RSA Abschaltung / ECC Testwoche

Einladung zur Testphase: Auswirkungen der testweisen Ab-/Einschaltung von RSA in der Referenzumgebung (RU)

Liebe TI-Teilnehmer und liebe Hersteller,

wir möchten Sie über ein wichtiges Vorhaben informieren, das für die Sicherheit und Zukunftsfähigkeit der Telematikinfrastruktur von großer Bedeutung ist. Im Rahmen einer Testphase vom 09.09.24 bis 13.09.24 untersuchen wir die Auswirkungen der testweisen Ab-/Einschaltung des RSA-Algorithmus in der Referenzumgebung (RU). Diese Maßnahme soll dazu dienen, Risiken und Herausforderungen zu identifizieren sowie sicherzustellen, dass die Ab- und Einschaltung ordnungsgemäß erfolgen kann.

Warum machen wir das? Die Zeit läuft, und es ist unerlässlich, dass wir die Auswirkungen der Abschaltung von RSA rechtzeitig testen. Dies gibt uns die Möglichkeit, auf zukünftige Szenarien vorbereitet zu sein, in denen RSA nicht mehr verwendet werden kann. Durch diese Tests können wir potenzielle Schwachstellen in den Produkten, Anwendungen und Komponenten der TI frühzeitig identifizieren und so die Sicherheit und Zukunftsfähigkeit der TI gewährleisten.

Ihre Chance: Für Sie als Hersteller bietet diese Testphase die Gelegenheit, zu überprüfen, ob Ihre Produkte bereits RSA-unabhängig und zukunftssicher sind. Die Teilnahme an diesen Tests ist ein wichtiger Schritt, um sicherzustellen, dass Ihre Produkte auch in Zukunft reibungslos funktionieren und den geltenden Sicherheitsanforderungen entsprechen.

Aufruf zum Test: Wir laden Sie herzlich ein, aktiv an dieser Testphase teilzunehmen. Nutzen Sie die Gelegenheit, um die Robustheit Ihrer Produkte zu überprüfen. Sollte es zu Ausfällen kommen, können Sie diese per Change-Prozess beheben und wertvolle Erkenntnisse für die Weiterentwicklung Ihrer Systeme gewinnen. Ein Change-Freeze ist während der Testphase nicht vorgesehen, sodass Anpassungen problemlos möglich sind.

Für Rückfragen und weitere Informationen stehen Ihnen unser Service-Portal zur Verfügung.

Wir freuen uns auf Ihre aktive Teilnahme und Ihre Unterstützung bei der Sicherstellung einer zukunftssicheren Telematikinfrastruktur! Detailliertere Informationen zum Vorhaben werden noch in den kommenden Wochen folgen.

Mit freundlichen Grüßen,

Ihre gematik

Detaillierte Informationen zur Abschaltung und Wiedereinschaltung von RSA in RU vom 09.09.2024 bis 13.09.2024

Liebe TI-Teilnehmer und Hersteller,

wir möchten Ihnen weitere Details zur bevorstehenden ECC-Testwoche mitteilen. Diese Testwoche bietet eine einzigartige Gelegenheit, Schwachstellen zu erkennen und sicherzustellen, dass Ihre Systeme hinsichtlich ECC zukunftssicher sind.

Ziel der ECC-Testwoche

Während der ECC-Testwoche wird ein Setup geschaffen, bei dem Anwendungsfälle in Fehler laufen, wenn irgendwo noch RSA-Schlüssel verwendet werden. Dies ermöglicht es jedem Teilnehmer und jeder Teilnehmerin, selbst herauszufinden, wo noch alte oder nicht mehr unterstützte Komponenten im Einsatz sind. Beispiele hierfür könnten veraltete Testkarten, Kartenterminals oder Konnektoren sein, die nicht die richtigen TLS-Cipher unterstützen oder mit veralteten Parametern arbeiten.

