

Mit freundlichen Grüßen,

Ihre gematik

Detaillierte Informationen zur Abschaltung und Wiedereinschaltung von RSA in RU vom 09.09.2024 bis 13.09.2024

Liebe TI-Teilnehmer und Hersteller,

wir möchten Ihnen weitere Details zur bevorstehenden ECC-Testwoche mitteilen. Diese Testwoche bietet eine einzigartige Gelegenheit, Schwachstellen zu erkennen und sicherzustellen, dass Ihre Systeme hinsichtlich ECC zukunftssicher sind.

Ziel der ECC-Testwoche

Während der ECC-Testwoche wird ein Setup geschaffen, bei dem Anwendungsfälle in Fehler laufen, wenn irgendwo noch RSA-Schlüssel verwendet werden. Dies ermöglicht es jedem Teilnehmer und jeder Teilnehmerin, selbst herauszufinden, wo noch alte oder nicht mehr unterstützte Komponenten im Einsatz sind. Beispiele hierfür könnten veraltete Testkarten, Kartenterminals oder Konnektoren sein, die nicht die richtigen TLS-Cipher unterstützen oder mit veralteten Parametern arbeiten.

Zeitplan und Änderungen

Nr. DatumUhrzeitKomponenteAktivitätDurch wen

Status

[ NOCH NICHT GESTARTET |

WIP/ON-TRACK |

FERTIG |

PROBLEM/VERZUG/BLOCKER ]

Bemerkung / Detail 

1

Mo.  


08:00 - 08:50

VZD-LDAPSicherung des LDAP-Inhaltsarvato

FERTIG

  • Autom. Sicherung am Sonntag, 08.09.24 09:00
  • Zusätzliche manuelle Sicherung am Montag

seit 08:40Uhr erledigt

2

Mo.  

09:00TSL-DienstAlle RSA-Sub-CAs werden von den Internet-Downloadpunkten entfernt.arvato

FERTIG

ist für 09:00Uhr beauftragt
seit ca. 09:30Uhr erledigt

3

Mo.  

09:00TSL-DienstVeröffentlichung einer Ad-hoc-ECC-TSL ohne RSA-CAs.gematik

FERTIG

erfolgt zu 09:00Uhr
seit 08:47Uhr veröffentlicht

4

Mo.  

09:00TSL-DienstDer Downloadpunkt der RSA-TSL wird deaktiviert.arvato

FERTIG

ist für 09:00Uhr beauftragt
seit ca. 09:15Uhr erledigt

5

Mo.  

09:15VZD-LDAP/FHIRDeaktivierung der Synchronisation nach FHIRarvato

FERTIG

seit 08:35Uhr erledigt

6

Mo.  

09:30 - 11:00VZD-LDAPDie RSA-Zertifikate werden aus dem LDAP-Verzeichnisdienst (VZD) entfernt.arvato

FERTIG

  • Erst nach Aktivität Nr. 3 "Veröffentlichung einer Ad-hoc-ECC-TSL"
  • LDAP-Einträge ohne verbleibende Zertifikate werden autom. aus den Views entfernt
  • Wenn die autom. Entfernung nicht funktioniert (Zeitfenster zur Beobachtung bis 11:00Uhr), dann manuelle Entfernung durch arvato 
  • LDAP-Einträge ohne Zertifikate werden durch den BackgroundService abends deaktiviert

seit ca. 10:15Uhr erledigt

7

Mo.  

11:00VZD-LDAP

Interne Kommunikation von RSA auf ECC umstellen

arvato

FERTIG

ECC-Zertifikat wird benötigt
seit 08:35Uhr erledigt

8

Mo. bis Do.  

TBDalleTestdurchführung durch RU-Nutzer.alle RU-Nutzer

FERTIG

Die RU ist zu diesem Zeitpunkt für die Testdurchführung mit abgeschaltetem RSA vorbereitet. Es kann ab diesem Zeitpunkt entsprechend getestet werden.

Teststart 11:10 Uhr

9

Do.  

12:00TSL-DienstVeröffentlichung einer neuen Ad-hoc-ECC-TSL, die den Zustand vor der Testwoche wiederherstellt.gematik

FERTIG

erfolgt zu 12:00Uhr
seit 12:01Uhr erledigt

10

Do.  

