Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur Signatur des Endnutzer- und CA-Zertifikates Signatur der OCSP Response Signatur des OCSP Responder Zertifikates sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) sha256withRSAEncryption (OID 1.2.840.113549.1.1.11) sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) 1024 E E E E E E 2048 E E E E E E 1024 E E E E E E 2048 A,V A,V A,V A,V A,V A,V 1024 A,V A,V A,V A,V A,V A,V 1024 A,V A,V A,V A,V A,V A,V Die Lebensdauer der Schlüssel und somit die in einem Zertifikat angegebene Gültigkeitsdauer SOLL gemäß [gemSiKo#AnhF] maximal 5 Jahre betragen. Offener Punkt - Die Abstimmung der OCSP Algorithmen mit dem BSI ist noch nicht abgeschlossen. Die ausgewählten Algorithmen wurden bislang nicht durch das BSI bestätigt und können sich potentiell noch ändern. Eine ausführlichere Bewertung befindet sich in Abschnitt 5.1 5.1.1.3 X.509-Identitäten für die Erstellung qualifizierter Signaturen Identitäten für qualifizierte Signaturen MÜSSEN den in Tabelle 7 gestellten Anforderungen an Algorithmen genügen. Tabelle 7: Algorithmen für X.509-Identitäten zur Erstellung qualifizierter Signaturen Algorithmen Typ Algorithmus Schlüssel länge 2008 2009 2010 2011 2012 2013 Verwendung der Schlüssel Signatur des Endnutzer- und CA-Zertifikates Signatur der OCSP Response Signatur des OCSP Responder Zertifikates RSA sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) sha256withRSAEncryption (OID 1.2.840.113549.1.1.11) sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) 1024 E E E E E E 2048 A,V A,V A,V A,V A,V A,V 1024 E E E E E E 2048 E E E E E E 1024 E E E E E E 2048 A,V A,V A,V A,V A,V A,V 1024 A,V A,V A,V A,V A,V A,V 1024 A,V A,V A,V A,V A,V A,V Die Lebensdauer der Schlüssel und somit die in einem Zertifikat angegebene Gültigkeitsdauer SOLL gemäß [gemSiKo#AnhF] maximal 5 Jahre betragen. Offener Punkt - Die Abstimmung der OCSP Algorithmen mit dem BSI ist noch nicht abgeschlossen Die ausgewählten Algorithmen wurden bislang nicht durch das BSI bestätigt und können sich potentiell noch ändern. Eine ausführlichere Bewertung befindet sich in Abschnitt 5.1 gematik_GA_Spezifikation_Kryptographischer_Algorithmen_V1_3_0.doc Seite 22 von 50 Version: 1.3.0 © gematik Stand: 26.03.2008
Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur 5.1.1.4 X.509-Identitäten für die TLS/SSL-Authentifizierung Identitäten für die TLS/SSL-Authentifizierung MÜSSEN den in Tabelle 8 gestellten Anforderungen an Algorithmen genügen. Tabelle 8: Algorithmen für X.509-Identitäten zur TLS/SSL-Authentifizierung Algorithmen Typ Algorithmus Schlüssel länge 2008 2009 2010 2011 2012 2013 Verwendung der Schlüssel Signatur des Endnutzer- und CA-Zertifikates Signatur der OCSP Response Signatur des OCSP Responder Zertifikates RSA sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) sha256withRSAEncryption (OID 1.2.840.113549.1.1.11) sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) sha1withRSAEncryption (OID 1.2.840.113549.1.1.5) 1024 A,V A,V A,V A,V A,V A,V 2048 O O O O O O 1024 A,V A,V A,V A,V A,V A,V 2048 O O O O O O 1024 O O O O O O 2048 O O O O O