Zeitplan und Änderungen

Nr.	Datum	Uhrzeit	Komponente	Aktivität	Durch wen	Status [ NOCH NICHT GESTARTET \| WIP/ON-TRACK \| FERTIG \| PROBLEM/VERZUG/BLOCKER ]	Bemerkung / Detail
1	Mo. 09 Sep 2024	08:00 - 08:50	VZD-LDAP	Sicherung des LDAP-Inhalts	arvato	FERTIG	Autom. Sicherung am Sonntag, 08.09.24 09:00 Zusätzliche manuelle Sicherung am Montag seit 08:40Uhr erledigt
2	Mo. 09 Sep 2024	09:00	TSL-Dienst	Alle RSA-Sub-CAs werden von den Internet-Downloadpunkten entfernt.	arvato	FERTIG	ist für 09:00Uhr beauftragt seit ca. 09:30Uhr erledigt
3	Mo. 09 Sep 2024	09:00	TSL-Dienst	Veröffentlichung einer Ad-hoc-ECC-TSL ohne RSA-CAs.	gematik	FERTIG	erfolgt zu 09:00Uhr seit 08:47Uhr veröffentlicht
4	Mo. 09 Sep 2024	09:00	TSL-Dienst	Der Downloadpunkt der RSA-TSL wird deaktiviert.	arvato	FERTIG	ist für 09:00Uhr beauftragt seit ca. 09:15Uhr erledigt
5	Mo. 09 Sep 2024	09:15	VZD-LDAP/FHIR	Deaktivierung der Synchronisation nach FHIR	arvato	FERTIG	seit 08:35Uhr erledigt
6	Mo. 09 Sep 2024	09:30 - 11:00	VZD-LDAP	Die RSA-Zertifikate werden aus dem LDAP-Verzeichnisdienst (VZD) entfernt.	arvato	FERTIG	Erst nach Aktivität Nr. 3 "Veröffentlichung einer Ad-hoc-ECC-TSL" LDAP-Einträge ohne verbleibende Zertifikate werden autom. aus den Views entfernt Wenn die autom. Entfernung nicht funktioniert (Zeitfenster zur Beobachtung bis 11:00Uhr), dann manuelle Entfernung durch arvato LDAP-Einträge ohne Zertifikate werden durch den BackgroundService abends deaktiviert seit ca. 10:15Uhr erledigt
7	Mo. 09 Sep 2024	11:00	VZD-LDAP	Interne Kommunikation von RSA auf ECC umstellen	arvato	FERTIG	ECC-Zertifikat wird benötigt seit 08:35Uhr erledigt
8	Mo. 09 Sep 2024 bis Do. 12 Sep 2024	TBD	alle	Testdurchführung durch RU-Nutzer.	alle RU-Nutzer	FERTIG	Die RU ist zu diesem Zeitpunkt für die Testdurchführung mit abgeschaltetem RSA vorbereitet. Es kann ab diesem Zeitpunkt entsprechend getestet werden. Teststart 11:10 Uhr
9	Do. 12 Sep 2024	12:00	TSL-Dienst	Veröffentlichung einer neuen Ad-hoc-ECC-TSL, die den Zustand vor der Testwoche wiederherstellt.	gematik	FERTIG	erfolgt zu 12:00Uhr seit 12:01Uhr erledigt
10	Do. 12 Sep 2024	12:00	TSL-Dienst	Der Downloadpunkt der RSA-TSL in der RU wird nicht wieder aktiviert.	arvato	FERTIG	ist für 12:00Uhr beauftragt seit 12:01Uhr erledigt
11	Do. 12 Sep 2024	ca. 12:15	VZD-LDAP	Die RSA-Zertifikate werden über ein Backup wieder in den LDAP-VZD integriert.	arvato	FERTIG	seit 13:45Uhr erledigt
12	Do. 12 Sep 2024	15:00 - 17:00	VZD-LDAP/FHIR	Aktivierung der Synchronisation nach FHIR	arvato	FERTIG	seit 13:45Uhr erledigt
13	Fr. 13 Sep 2024	7:30-8:00	BDE	Umstellung auf Dual-Modus RSA/ECC	gematik	ABBRUCH	Mehrere BDE-Lieferanten unterstützen weder Dual-Mode RSA-ECC-BP noch RSA-ECC-NIST. Fallback auf RSA-only (wie vor der ECC-Testwoche.

Bekannte Einschränkungen

Bitte beachten Sie, dass während der ECC-Testwoche bestimmte Setups möglicherweise nicht funktionieren. Insbesondere:

Einige Konnektoren und Clientmodule können während dieser Woche Probleme bereiten. Weitere Informationen zu den bekannten Problemen und Workarounds finden Sie hier: Link zu Problemen, Known-Errors und Workarounds.
RSA-Signaturen werden in dieser Woche nicht validiert, obwohl sie bei der Migration in der Produktivumgebung weiterhin validierbar bleiben.

Serviceportal für Fragen und Testergebnisse

Wir haben ein spezielles Serviceportal eingerichtet, um Ihnen während der ECC-Testwoche bestmögliche Unterstützung zu bieten. Für Fragen, Hinweise, Probleme und die Einreichung Ihrer Testergebnisse steht Ihnen dieses Portal jederzeit zur Verfügung. Unser Team wird regelmäßig die eingehenden Tickets prüfen und bearbeiten.

Während der Testdurchführung wird ein dediziertes Team in einem hierfür eingerichteten Lagezentrum die Situation in der TI überwachen. Das Team verfolgt die Dashboards zur Lageeinschätzung und bearbeitet eingehende Tickets in Echtzeit, um mögliche Probleme schnellstmöglich zu lösen.

Weitere Informationen

Für eine umfassende Übersicht über das Vorhaben, den genauen Ablauf und die relevanten technischen Details besuchen Sie bitte die folgende Seite: Alle Informationen zur ECC-Testwoche.

Diese Testwoche ist eine wichtige Maßnahme, um die Sicherheit und Kompatibilität Ihrer Systeme sicherzustellen. Wir empfehlen Ihnen dringend, aktiv an den Tests teilzunehmen, um mögliche Probleme frühzeitig zu erkennen und zu beheben.

Wir danken Ihnen im Voraus für Ihre Unterstützung und Ihre aktive Teilnahme.

Confluence mit Information zur RSA Abschaltung in RU: Alle Informationen zur ECC-Testwoche.

Link zum Service-Portal: https://service.gematik.de/servicedesk/customer/portal/22

Link zum Teams Kanal steht während der Testwoche dauerhaft zur Verfügung ECC Testwoche | Herstellerkanal - RSA Abschaltung RU24 | Microsoft Teams

Bitte senden Sie uns eine Anfrage an das Serviceportal mit den Email-Adressen, welche Zugriff auf den Teams-Chat benötigen.

allgemeiner Zeitplan der ECC Migration

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

Hintergrund: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2018 mit der Veröffentlichung der Technischen Richtlinie TR-03116-1 festgelegt, dass der RSA-Algorithmus bis Ende 2024+ in der TI verwendet werden kann. Eine aktuellere Version dieser Richtlinie steht derzeit noch aus. Zusätzlich wurde im [SOG-IS-2020] spezifiziert, dass die Verwendung von RSA mit einer Schlüssellänge zwischen 1900 und 3000 Bits spätestens bis zum 31. Dezember 2025 zulässig ist. Dies betrifft insbesondere Komponenten wie Konnektoren und die ePA-Version 2.5. Dieser Stichtag wurde bereits mit den Gesellschaftern abgestimmt.

Page tree