Mit den nachfolgenden Checklisten wollen wir Ihnen eine Möglichkeit zur Überprüfung der ECC preferred Fähigkeit Ihrer Software mitgeben. Die Checklisten werden unterteilt in Implementierung & Testvorbereitung, Testdurchführung und Auswertung. Wir empfehlen Ihnen, alle Punkte durchzugehen und zu prüfen.

Checkliste zur Vorbereitung der Lokalen Infrastruktur

Dezentrale Komponenten

Dezentrale Komponenten der TI sind beim Endnutzer verortet. Für die RU sind Endnutzer die RU-Nutzer. Die Betriebsverantwortung für dezentrale Komponenten liegt bei den RU-Nutzern. D.h. es obliegt dem RU-Nutzer, die dezentralen Komponenten, welcher er für seinen Zugang zur TI benötigt zu beschaffen, zu konfigurieren und zu warten.

Aus diesem Grund hier die Checkliste mit den Items, welche geprüft werden sollten, um auf die RSA-Abschaltung während der RU-ECC-Testwoche vorbereitet zu sein:

KomponentePrüfpunktAuswertungAnpassungsbedarfggf. Bemerkung

Kartenterminals

(für jedes KT in Benutzung)

Ist im KT eine G2.0 gSMC-KT (Karte ohne ECC Material) gesteckt?falls jabestelle neue gSMC-KT und tausche die Karte gem. Herstellervorgaben

How to check:

Man könnte die Konnektor-Operation CheckCertificateExpiration nutzen.

Wenn man dort den Parameter Crypt=ECC, das CardHandle für eine gSMC-KT angibt, und eine 200 Response bekommt, dann kann man davon ausgehen, dass die Karte eine G2.1 Karte ist. Wenn aber stattdessen der Fehler 4258 "ECC-Zertifikate nicht vorhanden auf Karte: <cardHandle>" kommt, dann handelt es sich um eine G2.0 Karte.

Eine andere Möglichkeit ist auf der Seite "Blick in die Praxis" – Betroffene Komponenten in Leistungserbringerinstitutionen beschrieben.


Alle Kartenterminals mit aktueller Softwareversion haben eine Web-GUI. Bei Worldline Terminals sieht man ohne Login ob die gSMC-KT - RSA und ECC Zertifikate hat = G2.1 , bei Cherry muss man auf der WEB-GUI das PWD eingeben und bekommt dann auch angezeigt: Dual personalisierte gSMC-KT oder nicht. Beim GT900 Terminal wird auch direkt auf der WEB-GUI ohne Eingabe eines PWD angezeigt ob es eine Dual personalisierte gSMC-KT ist. Bei allen Terminals muss man nur die IP des Terminals mit HTTPS eingeben im Browser.

falls nein-keiner-

Konnektoren

(für jeden Konnektor in Benutzung)



Ist der Konnektor ein singlepersonalisierter Einboxkonnektor (EBK) ohne ECC Material auf der gSMC-K?falls ja

Option 1: bestelle neuen Konnektor und nimm diesen durch Konfigurationsexport aus dem alten Konnektor und -import in den neuen in Betrieb.

Option 2: organisiere einen TI-Gateway Zugang zu einem Highspeed-Konnektor (HSK) und nutze den HSK anstatt des alten Einboxkonnektors.

KOCO - Zertifikatsdienst - Status verwendeter Zertifikate C.AK.AUT2 = ECC also DUAL


RISE: Konnektor - Updates -  INFO - gSMC-K 1-3  dual RSA- und ECC-personalisiert


Secunet: Praxis - Karten - gSMC-K wenn dort RSA und ECC dann DUAL


falls nein-keiner-
Wie ist der derzeitige Registrierungsstatus des Konnektors am VPN-ZugD?falls derzeit mit RSA registriert
falls derzeit mit ECC registriert

-keiner-


Ist der Konnektor ein Einboxkonnektor (EBK) der Firma CGM?

falls ja

Konnektor-Firmware

KoCo hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 


Vor/während der Testwoche - Installation der Vorabversion:

  1. Die Version KoCo 6.0.0 

  2. Sie kann über RU KSR abgerufen werden
    1. Installiere die Vorabversion
    2. Starte den Konnektor neu
    3. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
    4. fertig

falls nein-keiner-
Ist der Konnektor ein Einboxkonnektor (EBK) der Firma RISE?

falls ja

Konnektor-Firmware

RISE hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 

Folgendes muss umgesetzt werden:

Vor/während der Testwoche - Manuelle oder automatische Installation der Vorabversion:

Die Firmware RISE  v6.1.1 ist die für die Testwochen empfohlenen Version. Diese ist auch downgradebar zurück auf die Version v5.6.1. Ein downgrade zurück auf andere Versionen ist nicht möglich.