O 1024 A,V A,V A,V A,V A,V A,V 1024 A,V A,V A,V A,V A,V A,V Alle Komponenten, die TLS/SSL verwenden, MÜSSEN Identitäten, die mit „A,V“ angegeben sind, unterstützen und eine Identität dieses Typs besitzen. Dies ist notwendig um sicherzustellen, dass im Rahmen von Handshakes immer ein durch beide Komponenten unterstütztes Verfahren als „kleinster gemeinsamer Nenner“ zur Verfügung steht. Zusätzlich KANN eine zweite Identität für die optionalen Algorithmen vorhanden sein. Sofern sich im Rahmen des Verbindungsaufbaus eine der optionalen Identitäten als interoperabel rausstellt, so kann diese Identität für den Verbindungsaufbau genutzt werden. Sollte dies nicht der Fall sein, so steht immer der Verbindungsaufbau über die mittels „A,V“ angegebene Identitäten zur Verfügung. Die Lebensdauer der Schlüssel und somit die in einem Zertifikat angegebene Gültigkeitsdauer SOLL gemäß [gemSiKo#AnhF] maximal 5 Jahre betragen. Offener Punkt - Die Abstimmung der OCSP Algorithmen mit dem BSI ist noch nicht abgeschlossen Die ausgewählten Algorithmen wurden bislang nicht durch das BSI bestätigt und können sich potentiell noch ändern. Eine ausführlichere Bewertung befindet sich in Abschnitt 5.1 5.1.1.5 X.509-Identiäten für die IPSec Authentifizierung Identitäten für die IPSec Authentifizierung MÜSSEN den in Tabelle 9 gestellten Anforderungen an Algorithmen genügen. gematik_GA_Spezifikation_Kryptographischer_Algorithmen_V1_3_0.doc Seite 23 von 50 Version: 1.3.0 © gematik Stand: 26.03.2008
- Seite 1 und 2: Einführung der Gesundheitskarte Ve
- Seite 3 und 4: Verwendung kryptographischer Algori
- Seite 5 und 6: Verwendung kryptographischer Algori
- Seite 7 und 8: Verwendung kryptographischer Algori
- Seite 9 und 10: Verwendung kryptographischer Algori
- Seite 11 und 12: Verwendung kryptographischer Algori
- Seite 13 und 14: Verwendung kryptographischer Algori
- Seite 15 und 16: Verwendung kryptographischer Algori
- Seite 17 und 18: Verwendung kryptographischer Algori
- Seite 19 und 20: Verwendung kryptographischer Algori
- Seite 21: Verwendung kryptographischer Algori
- Seite 25 und 26: Verwendung kryptographischer Algori
- Seite 27 und 28: Verwendung kryptographischer Algori
- Seite 29 und 30: Verwendung kryptographischer Algori
- Seite 31 und 32: Verwendung kryptographischer Algori
- Seite 33 und 34: Verwendung kryptographischer Algori
- Seite 35 und 36: Verwendung kryptographischer Algori
- Seite 37 und 38: Verwendung kryptographischer Algori
- Seite 39 und 40: Verwendung kryptographischer Algori
- Seite 41 und 42: Verwendung kryptographischer Algori
- Seite 43 und 44: Verwendung kryptographischer Algori
- Seite 45 und 46: Verwendung kryptographischer Algori
- Seite 47 und 48: Verwendung kryptographischer Algori
- Seite 49 und 50: Verwendung kryptographischer Algori
<strong>Verwendung</strong> <strong>kryptographischer</strong> <strong>Algorithmen</strong> <strong>in</strong> <strong>der</strong><br />
Telematik<strong>in</strong>frastruktur<br />
Signatur des<br />
Endnutzer- und<br />
CA-Zertifikates<br />
Signatur <strong>der</strong><br />
OCSP<br />
Response<br />
Signatur des<br />
