Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Verwendung</strong> <strong>kryptographischer</strong> <strong>Algorithmen</strong> <strong>in</strong> <strong>der</strong><br />
Telematik<strong>in</strong>frastruktur<br />
6.4 Netzwerkprotokolle<br />
Im Gegensatz zu kryptographischen Verfahren für den Integritätsschutz o<strong>der</strong> die<br />
Vertraulichkeit von Daten, bei denen ke<strong>in</strong>e direkte Kommunikation zwischen Sen<strong>der</strong> bzw.<br />
dem Erzeuger und dem Empfänger stattf<strong>in</strong>det, kann bei Netzwerkprotokollen e<strong>in</strong>e<br />
Aushandlung des kryptographischen Algorithmus erfolgen. Das Ziel <strong>der</strong> nachfolgenden<br />
Festlegungen ist es daher, jeweils genau e<strong>in</strong>en verpflichtend zu unterstützenden<br />
Algorithmus festzulegen, so dass e<strong>in</strong>e E<strong>in</strong>igung zum<strong>in</strong>dest auf diesen Algorithmus immer<br />
möglich ist. Zusätzlich können aber auch optionale <strong>Algorithmen</strong> festgelegt werden, auf die<br />
sich Sen<strong>der</strong> und Empfänger ebenfalls im Zuge <strong>der</strong> Aushandlung e<strong>in</strong>igen können. Es darf<br />
jedoch durch ke<strong>in</strong>e <strong>der</strong> Komponenten vorausgesetzt werden, dass <strong>der</strong> Gegenpart diese<br />
optionalen <strong>Algorithmen</strong> unterstützt.<br />
In <strong>der</strong> tabellarischen Darstellung <strong>der</strong> Gültigkeiten für <strong>Algorithmen</strong> s<strong>in</strong>d die verwendeten<br />
Kürzel wie folgt zu verstehen.<br />
M – Dieser Algorithmus MUSS unterstützt werden, so dass <strong>in</strong> allen Fällen e<strong>in</strong>e E<strong>in</strong>igung<br />
auf e<strong>in</strong>en geme<strong>in</strong>samen Algorithmus möglich ist.<br />
O – Dieser Algorithmus ist optional und KANN anstelle des verpflichtenden Verfahrens<br />
verwendet werden, sofern er von beiden Parteien unterstützt wird. Die Verfügbarkeit<br />
dieses Verfahrens DARF NICHT vorausgesetzt werden.<br />
E – Die Gültigkeit dieses Algorithmus ist abgelaufen (Expired) und die <strong>Verwendung</strong> des<br />
Algorithmus stellt e<strong>in</strong> potentielles Sicherheitsrisiko dar. Dieser Algorithmus DARF NICHT<br />
mehr e<strong>in</strong>gesetzt werden<br />
P – Diese <strong>Algorithmen</strong> s<strong>in</strong>d <strong>der</strong>zeit <strong>in</strong> Planung und es ist noch ke<strong>in</strong>e Entscheidung über<br />
die Möglichkeit des E<strong>in</strong>satzes getroffen.<br />
Anmerkung zum Migrationspfad: Die ohne Migrationspfad angegebenen <strong>Algorithmen</strong> s<strong>in</strong>d<br />
durch e<strong>in</strong>e Vielzahl von Herstellern unterstützt, ausreichend performant und für den<br />
vorgegebenen E<strong>in</strong>satzbereich nach <strong>der</strong>zeitigen E<strong>in</strong>schätzungen bis 2013 als sicher<br />
e<strong>in</strong>gestuft. Es wird daher ke<strong>in</strong> Migrationspfad für diese <strong>Algorithmen</strong> angegeben.<br />
6.4.1 IPSec-Kontext<br />
Für die Authentifizierung, den Schlüsseltausch und die verschlüsselte Kommunikation im<br />
IPSec-Kontext gelten die folgenden normativen Vorgaben:<br />
• Die Schlüsselvere<strong>in</strong>barung MUSS mittels IKEv1 gemäß <strong>der</strong> folgenden Vorgaben<br />
erfolgen:<br />
o Als symmetrische Verschlüsselungsalgorithmen s<strong>in</strong>d die<br />
<strong>Algorithmen</strong>verwendungen gemäß Tabelle 27 normativ.<br />
o Hash<strong>in</strong>g und HMAC mittels SHA-1 MÜSSEN unterstützt werden. SHA-2<br />
mit 256 Bit und größer KANN optional unterstützt werden.<br />
o Als Nachweis <strong>der</strong> Identität wird e<strong>in</strong> X.509-Zertifikat gemäß Abschnitt<br />
5.1.1.5 verwendet.<br />
o Die <strong>Verwendung</strong> von Diffie-Hellman-Gruppen für den Schlüsseltausch<br />
gemäß Tabelle 28 ist verpflichtend.<br />
gematik_GA_Spezifikation_Kryptographischer_<strong>Algorithmen</strong>_V1_3_0.doc Seite 38 von 50<br />
Version: 1.3.0 © gematik Stand: 26.03.2008