Automatisch:

Wenn das KSR-Autoupdate aktiviert ist, dann wird die die FW RISE v6.0.10 v6.1.1 ohne weiteres zutun auf dem Konnektor installiert.

Sollte dies von Ihnen nicht intendiert sein, so muss von Ihnen manuell das KSR-Autoupdate deaktiviert werden.



falls nein-keiner-
Ist der Konnektor ein Einboxkonnektor (EBK) der Firma Secunet?

falls ja


Konnektor-Firmware

Secunet hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 

Eins von Folgendem muss umgesetzt werden:

Möglichkeit A: Vor/während der Testwoche - Manuelle Installation der Vorabversion:

  1. FW-Image der Vorabversion: Secunet 6.0.5

    1. Verteilung der FW über:
      1. Downloadpunkt des Herstellers:
        1. EBK Offline-Update
          1. https://filex.secunet.com/?t=bba95e0e9678e9e74ee54801f3549cea
          2. EBK – SHA-256 Fingerprint = 4FED2EE25C2667EA2CC31AFF261C707EBF5787B25432688B20DCA3A5E60AE9F8
        2. RZK Offline-Update (Rechenzentrum-EBK, kein HSK)
          1. https://filex.secunet.com/?t=7e2ad79887ba9bb54d2dd6d0c3b74c8b
          2. RZK- SHA-256 Fingerprint = 92523E7B0BAF5057CABE8F4E0560D14AFFD44354EFBFC4C225D2ACFAE3724090
      2. oder nur bei Problemen support.ehealth@secunet.com
    2. Download per RU KSR
  2. Bei manueller Installation:
    1. Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist
    2. Installiere manuell die Vorabversion aus Schritt 1
    3. Starte den Konnektor neu
    4. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
    5. fertig

(info) Hinweis zu den Download-Links: Aufgrund einer internen Umstellung sind die oben aufgeführten Links nur für 180 Tage gültig. Bitte stellen Sie sicher, dass Sie die Firmware innerhalb dieses Zeitraums lokal sichern.

Möglichkeit B: Automatische Installation:

Wenn das KSR-Autoupdate aktiviert ist, dann wird die die FW Secunet v6.0.5 ohne weiteres zutun um den 29.10.2025 auf dem Konnektor installiert.

Ist diese Version einmal auf dem Gerät installiert, dann ist es danach nicht mehr möglich einen Downgrade auf eine frühere PTV5 Version vorzunehmen.

Sollte dies von Ihnen nicht intendiert sein, so muss von Ihnen manuell das KSR-Autoupdate deaktiviert werden.



falls nein-keiner-

Karten

(für jede Karte/Testkarte in Benutzung)

eGK: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe ECC-Testwoche: FAQs, Issues and Solving, Zeile 27


falls nein-keiner-
HBA: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe ECC-Testwoche: FAQs, Issues and Solving, Zeile 27


falls nein-keiner-
SMC-B: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe ECC-Testwoche: FAQs, Issues and Solving, Zeile 27


falls nein-keiner-

KIM-Clientmodule und KIM-integrierte Clientmodule

(für jedes Clientmodul in Benutzung)

Prüfe die Produkttypversion und Hersteller des installierten KIM-Clientmodulsfalls das KIM-Clientmodul mit KIM-Release < 1.5.2-9:
  • Alle KIM-Clientmodule: Update auf die aktuelle Produktversion von KIM 1.5.2-9

Bemerkung: Das Update der KIM-CM-Version ist herstellerspezifisch und muss nach Anweisungen des Herstellers (CM-Betriebshandbuch) ausgeführt werden. Normalerweise wird nach diesem Update die bisherige CM-Konfiguration beibehalten bzw. weiter funktionsfähig sein.


falls das KIM-Clientmodul mit KIM-Release >= 1.5.2-9:

-keiner-


Prüfe im KIM-Clientmodul die verwendeten Client-Zertifikate des KIM-Clientmodulsfalls die existierenden Zertifikate RSA-basiert sind, führe einmalig vor dem Beginn der ECC-Testwoche aus:
  • Falls KIM-Email-Accounts schon vorhanden sind → aktualisiere/erneuere die Client-Zertifikate des KIM-Clientmoduls nach den Anweisungen des CM-Herstellers, damit diese ECC-basiert sind. 
    Bemerkung: Das Update der CM-Zertifikate ist ein herstellerspezifischer Prozess und normalerweise in dem Betriebshandbuch des CMs beschrieben.
  • Falls keine KIM-Email-Accounts vorhanden sind → erstelle einen neuen KIM-Account, dabei werden die aktuellsten, ECC-basierten CM-Client-Zertifikate von dem AccountManager automatisch generiert und im CM installiert.



