RSA auf ECC Verschlüsselung umstellen, Kocobox, Lesegeräte

[DC19]

Guten Morgen,

ich wollte mich langsam mit dem Thema beschäftigen und nach allgemeinen Empfehlungen, Fehlerquelle, Komplexität fragen. Vielleicht ist es auch ganz einfach…

Unsere Kocobox wurde 2023 getauscht und läuft noch über die RSA Verschlüsselung. Sie ist ECC fähig. Wir haben ein Terminalsystem, stationäre Orga Lesegerät, mobil Orga Care, Orga Care Online. 2 SMC-KTs sind nicht ECC fähig.

Konnektor : Umstellung erfolgt sicherlich über die Kokobox Oberfläche. Ich gehe davon aus dass hier die Zertifikate zum Clientsystem erneuert werden müssen. Gibt es zur Umstellung der Kocobox eine Anleitung? (Konnte es bisher nicht sinnvolles finden…). Muss eine spezifische mindest-Version von TM vorliegen?

Lesegerät, stationär: müssen diese nach Umstellung der Kocobox evtl. bei gepairt werden? Ist es möglich diese weiterhin mit RSA laufen zu lassen, wenn der Konnektor auf ECC umgestellt wurde? Warum wird bei den Lesegeräten überhaupt eine Umstellung nötig, diese sind doch lokal im System… für mich völlig unbegreiflich

Lesegerät mobil: sind diese überhaupt relevant bei der Umstellung? Das Orga Care läuft mit einer SMC-KT (kostengünstig und deutlich stabiler bzgl Spannungsproblematik NFC Chips), Das Orga Online läuft mit SMBC…. Kann man hier evtl. weiterhin die Karten die nicht ECC fähig sind betreiben?

Sicherlich gibt es noch andere sinnvolle Fragen…

Vielen Dank für die mögliche Unterstützung.

[FortiSecond]

Eben kurz zu Lesegeräten:

Mobil = keine Änderungen nötig
ORGA care hat keinen Ausweis, nimmt keinen Ausweis, kann aber mit aktuellen eGK umgehen. Es findet keine mit eHBA bzw. SMC-B verschlüsselte Speicherung statt (keine PIN-Eingabe etc.). Es ist nicht offiziell für die Nutzung bei TI-pflichtigen Leistungserbringern zugelassen. Aber: Es funktioniert. Einwandfrei, weit unkomplizierter und zuverlässig. Bluetooth? Ja, klappt.
ORGA 930M online ist zugelassen, arbeitet mit SMC-B oder eHBA. Bei Interesse suche ich gern die Spezifikation für die Gerätenachweise heraus, die beim Einlesen ins TURBOMED übertragen werden.

Stationär
Sobald eine ECC-fähige gSMC-KT ins Gerät kommt und man das Gerät neu mit dem Konnektor pairt, wird in der Regel automatisch mit ECC gepairt. Sieht man dann im Kartenleserdienst in den Eigenschaften. Tipp: Nach dem neuen Pairen, wenn sie sich ID (CT_000x) im Konnektor geändert hat, im Infomodell den Eintrag mit der alten Nummer ändern auf die neue. Dann sollte es keine weiteren Anpassungen brauchen.
Befindet sich bereits eine ECC-taugliche Karte im Gerät (Version 4.6+), aber ist das Pairing noch per RSA aktiv (weil der Konnektor damals noch kein ECC konnte/bevorzugt hat), hilft erneutes Pairen für die Umstellung auf ECC.

[DC19]

Danke FortiSecond,

Zum Konnektor: gibt es eine Anleitung zur Umstellung auf ECC? Und geht es überhaupt "schon" mit TM (Frage im Post bzgl. Mindestversion)
Und:
Kann der Konnektor auf ECC umgestellt sein, und die Stationären Orgas verwenden weiterhin die RSA Zertifikate? (Darf ja hier noch 1 Jahr verwendet....)

Danke!

