Mit den nachfolgenden Checklisten wollen wir Ihnen eine Möglichkeit zur Überprüfung der ECC preferred Fähigkeit Ihrer Software mitgeben. Die Checklisten werden unterteilt in Implementierung & Testvorbereitung, Testdurchführung und Auswertung. Wir empfehlen Ihnen, alle Punkte durchzugehen und zu prüfen.

Checkliste zur Vorbereitung der Lokalen Infrastruktur

Dezentrale Komponenten

Dezentrale Komponenten der TI sind beim Endnutzer verortet. Für die RU sind Endnutzer die RU-Nutzer. Die Betriebsverantwortung für dezentrale Komponenten liegt bei den RU-Nutzern. D.h. es obliegt dem RU-Nutzer, die dezentralen Komponenten, welcher er für seinen Zugang zur TI benötigt zu beschaffen, zu konfigurieren und zu warten.

Aus diesem Grund hier die Checkliste mit den Items, welche geprüft werden sollten, um auf die RSA-Abschaltung während der RU-ECC-Testwoche vorbereitet zu sein:

KomponentePrüfpunktAuswertungAnpassungsbedarfggf. Bemerkung

Kartenterminals

(für jedes KT in Benutzung)

Ist im KT eine G2.0 gSMC-KT (Karte ohne ECC Material) gesteckt?falls jabestelle neue gSMC-KT und tausche die Karte gem. Herstellervorgaben

How to check:

Man könnte die Konnektor-Operation CheckCertificateExpiration nutzen.

Wenn man dort den Parameter Crypt=ECC, das CardHandle für eine gSMC-KT angibt, und eine 200 Response bekommt, dann kann man davon ausgehen, dass die Karte eine G2.1 Karte ist. Wenn aber stattdessen der Fehler 4258 "ECC-Zertifikate nicht vorhanden auf Karte: <cardHandle>" kommt, dann handelt es sich um eine G2.0 Karte.

falls nein-keiner-

Konnektoren

(für jeden Konnektor in Benutzung)

Ist der Konnektor ein singlepersonalisierter Einboxkonnektor (EBK) ohne ECC Material auf der gSMC-K?falls ja

Option 1: bestelle neuen Konnektor und nimm diesen durch Konfigurationsexport aus dem alten Konnektor und -import in den neuen in Betrieb.

Option 2: organisiere einen TI-Gateway Zugang zu einem Highspeed-Konnektor (HSK) und nutze den HSK anstatt des alten Einboxkonnektor.


falls nein-keiner-
Wie ist der derzeitige Registrierungsstatus des Konnektors am VPN-ZugD?falls derzeit mit RSA registriert
falls derzeit mit ECC registriert

-keiner-


Ist der Konnektor ein Einboxkonnektor (EBK) der Firma CGM?falls ja

prüfe im Konnektorlog/Managementinterface: Ist Fehler "EC_CRL_Out_Of_Date" noch aktiv oder "EC_CRL_Expiring" als WARNING aktiv oder "Signaturprüfung der CRL fehlgeschlagen: Fehlercode 4130" nach TUC_KON_040 geworfen?


Fix gem.  https://wiki.gematik.de/x/c9e5J umsetzen


CGM hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 

Folgendes muss umgesetzt werden:

Vor/während der Testwoche - Manuelle Installation der Vorabversion:

  1. Download* FW Image der Vorabversion: KoCo 5.5.14 

  2. Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist
  3. Installiere manuell die Vorabversion
  4. Starte den Konnektor neu
  5. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
  6. fertig


*: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten.


falls nein-keiner-
Ist der Konnektor ein Einboxkonnektor (EBK) der Firma RISE?falls ja

RISE hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 

Folgendes muss umgesetzt werden:

Vor/während der Testwoche - Manuelle Installation der Vorabversion:

  1. Download* FW Image der Vorabversion: RISE 6.0.8

    1. Zur Verfügung stehen eine NonDebug- und eine Debug-Version. Die Debug-Version wird vom Hersteller aufgrund der umfangreichen Logs empfohlen.
    2. Eine Rückkehr von der Debug-Version zu der NonDebug-Version ist nicht möglich.
  2. Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist
  3. Installiere manuell die Vorabversion
  4. Starte den Konnektor neu
  5. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
  6. fertig

Die Rück-Installation nach der Testwoche ist leider nicht möglich. 

*: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten.


falls nein-keiner-
Ist der Konnektor ein Einboxkonnektor (EBK) der Firma Secunet?falls ja

prüfe den derzeitigen Registrierungsstatus des Konnektor am VPN-ZugD.

falls derzeit mit RSA registriert:


Secunet hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 

Folgendes muss umgesetzt werden:

Vor/während der Testwoche - Manuelle Installation der Vorabversion:

  1. Download* FW Image der Vorabversion: Secunet 5.70.6 

  2. Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist
  3. Installiere manuell die Vorabversion
  4. Starte den Konnektor neu
  5. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
  6. fertig


*: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten.


falls nein-keiner-

Karten

(für jede Karte/Testkarte in Benutzung)

eGK: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe ECC-Testwoche: FAQs, Issues and Solving, Zeile 27


falls nein-keiner-
HBA: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe ECC-Testwoche: FAQs, Issues and Solving, Zeile 27


falls nein-keiner-
SMC-B: Ist die Karte eine G2.0 Karte ohne ECC-Material?falls ja

neue G2.1 Karten bestellen → siehe ECC-Testwoche: FAQs, Issues and Solving, Zeile 27


falls nein-keiner-

KIM-Clientmodule und KIM-integrierte Clientmodule

(für jedes Clientmodul in Benutzung)

