Mit den nachfolgenden Checklisten wollen wir Ihnen eine Möglichkeit zur Überprüfung der ECC preferred Fähigkeit Ihrer Software mitgeben. Die Checklisten werden unterteilt in Implementierung & Testvorbereitung, Testdurchführung und Auswertung. Wir empfehlen Ihnen, alle Punkte durchzugehen und zu prüfen.

Checkliste zur Vorbereitung der Lokalen Infrastruktur

Dezentrale Komponenten

Dezentrale Komponenten der TI sind beim Endnutzer verortet. Für die RU sind Endnutzer die RU-Nutzer. Die Betriebsverantwortung für dezentrale Komponenten liegt bei den RU-Nutzern. D.h. es obliegt dem RU-Nutzer, die dezentralen Komponenten, welcher er für seinen Zugang zur TI benötigt zu beschaffen, zu konfigurieren und zu warten.

Aus diesem Grund hier die Checkliste mit den Items, welche geprüft werden sollten, um auf die RSA-Abschaltung während der RU-ECC-Testwoche vorbereitet zu sein:

Komponente	Prüfpunkt	Auswertung	Anpassungsbedarf	ggf. Bemerkung
Kartenterminals (für jedes KT in Benutzung)	ist im KT eine G2.0 gSMC-KT (Karte ohne ECC Material) gesteckt?	falls ja	bestelle neue gSMC-KT und tausche die Karte gem. Herstellervorgaben	How to check: Man könnte die Konnektor-Operation CheckCertificateExpiration nutzen. Wenn man dort den Parameter Crypt=ECC, das CardHandle für eine gSMC-KT angibt, und eine 200 Response bekommt, dann kann man davon ausgehen, dass die Karte eine G2.1 Karte ist. Wenn aber stattdessen der Fehler 4258 "ECC-Zertifikate nicht vorhanden auf Karte: <cardHandle>" kommt, dann handelt es sich um eine G2.0 Karte.
Kartenterminals (für jedes KT in Benutzung)		falls nein	-keiner-
Konnektoren (für jeden Konnektor in Benutzung)	ist der Konnektor ein singlepersonalisierter Einboxkonnektor (EBK) ohne ECC Material auf der gSMC-K?	falls ja	Option 1: bestelle neuen Konnektor und nimm diesen durch Konfigurationsexport aus dem alten Konnektor und -import in den neuen in Betrieb. Option 2: organisiere einen TI-Gateway Zugang zu einem Highspeed-Konnektor (HSK) und nutze den HSK anstatt des alten Einboxkonnektor.
		falls nein	-keiner-
	ist der Konnektor ein Einboxkonnektor (EBK) der Firma CGM?	falls ja	prüfe im Konnektorlog/Managementinterface: Ist Fehler "EC_CRL_Out_Of_Date" noch aktiv oder "EC_CRL_Expiring" als WARNING aktiv oder "Signaturprüfung der CRL fehlgeschlagen: Fehlercode 4130" nach TUC_KON_040 geworfen? Fix gem. https://wiki.gematik.de/x/c9e5J umsetzen
	ist der Konnektor ein Einboxkonnektor (EBK) der Firma CGM?	falls nein	-keiner-
	ist der Konnektor ein Einboxkonnektor (EBK) der Firma RISE?	falls ja	RISE hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden muss, um zu ermöglichen, dass der Konnektor die Verbindung in die TI behält. Folgendes muss umgesetzt werden: Vor/während der Testwoche - Manuelle Installation der Vorabversion: Download* FW Image für ECC-fähige Vorabversion: RISE_EBK_v6.0.6_Vorabversion_gefixt Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist Installiere manuell die ECC-fähige Vorabversion Starte den Konnektor neu Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist. fertig *: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten.	Die Rück-Installation nach der Testwoche ist leider nicht möglich.
	ist der Konnektor ein Einboxkonnektor (EBK) der Firma RISE?	falls nein	-keiner-
	ist der Konnektor ein Einboxkonnektor (EBK) der Firma Secunet?	falls ja	prüfe den derzeitigen Registrierungsstatus des Konnektor am VPN-ZugD. falls derzeit mit RSA registriert: Option 1: Aktiviere die automatische Re-Registrierung mit ECC gem. Troubleshooting Maßnahmen, Zeile 2 → zu Schritt 1.b (Option 1) Option 2: Manuelle Re-Registrierung mit ECC gem. Troubleshooting Maßnahmen, Zeile 2 → zu Schritt 1.b (Option 2)
		falls nein	-keiner-
Karten (für jede Karte/Testkarte in Benutzung)	eGK: Ist die Karte eine G2.0 Karte ohne ECC-Material?	falls ja	neue G2.1 Karten bestellen → siehe Troubleshooting Maßnahmen, Zeile 6
	eGK: Ist die Karte eine G2.0 Karte ohne ECC-Material?	falls nein	-keiner-
	HBA: Ist die Karte eine G2.0 Karte ohne ECC-Material?	falls ja	neue G2.1 Karten bestellen → siehe Troubleshooting Maßnahmen, Zeile 6
	HBA: Ist die Karte eine G2.0 Karte ohne ECC-Material?	falls nein	-keiner-
	SMC-B: Ist die Karte eine G2.0 Karte ohne ECC-Material?	falls ja	neue G2.1 Karten bestellen → siehe Troubleshooting Maßnahmen, Zeile 6
	SMC-B: Ist die Karte eine G2.0 Karte ohne ECC-Material?	falls nein	-keiner-
KIM-Clientmodule und KIM-integrierte Clientmodule (für jedes Clientmodul in Benutzung)	Prüfe die Produkttypversion und Hersteller des installierten KIM-Clientmoduls	falls das KIM-Clientmodul mit PTV1.0:	Update auf PTV 1.5.x
		falls KIM-CM mit PTV1.5.2 von TSI oder CGM:	Option 1: Hersteller Kontaktieren und Fix Version beschaffen/installieren Option 2: KIM-CM von einem anderen Hersteller beziehen
	Prüfe im Managementinterface des KIM-Clientmodul den Status der Registrierung des Moduls am KIM-Fachdienst	falls die existierende Registrierung RSA-basiert ist:	führe eine Re-Registrierung des Clientmoduls mit ECC am Fachdienst durch (Verfahren ist Herstellerspezifisch, daher bitte an Hersteller/Betriebsanleitung wenden)

