Umfang der ECC-Funktionalität aus Sicht der Primärsysteme

Die folgenden Tabellen enthalten die relevanten Use Cases und Funktionalitäten, welche geprüft und getestet werden müssen.

Übersicht der relevanten Use Cases

In den Tabellen werden folgende Abkürzungen für beteiligte Produkte verwendet:

  • Primärsystem (PS)

  • Praxisverwaltungssystem (PVS)
  • Apothekenverwaltungssystem (AVS)

  • Konnektor (KON)

  • Kartenterminal (KT)

  • Aktensystem (AS)

  • KIM Clientmodul (CM)
  • Fachdienst VSDM (FD VSDM)
  • Intermediär VSDM (IMV)
  • Versichertenkarte (eGK)

ePA 3 (ePA für alle) Use Cases

Use Case Name

Quellen:

gemILF_PS_ePA, ab Version 3.0.0

Was sollten PS Hersteller tun

beteiligte Produkte

woran ist für den PS Hersteller zu erkennen, dass Use Case mit ECC erfolgreich war

Aufbau einer User Session beim Aktensystem (IDP-Flow) mit einer SMC-B G2.1;

  • Nonce signieren als ECDSA-Signatur mit external Authenticate

  • Challenge signieren als ECDSA-Signatur mit external Authenticate
  • ReadCardCertificate Parameter Crypt auf ECC gesetzt 
PS, KON, KT, Karte, AS

Die Authentisierung beim IDP ist erfolgreich. Im ReadCardCertificate wurde das ECC-Zertifikat ausgelesen. 

Einstellen einer Befugnis im Behandlungskontext

  • Prüfziffer als JWS signieren als ECDSA-Signatur mit ExternalAuthenticate
PS, KON, KT, Karte, AS Die Befugnis wurde erfolgreich beim AS eingestellt.

KIM Use Cases

Use Case Name

Quellen: 

gemSpec_CM_KOMLE, ab Version 1.1.19

Was sollten PS Hersteller tunbeteiligte Produkteworan ist für den PS Hersteller zu erkennen, dass Use Case mit ECC erfolgreich war

KIM Payload (eAU, EBZ, eArztbrief) mit Konnektor QES signieren / verifizieren

  • "crypt" Parameter wird nicht mehr ausgewertet
  • Defaultwerte ändern sich von RSA zu ECC
PS, CM, KON, KT, Karte, Das Payload Dokument konnte erfolgreich signiert (keine Fehlermeldungen) und dann auch wieder verifiziert werden (im Idealfall auch von einem anderen Konnektorhersteller)

KIM Payload (eAU, EBZ, eArztbrief) mit Konnektor verschlüsseln / entschlüsseln

  • "crypt" Parameter wird nicht mehr ausgewertet
  • Defaultwerte ändern sich von RSA zu ECC
PS, CM, KON, KT, Kartesiehe Eintrag "verschlüsseln / entschlüsseln" im Abschnitt 

"übergreifende Funktionalitäten"

Transportsicherung zwischen Clientsystem und Clientmodul

Gemäß gemSpec_CM_KOMLE Kapitel 4.1.2 "Transportsicherung zwischen Clientsystem und Clientmodul" muss die Kommunikation zwischen Clientsystem und Clientmodul geschützt werden. Im Rahmen des TLS Verbindungsaufbau (sowohl SMTP als auch POP3) präsentiert das KIM Clientmodul Zertifikatsmaterial welches maßgebend für den jeweiligen Verbindungsaufbau ist. Bisher handeltes sich an dieser Stelle um ein "RSA-Zertifikat". Mit der Migration in Richtung ECC wird dies dann zur ausschließlichen Nutzung von ECC Schlüsselmaterial führen - was bedeutet, dass die im Feld befindlichen Clientsysteme (PVS + Mailclient) diesen Wechsel des Schlüsselmaterials unterstützen müssen.

Die Anleitung des Schlüsselwechsels ist beim jeweiligen KIM Clientmodul Hersteller zu erfragen.

