Einladung zur Testphase: Auswirkungen der testweisen Ab-/Einschaltung von RSA in der Referenzumgebung (RU)
Liebe TI-Teilnehmer und liebe Hersteller,
wir möchten Sie über ein wichtiges Vorhaben informieren, das für die Sicherheit und Zukunftsfähigkeit der Telematikinfrastruktur von großer Bedeutung ist. Im Rahmen einer Testphase vom 09.09.24 bis 13.09.24 untersuchen wir die Auswirkungen der testweisen Ab-/Einschaltung des RSA-Algorithmus in der Referenzumgebung (RU). Diese Maßnahme soll dazu dienen, Risiken und Herausforderungen zu identifizieren sowie sicherzustellen, dass die Ab- und Einschaltung ordnungsgemäß erfolgen kann.
Detaillierte Informationen zur Abschaltung und Wiedereinschaltung von RSA in RU vom 09.09.2024 bis 13.09.2024
Liebe TI-Teilnehmer und Hersteller,
wir möchten Ihnen weitere Details zur bevorstehenden ECC-Testwoche mitteilen. Diese Testwoche bietet eine einzigartige Gelegenheit, Schwachstellen zu erkennen und sicherzustellen, dass Ihre Systeme hinsichtlich ECC zukunftssicher sind.
Ziel der ECC-Testwoche
Während der ECC-Testwoche wird ein Setup geschaffen, bei dem Anwendungsfälle in Fehler laufen, wenn irgendwo noch RSA-Schlüssel verwendet werden. Dies ermöglicht es jedem Teilnehmer und jeder Teilnehmerin, selbst herauszufinden, wo noch alte oder nicht mehr unterstützte Komponenten im Einsatz sind. Beispiele hierfür könnten veraltete Testkarten, Kartenterminals oder Konnektoren sein, die nicht die richtigen TLS-Cipher unterstützen oder mit veralteten Parametern arbeiten.
Zeitplan und Änderungen
Status [ NOCH NICHT GESTARTET | WIP/ON-TRACK | FERTIG | PROBLEM/VERZUG/BLOCKER ] Bemerkung / Detail 1 Mo. 08:00 - 08:50 FERTIG seit 08:40Uhr erledigt 2 Mo. FERTIG 3 Mo. FERTIG 4 Mo. FERTIG 5 Mo. FERTIG seit 08:35Uhr erledigt 6 Mo. FERTIG seit ca. 10:15Uhr erledigt 7 Mo. Interne Kommunikation von RSA auf ECC umstellen FERTIG ECC-Zertifikat wird benötigt 8 Mo. bis Do. FERTIG Die RU ist zu diesem Zeitpunkt für die Testdurchführung mit abgeschaltetem RSA vorbereitet. Es kann ab diesem Zeitpunkt entsprechend getestet werden. Teststart 11:10 Uhr 9 Do. FERTIG 10 Do. FERTIG 11 Do. FERTIG 12 Do. FERTIG 13 Fr. ABBRUCHNr. Datum Uhrzeit Komponente Aktivität Durch wen VZD-LDAP Sicherung des LDAP-Inhalts arvato 09:00 TSL-Dienst Alle RSA-Sub-CAs werden von den Internet-Downloadpunkten entfernt. arvato ist für 09:00Uhr beauftragt
seit ca. 09:30Uhr erledigt09:00 TSL-Dienst Veröffentlichung einer Ad-hoc-ECC-TSL ohne RSA-CAs. gematik erfolgt zu 09:00Uhr
seit 08:47Uhr veröffentlicht09:00 TSL-Dienst Der Downloadpunkt der RSA-TSL wird deaktiviert. arvato ist für 09:00Uhr beauftragt
seit ca. 09:15Uhr erledigt09:15 VZD-LDAP/FHIR Deaktivierung der Synchronisation nach FHIR arvato 09:30 - 11:00 VZD-LDAP Die RSA-Zertifikate werden aus dem LDAP-Verzeichnisdienst (VZD) entfernt. arvato 11:00 VZD-LDAP arvato
seit 08:35Uhr erledigtTBD alle Testdurchführung durch RU-Nutzer. alle RU-Nutzer 12:00 TSL-Dienst Veröffentlichung einer neuen Ad-hoc-ECC-TSL, die den Zustand vor der Testwoche wiederherstellt. gematik erfolgt zu 12:00Uhr
seit 12:01Uhr erledigt12:00 TSL-Dienst Der Downloadpunkt der RSA-TSL in der RU wird nicht wieder aktiviert. arvato ist für 12:00Uhr beauftragt
seit 12:01Uhr erledigtca. 12:15 VZD-LDAP Die RSA-Zertifikate werden über ein Backup wieder in den LDAP-VZD integriert. arvato seit 13:45Uhr erledigt 15:00 - 17:00 VZD-LDAP/FHIR Aktivierung der Synchronisation nach FHIR arvato seit 13:45Uhr erledigt 7:30-8:00 BDE Umstellung auf Dual-Modus RSA/ECC gematik Mehrere BDE-Lieferanten unterstützen weder Dual-Mode RSA-ECC-BP noch RSA-ECC-NIST. Fallback auf RSA-only (wie vor der ECC-Testwoche.