Primärsysteme

neue Versionen der Implementierungsleitfäden lesen und entsprechend den Vorgaben implementieren: https://gemspec.gematik.de/docs/gemILF/
notwendige Änderungen im Quellcode des Primärsystems
- Bitte prüfen Sie, ob Sie den optionalen Parameter "crypt" bei den SignDocument und EncryptDocument Aufrufen auf RSA setzen. Wenn ja, dann können Sie den Parameter komplett weglassen, er wird ab PTV6 nicht mehr ausgewertet. Um herauszufinden ob RSA oder ECC verwendet wurde, kann die Operation ReadCardCertificate verwendet werden:
  - "ReadCardCertificate" gibt das Zertifikat zurück, mit dem der Konnektor signieren / verschlüsseln würde
- zu verwendende ECC Kurven bei Clientsystemauthentisierung (Brainpool und NIST, siehe gemSpec_Krypt)
keine Änderungen sind notwendig
- bei Aufruf von ExternalAuthenticate am Konnektor
empfohlenes Testsetup zur Testdurchführung
- Konnektoren: Nutzung der neuesten PTV6 Konnektorversion
- Karten: G2.1 Karten verwenden, diese besitzen RSA und ECC Zertifikate

Checkliste Testdurchführung ECC preferred

Empfehlungen, welche Use Cases der Anwendungen und Funktionalitäten getestet werden sollen, siehe weiter unten ECC-Funktionalität
wohin können Fehler und Probleme während des Testzeitraumes gemeldet werden =>Anfragen zur RSA / ECC Migration

Checkliste Auswertung ECC preferred

nach der Testdurchführung, bitten wir Sie die PS Hersteller Umfrage abzuschließen: Umfrage zur ECC preferred Migration von Primärsystemen
wünschenswert wäre es, Informationen über Testergebnis an die gematik zu senden. Das Ergebnis können Sie uns über ein Ticket im Anfrageportal zukommen lassen =>Anfragen zur RSA / ECC Migration