[FortiSecond]

Danke FortiSecond,

Zum Konnektor: gibt es eine Anleitung zur Umstellung auf ECC? Und geht es überhaupt "schon" mit TM (Frage im Post bzgl. Mindestversion)
Und:
Kann der Konnektor auf ECC umgestellt sein, und die Stationären Orgas verwenden weiterhin die RSA Zertifikate? (Darf ja hier noch 1 Jahr verwendet....)

Danke!

Hi,
Umstellung: Habe bisher keine komplette Anleitung gesehen. Es sind aber folgende Einzelschritte zu erledigen (ohne Anspruch auf Vollständigkeit):
- Re-Registrierung am VPN-Zugangsdienst (ECC)
- Kartenleser neu pairen (wenn ECC-fähige gSMC-KT eingesetzt)
- neues Zertifikat für das Clientsystem erstellen in ECC (TURBOMED, ggf. gesondert für KIM etc.) und dort einbinden
Zertifikatsdownload soll ja mit der aktuellsten Firmware behoben sein oder noch werden (@CGM-FTW?)
Bin mir gerade nicht sonderlich sicher, ob alle Bestandteile von TM bereits ECC zuverlässig beherrschen
- Frisch gelesen im Rundbrief: CGM KIM-Clientmodul aktualisieren auf aktuelle Version, da sonst mit ECC evtl. Probleme (ist mir neu, aber...)

Die RSA-Zertifikate in den Kartenlesern dürfen aufgrund der hanebüchenen Sonderregelung noch bis Ende 2026 genutzt werden. Und sie können es nach aktuellem Stand auch an der Kocobox. Jedenfalls habe ich das mit einem vollständig ECC-tauglichen PVS an einer Kocobox getestet. Da ist alles ECC, was geht - außer ein Kartenleser, und der läuft so wie bisher (ohne das aktuell merkwürdige Verhalten bzgl. spontanem Reset der Admin-PIN und Pairing-Verlust der "ORGA 6141 online" als gut oder nicht gut bewerten zu wollen).

Also.. eigentlich step by step machbar. Aktuell läuft die Kocobox auch mit gemischten Zertifikaten.

Wird schon werden.

Have a nice weekend
FortiSecond

[CGM-FTW]

Ja, war behoben, habe ich schon mit der Zwischenversion 5.5.14 erfolgreich in RU getestet.

Soweit ich weiß hatten wir selten Probleme mit den ECC-NIST Zertifikaten. ECC-Brainpool läuft aber selten vernünftig. Begründung hatte ich schonmal gegeben, bitte ggf. nochmal gegenchecken und als hörensagen interpretieren: ECC-NIST ist ein weltweit anerkannter Standard. ECC-Brainpool stammt aus Deutschland / Europa und wird deshalb in vielen in Software eingebundenen Bibliotheken aus Übersee nicht unterstützt.

Edit: Chat GPT verifiziert das:
"Die sogenannten "Brainpool-Kurven" (RFC 5639) stammen aus Deutschland.

Sie wurden von der "ECC Brainpool" Arbeitsgruppe der TeleTrusT – IT Security Association Germany entwickelt. Ziel war es, elliptische Kurven für Kryptografie bereitzustellen, die: [...]

Kurz gesagt: Die ECC-Brainpool-Kurven kommen aus Deutschland und wurden insbesondere für europäische Anwendungen und Standards empfohlen (z. B. in einigen ETSI- und EU-Dokumenten)."

[Leidig]

Hallo!

Kann ich in der KoCoBox-Managementschnittstelle oder innerhalb von TM irgendwo einsehen welche Version von SMC-B und SMC-KT stecken und ob diese somit ECC fähig sind?

Viele Grüße,
SL

[FortiSecond]

Hallo!

Kann ich in der KoCoBox-Managementschnittstelle oder innerhalb von TM irgendwo einsehen welche Version von SMC-B und SMC-KT stecken und ob diese somit ECC fähig sind?

Viele Grüße,
SL

Am besten auf dem Konnektor:
viewtopic.php?p=69558&hilit=kartendienst#p69558