DigHealthWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: rsa-ecc
dighealth:ti:sicherheit:rsa-ecc

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
dighealth:ti:sicherheit:rsa-ecc [2026/01/12 11:18] fjhdighealth:ti:sicherheit:rsa-ecc [2026/04/16 08:23] (aktuell) – [Konnektor] fjh
Zeile 1: Zeile 1:
 ====== RSA-ECC-Migration ====== ====== RSA-ECC-Migration ======
  
-===== Probleme nach Umstellung ===== +===== Hintergrund =====
- +
-==== TI-Zugang ==== +
-  * Betroffen sind ca. 2000 SMC-B der medisign, deren RSA-Zertifikat (C.HCI.OSIG) zum 31.12.2025 abläuft, während die ECC-Zertifikate weiter gültig sind. +
-  * Gleichzeitig wird bei vielen (täglich notwendigen) Konnektorregistrierungen am VPN-Zugangsdienst das ECC-Zertifikat genutzt, wobei allerdings die Signatur der Registrierung dann mit dem RSA-Zertifikat erfolgt. +
-  * Durch Kombination dieser beiden Ursachen entsteht ein Problem, weil die Zugangsdienste wegen der abgelaufenen Zertifikate entsprechende Registrierungen aus ihrer Datenbank entfernen. Dadurch scheitern die Registrierungen dann natürlich und der TI-Zugang funktioniert nicht mehr. +
-  * Betroffen sind KoCo-Konnektoren (und CGM-Zugangsdienst) sowie Secunet-Konnektoren (meist mit arvato-Zugangsdienst). RISE-Konnektoren sind nicht betroffen. +
-  * Lösungsmöglichkeit für secunet: Neuregistrierung des Konnektors mit ECC-Zertifikat und Firmware-Update auf neueste Version 5.70.6. +
-  * Lösung für CGM ist bereits erfolgt: Die betroffenen Registrierungseinträge wurden am Zugnagsdienst wieder eingespielt. +
- +
-Quelle: gematik und https://www.aerzteblatt.de/news/konnektoren-und-smc-b-karten-bestimmte-kombinationen-fuhren-zu-ti-ausfall-a011b1f0-511c-4c07-8b6e-b3dcc81f798e +
- +
-==== NFDM ==== +
- +
-Für PTV5 kaputt s. unten +
- +
- +
  
 <note> <note>
Zeile 61: Zeile 44:
  
  
-===== Allgemein =====+ 
 +===== Probleme nach Umstellung ===== 
 + 
 +==== TI-Zugang ==== 
 +  * Betroffen sind ca. 2000 SMC-B der medisign, deren RSA-Zertifikat (C.HCI.OSIG) zum 31.12.2025 abläuft, während die ECC-Zertifikate weiter gültig sind. 
 +  * Gleichzeitig wird bei vielen (täglich notwendigen) Konnektorregistrierungen am VPN-Zugangsdienst das ECC-Zertifikat genutzt, wobei allerdings die Signatur der Registrierung dann mit dem RSA-Zertifikat erfolgt. 
 +  * Durch Kombination dieser beiden Ursachen entsteht ein Problem, weil die Zugangsdienste wegen der abgelaufenen Zertifikate entsprechende Registrierungen aus ihrer Datenbank entfernen. Dadurch scheitern die Registrierungen dann natürlich und der TI-Zugang funktioniert nicht mehr. 
 +  * Betroffen sind KoCo-Konnektoren (und CGM-Zugangsdienst) sowie Secunet-Konnektoren (meist mit arvato-Zugangsdienst). RISE-Konnektoren sind nicht betroffen. 
 +  * Lösungsmöglichkeit für secunet: Neuregistrierung des Konnektors mit ECC-Zertifikat und Firmware-Update auf neueste Version 5.70.6 (T-Systems und arvato). 
 +  * Lösung für CGM ist bereits erfolgt: Die betroffenen Registrierungseinträge wurden am Zugangsdienst wieder eingespielt.((https://www.apotheke-adhoc.de/nachrichten/detail/e-health/medisign-workaround-fuer-smc-b-probleme/.)) 
 + 
 +Quelle: gematik und https://www.aerzteblatt.de/news/konnektoren-und-smc-b-karten-bestimmte-kombinationen-fuhren-zu-ti-ausfall-a011b1f0-511c-4c07-8b6e-b3dcc81f798e 
 + 
 +Medisign selbst dazu: https://www.medisign.de/blog/smc-b-so-lassen-sich-probleme-beim-ti-zugang-loesen/ 
 + 
 +==== NFDM ==== 
 + 
 +Für PTV5 kaputt s. unten 
 + 
 + 
 + 
 + 
 + 
 + 
 +===== Details zur Migration =====
  
 Diverse Komponenten der TI müssen ECC-ready sein bzw. dahin migriert werden, insbesondere natürlich alle zentralen Dienst, aber auch die folgenden im Detail betrachteten Komponenten. Diverse Komponenten der TI müssen ECC-ready sein bzw. dahin migriert werden, insbesondere natürlich alle zentralen Dienst, aber auch die folgenden im Detail betrachteten Komponenten.
Zeile 70: Zeile 77:
  
   * Konnektoren, deren gSMC-K noch RSA-only ist, müssen bis Ende 2026 ausgetauscht bzw. auf das TI-Gateway migriert werden. Dabei handelt es sich um 28.000 Secunet-Konnektoren und 4500 CGM/KoCo-Konnektoren.((https://www.hausaerztlichepraxis.digital/praxis/e-health-und-it/ti-komponenten-im-check-wer-muss-tauschen-167623.html.))   * Konnektoren, deren gSMC-K noch RSA-only ist, müssen bis Ende 2026 ausgetauscht bzw. auf das TI-Gateway migriert werden. Dabei handelt es sich um 28.000 Secunet-Konnektoren und 4500 CGM/KoCo-Konnektoren.((https://www.hausaerztlichepraxis.digital/praxis/e-health-und-it/ti-komponenten-im-check-wer-muss-tauschen-167623.html.))
-  * Ausgetauscht bzw. migriert werden müssten (voraussichtlich) auch alle Konnektoren, die ECC auf der gSMC-K haben, aber die bis Ende 2025, aber deren Zertifikate bis Ende 2025 auslaufen, da auf Basis von PTV5+ eine weitere Laufzeitverlängerung nicht möglich ist.+  * Ausgetauscht bzw. migriert werden müssten (voraussichtlich) auch alle Konnektoren, die ECC auf der gSMC-K haben, aber deren Zertifikate bis Ende 2025 auslaufen, da auf Basis von PTV5+ eine weitere Laufzeitverlängerung nicht möglich ist.
   * Erst der Konnektor der Produkttypversion 6 (PTV6-Konnektor) erzwingt die Nutzung von ECC-Zertifikaten.   * Erst der Konnektor der Produkttypversion 6 (PTV6-Konnektor) erzwingt die Nutzung von ECC-Zertifikaten.
   * Der flächendeckende Rollout des PTV-6-Konnektors ist also Voraussetzung für eine reibungslose Migration auch der anderen Komponenten hin zu ECC.   * Der flächendeckende Rollout des PTV-6-Konnektors ist also Voraussetzung für eine reibungslose Migration auch der anderen Komponenten hin zu ECC.
dighealth/ti/sicherheit/rsa-ecc.1768216695.txt.gz · Zuletzt geändert: von fjh
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki