Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Verwendung</strong> <strong>kryptographischer</strong> <strong>Algorithmen</strong> <strong>in</strong> <strong>der</strong><br />
Telematik<strong>in</strong>frastruktur<br />
System<br />
Broker<br />
Trusted Service,<br />
Security Validation<br />
Service und Security<br />
Confirmation Service<br />
Alle TI-Komponenten<br />
TSL Provi<strong>der</strong><br />
E<strong>in</strong>satz<br />
Authentisierung <strong>der</strong> Datenautorität o<strong>der</strong> zur Erstellung von Tickets als auch die Validierung dieser<br />
Signaturen unterstützen.<br />
Der Broker prüft die mathematische Korrektheit <strong>der</strong> Nachrichtensignaturen als Basis für die<br />
Erstellung e<strong>in</strong>es Audite<strong>in</strong>trags.<br />
Der Broker prüft die Signatur <strong>der</strong> Brokersequenzen.<br />
Die Dienste TrustedS, SVS und SCS setzen die Anonymisierung von Heilberuflersignaturen um.<br />
In diesem Zusammenhang prüfen sie Nachrichtensignaturen und erstellen Nachrichtensignaturen.<br />
Nahezu alle Komponenten <strong>der</strong> TI nutzen die TSL als Vertrauensanker und müssen daher <strong>in</strong> <strong>der</strong><br />
Lage se<strong>in</strong>, die XML-Signatur <strong>der</strong> TSL zu validieren.<br />
Der TSL-Provi<strong>der</strong> muss <strong>in</strong> <strong>der</strong> Lage se<strong>in</strong>, die Signatur <strong>der</strong> TSL gemäß den zuvor angegebenen<br />
<strong>Algorithmen</strong> zu erstellen.<br />
6.1.3 XML-Signaturen für qualifizierte Signaturen<br />
Die Vorgaben an <strong>Algorithmen</strong> für qualifizierte Signaturen gehen zum <strong>der</strong>zeitigen Zeitpunkt<br />
nicht über die Vorgaben an <strong>Algorithmen</strong> für nicht qualifizierte Signaturen h<strong>in</strong>aus, es muss<br />
jedoch e<strong>in</strong>e Identität gemäß Abschnitt 5.1.1.3 zur Validierung verwendet werden. Es sei<br />
an dieser Stelle darauf h<strong>in</strong>gewiesen, dass die angegebenen <strong>Algorithmen</strong> den Vorgaben<br />
des <strong>Algorithmen</strong>kataloges [ALGCAT] dadurch entsprechen, dass sie als<br />
E<strong>in</strong>gangsanfor<strong>der</strong>ungen bei <strong>der</strong> Erstellung des Dokumentes [gemSiKo#AnhF]<br />
e<strong>in</strong>gegangen s<strong>in</strong>d.<br />
Tabelle 17: <strong>Algorithmen</strong> für qualifizierte XML Signaturen<br />
Signaturbestandteil Beschreibung Algorithmus Anmerkung<br />
CanonicalizationMethod<br />
Kanonisierung des<br />
SignedInfo<br />
Elementes<br />
Exklusive XML-Kanonisierung<br />
Die [XMLSig] konforme Bezeichnung lautet:<br />
http://www.w3.org/2001/10/xml-exc-c14n#<br />
Die <strong>Verwendung</strong><br />
des Algorithmus ist<br />
verpflichtend<br />
SignatureMethod<br />
Algorithmus für die<br />
Berechnung des<br />
Nachrichten Digest<br />
und die<br />
Verschlüsselung<br />
mit dem privaten<br />
Schlüssel<br />
RSASSA-PKCS1-v1_5 mit SHA256<br />
Die [XMLSig] konforme Bezeichnung lautet:<br />
http://www.w3.org/2001/04/xmldsig-more#rsasha256<br />
Der Algorithmus<br />
MUSS für alle<br />
qualifizierten<br />
Signaturen<br />
verwendet werden.<br />
Transform<br />
Algorithmus für die<br />
Transformation <strong>der</strong><br />
zu signierenden<br />
Bereiche.<br />
Für e<strong>in</strong>e Signatur<br />
können mehrere<br />
Transformationen<br />
nache<strong>in</strong>an<strong>der</strong><br />
angewendet<br />
werden. In diesem<br />
Fall ist die<br />
Reihenfolge<br />
normativ.<br />
Enveloped Signature Transfomation:<br />
<strong>Verwendung</strong> für Signaturen bei denen sich die<br />
ds:Signature Datenstruktur <strong>in</strong>nerhalb <strong>der</strong><br />
signierten fachlichen Daten bef<strong>in</strong>det.<br />
Die [XMLSig] konforme Bezeichnung lautet:<br />
http://www.w3.org/2000/09/xmldsig#envelopedsignature<br />
X-PATH-Transformation:<br />
X-Path Transformationen s<strong>in</strong>d zulässig, müssen<br />
aber für den entsprechenden Fall im Detail<br />
def<strong>in</strong>iert werden, da <strong>der</strong> konkrete E<strong>in</strong>satz des<br />
Verfahrens vom Kontext abhängig ist.<br />
Der Algorithmus<br />
darf nur bei<br />
enveloped<br />
Signatures<br />
verwendet werden.<br />
Für Detached<br />
Signatures DARF<br />
er NICHT<br />
verwendet werden<br />
und muss entfallen.<br />
Die <strong>Verwendung</strong><br />
von X-PATH<br />
Transformationen<br />
SOLL vermieden<br />
werden. Sofern<br />
e<strong>in</strong>e X-PATH<br />
Transformation<br />
gematik_GA_Spezifikation_Kryptographischer_<strong>Algorithmen</strong>_V1_3_0.doc Seite 32 von 50<br />
Version: 1.3.0 © gematik Stand: 26.03.2008