bofh hat geschrieben: ↑Mittwoch 1. November 2023, 22:26
1) Ist schon seltsam. Kaum fragt man hier, dann merkt sich Edge auch die Sicherheitsausnahme. [...] Man muss nun Firefox installieren, wenn man ein TLS-Client-Zertifikat vom Konnektor erzeugen lassen und runterladen will.
Soo schlimm ist der Firefox auch nicht. Nachdem Chrome nunmehr auch einfach mal Werbemessung aktiviert, ohne (vollständig) zu fragen, bin ich nicht mehr wegen der "Firefox darf Studien..." beleidigt. *nicht zu ernst gemeint*
2) Die Erklärung/Hilfe für "Konnektor-Zertifikat prüfen" beim Authenticator sagt: "Diese Option prüft, ob das Serverzertifikat des Konnektors valide ist und ob es im Vertrauensbereich des Truststores liegt". Die eigentliche Frage war, ob es prinzipiell auch mit aktiver Prüfung einzurichten geht (nur theoretische Neugier).
Prinzipiell ja:
- Auf dem DNS-Server für´s LAN oder in der hosts-Datei die passenden DNS-Einträge erstellen (A-Record für konnektor.konlan auf die Konnektor-IP-Adresse, CNAME für die 8027er-Zahlenfolge)
- Aussteller-Zertifikat (z.B. GEM.KOMP-CA7) zum Authenticator legen (siehe
https://download.tsl.ti-dienste.de/SUB-CA/)
- Dessen Aussteller-Zertifikat (meist GEM.RCA6) = siehe
https://download.tsl.ti-dienste.de/ROOT-CA/
...und dann sollte es laufen. Allerdings habe ich es nicht getestet, auch wenn´s mich gerade wirklich juckt. Es bleibt bloß das mäßig wahrscheinliche Risiko, dass der Authenticator einen fest verdrahteten DNS-Server befragt, sobald man ihm anstelle einer IP-Adresse einen Hostnamen gibt.
Na, vielleicht kommt mal die Gelegenheit für jemanden hier, einen kleinen Testbericht zu posten.
Ursprünglich im Sinn hatte ich, sicherzustellen, dass es genau "mein" Konnektor ist, aber das leistet diese Überprüfung nicht notwendigerweise - die schaut nur nach, ob der Konnektor "offiziell" ist.
Ein anderer Konnektor würde unter normalen Umständen kein fremdes Clientzertifikat annehmen, da nicht zur Anmeldung berechtigt (ich meine das Zertifikat zum Anmelden des Clientsystems am Konnektor, das der Konnektor ausstellt).
3) Ich kann mir schon einen MITM-"Router" vorstellen, der zwischen Konnektor und LAN (unbemerkt) eingeschleift wird (das wäre möglich, wenn man z.B. die Putzfrau erfolgreich besticht). Ob dieser allerdings eine Chance hat, ohne das TLS-Client-Zertifikat zu kennen, habe ich noch nicht zu Ende überlegt.
100.102.0.0/15 geht via TI-VPN raus. Dessen Payload ist mithilfe des Zertifikats der SMC-B verpackt, dessen privater Schlüssel wiederum an der PIN-Eingabe hängt. Und diese wird ja bisher (meist) ohne TLS und (praktisch immer) ohne VPN über´s Praxisnetz geschickt.
Aber so genau habe ich mir das Schema des Authenticators noch gar nicht angesehen. Manches geht ja auch via Internet-IDP (ti-dienste.de), da aber wieder mit sauberem SSL. Ich kann mir nicht vorstellen, dass da das Konnektorzertifikat wirklich eine Rolle spielt. Laut FAQ kann der Authenticator auch noch nix mit ECC-Zertifikaten anfangen. Wobei... das kann TM meines Wissens bisher auch nicht. Hrhr...
Der Gematik-Authenticator soll für das (verpflichtend!) kommende DEMIS-Meldeportal für Arztpraxen notwendig werden. Damit entfällt dann das Fax bzw. der berittene Bote ans Gesundheitsamt. Das hat mit dem PVS erstmal nichts zu tun.
Das erinnert mich daran, dass zum Beispiel in Niedersachsen das KV-Safenet per Software-VPN lief (Citrix-VPN-Lösung) und keine VPN-Box/GUS-Box nötig war. Lief bis zuletzt einwandfrei. Mir ist jedenfalls nichts Gegenteiliges bekannt.
Und die Konnektorenfarmen sind per OpenVPN oder Wireguard angebunden.
Die TI 2.0 soll mit Softzertifikat laufen, und unter HighSpeed-Konnektor stelle ich mir aus wirtschaftlichen Gründen einen Server im staatlich bewachten Rechenzentrum vor, der mit 2 XEONs (oder was auch immer gerade passt - und bei gutem Willen noch irgendwelchen Hardware-Crypto-SoCs als Steckkarte on top) mal locker die Arbeit von einigen tausend Konnektoren im Halbschlaf erledigt. Vielleicht muss er dann mal an einem Montagmorgen ein wenig an die Lastgrenze gehen, wenn die ganzen eAU auf den Weg gehen.
Wenn ich so sehe, dass einer meiner Mailserver vor einigen Jahren täglich gut 350.000 Mails* mit einem SSL- und STARTTLS-Anteil von gut 40% durchgeschubst hat und selten die Verbindungsrate drosseln musste, verstehe ich den Unsinn mit den Konnektoren rein technisch überhaupt nicht. Der Mailserver war eine VM auf Virtuozzo-Basis mit 20 Kunden pro Box für rund 25 Euro im Monat. 2011 - 2014, also zu XEON X- und E5-Zeiten.
* = Tatsächliche Nutzlast lag bei gut 2.000 echten Mails von Mensch zu Mensch, 15.000 technischen Mails in Form von GPS-Logger-Reports alle paar Sekunden für einen Sicherheitsdienst und über 300.000 Spam-Mails, die auf Honeypot-Adressen im Rahmen eines Feldtests für einen Spamfilter reinkamen. Port 587 war Authenticated only, 465 SSL only und Port 25
Doch dass der Highspeed-Konnektor nicht SO funktioniert und allein aufgrund der Codemenge und vermutlich auf einem Java-Framework basierend auch nicht die Performance eines ausentwickelten Postfix (damals war ich noch mit qmail unterwegs, grmpf) liefern wird, steht auf einem anderen Blatt. Das, was ich von einem am HSK mitwirkenden Programmierer erfahren habe, deutet jedenfalls auf eine prinzipiell einfache Lösung hin, die aus eher politischen oder "anderen Gründen" verkompliziert wird.
Aber sowas wäre dann auch nicht weiter überraschend, nicht wahr?
Sooo, Feierabend
