Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Verwendung kryptographischer Algorithmen in der ... - Gematik
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Verwendung</strong> <strong>kryptographischer</strong> <strong>Algorithmen</strong> <strong>in</strong> <strong>der</strong><br />
Telematik<strong>in</strong>frastruktur<br />
<strong>Algorithmen</strong> Typ Algorithmus Symmetrische<br />
Schlüssellänge<br />
2008 2009 2010 2011 2012 2013<br />
TSIG – symmetrischer Schlüssel zur<br />
Absicherung <strong>der</strong> Transaktionskanäle<br />
zwischen zwei Name Server Instanzen<br />
bei Zonentransfers,<br />
Än<strong>der</strong>ungsbenachrichtigungen,<br />
dynamischen Updates und rekursiven<br />
Queries.<br />
DNSSEC ZSK<br />
Asymmetrische Schlüssel zur<br />
Wahrung <strong>der</strong> Authentizität und<br />
Integrität von Zonendatenobjekten.<br />
DNSSEC KSK<br />
Asymmetrische Schlüssel zur<br />
Wahrung <strong>der</strong> Authentizität und<br />
Integrität von Zonendatenobjekten.<br />
HMAC-SHA 160 M M M M P P<br />
RSA-SHA1 1024 M M M M P P<br />
RSA-SHA1 2048 M M M M P P<br />
Tabelle 33: Betroffene Systeme - DNSSEC-Kontext<br />
System<br />
Alle T0 Name Server Systeme (Telematik) Internal Root Zone<br />
Alle T1 Name Server Systeme (Telematik) Parent Zone<br />
Alle T2 Name Server Systeme (Telematik) Sub Zones<br />
Alle T0 Name Server Systeme (Telematik) Forward Zones<br />
E<strong>in</strong>satz<br />
Für diese Systeme ist <strong>der</strong> E<strong>in</strong>satz von DNSSEC<br />
verpflichtend und die zuvor angegebenen<br />
<strong>Algorithmen</strong> s<strong>in</strong>d normativ.<br />
Die <strong>Verwendung</strong> von DNSSEC ist optional, sofern<br />
DNSSEC e<strong>in</strong>gesetzt wird, sofern dies <strong>der</strong> Fall ist, ist<br />
die Unterstützung <strong>der</strong> zuvor angegebenen<br />
<strong>Algorithmen</strong> normativ.<br />
6.4.4 TLS/SSL-Verb<strong>in</strong>dungen mit erhöhtem Schutzbedarf<br />
Diese Form <strong>der</strong> SSL-Verb<strong>in</strong>dung MUSS verwendet werden, sofern Daten mit e<strong>in</strong>em<br />
beson<strong>der</strong>en Schutzbedarf transportiert werden. Verb<strong>in</strong>dungen, die dieser Vorgabe<br />
entsprechen und Daten mit erhöhtem Schutzbedarf transportieren werden <strong>in</strong> Tabelle 35<br />
abschließend def<strong>in</strong>iert. Die Entscheidung, ob e<strong>in</strong>e Verb<strong>in</strong>dung gemäß Abschnitt 6.4.2<br />
o<strong>der</strong> Abschnitt 6.4.4 abgesichert werden muss, orientiert sich an <strong>der</strong><br />
Schutzbedarfsanalyse des Sicherheitskonzeptes.<br />
Für die Übertragung mittels TLS s<strong>in</strong>d die folgenden Vorgaben an <strong>Algorithmen</strong> normativ:<br />
• Zur Authentifizierung MUSS e<strong>in</strong>e X.509-Identität gemäß den Vorgaben aus<br />
Abschnitt 5.1.1.8 verwendet werden.<br />
• Als Cipher Suite MUSS e<strong>in</strong>e Cipher Suite gemäß <strong>der</strong> nachfolgenden Tabelle<br />
verwendet werden.<br />
Tabelle 34: <strong>Algorithmen</strong> für TLS/SSL<br />
<strong>Algorithmen</strong><br />
Typ<br />
Algorithmus<br />
Symmetrische<br />
Schlüssellänge<br />
2008 2009 2010 2011 2012 2013<br />
gematik_GA_Spezifikation_Kryptographischer_<strong>Algorithmen</strong>_V1_3_0.doc Seite 41 von 50<br />
Version: 1.3.0 © gematik Stand: 26.03.2008