Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- dighealth:ti:sicherheit:rsa-ecc [2026/01/12 08:00] – fjh
+++ dighealth:ti:sicherheit:rsa-ecc [2026/04/16 08:23] (aktuell) – [Konnektor] fjh
@@ Zeile 1: / Zeile 1: @@
 ====== RSA-ECC-Migration ======
-====== Probleme nach Umstellung ======
+===== Hintergrund =====
-  * Grundsätzlich ist eine Neuregistrierung der Konnektoren auf ECC notwendig. Konnektoren registrieren sich am VPN mit ECC-Zertifikat auf der SMC-B, die Signatur der Registrierung erfolgt allerdings mit dem RSA-Zertifikat. Das führt zu Problemen. Bei Secunet  Beim Secunet-Konnektor ist ein Firmware-Update auf die neueste FW Version 5.70.6 erforderlich. Für die KoCo-Box-Konnektoren von CGM gibt es offenbar noch keine Lösung. "Es werde aktuell mit Hochdruck an einem Workaround gearbeitet“, so die Gematik. RISE-Konnektoren seien „nach aktuellem Kenntnisstand nicht von dem Problem betroffen“.((https://www.aerzteblatt.de/news/konnektoren-und-smc-b-karten-bestimmte-kombinationen-fuhren-zu-ti-ausfall-a011b1f0-511c-4c07-8b6e-b3dcc81f798e.))
 <note>
@@ Zeile 46: / Zeile 44: @@
-===== Allgemein =====
+===== Probleme nach Umstellung =====
+==== TI-Zugang ====
+  * Betroffen sind ca. 2000 SMC-B der medisign, deren RSA-Zertifikat (C.HCI.OSIG) zum 31.12.2025 abläuft, während die ECC-Zertifikate weiter gültig sind.
+  * Gleichzeitig wird bei vielen (täglich notwendigen) Konnektorregistrierungen am VPN-Zugangsdienst das ECC-Zertifikat genutzt, wobei allerdings die Signatur der Registrierung dann mit dem RSA-Zertifikat erfolgt.
+  * Durch Kombination dieser beiden Ursachen entsteht ein Problem, weil die Zugangsdienste wegen der abgelaufenen Zertifikate entsprechende Registrierungen aus ihrer Datenbank entfernen. Dadurch scheitern die Registrierungen dann natürlich und der TI-Zugang funktioniert nicht mehr.
+  * Betroffen sind KoCo-Konnektoren (und CGM-Zugangsdienst) sowie Secunet-Konnektoren (meist mit arvato-Zugangsdienst). RISE-Konnektoren sind nicht betroffen.
+  * Lösungsmöglichkeit für secunet: Neuregistrierung des Konnektors mit ECC-Zertifikat und Firmware-Update auf neueste Version 5.70.6 (T-Systems und arvato).
+  * Lösung für CGM ist bereits erfolgt: Die betroffenen Registrierungseinträge wurden am Zugangsdienst wieder eingespielt.((https://www.apotheke-adhoc.de/nachrichten/detail/e-health/medisign-workaround-fuer-smc-b-probleme/.))
+Quelle: gematik und https://www.aerzteblatt.de/news/konnektoren-und-smc-b-karten-bestimmte-kombinationen-fuhren-zu-ti-ausfall-a011b1f0-511c-4c07-8b6e-b3dcc81f798e
+Medisign selbst dazu: https://www.medisign.de/blog/smc-b-so-lassen-sich-probleme-beim-ti-zugang-loesen/
+==== NFDM ====
+Für PTV5 kaputt s. unten
+===== Details zur Migration =====
 Diverse Komponenten der TI müssen ECC-ready sein bzw. dahin migriert werden, insbesondere natürlich alle zentralen Dienst, aber auch die folgenden im Detail betrachteten Komponenten.
@@ Zeile 55: / Zeile 77: @@
   * Konnektoren, deren gSMC-K noch RSA-only ist, müssen bis Ende 2026 ausgetauscht bzw. auf das TI-Gateway migriert werden. Dabei handelt es sich um 28.000 Secunet-Konnektoren und 4500 CGM/KoCo-Konnektoren.((https://www.hausaerztlichepraxis.digital/praxis/e-health-und-it/ti-komponenten-im-check-wer-muss-tauschen-167623.html.))
-  * Ausgetauscht bzw. migriert werden müssten (voraussichtlich) auch alle Konnektoren, die ECC auf der gSMC-K haben, aber die bis Ende 2025, aber deren Zertifikate bis Ende 2025 auslaufen, da auf Basis von PTV5+ eine weitere Laufzeitverlängerung nicht möglich ist.
+  * Ausgetauscht bzw. migriert werden müssten (voraussichtlich) auch alle Konnektoren, die ECC auf der gSMC-K haben, aber deren Zertifikate bis Ende 2025 auslaufen, da auf Basis von PTV5+ eine weitere Laufzeitverlängerung nicht möglich ist.
   * Erst der Konnektor der Produkttypversion 6 (PTV6-Konnektor) erzwingt die Nutzung von ECC-Zertifikaten.
   * Der flächendeckende Rollout des PTV-6-Konnektors ist also Voraussetzung für eine reibungslose Migration auch der anderen Komponenten hin zu ECC.