Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Verwendung</strong> <strong>kryptographischer</strong> <strong>Algorithmen</strong> <strong>in</strong> <strong>der</strong><br />
Telematik<strong>in</strong>frastruktur<br />
• Die verschlüsselte Kommunikation MUSS die folgenden Eigenschaften erfüllen:<br />
o Als symmetrische Verschlüsselungsalgorithmen s<strong>in</strong>d die<br />
<strong>Algorithmen</strong>verwendungen gemäß Tabelle 27 normativ.<br />
o Hash<strong>in</strong>g und HMAC mittels SHA-1 MÜSSEN unterstützt werden. SHA-2<br />
mit 256 Bit und größer KANN optional unterstützt werden.<br />
o Die <strong>Verwendung</strong> von Diffie-Hellman-Gruppen für den Schlüsseltausch<br />
gemäß Tabelle 28 ist verpflichtend.<br />
o Für die Schlüsselberechnung MUSS Perfect Forward Secrecy (PFS)<br />
unterstützt werden<br />
Tabelle 27: <strong>Algorithmen</strong> zur symmetrischen Verschlüsselung für IPSec<br />
<strong>Algorithmen</strong> Typ Algorithmus Schlüssellänge 2008 2009 2010 2011 2012 2013<br />
Symmetrische<br />
Verschlüsselung<br />
des IPSec<br />
Transports<br />
AES im CBC Mode<br />
(OID<br />
2.16.840.1.101.3.4.1)<br />
256 M M M M M M<br />
Tabelle 28: Diffie-Hellman-Gruppen für den Schlüsseltausch<br />
<strong>Algorithmen</strong><br />
Typ<br />
Diffie-<br />
Hellman-<br />
Gruppe<br />
Algorithmus Modulus 2008 2009 2010 2011 2012 2013<br />
5 1536 M M M M M P<br />
Tabelle 29: Betroffene Systeme – IPSec-Kontext<br />
System<br />
Netzkonnektor<br />
VPN-Konzentrator<br />
E<strong>in</strong>satz<br />
Der Netzkonnektor dient <strong>in</strong> diesem Zusammenhang als IPSec-Client und MUSS die entsprechende<br />
<strong>Algorithmen</strong> implementieren<br />
Der VPN-Konzentrator dient als IPSec-Server.<br />
6.4.2 TLS/SSL-Kontext<br />
TLS/SSL-Verb<strong>in</strong>dungen werden <strong>in</strong> Verb<strong>in</strong>dungen mit normalem und niedrigem sowie <strong>in</strong><br />
Verb<strong>in</strong>dungen mit erhöhtem Schutzbedarf unterschieden. Die Vorgaben <strong>der</strong> <strong>Algorithmen</strong><br />
dieses Abschnitts gelten für alle TLS/SSL-Verb<strong>in</strong>dungen, auf die nicht die Kriterien für<br />
erhöhten Schutzbedarf zutreffen und die dementsprechend nicht <strong>in</strong> Tabelle 35 aufgeführt<br />
s<strong>in</strong>d. Für alle <strong>in</strong> Tabelle 35 aufgeführten Verb<strong>in</strong>dungen gelten die <strong>in</strong> Abschnitt 6.4.4<br />
def<strong>in</strong>ierten <strong>Algorithmen</strong>.<br />
Für die Übertragung mittels TLS s<strong>in</strong>d die folgenden Vorgaben an <strong>Algorithmen</strong> normativ:<br />
• Authentifizierendes Merkmal ist immer e<strong>in</strong>e X.509-Identität gemäß Abschnitt<br />
Abschnitt 5.1.1.4.<br />
gematik_GA_Spezifikation_Kryptographischer_<strong>Algorithmen</strong>_V1_3_0.doc Seite 39 von 50<br />
Version: 1.3.0 © gematik Stand: 26.03.2008