12:00TSL-DienstDer Downloadpunkt der RSA-TSL in der RU wird nicht  wieder aktiviert.arvato

FERTIG

ist für 12:00Uhr beauftragt
seit 12:01Uhr erledigt

11

Do.  

ca. 12:15VZD-LDAPDie RSA-Zertifikate werden über ein Backup wieder in den LDAP-VZD integriert.arvato

FERTIG

seit 13:45Uhr erledigt

12

Do.  

15:00 - 17:00VZD-LDAP/FHIRAktivierung der Synchronisation nach FHIRarvato

FERTIG

seit 13:45Uhr erledigt

13

Fr.  

7:30-8:00BDEUmstellung auf Dual-Modus RSA/ECCgematik

ABBRUCH

Mehrere BDE-Lieferanten unterstützen weder Dual-Mode RSA-ECC-BP noch RSA-ECC-NIST. Fallback auf RSA-only (wie vor der ECC-Testwoche.


Bekannte Einschränkungen

Bitte beachten Sie, dass während der ECC-Testwoche bestimmte Setups möglicherweise nicht funktionieren. Insbesondere:

  • Einige Konnektoren und Clientmodule können während dieser Woche Probleme bereiten. Weitere Informationen zu den bekannten Problemen und Workarounds finden Sie hier: Link zu Problemen, Known-Errors und Workarounds.
  • RSA-Signaturen werden in dieser Woche nicht validiert, obwohl sie bei der Migration in der Produktivumgebung weiterhin validierbar bleiben.

Serviceportal für Fragen und Testergebnisse

Wir haben ein spezielles Serviceportal eingerichtet, um Ihnen während der ECC-Testwoche bestmögliche Unterstützung zu bieten. Für Fragen, Hinweise, Probleme und die Einreichung Ihrer Testergebnisse steht Ihnen dieses Portal jederzeit zur Verfügung. Unser Team wird regelmäßig die eingehenden Tickets prüfen und bearbeiten.

Während der Testdurchführung wird ein dediziertes Team in einem hierfür eingerichteten Lagezentrum die Situation in der TI überwachen. Das Team verfolgt die Dashboards zur Lageeinschätzung und bearbeitet eingehende Tickets in Echtzeit, um mögliche Probleme schnellstmöglich zu lösen.


Weitere Informationen

Für eine umfassende Übersicht über das Vorhaben, den genauen Ablauf und die relevanten technischen Details besuchen Sie bitte die folgende Seite: Alle Informationen zur ECC-Testwoche.


Diese Testwoche ist eine wichtige Maßnahme, um die Sicherheit und Kompatibilität Ihrer Systeme sicherzustellen. Wir empfehlen Ihnen dringend, aktiv an den Tests teilzunehmen, um mögliche Probleme frühzeitig zu erkennen und zu beheben.

Wir danken Ihnen im Voraus für Ihre Unterstützung und Ihre aktive Teilnahme.


Confluence mit Information zur RSA Abschaltung in RU: Alle Informationen zur ECC-Testwoche.

Link zum Service-Portal: https://service.gematik.de/servicedesk/customer/portal/22

Link zum Teams Kanal steht während der Testwoche dauerhaft zur Verfügung ECC Testwoche | Herstellerkanal - RSA Abschaltung RU24 | Microsoft Teams 

Bitte senden Sie uns eine Anfrage an das Serviceportal mit den Email-Adressen, welche Zugriff auf den Teams-Chat benötigen. 



allgemeiner Zeitplan der ECC Migration


Hintergrund: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2018 mit der Veröffentlichung der Technischen Richtlinie TR-03116-1 festgelegt, dass der RSA-Algorithmus bis Ende 2024+ in der TI verwendet werden kann. Eine aktuellere Version dieser Richtlinie steht derzeit noch aus. Zusätzlich wurde im [SOG-IS-2020] spezifiziert, dass die Verwendung von RSA mit einer Schlüssellänge zwischen 1900 und 3000 Bits spätestens bis zum 31. Dezember 2025 zulässig ist. Dies betrifft insbesondere Komponenten wie Konnektoren und die ePA-Version 2.5. Dieser Stichtag wurde bereits mit den Gesellschaftern abgestimmt.

  • No labels