Bekannte Einschränkungen
Bitte beachten Sie, dass während der ECC-Testwoche bestimmte Setups möglicherweise nicht funktionieren. Insbesondere:
- Einige Konnektoren und Clientmodule können während dieser Woche Probleme bereiten. Weitere Informationen zu den bekannten Problemen und Workarounds finden Sie hier: Link zu Problemen, Known-Errors und Workarounds.
- RSA-Signaturen werden in dieser Woche nicht validiert, obwohl sie bei der Migration in der Produktivumgebung weiterhin validierbar bleiben.
Serviceportal für Fragen und Testergebnisse
Wir haben ein spezielles Serviceportal eingerichtet, um Ihnen während der ECC-Testwoche bestmögliche Unterstützung zu bieten. Für Fragen, Hinweise, Probleme und die Einreichung Ihrer Testergebnisse steht Ihnen dieses Portal jederzeit zur Verfügung. Unser Team wird regelmäßig die eingehenden Tickets prüfen und bearbeiten.
Während der Testdurchführung wird ein dediziertes Team in einem hierfür eingerichteten Lagezentrum die Situation in der TI überwachen. Das Team verfolgt die Dashboards zur Lageeinschätzung und bearbeitet eingehende Tickets in Echtzeit, um mögliche Probleme schnellstmöglich zu lösen.
Weitere Informationen
Für eine umfassende Übersicht über das Vorhaben, den genauen Ablauf und die relevanten technischen Details besuchen Sie bitte die folgende Seite: Alle Informationen zur ECC-Testwoche.
Diese Testwoche ist eine wichtige Maßnahme, um die Sicherheit und Kompatibilität Ihrer Systeme sicherzustellen. Wir empfehlen Ihnen dringend, aktiv an den Tests teilzunehmen, um mögliche Probleme frühzeitig zu erkennen und zu beheben.
Wir danken Ihnen im Voraus für Ihre Unterstützung und Ihre aktive Teilnahme.
Confluence mit Information zur RSA Abschaltung in RU: Alle Informationen zur ECC-Testwoche.
Link zum Service-Portal: https://service.gematik.de/servicedesk/customer/portal/22
Link zum Teams Kanal steht während der Testwoche dauerhaft zur Verfügung ECC Testwoche | Herstellerkanal - RSA Abschaltung RU24 | Microsoft Teams
Bitte senden Sie uns eine Anfrage an das Serviceportal mit den Email-Adressen, welche Zugriff auf den Teams-Chat benötigen.
allgemeiner Zeitplan der ECC Migration
Hintergrund: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2018 mit der Veröffentlichung der Technischen Richtlinie TR-03116-1 festgelegt, dass der RSA-Algorithmus bis Ende 2024+ in der TI verwendet werden kann. Eine aktuellere Version dieser Richtlinie steht derzeit noch aus. Zusätzlich wurde im [SOG-IS-2020] spezifiziert, dass die Verwendung von RSA mit einer Schlüssellänge zwischen 1900 und 3000 Bits spätestens bis zum 31. Dezember 2025 zulässig ist. Dies betrifft insbesondere Komponenten wie Konnektoren und die ePA-Version 2.5. Dieser Stichtag wurde bereits mit den Gesellschaftern abgestimmt.