Prüfe die Produkttypversion und Hersteller des installierten KIM-Clientmodulsfalls das KIM-Clientmodul mit KIM-Release < 1.5.2-9:
  • Arvato KIM-CM:
    1. Update auf KIM 1.5.2-8
    2. Konfiguration so anpassen, dass das Arvato KIM-CM in der ECC-Testwoche verwendet werden kann → der Hersteller stellt hierzu Informationen bereit (Herstellerspezifisch, daher bitte an Hersteller/Betriebsanleitung wenden)
  • Alle anderen KIM-Clientmodule: Update auf KIM 1.5.2-9

Bemerkung: Das Update der KIM-CM-Version ist herstellerspezifisch und muss nach Anweisungen des Herstellers (CM-Betriebshandbuch) ausgeführt werden. Normallerweise wird nach diesem Update die bisherige CM-Konfiguration beibehalten bzw. weiter funktionsfähig sein.


falls das KIM-Clientmodul mit KIM-Release >= 1.5.2-9:

-keiner-


Prüfe im KIM-Clientmodul die verwendeten Client-Zertifikate des KIM-Clientmodulsfalls die existierenden Zertifikate RSA-basiert sind, führe einmalig vor dem Beginn der ECC-Testwoche aus:
  • Falls KIM-Email-Accounts schon vorhanden sind → aktualisiere/erneuere die Client-Zertifikate des KIM-Clientmoduls nach den Anweisungen des CM-Herstellers, damit diese ECC-basiert sind. 
    Bemerkung: Das Update der CM-Zertifikate ist ein herstellerspezifischer Prozess und normalerweise in dem Betriebshandbuch des CMs beschrieben.
  • Falls keine KIM-Email-Accounts vorhanden sind → erstelle einen neuen KIM-Account, dabei werden die aktuellsten, ECC-basierten CM-Client-Zertifikate von dem AccountManager automatisch generiert und im CM installiert.



Checkliste für Primärsysteme

  • Notwendige Änderungen im Quellcode des Primärsystems bzgl. ECC sind unter anderem:

    • SignDocument - Bitte prüfen Sie, ob Sie den Parameter crypt bei SignDocument-Aufrufen auf RSA setzen:
      • Wenn ja, dann können Sie den Parameter auf RSA_ECC setzten.
        • Bei PTV5 erzwingen Sie damit das PTV6-Verhalten des Konnektors und
        • bei PTV6 wird der Parameter nicht mehr ausgewertet. 
      • Um herauszufinden ob mit RSA oder ECC signiert wurde, prüfen Sie bitte den Rückgabewert der Operation SignDocument.
    • EncryptDocument - Bitte prüfen Sie, ob Sie den optionalen Parameter crypt bei EncryptDocument-Aufrufen auf RSA setzen. 
      • Wenn ja, dann können Sie den Parameter auf RSA_ECC setzten.
        • Bei PTV5 erzwingen Sie damit das PTV6-Verhalten des Konnektors und
        • bei PTV6 wird der Parameter nicht mehr ausgewertet.
    • ExternalAuthenticate - Bitte prüfen Sie, wie Sie den Parameter SignatureType beim Aufruf von ExternalAuthenticate setzen. Falls Sie urn:ietf:rfc:3447 verwenden:
      • Sie können den Parameter auf urn:bsi:tr:03111:ecdsa setzen:
        • Bei PTV5 erzwingen Sie damit das PTV6-Verhalten des Konnektors, bekommen aber einen Fehler, wenn dem Konnektor keine G2.1-Karte zur Verfügung steht und
        • bei PTV6 wird der Parameter nicht mehr ausgewertet. 
      • Um herauszufinden ob mit RSA oder ECC signiert wurde, prüfen Sie bitte den Rückgabewert der Operation ExternalAuthenticate.
    • ReadCardCertificate - Ab PTV6 gibt ReadCardCertificate das Zertifikat zurück, mit dem der Konnektor signieren/verschlüsseln würde.
    • ECC-Kurven - Bzgl. der zu verwendenden ECC-Kurven bei Clientsystem-Authentisierung (Brainpool oder NIST) konsultieren Sie bitte -> gemSpec_Krypt.
  • Empfohlenes Testsetup zur Testdurchführung
    • Konnektoren: Nutzen Sie bitte die neueste, für ECC-Testwoche vorgesehene Konnektorversion, wie sie oben in der Tabelle jeweils genannt wurde.
    • Karten: Verwenden Sie bitte G2.1-Karten, diese besitzen RSA und ECC Zertifikate.

Probleme während der Testdurchführung

Auswertung der ECC-Testwoche

  • Nach der Testdurchführung, bitten wir Sie die "PS-Hersteller-Umfrage" abzuschließen → Wir werden Ihnen den Link am 02. Juni 2025 zur Verfügung stellen und hier verlinken.
  • Wünschenswert wäre es, Informationen über Testergebnis an die gematik zu senden.
    Das Ergebnis können Sie uns über ein Ticket im Anfrageportal zukommen lassen -> Anfragen zur RSA / ECC Migration
  • No labels

2 Comments

  1. Max Seeger

    16.05.2025

    Danke für die Checkliste. Beim KIM-Clientmodul ist die Rede von PTV 1.5.2-8 und PTV 1.5.2-9. Im Produkttypsteckbrief finde ich diese PTVs nicht, stattdessen finde ich den "Releasestand KIM 1.5.2-8" welcher der PTV 1.6.2-8 entspricht. Ist mit den Hinweisen in der Checkliste auf PTV 1.5.2-8 der Releasestand KIM 1.5.2-8 gemeint? 


    1. Jaworek, Tomasz

      16.05.2025

      Vielen Dank, Herr Seeger für den Hinweis. Es ist - wie Sie auch sagen - Releasestand KIM 1.5.2-8 bzw. 1.5.2-9 gemeint. Ich hab's in der Seite korrigiert.

© gematik GmbH 2025