Checkliste für Primärsysteme

  • Notwendige Änderungen im Quellcode des Primärsystems bzgl. ECC sind unter anderem:

    • SignDocument - Bitte prüfen Sie, ob Sie den Parameter crypt bei SignDocument-Aufrufen auf RSA setzen:
      • Wenn ja, dann können Sie den Parameter auf RSA_ECC setzten.
        • Bei PTV5 erzwingen Sie damit das PTV6-Verhalten des Konnektors und
        • bei PTV6 wird der Parameter nicht mehr ausgewertet. 
      • Um herauszufinden ob mit RSA oder ECC signiert wurde, prüfen Sie bitte den Rückgabewert der Operation SignDocument.
    • EncryptDocument - Bitte prüfen Sie, ob Sie den optionalen Parameter crypt bei EncryptDocument-Aufrufen auf RSA setzen. 
      • Wenn ja, dann können Sie den Parameter auf RSA_ECC setzten.
        • Bei PTV5 erzwingen Sie damit das PTV6-Verhalten des Konnektors und
        • bei PTV6 wird der Parameter nicht mehr ausgewertet.
    • ExternalAuthenticate - Bitte prüfen Sie, wie Sie den Parameter SignatureType beim Aufruf von ExternalAuthenticate setzen. Falls Sie urn:ietf:rfc:3447 verwenden:
      • Sie können den Parameter auf urn:bsi:tr:03111:ecdsa setzen:
        • Bei PTV5 erzwingen Sie damit das PTV6-Verhalten des Konnektors, bekommen aber einen Fehler, wenn dem Konnektor keine G2.1-Karte zur Verfügung steht und
        • bei PTV6 wird der Parameter nicht mehr ausgewertet. 
      • Um herauszufinden ob mit RSA oder ECC signiert wurde, prüfen Sie bitte den Rückgabewert der Operation ExternalAuthenticate.
    • ReadCardCertificate - Ab PTV6 gibt ReadCardCertificate das Zertifikat zurück, mit dem der Konnektor signieren/verschlüsseln würde.
    • ECC-Kurven - Bzgl. der zu verwendenden ECC-Kurven bei Clientsystem-Authentisierung (Brainpool oder NIST) konsultieren Sie bitte -> gemSpec_Krypt.
  • Empfohlenes Testsetup zur Testdurchführung
    • Konnektoren: Nutzen Sie bitte die neueste, für ECC-Testwoche vorgesehene Konnektorversion, wie sie oben in der Tabelle jeweils genannt wurde.
    • Karten: Verwenden Sie bitte G2.1-Karten, diese besitzen RSA und ECC Zertifikate.

Probleme während der Testdurchführung

Auswertung der ECC-Testwoche

  • Nach der Testdurchführung, bitten wir Sie die "PS-Hersteller-Umfrage" abzuschließen → Wir werden Ihnen den Link am 02. Juni 2025 zur Verfügung stellen und hier verlinken.
  • Wünschenswert wäre es, Informationen über Testergebnis an die gematik zu senden.
    Das Ergebnis können Sie uns über ein Ticket im Anfrageportal zukommen lassen -> Anfragen zur RSA / ECC Migration
  • No labels

6 Comments

  1. Nelly Brittner

    20.10.2025


    Hier muss auf Zeile 22 statt 23 verwiesen werden auf der anderen Seite, oder?

    1. Münz, Erik

      20.10.2025

      Danke für das Finden! In der tat wurde auf der anderen Seite womöglich eine Zeile entfernt, sodass sich hier der Fehler im Verweis eingeschlichen hat. Wurde angepasst.

  2. Nelly Brittner

    20.10.2025



    Hier bitte mit anmerken, dass von der 6.0.5 kein Downgrade mehr möglich ist. 
    Auch muss der Hinweis ganz unten zum RISE-Konnektor raus. Der Autoupdateprozess bei secunet Konnektoren sollte um den 29.10.25 abgeschlossen sein in der RU. 

    1. Münz, Erik

      20.10.2025

      Danke für die Klarstellung. Das wurde angepasst.

  3. Nelly Brittner

    20.10.2025


    Hier geht es nicht um den secunet HSK, sondern den secunet RZK - bitte anpassen. 

    1. Münz, Erik

      20.10.2025

      Danke für die Klarstellung. Das wurde angepasst.


© gematik GmbH 2025