PS, CM


eRezept Use Cases

Use Case Name

Quellen:

gemILF_PS, ab Version 2.23.0

gemILF_PS_eRp

Was sollten PS Hersteller tunbeteiligte Produkteworan ist für den PS Hersteller zu erkennen, dass Use Case mit ECC erfolgreich war

TLS Verbindungsaufbau (die Webschnittstelle bietet nur ein ECC Internet Zertifikat an)


PS, eRp-FD

FdV, eRp-FD


IdP Token mit SMC-B -> mit richtigem Zertifikat (ECC)

gemILF_PS_eRp

Kapitel 5.1.4.2 Abruf von Token beim IDP Dienst

ExternalAuthenticate, ReadCardCertificate aus gemSpec_KON und gem_ILF_PS


PS, KON, KT, Karte,Authentisierung beim IdP erfolgreich. Im ReadCardCertificate wurde das ECC-Zertifikat ausgelesen.
Verordnungsdatensatz mit ECC signieren
PVS, KON, KT, HBA, eRp-FDRequest wird vom E-Rezept-Fachdienst akzeptiert. es gibt keine Fehlermeldung 
Abgabedatensatz mit ECC signieren
AVS, KON, KT, SMC-B/HBARequest wird vom E-Rezept-Fachdienst akzeptiert. es gibt keine Fehlermeldung

Alternative Zuweisung - E-Rezept Daten entschlüsseln (Optional)


AVS, KON, SMC-BEntschlüsselung im AVS hat funktioniert

VSDM Use Cases

Use Case NameWas sollten PS Hersteller tunbeteiligte Produkteworan ist für den PS Hersteller zu erkennen, dass Use Case mit ECC erfolgreich war

VSDM

TLS Nutzung, ReadVSD Operation durchführenPS, KON, IMV, FD VSDMReadVSD Operation ist erfolgreich

VSDM - Read eGK

(Privatversicherte/Beamte),

Read eGK Operation durchführenPS, KON, KT, eGKReadeGK Operation ist erfolgreich

übergreifende Funktionalitäten (Konnektor, Kartenterminal, Karten, IdP)

Use Case Name

Quellen:

gemILF_PS, ab Version 2.23.0

gemSpec_Kon

Was sollten PS Hersteller tunbeteiligte Produkteworan ist für den PS Hersteller zu erkennen, dass der Use Case mit ECC erfolgreich war

Interface-Änderungen am Konnektor PTV6

die neuen Schnittstellen von PTV6 unterstützen

PS, KON

TLS Verbindung zum Konnektor

Der Konnektor kann so konfiguriert werden, dass er eine TLS Verbindung zum Primärsystem herstellt. Dies ist für die Nutzung der Komfortsignatur oder des TI-Gateways verpflichtend. Im Test sollte geprüft werden, ob der Konnektor die TLS Verbindung mit ECC NIST Zertifikaten aufbauen kann. Dabei kann man sowohl Brainpool als auch NIST Zertifikate verwenden, sich Zertifikate vom Konnektor generieren lassen oder extern erstellte nutzen. PS, KON, KT, Karte

Zur Überprüfung der genutzten Zertifikate kann der TLS Handshake mit Wireshark ausgewertet werden. 

Im Management Interface des Konnektors prüfen, welches Authentisierungsverfahren eingestellt ist (TLS und welcher Algorithmus).

Clientauthentisierung auf ECC NIST Kurven umstellen

Zertifikate mit ECC NIST statt Brainpool-Kurven zu generieren (auch nicht außerhalb des Konnektors).

Hintergrund: viele Browser können nicht  mit ECC Brainpool Kurven umgehen und damit wäre die Konnektor Management UI nicht zugänglich.

PS, KON

Falls implementiert: CA des Konnektorzertifikates prüfen

PS sollte warnen, wenn RSA Zertifikate registriert sind und zur Neugenerierung auffordern.