OCSP<br />
Respon<strong>der</strong><br />
Zertifikates<br />
sha1withRSAEncryption<br />
(OID 1.2.840.113549.1.1.5)<br />
sha256withRSAEncryption<br />
(OID 1.2.840.113549.1.1.11)<br />
sha1withRSAEncryption<br />
(OID 1.2.840.113549.1.1.5)<br />
sha1withRSAEncryption<br />
(OID 1.2.840.113549.1.1.5)<br />
1024 E E E E E E<br />
2048 E E E E E E<br />
1024 E E E E E E<br />
2048 A,V A,V A,V A,V A,V A,V<br />
1024 A,V A,V A,V A,V A,V A,V<br />
1024 A,V A,V A,V A,V A,V A,V<br />
Die Lebensdauer <strong>der</strong> Schlüssel und somit die <strong>in</strong> e<strong>in</strong>em Zertifikat angegebene<br />
Gültigkeitsdauer SOLL gemäß [gemSiKo#AnhF] maximal 5 Jahre betragen.<br />
Offener Punkt - Die Abstimmung <strong>der</strong> OCSP <strong>Algorithmen</strong> mit dem BSI ist noch nicht abgeschlossen.<br />
Die ausgewählten <strong>Algorithmen</strong> wurden bislang nicht durch das BSI bestätigt und können sich potentiell noch<br />
än<strong>der</strong>n. E<strong>in</strong>e ausführlichere Bewertung bef<strong>in</strong>det sich <strong>in</strong> Abschnitt 5.1<br />
5.1.1.3 X.509-Identitäten für die Erstellung qualifizierter Signaturen<br />
Identitäten für qualifizierte Signaturen MÜSSEN den <strong>in</strong> Tabelle 7 gestellten<br />
Anfor<strong>der</strong>ungen an <strong>Algorithmen</strong> genügen.<br />
Tabelle 7: <strong>Algorithmen</strong> für X.509-Identitäten zur Erstellung qualifizierter Signaturen<br />
<strong>Algorithmen</strong><br />
Typ<br />
Algorithmus<br />
Schlüssel<br />
länge<br />
2008 2009 2010 2011 2012 2013<br />
<strong>Verwendung</strong><br />
<strong>der</strong> Schlüssel<br />
Signatur des<br />
Endnutzer- und<br />
CA-Zertifikates<br />
Signatur <strong>der</strong><br />
OCSP<br />
Response<br />
Signatur des<br />
OCSP<br />
Respon<strong>der</strong><br />
Zertifikates<br />
RSA<br />
sha1withRSAEncryption<br />
(OID 1.2.840.113549.1.1.5)<br />
sha256withRSAEncryption<br />
(OID 1.2.840.113549.1.1.11)<br />
sha1withRSAEncryption<br />
(OID 1.2.840.113549.1.1.5)<br />
sha1withRSAEncryption<br />
(OID 1.2.840.113549.1.1.5)<br />
1024 E E E E E E<br />
2048 A,V A,V A,V A,V A,V A,V<br />
1024 E E E E E E<br />
2048 E E E E E E<br />
1024 E E E E E E<br />
2048 A,V A,V A,V A,V A,V A,V<br />
1024 A,V A,V A,V A,V A,V A,V<br />
1024 A,V A,V A,V A,V A,V A,V<br />
Die Lebensdauer <strong>der</strong> Schlüssel und somit die <strong>in</strong> e<strong>in</strong>em Zertifikat angegebene<br />
Gültigkeitsdauer SOLL gemäß [gemSiKo#AnhF] maximal 5 Jahre betragen.<br />
Offener Punkt - Die Abstimmung <strong>der</strong> OCSP <strong>Algorithmen</strong> mit dem BSI ist noch nicht abgeschlossen<br />
Die ausgewählten <strong>Algorithmen</strong> wurden bislang nicht durch das BSI bestätigt und können sich potentiell noch<br />
än<strong>der</strong>n. E<strong>in</strong>e ausführlichere Bewertung bef<strong>in</strong>det sich <strong>in</strong> Abschnitt 5.1<br />
gematik_GA_Spezifikation_Kryptographischer_<strong>Algorithmen</strong>_V1_3_0.doc Seite 22 von 50<br />
Version: 1.3.0 © gematik Stand: 26.03.2008