PS, KON

Re-Registrierung mit ECC am VPN-ZugD

Falls die automatische Re-Registrierung fehlschlägt, muss das PS den Nutzer informieren, dass manuelle Konfigurationen notwendig sind.

gemILF_PS/latest/ Kapitel: 4.1.4.3

PS, KON, Karte, VPN-Zugangsdienst

signieren / verifizieren


  • "crypt" Parameter wird nicht mehr ausgewertet
  • Defaultwerte ändern sich von RSA zu ECC
PS, KON, KT, Karte

ein Dokument konnte erfolgreich signiert werden (keine Fehlermeldungen) und dann auch wieder verifiziert (im Idealfall auch von anderen Konnektorherstellern)

Signieren

mit ReadCardCertificate mit crypt Parameter ECC Zertifikat der SMC-B / HBA lesen, dann vergleichen, ob in signiertem Dokument das gleiche Zertifikat enthalten ist wie die Rückgabe von ReadCardCertificate

Zertifikate können binär verglichen werden => Andreas Haloff nochmal fragen ob möglich

verschlüsseln / entschlüsseln
  • "crypt" Parameter wird nicht mehr ausgewertet
  • Defaultwerte ändern sich von RSA zu ECC
PS, KON, KT, Karte

ein Dokument konnte erfolgreich verschlüsselt werden (keine Fehlermeldungen) und dann nach dem Verschlüsseln nachgewiesen werden, dass das Dokument tatsächlich mit ECC verschlüsselt wurde:

*Mit welchem Verfahren das Dokument verschlüsselt wurde kann wie folgt ermittelt werden:

1)  Suche das Element ecPublicKey entsprechend der DER-Codierung aus https://gemspec.gematik.de/docs/gemSpec/gemSpec_Krypt/latest/#5.9, z.B. 

$ openssl ec -in example-named-curve-private-key.pem  -pubout -outform der -out mykey.pub
$ dumpasn1 mykey.pub
  0  90: SEQUENCE {
  2  20:   SEQUENCE {
  4   7:     OBJECT IDENTIFIER ecPublicKey (1 2 840 10045 2 1)
 13   9:     OBJECT IDENTIFIER brainpoolP256r1 (1 3 36 3 3 2 8 1 1 7)
       :     }
 24  66:   BIT STRING
       :     04 2A 5C 16 C6 93 DD FF 8E F4 28 3A EF A9 91 59
       :     1E 16 6B 3A EB 6C 53 1C 31 9E 5D C0 98 6B 85 5B
       :     23 4B 30 37 CF CE 6A BB C7 82 4A F0 24 13 78 ED
       :     DB E9 CE 4C D8 75 B3 71 31 91 95 52 38 90 F5 68
       :     B7
       :   }

2) Wenn ecPublicKey gefunden wird, dann ist das Dokument ECC verschlüsselt. Wenn nicht, kann von RSA-Verschlüsselung ausgegangen werden


SMC-B über das PVS aktivierenNutzer durch Fehlermeldung informieren, wenn RSA verwendet wirdPS, KON, KT, KarteAktivierung kann ohne Fehlermeldung durchgeführt werden

Ablaufdatum des eHKTs am PVS anzeigen

  • Ablaufdatum aus dem ECC Zertifikat der gSMC-KT lesen (EF.C.SMKT.AUT2)
PS, KON, KT, Karte
ReadCardCertificate und VerifyCertificate
  • "crypt" Parameter wird nicht mehr ausgewertet
  • Defaultwerte ändern sich von RSA zu ECC
PS, KON, KT, KarteFunktioniert fehlerfrei auch für ECC Zertifikate
Remote SMC-B PIN über WebNutzer durch Fehlermeldung informieren, wenn RSA verwendet wirdPS, KON, KT, Karte
  • Fehlermeldung, wenn RSA verwendet wird
  • Freischaltung durch den Aufruf der Operation verifyPIN, bei ECC


  • No labels

0 Comments

You are not logged in. Any changes you make will be marked as anonymous. You may want to Log In if you already have an account.
 

© gematik GmbH 2025